La Agencia Española de Protección de Datos (AEPD) considera que una empresa ha vulnerado al menos tres artículos del RGPD.
Los sistemas biométricos de control de jornada existentes deben adaptarse a la nueva normativa para considerarse legales.
Los sistemas de identificación biométrica para el control horario se están convirtiendo en un foco de problemas para las empresas desde que el Comité Europeo de Protección de Datos unificó su criterio de Autenticación e Identificación de datos biométricos, entrando en conflicto con el que hasta la fecha mantenía la normativa española, mucho más permisiva con el uso de la huella dactilar o el reconocimiento facial para el control horario de la jornada laboral en las empresas.
A raíz de esa unificación de criterios a nivel comunitario, la AEPD ha comenzado a sancionar a aquellas empresas que no cumplen con las recomendaciones y ha impuesto una multa de 365.000 euros a una empresa por utilizar la huella dactilar de sus empleados para fichar.
Vulneración reiterada de la normativa. Según publica el medio especializado Confilegal, la AEPD argumenta su sanción en la vulneración de distintos artículos del Reglamento General de Protección de Datos (RGPD). En primer lugar, la empresa no habría informado debidamente a los empleados sobre el sistema de recopilación de datos biométricos, no habían implementado las medidas de seguridad apropiadas para su uso y no contaba con un análisis de riesgos adecuado.
La multa por partes. La sanción total se desglosa en función de la gravedad de los artículos del Reglamento que vulnera:
- 200.000 euros por incumplir el artículo 13, que hace referencia a la información que la empresa debe ofrecer al usuario.
- 100.000 euros por el incumplimiento del artículo 35 del Reglamento, en la que se describe cómo debe evaluarse el impacto de la recolección de datos biométricos de las personas.
- 65.000 euros por vulnerar el artículo 32, ya que la empresa no aplicó medidas de seguridad adecuadas durante el proceso de tratamiento y almacenamiento de los datos recogidos.
Además de las sanciones, la AEPD ha dado a la empresa un plazo de seis meses para corregir esas deficiencias. Pese a la dureza de la multa, la sanción no es firme y la empresa puede recurrirla ante la Audiencia Nacional.
La trampa de los sistemas biométricos. Algunas empresas llevan años usando sistemas de identificación de huella dactilar o reconocimiento facial para registrar la jornada de sus empleados, siendo un sistema más certero que el de la identificación por tarjeta. Durante todo ese tiempo, su uso ha sido perfectamente legal e incluso contaba con la aprobación del Tribunal Supremo.
Sin embargo, la unificación de criterios trajo un cambio importante en el artículo 12 del Reglamento entre “Autenticación” e “Identificación”. Ahora, ambas son consideradas como “Categoría especial” haciendo más sensible su uso y tratamiento. El uso de huella dactilar o reconocimiento facial queda relegado a situaciones de interés público o sanitario, seguridad pública, etc., descritas en el artículo 9 del Reglamento, pero no para un ámbito como el control de acceso al lugar de trabajo en el que pueden usarse otras alternativas menos intrusivas.
Mantener estos sistemas es legal, pero no rentable. El uso de sistemas de control horario basado en datos biométricos continúa siendo legal. Sin embargo, los sistemas, que hasta hace unos meses eran legales, ahora dejan de serlo y requieren una serie de medidas de información y protección adicionales para poder seguir usándolos.
Eso implica que las empresas deben realizar una inversión adicional en materia de seguridad y procedimientos para mantenerlos en funcionamiento, por lo que a muchas empresas les compensa cambiar a alguna alternativa menos conflictiva que no las deje expuestas a sanciones tan importantes como la de esta empresa.