En 2016, se promulgó el Reglamento General de Protección de Datos (RGPD), con el fin de regular el uso de datos privados de los individuos. Este reglamento se hizo más riguroso en abril de 2023, introduciendo restricciones más estrictas sobre el empleo de sistemas biométricos y reconocimiento facial para el registro de la jornada laboral.
En base a esta normativa, la Agencia Española de Protección de Datos sancionó con 220.000 euros a una empresa en Alicante. La razón fue la infracción del reglamento al implementar un sistema de control horario mediante reconocimiento facial para sus empleados. Esta no es la primera empresa penalizada por tal motivo.
Falta de alternativas al reconocimiento facial
Según el expediente de la AEPD, un empleado de la empresa expresó su desacuerdo con que la única opción para acceder y registrar sus horas de trabajo fuese un sistema de reconocimiento facial. Solicitó una opción alternativa que no comprometiese tanto su privacidad, pero la empresa respondió negativamente, obligándolo a utilizar el sistema facial sin ofrecer otra opción.
Ante la falta de alternativas, en agosto de 2022, el empleado ejerció su derecho solicitando a la empresa información sobre los datos recopilados y su uso. La empresa no respondió a esta solicitud, por lo tanto, el empleado presentó una denuncia ante la AEPD. Durante la investigación se descubrió que la empresa habÃa respondido, pero a una dirección incorrecta.
La inspección del regulador reveló deficiencias en el documento de consentimiento de tratamiento de datos personales, el cual solo mencionaba la huella digital para «control del cumplimiento de la jornada laboral». Además, el documento de consentimiento no brindaba la opción de negar o revocar este consentimiento.
En 2023, tras ser adquirida por una empresa más grande, el Comité de Protección de Datos recomendó sustituir «de forma inmediata» el sistema de control de jornada ante la sospecha de incumplimiento de la normativa de Protección de Datos. Sin embargo, «se documentó» que la empresa continuó usando el sistema biométrico facial hasta mayo de 2023.
Después de esa fecha, la empresa sancionada adoptó un sistema de identificación y control de jornada basado en tarjetas identificativas personales, alineándose asà con el sistema de la empresa matriz que la compró.
Aplicación de la norma a sistemas anteriores
La empresa argumentó que el sistema se instauró en 2016, cuando el reglamento inicial permitÃa el uso de sistemas biométricos para controlar la jornada laboral, considerando que se aplicaron cambios retroactivos.
No obstante, la empresa no tuvo en cuenta que el marco legal cambió en 2023, unificando criterios de Autenticación e Identificación en una «categorÃa especial» para el tratamiento de datos, algo reconocido por el nuevo propietario al hacer que el cumplimiento sea obligatorio.
AsÃ, la AEGP prohÃbe su uso general, salvo excepciones en el artÃculo 9 del RGPD, lo cual, según se advirtió, ya era conocido dentro de la empresa.
La investigación de la AEPD concluyó que «los hechos que constituyeron la infracción» ocurrieron después de la entrada en vigor del RGPD, siendo plenamente aplicable en este contexto.
Además, la empresa carecÃa de una Evaluación de Impacto de Protección de Datos Personales (EIPD), obligatoria para el uso de datos biométricos. La sentencia subraya que se emplean tecnologÃas en continua evolución, siendo necesarios reevaluaciones constantes para enfrentar los riesgos a nivel técnico y organizativo.
La sentencia impone a la empresa una sanción de 200.000 euros por violar el artÃculo 35 del RGPD al no evaluar adecuadamente el impacto en la protección de datos; además de 20.000 euros por infringir el artÃculo 12 del RGPD al no facilitar el derecho de acceso a los datos y su revocación, alcanzando un total de 220.000 euros, susceptibles de recurso.
Imagen | Freepik
Deja una respuesta