La Agencia Española de Protección de Datos (AEPD) ha impuesto a la empresa CTC Externalización una multa por incumplimiento de la normativa de 365.000 euros, por solicitar la huella dactilar a los empleados para fichar.
La empresa no había informado adecuadamente a sus trabajadores de la recopilación de datos biométricos y no había implementado las medidas de seguridad necesarias. Tampoco contaba con un análisis de riesgos idóneo y una evaluación de impacto adecuada.
Además, la AEPD le ha dado a la empresa un plazo de 6 meses para informar a los trabajadores de manera adecuada, establecer las medidas de seguridad pertinentes, garantizar el borrado de la huella tras su captura y elaborar una evaluación de impacto en protección de datos.
La persona denunciante manifestó que la empresa no comunicó que la información sobre los datos biométricos se encontraba en el portal del empleado. Estaba en la parte “más recóndita de la aplicación, a la que no tienen acceso todos los trabajadores”.
El trabajador que interpuso la reclamación aportó una serie de correos electrónicos que intercambió con la empresa tras haberse implantado este fichaje en el centro de Madrid-Coslada. En dichos emails manifestó que, cuando pidió información y consentimiento sobre ello, le dijeron, para su sorpresa, que no había. En concreto, CTC le respondió que toda la información se encontraba en el Portal del Empleado.
Así las cosas, la AEPD pidió explicaciones a la empresa. Ésta expuso una batería de argumentos para defenderse. Por ejemplo, manifestó que era un sistema de verificación/autenticación y no de identificación; que no almacenaba la huella y que se informó del tratamiento de datos correctamente. También explicaron que se había instalado un cartel informativo junto al aparato de fichajes sobre el tratamiento de datos; ello con la finalidad de que fuese perfectamente visible para todos los trabajadores, así como que habían enviado un correo a todos los empleados informando de la actualización de las políticas de protección de datos y de su publicación en el Portal del Empleado. A ello añadieron que optaron por este método de fichaje porque con las tarjetas se habían dado situaciones conflictivas, al cederse a otras personas que no eran titulares de la misma.
Sin embargo, la AEPD en su resolución señala que “resulta más que dudoso que el sistema utilizado en este caso se trate de uno de “autenticación”. Los lectores de huella dactilar instalados no comparan la huella del sujeto con algún documento o soporte que el mismo utilice en el momento de fichar, sino que lo que hace es comparar dicha huella, leída en el momento del fichaje, con el total de huellas previamente registradas por los trabajadores. Con ello, la comparación es 1:N.”. Además, según las más recientes directrices del Comité Europeo de Protección de Datos “ambos sistemas (identificación y autenticación) constituyen un tratamiento de categorías especiales de datos personales”, por lo que, concluye la Agencia: “el régimen previsto en el RGPD para las categorías especiales de datos personales es aplicable al presente supuesto”.
Por otro lado, en la información aportada por CTC tampoco se acreditó cómo garantizaba el borrado de la huella tras su captura y, además, se comprobó que se almacenaban los datos identificativos del empleado y su hash de huella.
En definitiva, para la AEPD la empresa no informó correctamente sobre el tratamiento a los trabajadores. “La cláusula informativa a la que hace referencia y que habría sido incluida en el portal del empleado adolece de importantes defectos”. Por otro lado, descartó el documento presentado como Evaluación de Impacto porque el documento partía de la base de la ausencia de tratamientos de categoría especial de datos (como son los datos biométricos), por lo que “la evaluación no pudo tener en cuenta aspectos cruciales que debieron analizarse”.
Infracciones y sanciones correspondientes en virtud de la normativa sobre protección de datos
Por todo ello, la AEPD impone una sanción por infracción de tres artículos del Reglamento General de Protección de Datos, el art. 13 (200.000 euros), el art. 32 (65.000 euros) y por infringir el art. 35 (100.000 euros).
Fuente: Confilegal
¿Tiene dudas con el cumplimiento de la normativa sobre protección de datos? Contáctenos y le ayudamos a garantizar su cumplimiento. Evite las sanciones por incumplimiento del RGPD y la LOPDyGDD.
Contacte con nosotros