La AEPD impone una sanción de 20.000€ a una empresa de Martorell por no haber realizado una evaluación de impacto

El pasado mes de octubre, la Agencia Española de Protección de Datos (AEPD) impuso una sanción de 20.000€ a una empresa de Martorell por la implementación de un sistema de control horario de la jornada laboral mediante el uso de un dato biométrico, como es la huella dactilar del trabajador, sin haber realizado previamente una evaluación de impacto.

La sección sindical de la empresa presentó una reclamación de ante la AEPD en la que manifestaban considerar que la implementación del nuevo sistema de control laboral mediante el uso de un dato biométrico del trabajador resultaba desproporcionada al disponer ya de otros dos sistemas de control en funcionamiento, e innecesario, al existir otros medios menos invasivos que permiten conseguir los mismos resultados. Además, considerarlo un tratamiento de datos ilegítimo al encontrarse basado en el consentimiento del trabajador, consentimiento que no resulta libre de acuerdo con su posición vulnerable y condicionada.

Por su parte, la empresa argumenta en respuesta a las manifestaciones de la sección sindical, que se trata de un sistema de control necesario debido a las dificultades de control de la identidad de la persona que realiza el marcado con el sistema de tarjeta. Explica que realizó un análisis de riesgos básico previo a la implantación de la tecnología en el que concluye que el uso de la huella dactilar del trabajador implicaba un riesgo escaso al no considerar el dato recogido un dato biométrico porque únicamente almacenaba una plantilla de la huella.

Una vez analizada la reclamación interpuesta por la sección sindical y escuchados los argumentos presentados por la empresa, la AEPD decide imponer una sanción a la empresa por la implementación del sistema de control horario mediante la impronta de los trabajadores dado que para poder utilizar este sistema de control horario de acuerdo con los parámetros del Reglamento General de Protección de Datos, los responsables del tratamiento deben poder demostrar altos niveles de responsabilidad proactiva y diseño por defecto antes de iniciar el tratamiento de los datos personales, teniendo en cuenta que deben poder justificar que se trata de un sistema necesario, proporcionado en el contexto en concreto en el que se quiere implementar y que se han implementado las medidas técnicas menos intrusivas, y todos estos aspectos no han sido acreditados por la empresa sancionada al no haber realizado una evaluación de impacto.

La AEPD considera necesaria la realización previa de una evaluación de impacto en el tratamiento de la huella con fines de control laboral ya que la huella dactilar es un dato biométrico y por tanto, un dato de categoría especial. Resultando de esta forma que la actividad de tratamiento en cuestión cumple dos de los requisitos de la lista orientativa publicada por la AEPD en la que indicaban los tratamientos de datos en los que sería necesaria la realización de una evaluación de impacto.

Esta sanción es sólo una muestra de las recientes resoluciones de las autoridades de control en materia de protección de datos, que pone de manifiesto que las autoridades están sancionando a los responsables del tratamiento por no llevar a cabo las evaluaciones de impacto de la actividad de tratamiento de datos biométricos con fines de control de la jornada laboral.