El reconocimiento facial le ha salido caro a una empresa de Alicante: multa de 220.000 euros por fichar con biometría
En 2016 se aprobó el Reglamento General de Protección de Datos (RGPD) que establecía la normativa del uso de los datos privados de los usuarios, un reglamento que endurecería mucho más su aplicación tras el cambio de criterio que se aplicó en abril de 2023, en el que se establecía un marco mucho más restrictivo con el uso de los sistemas biométricos y de reconocimiento facial para registrar la jornada laboral.
En base a esa normativa, la Agencia Española de Protección de Datos ha impuesto una sanción de 220.000 euros a una empresa de Alicante por vulnerar el reglamento de protección de datos por usar un sistema de control horario por reconocimiento facial entre sus empleados. No es la primera empresa a la que sancionan por este motivo.
Sin alternativas al reconocimiento facial
Según se detalla en el expediente sancionador de la AEPD, uno de los empleados de esa empresa no estaba conforme con que la única alternativa de acceso y registro de jornada implicara el uso de un sistema de reconocimiento facial, por lo que el empleado solicitó un método alternativo menos invasivo para su privacidad. La respuesta de la empresa fue negativa «le obliga a fichar en la entrada a su puesto de trabajo con un dispositivo de reconocimiento facial, sin alternativa de uso de otro medio distinto».
Ante la ausencia de alternativas, en agosto de 2022, el empleado ejerció su derecho como empleado a la solicitud a la empresa de los datos que se estaban recopilando y su uso. Según el empleado, la empresa alicantina nunca dio respuesta a su solicitud, por lo que el empleado remitió su demanda a la AEPD. Durante la investigación se resolvió que la empresa sí había atendido a la solicitud del empleado, pero la había enviado a una dirección errónea.
En la inspección del organismo regulador se apreciaron deficiencias en el documento de consentimiento de tratamiento de datos personales en el que solo se aludía a la huella digital para el «control del cumplimiento de la jornada laboral». Además, el escrito de consentimiento no ofrecía alternativa para la negación del consentimiento o para revocarlo.
En 2023, la empresa fue adquirida por una más grande y, tras su integración, su Comité de Protección de Datos recomendó que se sustituyera este sistema de control de jornada «de forma inmediata», ante la sospecha de que no cumplía con la normativa de Protección de Datos. Pese a esa advertencia, «consta acreditado» que la empresa continuó usando el sistema biométrico facial hasta mayo de 2023.
A partir de esa fecha, la empresa denunciada adoptó un sistema de identificación y control de jornada basado en tarjetas identificativas personales, adoptando el mismo sistema de identificación que venía usando la empresa matriz que había comprado la compañía.
La norma se aplica a sistemas anteriores
En sus alegaciones, la empresa argumentaba que el sistema se había implantado en 2016, cuando el primer reglamento admitía la utilización de sistemas biométricos para el control de la jornada laboral, por lo que consideraba que se habían aplicado con efectos retroactivos.
Sin embargo, lo que la empresa no tuvo en cuenta, pero sí el nuevo propietario, es que su complimiento se hace firme a partir de la modificación del reglamento de 2023, en el que se unifica el criterio de Autenticación e Identificación y mete a ambos grupos de datos en la «categoría especial» para el tratamiento de datos.
Por lo tanto, la AEGP declara prohibido su uso con carácter general, salvo las excepciones previstas en el artículo 9 del RGPD. Algo que, a tenor de la recomendación de la empresa matriz de dejar de usarlo de forma inmediata, ya sabían.
La investigación de la AEPD, confirma que «los hechos constitutivos de la infracción y que han sido probados se producen» tras la entrada en vigor del RGPD, y por lo tanto, es una norma de «plena aplicación» en este caso.
Además, la empresa no contaba con una Evaluación de Impacto de Protección de Datos Personales (EIPD), algo obligatorio para el uso de datos biométricos, ya que, como recuerda la sentencia, se emplean tecnologías en constante evolución, «influyendo sin duda en las esencias de las operaciones de tratamiento, trasladándose a nuevos escenarios la exposición a los múltiples riesgos que precisan continuas reevaluaciones a los que las organizaciones deben responder a nivel técnico y organizativo».
La sentencia condena a la empresa a una sanción de 200.000 por infracción del artículo 35 del RGPD por no evaluar el impacto relativo a la protección de datos; y a 20.000 euros por vulnerar el artículo 12 del RGPD por no satisfacer el derecho de acceso a sus datos y su revocación, sumando un total de 220.000 euros que pueden ser recurridos por la empresa.
Imagen | Freepik
