Confilegal. Luis Javier Sánchez. |
30/10/2021 01:00 |
Actualizado: 30/10/2021 00:21

Los registros de jornada de carácter biométricos son muy invasivos y manejan demasiados datos personales, según la Agencia de Protección de Datos (AEPD) que en una reciente resolución, finalizada por pago voluntario, sanciona a Servicios Logísticos Martorell Siglo XXI con 20.000 euros por la implantación de dicho registro a su cliente automovilístico SEAT, con 520 trabajadores.

En esta resolución (expediente número: PS/00050/2021), que puede recurrirse en primera instancia a la propia AEPD y con posterioridad a la Audiencia Nacional, se imputa a la reclamada que, tratando datos de carácter personal de categoría especial, y existiendo la obligación de disponer de una Evaluación de Impacto en la Protección de los Datos Personales (EIPD) incumplió el artículo 35 del Reglamento General de Protección de Datos (RGPD).

Dicha EIPD supone, según la resolución, que las organizaciones deben demostrar que están cumpliendo con la norma, incluyendo medidas de documentación sobre cómo son tratados los datos, con que finalidad, hasta cuándo, y documentar los tratamientos y los procedimientos para centrar la cuestión desde un momento temprano de la construcción del sistema de tratamiento.

Al final se trata de que la implantación posibilita la minimización de riesgos en el momento de tratar los datos, teniendo en cuenta la proporcionalidad de los mismos. En función del resultado se puede incluso tener que informar a la AEPD de los resultados de dicha evalución.

PUBLICIDAD
Según consta en el expediente, fue uno de los sindicatos de la empresa quien formuló la denuncia ante la AEPD en febrero del 2020 por su oposición a la implementación de un sistema de control presencial de los trabajadores a través de un sistema biométrico de huella digital en las dependencias de la empresa, mediante terminales que incorporan lectores para la captura de la huella dactilar de cada empleado. En la actualidad, el sistema se conjuga con el lector de tarjeta.

El pasado 19 de octubre de 2021 la parte reclamada procedió al pago de la sanción en la cuantía de 16.000 euros, haciendo uso de la reducción prevista en la propuesta de resolución, al reconocer su culpabilidad, tal y como señala el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP).

Los datos biométricos se encuentran en el eje de un debate en el que la AEPD hace algunas semanas se mostraba partidaria con muchas reservas. En este caso, la falta de la evaluación de impacto trasgrede el RGPD y ocasiona una sanción importante para esta empresa.

CONFLICTO CON LA NORMATIVA LABORAL
Pere Vidal, abogado laboralista y profesor de Derecho Laboral en la Universitat Oberta de Catalunya, socio de ASNALA, comenta que «desde la perspectiva jurídico-laboral, la resolución de la AEPD choca con la doctrina de tribunales superiores de justicia e incluso del propio Tribunal Supremo, en las pocas ocasiones en las que han tenido oportunidad de resolver sobre esta materia».

«Por ejemplo, la sentencia del TSJ de Canarias de 29 de mayo de 2012 dejaba claro que el establecimiento de un sistema de control horario que identifica al personal por la lectura de la mano mediante infrarrojos no lesiona el derecho a la intimidad«, cometa.

También señala el fallo el TSJ de Murcia, en sentencia de 25 de enero de 2010, «recordando que el control de acceso a las instalaciones de la empresa constituye una finalidad legítima y que, tal medida de control, que vincula la lectura de las huellas digitales a los datos de identidad de los trabajadores, es adecuada, pertinente y no excesiva».

Vidal recuerda que «en el mismo sentido se pronunció el TSJ de la Comunidad Valenciana, en sentencia de 8 de febrero de 2017, en un caso en que un trabajador despedido alegaba una supuesta vulneración del derecho a la protección de datos en relación con el sistema de fichajes mediante huella digital. Pretensión que fue desestimada de plano por la Sala de suplicación».

Este jurista señala que «estando ya en vigor el RGPD, empezaron a suscitarse las dudas sobre el sistema de huella digital como sistema de control de los trabajadores, en tanto que el RGPD lo considera dato biométrico, estando su tratamiento muy restringido».

«De hecho, la Agencia Catalana de Protección de Datos ya avisó en un dictamen de 2018 que, antes de implantar un sistema de control basado en huella digital, era necesaria una evaluación de impacto, priorizando alternativas menos intrusivas (códigos, tarjetas, etc.)», indica.

Este abogado confiesa que «a pesar de ello, son muchas las empresas que han optado por el sistema de huella digital en lugar del lector de tarjetas, pues el sistema de “huella” evita el riesgo de suplantación».

«Sin duda, con esta resolución de la AEPD, las empresas desterrarán definitivamente este sistema de control, volviendo a los lectores de tarjetas, para evitar incurrir en riesgos innecesarios, no solamente las multas de la AEPD, sino posibles demandas por vulneración de derechos fundamentales».

UNA TECNOLOGÍA MUY INVASIVA
Por su parte, Eduard Blasi, abogado experto en privacidad, coordinador del grupo de privacidad y salud de APEP y profesor de la UOC, indica que los puntos llamativos de esta resolución son varios «es un uso de esta herramienta con trabajadores de un tratamiento de temporal que solo se utilizó dos meses. Un proyecto piloto al que se le sanciona con 20.000 euros de multa».

PUBLICIDAD
Este experto explica que «de la lectura de la resolución del regulador se traduce que la empresa hizo un análisis de riesgos básicos que no le llegó a la evaluación de impactos, necesaria cuando se tratan datos sensibles o se pueden vulnerar derechos fundamentales. Otra cuestión que llama la atención es que no se reclamó la huella completa, solo fueron algunas coordenadas y así lo indica la propia resolución».

Para este jurista, «está claro que la empresa hizo su trabajo a medias, pese a ello recibió esta sanción tan elevada. La AEPD consideró que no era suficiente para proteger los datos personales de sus trabajadores».

En cuanto a la técnica utilizada, «es otro punto de la resolución interesante, cuando se emplea una tecnología biométrica es fundamental que tipo de técnica se utiliza. La AEPD ha plasmado en diferentes resoluciones la distinción entre la identificación biométrica con la autentificación biométrica«.

De esta forma, «la identificación biométrica conlleva un tratamiento de datos sensibles, es decir un tratamiento mas intrusivo, pero la autenticación no lo es tanto y no te lleva a un tratamiento de datos sensibles o a una categoría especial de datos. Al final es un punto que la AEPD destaca en sus resoluciones, si es autenticación biométrica no hay que hacer esa evaluación de impacto«.

Sin embargo, en este caso «cuando la AEPD le pide a la empresa que describa la tecnología que utiliza se vio claramente que lo que hacia esta empresa era una identificación biométrica, una comparación de uno a varios. Había un tratamiento y un sistema complejo que elevaba los datos a categoría especial».

A juicio de Blasi, «es importante en la tecnología biométrica dos cuestiones, la primera el tipo de tecnología que se emplee a nivel software, por la distinción antes señalada. Y la segunda la finalidad, en este caso era un registro de jornada. En este caso, la AEPD señala que para un registro de este tipo existen medios menos intrusivos porque la tecnología no superaba el juicio de proporcionalidad».

Este experto señala que otras autoridades de protección de datos como la CNIL francesa o la APDCAT de Cataluña que «se han posicionado en el sentido que cuando se trata dentro de una empresa por razones de seguridad este tipo de tratamientos no seria desproporcionado. Si se accede a zonas o lugares reservados queda justificado el uso de dicha tecnología».

Para Eduard Blasi, “la evaluación de impacto que viene avalada desde el RGPD es fundamental para saber qué riesgos genera dicha implantación de ese sistema de control de jornada horaria. Al no existir ese análisis la propia AEPD a instancia de la denuncia recibida sindical reclama cierta información y comprueba que la citada evaluación de impacto no se ha realizado”.