Resolución del procedimiento sancionador PS/ N º 00128 2020 dictada por la AEPD, en fecha 1 de marzo de 2021.
Resumen: Apercibimiento a un Ayuntamiento por haber infringido el deber de información previsto en el artículo 13 del Reglamento 2016/ 679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (respecto del tratamiento de la huella dactilar de sus empleados).
Recientemente, la Agencia Española de Protección de Datos (“AEPD”) ha emitido una nueva resolución en la que analiza el uso del sistema de control de presencia mediante uso de datos biométricos de los trabajadores.
En la citada resolución, la AEPD estudia la reclamación interpuesta por un trabajador en la que solicita que se determine si con la implantación del sistema de control de presencia o fichaje horario por reconocimiento biométrico de huella, la empresa reclamada ha actuado conforme a la legalidad vigente.
La empresa reclamada había instaurado un sistema de control de presencia o registro horario por reconocimiento biométrico de la huella de los trabajadores procesando la información biométrica recogida, de forma que, cada patrón generado por los parámetros de las huellas de los diferentes trabajadores, se comparaban con los patrones del resto de la plantilla, en lugar de llevar a cabo una comparación uno a uno (el patrón del trabajador consigo mismo). En este sentido, la comparación uno a uno es considerada mucho menos intrusiva respecto del derecho fundamental a la protección de datos personales de los trabajadores.
Teniendo en cuenta lo anterior, la AEPD realiza un estudio profundo de la posibilidad de limitación del derecho fundamental a la protección de datos personales, considerando que la misma debe ser mínima y que, con carácter previo a la implantación de un sistema de reconocimiento de la identidad mediante datos biométricos, la empresa debía valorar si existía otro sistema menos intrusivo con el que obtener la misma finalidad, realizando el, ya conocido, examen de idoneidad, necesidad y proporcionalidad.
Por su parte, la empresa reclamada aducía que, para la implantación y uso del sistema de control por reconocimiento biométrico, contaba con la base legítima del consentimiento expreso firmado por los trabajadores, con la obligación de cumplir con una obligación legal ex art. 6.1.c) del Reglamento General de Protección de datos (RGPD) y con la obligación de mantener el cumplimiento de la relación contractual ex art. 6.1.b) RGPD.
Finalmente, la AEPD resuelve el expediente en cuestión sancionando a la empresa, ya que, después del análisis del sistema, en relación con el triple juicio de idoneidad, necesidad y proporcionalidad, así como en nivel de intrusismo que implicaba el sistema de control de presencia o registro horario, considera que con la implantación del mismo, se ha infringido el artículo 35 del RGPD por cuanto:
- No se había llevado a cabo la preceptiva evaluación previa de impacto.
- El consentimiento prestado por los trabajadores, en este caso, constituye una excepción al consentimiento requerido por el RGPD, ya que no se parte de una posición de equilibrio en la relación y el trabajador, en caso de no otorgar el mismo, no dispone de alternativas ofrecidas por la empresa.