La Agencia Española de Protección de Datos se ha pronunciado en resolución de 31 de enero de 2023 (Expediente N.º: REPOSICIÓN PS/00441/2021) sobre el sistema de registro de huellas dactilares para el cumplimiento del registro de control horario de los empleados públicos de la Consejería de Sanidad de la Junta de Comunidades de Castilla-La Mancha, sancionándola por infringir el art. 35 RGPD, de conformidad con el artículo 83.4 a) del RGPD, así mismo le ha otorgado un plazo de diez días para que limite “temporal o definitivamente el tratamiento” del sistema de control horario mediante el uso de la huella dactilar, en tanto no disponga de una evaluación de impacto de protección de datos (en adelante, EIPD) del tratamiento que verdaderamente tenga en cuenta los riesgos para los derechos y libertades de los funcionarios y adopte las medidas y garantías apropiadas para su tratamiento, advirtiéndole que “la falta de atención al requerimiento puede dar lugar a la comisión de una infracción del artículo 83.6 del RGPD”.
En la resolución, la Agencia analiza si el sistema de control horario “mediante la lectura de la huella dactilar en el terminal biométrico instalado en las entradas de los edificios” en el que se “recoge la huella, y la fecha y la hora de entrada y salida” se instaló llevando a cabo todas las medidas técnicas, y de seguridad, oportunas para el adecuado tratamiento de datos biométricos.
En un primer momento, la Consejería de Sanidad puso de manifiesto que el sistema en cuestión se puso en funcionamiento bajo la vigencia de la LOPD.
El artículo 4.14 del RGPD define los datos biométricos como aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Los datos biométricos presentan la particularidad de ser producidos por el cuerpo de cada individuo, como, por ejemplo, la huella dactilar. Cada persona tiene su huella y esta es única, permanente en el tiempo, no cambia nunca, ni con la edad; de ahí que sean considerados datos de “categoría especial”, pues con su uso podrían desprenderse riesgos significativos para los derechos fundamentales y las libertades, y por ello, en principio, el RGPD prohíbe su tratamiento en el artículo 9.1 del RGPD.
Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
El mismo precepto, en su apartado 2, prevé las excepciones que deben concurrir para que el tratamiento de datos biométricos pueda realizarse, concretamente, en el ámbito laboral, debe darse el supuesto de la letra 9.2.b) RGPD, y además “debe concurrir alguna de las bases legitimas para que el tratamiento de datos sea lícito, que se definen en el artículo 6.1 del RGPD, y cumplir con los principios que se expresan en el artículo 5 del RGPD, entre los que juegan importante papel la minimización y proporcionalidad y necesidad de tratamiento de esos datos”.
Concretamente, en el contexto de las Administraciones Públicas, aparte de las metodologías de análisis de riesgos focalizadas en la seguridad de la información, se han de ampliar para incluir riesgos asociados al incumplimiento de las disposiciones del RGPD, en tanto que también son responsables del tratamiento de los datos de los ciudadanos. La Agencia recomienda a las AAPP que antes de poner en marcha nuevas actividades de tratamiento o variar servicios ya prestados utilizando nuevas tecnologías, identifiquen aquellos riesgos a los que pueda estar expuesto el tratamiento. Además, recuerda que los riesgos que no son estáticos, evolucionan de forma continua, por lo que una vez identificado un riesgo, exige un esfuerzo de supervisión permanente.
A juicio de la Agencia, “la actitud correcta es conocer el riesgo, evaluar sus consecuencias, tomar medidas para minimizarlo y controlar su efectividad en un contexto cambiante”.
En definitiva, el hecho de que se traten datos de carácter personal de categoría especial requiere llevar a cabo una gestión continua de los riesgos potenciales asociados al tratamiento e impone a los responsables del tratamiento -también de las AAPP- que analicen qué datos tratan, con qué finalidades y qué tipo de tratamientos llevan a cabo, relacionando los potenciales riesgos a los que están expuestos y a partir de ahí, decidir qué medidas toman y aplican para asegurar su cumplimiento en función de los riesgos detectados y asumidos, todo ello en virtud del sistema de responsabilidad proactiva implantado por el RGPD.
Por todo lo anterior, será obligatorio disponer de una “Evaluación de Impacto en la protección de Datos Personales” cuando se lleven a cabo tratamientos de datos biométricos en virtud del art. 35 RGPD, y de unas Directrices que publicó la Directora de la Agencia Española de Protección de Datos para determinar si el tratamiento entrañaba un probable alto riesgo, a efectos del RGPD
5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.”
Esto es, el RGPD no obliga a llevar a cabo una evaluación de impacto por cada tratamiento que pueda entrañar riesgos para los derechos y libertades de las personas físicas, en este caso, de los empleados públicos, sino, únicamente cuando “entrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas”. Y si bien es cierto que el control horario no entraña aparentemente un alto riesgo para los derechos y libertades de los trabajadores, en cambio, si se introducen nuevas tecnologías, y el responsable del tratamiento -en este caso una AAPP- no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resulta necesaria visto el tiempo transcurrido desde el tratamiento inicial, sí se convierte en obligatorio.
Dicha obligación de los responsables del tratamiento de llevar a cabo una EIPD en determinadas circunstancias debe entenderse en el contexto de su obligación general de gestionar adecuadamente los riesgos derivados del tratamiento de datos personales. La complejidad del proceso de gestión de riesgo ha de ajustarse, no al tamaño de la entidad sino al posible impacto de la actividad de tratamiento sobre los interesados y a la propia dificultad del tratamiento biométrico y sus riesgos.
A juicio de la Agencia, el control de registro horario mediante huella es un sistema intrusivo para los derechos y libertades fundamentales de las personas físicas, y convierte en probablemente alto el riesgo para los derechos y libertades de las personas físicas que se mencionan en el artículo 35.1 del RGPD.
Asimismo, la AEPD aprovecha la resolución para recordar a la Consejería de Sanidad que cuando se puso en funcionamiento el sistema varias normas vigentes en aquel momento ya indicaban que se debería realizar una EIPD en aquellas operaciones de tratamiento existentes que probablemente entrañan un alto riesgo para los derechos y libertades de las personas físicas y para las que se ha producido un cambio de los riesgos, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, y para más inri, “ya estaba publicado varios meses antes en el DOUE el 4/05/2016, el RGPD, que tenia dispuesta su entrada en vigor el 24/05/2016, aplicable a partir del 25/05/2018, por lo que la prohibición del uso de datos biométricos como regla general era conocida desde antes no ya de su puesta en marcha, sino de la publicación en diciembre 2016 del fichero PERSONAL en el que se encontraba el uso de la huella”.
En conclusión, el hecho de que se venga usando el sistema desde hace años, no implica per se que este haya sido legitimado, y puesto que la Administración Pública no ha acreditado haber cumplido con esta obligación, la Agencia Española de Protección de Datos concluye que ha infringido el artículo 35 del RGPD. Si bien, conviene recordar que la EIPD es un paso necesario para el tratamiento de datos, no siendo el único exigible, es decir, se debe añadir el resto de los requisitos legales para el tratamiento, base legitimadora y respeto de los principios fundamentales del tratamiento de datos previsto en el artículo 5 del RGPD.
La infracción del art. 35 RGPD se sancionaría con una multa “de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”, si bien, al tratarse la Consejería de Sanidad de una entidad pública se le sanciona con apercibimiento.
En definitiva, aquellos entes públicos que empleen datos biométricos o quieran emplearlos en un futuro próximo, aconsejamos contar con el asesoramiento de especialistas en Protección de Datos del sector público que asesorarán y formarán a sus Delegados de Protección de Datos, o, si lo prefieren, pueden optar por contratar directamente el servicio de DPD externo del que ya disfrutan numerosos organismos públicos como Ayuntamientos y Diputaciones.
Realice su consulta de forma totalmente gratuita. Nos pondremos en contacto con usted