La Agencia Española de Protección de Datos ha sancionado con 365.000 euros a una empresa por una infracción de los arts. 13, 32 y 35 RGPD, ya que solicitó los datos biométricos referidos a la huella dactilar de sus empleados con la finalidad de implantar un sistema de fichaje basado en ese dato, pero sin comunicar la información relativa a este tratamiento a los interesados, es decir, al personal.
Con carácter inicial, la Agencia Española de Protección de Datos, “dio traslado de dicha reclamación a la parte reclamada para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.”
El traslado, fue recogido por el responsable, y en fecha 22/03/2022 se recibió escrito de respuesta señalando, entre otras cuestiones, las siguientes:
En fecha 14 de mayo de 2022 se admitió a trámite la reclamación presentada por la parte reclamante.
De las diligencias de la AEPD, quien procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, se concluyó que:
Con fecha 12 de mayo de 2023 se acordó iniciar procedimiento sancionador a la parte reclamada, por la presunta infracción del artículo 35 del RGPD, artículo 32 del RGPD y artículo 13 del RGPD, tipificadas en los artículos 83.5 del RGPD y artículo 83.4 del RGPD.
La AEPD indica en la resolución PS-00170-2023, que “la cláusula informativa adolece de importantes defectos”, ya que en un principio “no incluyó cuál/es son los tratamientos objeto de dicha cláusula informativa. De hecho, la única referencia específica al tratamiento de la huella viene de una muy escueta mención en el apartado 3 “Está instalado un lector de huella dactilar para acceso a oficinas”. No indica si está activado ni si recoge la huella y, desde luego, no incluye el dato de la huella dactilar entre los que son objeto de tratamiento”, aunque este hecho se subsanó en la cláusula posterior donde se contiene una referencia específica al tratamiento de la “huella dactilar para control de la jornada laboral”.
Por otra parte, continúa indicando la AEPD que “en la primera cláusula informativa se realizaba una información conjunta para lo que se supone que eran múltiples tratamientos de datos personales que realizaba la empresa. Pues bien, para todos ellos el documento original informaba como base de legitimación sencillamente la expresión “Relación contractual laboral”. Sin embargo, en la versión posterior, (…) se afirma que la legitimación vendría del “cumplimiento de una obligación legal (artículo 34.9 del Estatuto de los trabajadores), referente al control de la jornada laboral.” Por todo ello, no se cumplió en este aspecto con el deber de información a los trabajadores en la información inicial que se suministró.
Continúa diciendo la AEPD que “conforme se detalla en el informe de actuaciones previas de investigación, en la extracción de los datos consta que el hash de la huella se encuentra en una tabla diferente a la tabla donde se encuentran los datos identificativos de los empleados. Sin embargo, no se ha podido constatar las posibles medidas de seguridad que pudieran estar implantadas para separar el acceso a ambas tablas.”
Finalmente, la AEPD indica que “en modo alguno puede considerarse como una evaluación de impacto relativa a la protección de datos válida, cuando parte de premisas en las que el responsable del tratamiento no tiene en consideración que se encuentra ante un tratamiento de categorías especiales de datos personales, con todo lo que ello supone en cuanto al cumplimiento del RGPD y la gestión del riesgo”.
Por todo lo mencionado anteriormente, la AEPD, en la resolución del procedimiento sancionador PS-00170-2023 considera la existencia de una infracción de los arts. 13, 32 y 35 RGPD, tipificadas en los arts. 83.5 y 83.4 RGPD. Se acordó imponer una multa de 365.000 € a la empresa que realizó un tratamiento de los datos personales de la reclamante infringiendo estos preceptos normativos.
En definitiva, quienes hagan un tratamiento de datos personales incumpliendo los deberes de información, de realizar una Evaluación de Impacto, y de establecer unas medidas de seguridad idóneas; deben saber que es altamente probable que la AEPD les sancione, si bien, pueden evitarlo contratando con carácter previo al tratamiento los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en asesoramiento y consultoría para el cumplimiento de la normativa de protección de datos.
Puede leer la resolución completa del Expediente N.º: EXP202202960 aquí.