Nuevas sanciones de la AEPD por el uso de sistemas biométricos en el registro de jornada

Abogado Colaborador, Juan Carlos Hernández

La Agencia Española de Protección de Datos (AEPD), a través de su nueva resolución, ha impuesto sanciones de multa de hasta 365.000 euros por el uso de datos biométricos con fines de registro de la jornada laboral, alegando y justificándose para ello en la vulneración de los artículos 32 (referente a la falta de adopción de medidas de seguridad adecuadas), 35 (insuficiente evaluación de Impacto en materia de protección de datos) y 13 (relativo al incumplimiento del necesario deber de información) del Reglamento de la UE 579/2016, General de Protección de Datos (RGPD).

Al respecto destacar que se trata de la primera resolución que se dicta por parte de la AEPD tras la publicación en noviembre de 2023 de la “Guía sobre tratamientos de control de presencia mediante sistemas biométricos”.

Pues bien, parece ser que el único criterio interpretativo que la AEPD ratifica respecto a la Guía es que los sistemas de autenticación e identificación deben constituir de forma necesaria e imprescindible un tratamiento de categorías especiales de datos personales.

Por lo demás, y analizando detenidamente la resolución, lo único cierto es que, lejos de confirmar los criterios interpretativos manifestados en la referida Guía de tratamiento de control mediante sistemas biométricos, la AEPD ni siquiera ha entrado esta vez a valorar si la base legitimadora es o no adecuada a la finalidad pretendida, ni tampoco arroja luz alguna sobre si el tratamiento en cuestión podría ser o no viable en los términos expresados por la propia empresa. En este sentido, resulta muy llamativo que la AEPD haya decidido no analizar una de las principales cuestiones suscitadas tras la publicación de la Guía, esto es, la legitimidad o no en el tratamiento de datos biométricos, y opte en su lugar por sancionar con base a otras cuestiones, como puede ser la inexistente aplicación de medidas de seguridad, así como la validez de la evaluación de impacto realizada o la ausencia del obligatorio deber de información.

En definitiva, la nueva resolución de la Agencia Española de Protección de Datos viene a analizar los posibles riesgos derivados del uso de sistemas que utilicen datos biométricos en el entorno laboral, incluyendo tanto la importancia de acreditar la adopción de medidas de seguridad adecuadas (art. 32 RGPD) de informar adecuadamente a los trabajadores (art. 13 RGPD), así como la obligación de llevar a cabo una Evaluación de Impacto (artículo 35 RGPD, pues en este caso nos encontramos ante un tratamiento que implica un alto riesgo para los derechos y libertades de los interesados).

De esta forma, en caso de que la empresa en cuestión finalmente decida y opte por aplicar este tipo de sistemas de control de la jornada laboral mediante el uso de datos biométricos, será también necesario tener presente en todo momento cuáles son los riesgos inherentes para los derechos y libertades de los interesados, elaborando el correspondiente plan de Evaluación de impacto. Ello sin perjuicio de la obligación que tiene la empresa, en calidad de responsable del tratamiento, de adoptar las medidas de seguridad que resulten adecuadas al efecto.

//////////

Este artículo es informativo y no constituye un asesoramiento personalizado para usted. 
 Si usted desea resolver una consulta relacionada con esta temática o cualquier otra, puede contactarnos a través de este formulario