La Agencia Española de Protección de Datos (AEPD) ha sancionado a una empresa con 200.00€ por utilizar un sistema de control de jornada basado en reconocimiento facial entre 2016 y 2022. Esta multa se desglosa en:
➡️200.000€ por infracción del artículo 35 del RGPD, al no haber realizado una Evaluación de Impacto de la Protección de Datos (EIPD), necesaria para justificar la proporcionalidad de la medida.
➡️20.000€ por infracción del artículo 15 del RGPD, al no dar una respuesta adecuada a la solicitud de acceso de un extrabajador.
Claves de acceso
🔹Denuncia de un extrabajador: La empresa no proporcionó una alternativa al fichaje biométrico, a pesar de la negativa expresa del trabajador a utilizar este sistema.
🔹Deficiencias en el derecho de acceso: La compañía respondió a la solicitud del reclamante enviando un burofax a una dirección errónea.
🔹 Justificación inadecuada: La empresa alegó que el sistema no almacenaba datos biométricos y que el tratamiento se basaba en el consentimiento, aunque luego indicó que la base de legitimación eran normativas laborales.
🔹 Ausencia de una EIPD: A pesar de que en 2016 el RGPD y la LOPDGDD no eran aplicables, la falta de una evaluación de impacto impide justificar la proporcionalidad del sistema.
🔹 Sustitución del sistema: Tras la adquisición de la empresa por un tercero, el fichaje biométrico fue reemplazado por tarjetas.
Reflexión y buenas prácticas
Este caso pone de manifiesto la importancia de implementar medidas de control laboral que respeten la normativa de protección de datos. Las empresas deben:
✅ Realizar una EIPD cuando el tratamiento implique alto riesgo.
✅ Ofrecer alternativas razonables a los sistemas biométricos.
✅ Gestionar de forma correcta los derechos de los interesados.
✅ Asegurar una base de legitimación adecuada.
En Legitec, somos expertos en consultoría, auditoría y formación en cumplimiento normativo. Si necesitas asesoramiento en materia de protección de datos y cumplimiento normativo, contacta con nosotros.