¿Es legal utilizar Datos Biométricos para registrar la entrada de los empleados al trabajo sin una evaluación de impacto?

Desde el año 2019 el control horario es una obligación legal para todas las empresas, sin embargo, se debe tener mucho cuidado a la hora de determinar cómo realizar esta práctica.

En agosto de 2022 un trabajador interpuso una reclamación a la AEPD Agencia Española de Protección de Datos tras detectar que la empresa estaba sacando una fotografía de la cara de los empleados desde un dispositivo de situado en el acceso del establecimiento.

La Agencia Española de Protección de Datos (AEPD) ha procedido a sancionar a la empresa con 20.000 € -12.000€ por acogerse al pago voluntario y reconocer los hechos de utilizar la imagen de sus empleados para registrar su entrada sin evaluar previamente su impacto.

El denunciante explicó que nunca había sido informado del uso de los datos biométricos. Lo único que la empresa les había hecho firmar era un consentimiento para utilizar su imagen en la página web, redes sociales, campañas, revistas, folletos, publicidad corporativa y demás materiales de apoyo para la difusión y promoción de la empresa.

La AEPD Agencia Española de Protección de Datos trasladó dicha reclamación a la empresa, para que, en el plazo de un mes diese las explicaciones correspondientes.

La empresa denunciada alegó que el registro de jornada no precisaba el consentimiento del trabajador “siendo base suficiente de legitimación el artículo 34.9 del Estatuto de los Trabajadores”. En este artículo se establece la obligación de las empresas de realizar dicho control con carácter individual de cada persona trabajadora. Manifestando que, de acuerdo con lo previsto en el artículo 6.1 c) del Reglamento Europeo 2016/76 (RGPD), el tratamiento de datos personales de los trabajadores derivado de la implantación del registro de jornada es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, única finalidad del tratamiento.

La entidad reclamada concluyó diciendo que no estaba obligada a hacer una evaluación del impacto, ya que no se encontraba dentro de los supuestos del artículo 35 del RGPD.

¿Qué es una Evaluación de Impacto?

La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales recabados en función de las actividades de tratamiento que se llevan a cabo con los mismos.

En el RGPD se manifiesta que el uso de las nuevas tecnologías puede suponer un alto riesgo para los derechos y libertades de las personas, por lo que el Responsable del Tratamiento (en este caso la empresa) debe realizar una evaluación del impacto antes de la recogida de estos datos.

El reconocimiento de datos biométricos es un sistema de identificación muy intrusivo para los derechos y libertades fundamentales de las personas físicas, el RGPD Reglamento general de Protección de Datos establece la obligación de gestionar el riesgo.

La AEPD ha decido sancionar a la empresa por no haber realizado esa evaluación de impacto y deberá hacer la Evaluación de Impacto o bien eliminar el sistema de registro de datos biométricos en un plazo de 10 días.

La sanción impuesta puede ser recurrida ante la Audiencia Nacional.