Nueva sanción de la AEPD sobre el control de la jornada laboral y datos biométricos
A raíz del control de jornada laboral mediante un sistema de reconocimiento de datos biométricos, la Agencia Española de Protección de Datos (AEPD) ha impuesto una nueva sanción a una entidad administrativa en la primera semana del mes de agosto pasado.
En este caso, se trata de un sistema de reconocimiento facial; si bien el análisis de la AEPD también puede aplicarse (como ya vimos en otra resolución a finales del 2021), a otros datos biométricos, como la huella dactilar.
La AEPD considera también, en este caso, que no existe legitimación para el uso de datos especialmente sensibles (como los biométricos) con la finalidad de llevar a cabo el control de jornada laboral. Si bien existe la obligación de registrar la jornada de los empleados, esta obligación no permite el uso de datos especialmente protegidos (cuyo tratamiento se limita a las excepciones del artículo 9 del Reglamento General de Protección de Datos, RGPD).
Por otro lado, la entidad sancionada, previamente a la implantación del sistema, no había realizado la pertinente Evaluación de Impacto de Protección de Datos (EIPD), por lo que, al igual que en otras resoluciones de la AEPD, también ha sido sancionada por vulnerar el artículo 35 del RGPD.
¿Qué solución ofrecemos a quien ya ha implantado estos sistemas?
Es fundamental la realización de un Análisis de Riesgos (AR) y Evaluación de Impacto de Protección de Datos (EIPD), tanto por la obligación legal de ésta como porque permite analizar al detalle la situación y ofrecer medidas de mitigación del riesgo y alternativas. De esta forma, se elimina, además, la posibilidad de ser sancionado por ausencia de EIPD. Cada motivo de sanción implica un mayor importe de la misma.
De momento, una vez realizada la EIPD, con carácter general, entre otros aspectos a tener en cuenta, queda la puerta abierta a legitimar el uso de los datos especialmente sensibles mediante el consentimiento (manifestación de voluntad libre, específica, informada e inequívoca) de los empleados; si bien este consentimiento se puede considerar viciado, por la relación desigual que se genera entre empresa y empleado.
En Lladó Grup Consultor un equipo de profesionales en derecho digital está a tu disposición, para cualquier duda o aclaración que puedas tener sobre el Tratamiento de datos en la empresa.
Conoce los servicios de Consultoría Digital.
