Arran del control de jornada laboral mitjançant un sistema de reconeixement de dades biomètriques, l’Agència Espanyola de Protecció de Dades (AEPD) ha imposat una nova sanció a una entitat administrativa en la primera setmana del mes d’agost passat.

En aquest cas, es tracta d’un sistema de reconeixement facial; si bé l’anàlisi de l’AEPD també pot aplicar-se (com ja vam veure en una altra resolució a la fi del 2021), a altres dades biomètriques, com l’empremta dactilar.

L’AEPD considera també, en aquest cas, que no existeix legitimació per a l’ús de dades especialment sensibles (com els biomètrics) amb la finalitat de dur a terme el control de jornada laboral. Si bé existeix l’obligació de registrar la jornada dels empleats, aquesta obligació no permet l’ús de dades especialment protegides (el tractament de les quals es limita a les excepcions de l’article 9 del Reglament General de Protecció de Dades, RGPD).

D’altra banda, l’entitat sancionada, prèviament a la implantació del sistema, no havia realitzat la pertinent Avaluació d’Impacte de Protecció de Dades (EIPD), per la qual cosa, igual que en altres resolucions de l’AEPD, també ha estat sancionada per vulnerar l’article 35 del RGPD.

És fonamental la realització d’una Anàlisi de Riscos (AR) i Avaluació d’Impacte de Protecció de Dades (EIPD), tant per l’obligació legal d’aquesta com perquè permet analitzar al detall la situació i oferir mesures de mitigació del risc i alternatives. D’aquesta manera, s’elimina, a més, la possibilitat de ser sancionat per absència de EIPD. Cada motiu de sanció implica un major import d’aquesta.

De moment, una vegada realitzada la EIPD, amb caràcter general, entre altres aspectes a tenir en compte, queda la porta oberta a legitimar l’ús de les dades especialment sensibles mitjançant el consentiment (manifestació de voluntat lliure, específica, informada i inequívoca) dels empleats; si bé aquest consentiment es pot considerar viciat, per la relació desigual que es genera entre empresa i empleat.