El empleo de datos biométricos, como el reconocimiento facial, supone un grado distinto de intrusión e impacto en la privacidad de los individuos, por lo que se habrá de definir el tratamiento, naturaleza, ámbito o alcance en el que se desarrolla y los fines que se persiguen. Bajo esta premisa, la AEPD ha sancionado recientemente a una empresa de Alicante por utilizar el reconocimiento facial con sus empleados, para hacer el registro horario, sin informarles previamente.

La compañía sancionada hizo fotografías a cada uno de sus trabajadores para controlar el fichaje a la entrada y salida del trabajo, pero no les informó que uno de sus usos sería la creación de una plantilla biométrica para su reconocimiento facial. Las personas trabajadoras sí firmaron un documento de autorización de uso de imágenes, aunque en este sólo se hacía mención que las imágenes “podrían ser utilizadas y difundidas para la publicación en su página web, redes sociales, campañas, revistas, folletos, publicidad corporativa y demás materiales de apoyo”, sin explicar su uso para datos biométricos.

Contexto

La denuncia se produjo a raíz de la reclamación de un trabajador que solicitó a la compañía información sobre los datos personales que esta manejaba. A pesar de disponer de un registro horario de los períodos en los que el empleado estuvo en las instalaciones, en la documentación aportada por la empresa no se citaba la posesión de los datos biométricos de la plantilla. La compañía alegó ante la AEPD que la ley le obliga a llevar un registro horario del tiempo de trabajo de cada empleado por lo que, al ser esa “la única finalidad” de los datos biométricos, no se consideraba obligada a notificar el empleo de esta tecnología, en virtud del artículo 6.1.c) del Reglamento Europeo de Protección de Datos 2016/679, por ser la finalidad del tratamiento el cumplimiento de una obligación legal.

No obstante, ante la apertura del expediente por parte del organismo regulador, decidió reconocer su responsabilidad y renunciar a presentar alegaciones. La multa inicial de 20.000 euros se ha visto reducida a 12.000 por su asunción de responsabilidad y pronto pago.  

La AEPD expone en la resolución que el reconocimiento facial es un método de tratamiento muy restringido (llegando incluso a estar prohibido en ciertos casos, como, por ejemplo, en la seguridad privada). En lo que respecta al ámbito laboral y el control de la jornada laboral requiere de una evaluación de impacto y comunicación al comité de empresa sobre todos los detalles de la tecnología biométrica a utilizar.  Esta valoración debe incluir un análisis de “la necesidad y la proporcionalidad” de esos sistemas (toda vez que el criterio de la AEPD es que existen métodos menos invasivos para cumplir con la misma finalidad), así como “las medidas previstas para afrontar los riesgos” que lleva aparejado el reconocimiento facial, como las brechas de seguridad o la desviación de la información biométrica a “bases de datos centralizadas” menos seguras, señala la Agencia.

Accede a la resolución completa aquí.