Es ilegal registrar datos de acceso a la empresa sin evaluar riesgos
Utilizar datos biométricos para registrar la entrada de los empleados al trabajo sin evaluar el impacto es ilegal. Esta evaluación permite anticipar los potenciales riesgos a los que están expuestos los datos personales según su tratamiento.
El control horario es una obligación legal para todas las empresas desde que en 2019 entró en vigor el Real Decreto de 8 de marzo de medidas urgentes de protección social y de lucha contra la precariedad laboral. Sin embargo, los responsables de las entidades mercantiles tienen que tener mucho cuidado a la hora de determinar cómo realizar esta práctica. Y es que, en este caso, la Agencia Española de Protección de Datos (AEPD) ha sancionado con 20.000 euros (12.000 por acogerse al pago voluntario y reconocer los hechos) a la empresa por utilizar la imagen de sus empleados para registrar su entrada sin evaluar su impacto.
Todo comenzó cuando un trabajador acudió el 17 de agosto de 2022 a la AEPD para poner una reclamación tras detectar que la empresa estaba sacando una fotografía de la cara de los empleados desde un dispositivo situado en la entrada del establecimiento. Manifestó que la imagen se estaba utilizando para fichar la entrada y salida del puesto de trabajo. El trabajador que puso la reclamación explicó que nunca había sido informado del uso de los datos biométricos. Lo único que la empresa les había hecho firmar era un consentimiento para utilizar su imagen en la página web, redes sociales, campañas, revistas, folletos, publicidad corporativa y demás materiales de apoyo para la difusión y promoción de Albero Fore Composite. Así, consideró que no se le había informado de la necesidad de captación de la biometría de la cara, ni de la empresa que capta y gestiona los datos, tampoco sobre las características de los servidores donde está almacenada la biometría ni la finalidad del tratamiento.
Alfredo Aspra, abogado laboralista y socio director de abormatters explica que “la evaluación debe incluir una descripción sistemática de las operaciones previstas y de los fines del tratamiento, incluyendo el interés legítimo del responsable del tratamiento, si procede. Como el reconocimiento de datos biométricos es un sistema de identificación novedoso y muy intrusivo para los derechos y libertades fundamentales de las personas físicas, el Reglamento General de Protección de Datos (RGPD) establece la obligación de gestionar el riesgo”.