Agencia Española Protección de Datos Expediente N.º: PS/00218/2021
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR https://www.aepd.es/es/documento/ps-00218-2021.pdf
El procedimiento se lleva a cabo tras la denuncia de unos trabajadores por el uso de sistemas de Reconocimiento Facial para cumplir con la normativa de registro diario de jornada.
Recomendamos la lectura de la resolución, pero indicamos unos puntos destacables donde la AEPD se remite a los principios de legalidad, necesidad, proporcionalidad y minimización en el uso de los datos, alegando que existen otros sistemas de registro que no son intrusivos ni conllevan los mismos riesgos, pero si obtienen el mismo fin:
- Por principio, el tratamiento de datos biométricos está prohibido y solo pueden tratarse con carácter excepcional, en determinados supuestos que se contemplan en el RGPD, que prevé unos estrictos requisitos para posibilitar finalmente la puesta en funcionamiento de tales sistemas, debido a la afectación a los derechos y libertades fundamentales.
- Así, los responsables del tratamiento deben garantizar que la evaluación de la necesidad y la proporcionalidad considere una evaluación exhaustiva de las opciones alternativas menos intrusivas disponibles. Por consiguiente, se ha de documentar la viabilidad de otras opciones alternativas disponibles que no requieran el uso de datos especiales, comparar todas las opciones y documentar las conclusiones.
- Todo ello, considerando el contexto del marco en el que se traza el tratamiento, el cumplimiento de las obligaciones a través del registro de jornada. La necesidad implica que se requiere una evaluación combinada, basada en hechos, sobre la eficacia de la medida para el objetivo perseguido y sobre si resulta menos intrusiva en comparación con otras opciones para lograr el mismo objetivo.
Al tratarse de una entidad pública se le SANCIONA con apercibimiento por las infracciones del RGPD:
- artículo 9.2.b) del RGPD
Artículo 9 Tratamiento de categorías especiales de datos personales
2 – b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
- artículo 35 del RGPD, EIPD
Álvaro Aróstegui
