Se centra esta resolución en analizar el sistema de reconocimiento facial (RF) para el registro diario de jornada laboral que la reclamada reconoce ha implantado y usado desde 6 de mayo de 2020, hasta recibir el acuerdo de inicio, con la finalidad de tratar los datos de los 38 empleados de su entidad para el registro diario de la jornada laboral, obligación impuesta en el art. 34.9 ET.
Antes de la declaración de la pandemia, la empresa tenía implantado el sistema de huella dactilar para el control del registro horario laboral, en el trámite del cual había informado a los empleados que las tarjetas utilizadas anteriormente, eran susceptibles de traspasarse para fichar entre empleados en nombre de otros para la misma función.
El cambio al RF, entre otros motivos, manifestó la reclamada, se hizo por evitar el contacto con el lector de huella por la propagación de la COVID.
El sistema de RF con fines de registro diario de jornada laboral consistía en un dispositivo colocado en una habitación frente al que los empleados presentan la cara y a través del RF, registra la hora, fecha y nombre y apellidos del empleado.
El sistema del software funciona extrayendo imágenes bidimensionales del rostro, no conserva imágenes o fotografías del rostro, sino que traduce la toma de la fotografía que la empresa les hizo presencialmente a los empleados a una plantilla, con las características de los parámetros capturados, plantilla que se guarda en el equipo o sistema vinculada con el nombre y apellidos del empleado
La reclamada no ha aportado a la AEPD la evaluación de impacto del tratamiento de datos biométricos de RF para el registro de la jornada diaria laboral de sus empleados, alegando que no trata datos biométricos de carácter especial porque no identifican de manera unívoca a una persona.
Señala la AEPD que en el ámbito de aplicación del RGPD extiende su protección, tal y como establece su art. 1.2, a los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, definidos en su art. 4.1
Para considerarse datos biométricos en el sentido del RGPD, el tratamiento de datos sin procesar, como las características físicas, fisiológicas o conductuales de una persona física deben implicar una medición de dichas características.
Dado que los datos biométricos son el resultado de tales mediciones, el RGPD indica en su artículo 4, apartado 14, que son datos personales «[…] obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona […]»
Los datos biométricos presentan la particularidad de ser producidos por el propio cuerpo y lo caracterizan definitivamente, son datos no sobre esa persona, sino que los datos refieren a la misma persona, en principio no modificables por voluntad del individuo, ni la persona puede ser liberada de ellos, no se pueden cambiar en caso de compromiso-pérdida o intrusión en el sistema.
Además, debido a que los datos biométricos son propios de una persona y perpetuos, el usuario utiliza los mismos datos en diferentes sistemas.
Por principio, su tratamiento está prohibido y solo pueden tratarse con carácter excepcional, en determinados supuestos que se contemplan en el RGPD, que prevé unos estrictos requisitos para posibilitar finalmente la puesta en funcionamiento de tales sistemas, debido a la afectación a los derechos y libertades fundamentales.
Así, los responsables del tratamiento deben garantizar que la evaluación de la necesidad y la proporcionalidad considere una evaluación exhaustiva de las opciones alternativas menos intrusivas disponibles. Por consiguiente, se ha de documentar la viabilidad de otras opciones alternativas disponibles que no requieran el uso de datos especiales, comparar todas las opciones y documentar las conclusiones.
Todo ello, considerando el contexto del marco en el que se traza el tratamiento, el cumplimiento de las obligaciones a través del registro de jornada. La necesidad implica que se requiere una evaluación combinada, basada en hechos, sobre la eficacia de la medida para el objetivo perseguido y sobre si resulta menos intrusiva en comparación con otras opciones para lograr el mismo objetivo.
El tratamiento de RF presenta altos riesgos para los derechos y libertades fundamentales y antes de implantar un proyecto de tratamiento de datos, siempre y cuando sea probable que el mismo suponga un riesgo significativo para los derechos y libertades de las personas, como es este caso, es preciso auditar su funcionamiento, no de forma aislada sino en el marco del tratamiento concreto en que se va a emplear.
La evaluación de impacto en la protección de datos personales, EIPD, es la herramienta que en el RGPD se ocupa de la garantía de cumplimiento de esta vertiente del tratamiento.
La utilización de datos biométricos y, en particular, el RF entraña mayores riesgos para los derechos de los interesados. Es fundamental que el recurso a esas tecnologías se haga respetando debidamente los principios de legalidad, necesidad, proporcionalidad y minimización de los datos establecidos en el RGPD.
Si bien el uso de estas tecnologías puede percibirse como particularmente eficaz, los responsables deben, en primer lugar, evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos para lograr su objetivo legítimo del tratamiento.
El art. 35 RGPD cuya infracción se imputa a la reclamada, establece la obligación de disponer de una Evaluación de Impacto en la Protección de los Datos Personales (EIPD).
Y en el presente caso, la reclamada no contempla diversos y variados elementos y escenarios que se han señalado en este apartado en su valoración de riesgos, y ha manifestado que no trata datos de carácter especial.
Sin embargo, a juicio de la AEPD, los datos sí que son de dicho tipo, por cuando identifican ineludiblemente al empleado, ya que tiene su plantilla guardada y cuando presente la muestra, la comprueba de entre todas las existentes, identificando plenamente a su titular a través de las muestras que se guardan en el dispositivo.
Por tanto, los hechos expuestos incumplen lo establecido en el art. 35 RGPD, con ausencia de cualquier tipo de análisis documentado del impacto vinculado al tratamiento de reconocimiento facial del que deriven la adopción de medidas y garantías específicas
También rechaza la AEPD que este sistema fuese necesario debido a la pandemia, pues el desempeño de servicios esenciales no implica el uso del sistema de reconocimiento facial que partiendo de su prohibición precisa de un análisis de su impacto y las garantías de los derechos de sus titulares. Y de lo actuado se desprende que sí existe culpabilidad por parte de la reclamada, por cuanto podría haber actuado de forma distinta a la que lo hizo, sin la exigencia de una diligencia exagerada.
Por otra parte, dada la naturaleza de entidad de Derecho Público de la reclamada, le resulta de aplicación el régimen establecido en el art. 77 LOPDGDD en cuanto a la imposición de sanción de apercibimiento, por lo que no procede imposición de sanción de multa administrativa.
Centinela Protección de Datos de Lefebvre, es una guía eficaz que te ayudará en la planificación, implantación y mantenimiento del sistema de Protección de Datos Personales en tu despacho o empresa, que llegado el caso te permitirá atestiguar todo el trabajo realizado durante el proceso.
Resolución AEPD, de 21 de julio de 2022 PS-00218-2021