Los sistemas de fichaje utilizando la huella dactilar pueden ser muy problemáticos para tu empresa si no los usas tomando las debidas precauciones.
Hace poco hemos conocido que la Agencia Española de Protección de Datos (AEPD) ha impuesto a la empresa CTC Externalización una multa de 365.000 euros por solicitar la huella dactilar a sus empleados para fichar.
Según recoge el portal Confilegal, la compañía no había informado adecuadamente a sus trabajadores acerca de la recopilación de datos biométricos y no había puesto en marcha las medidas de seguridad oportunas. Además, tampoco disponía de un análisis de riesgos adecuado.
El importe de la sanción se justifica por la infracción de tres artículos del Reglamento General de Protección de Datos (RGPD): el artículo 13, sobre la información que debe facilitarse cuando los datos personales se obtengan del interesado (200.000 euros); el artículo 32, acerca de la seguridad del tratamiento de los datos (65.000 euros); y el artículo 35, referido a la evaluación de impacto relativa a la protección de datos y la consulta previa (100.000 euros).
Confilegal señala que la AEPD le ha dado a la empresa un plazo de 6 meses para informar a sus trabajadores de manera adecuada, establecer las medidas de seguridad pertinentes, garantizar el borrado de la huella dactilar tras su captura y elaborar una evaluación de impacto.
Además, la AEPD le ha dado a la empresa un plazo de 6 meses para informar a los trabajadores de manera adecuada, establecer las medidas de seguridad pertinentes, garantizar el borrado de la huella dactilar tras su captura y elaborar una evaluación de impacto.
Información oculta e insuficiente
La sanción parte de la denuncia de un trabajador, que solicitó a la empresa la información y el consentimiento para el uso de datos biométrico, a lo que la compañía respondió indicando que no había.
En su lugar, le remitió al portal del empleado, pero dicha información se encontraba en un lugar recóndito de la aplicación y al que no tienen acceso todos los trabajadores, tal y como indica Confilegal.
Cuando la AEPD pidió explicaciones a CTC, la empresa argumentó que era un sistema de verificación y no de identificación, que no almacenaba la huella y que se informó del tratamiento de datos correctamente, mediante un cartel instalado junto al aparato de fichajes y un correo enviado a todos los empleados.
Además, indicaron que la decisión de utilizar este sistema para fichar se había tomado porque con el antiguo sistema de tarjetas se habían dado situaciones conflictivas, al cederse a otras personas que no eran sus titulares.
Sin embargo, la compañía no pudo acreditar cómo se garantizó el borrado de la huella dactilar tras su captura. De hecho, se vio que estaban almacenados los datos identificativos del empleado y su hash de huella.
La AEPD entiende que la empresa no informó correctamente sobre el tratamiento de los datos, ya que la cláusula informativa incluida en el portal del empleado presentaba “importantes defectos”. Además, descartó el documento presentado como evaluación de impacto, ya que partía de la base de la ausencia de tratamientos de categoría especial.
¿Huella dactilar para entrar al gimnasio?
No es la primera sanción que la AEPD impone por esta causa, pero sí la más importante. Hay que recordar que ya impuso una multa de 27.000 euros al gimnasio Metropolitan, en la ciudad de Santander, de la que se hacía eco Facua.
En aquel caso, una usuaria decidió acudir a la AEPD porque el centro, que empleaba un sistema de acceso mediante pulsera y tarjeta identificativa, comenzó a exigir también la huella dactilar.
Sin embargo, la clienta se negó a aportarla, al considerar innecesario aportar datos biométricos de este tipo para acceder a un gimnasio. La respuesta del Metropolitan fue darla de baja como socia.
En su respuesta al regulador, el gimnasio argumentó que la finalidad de la huella era el acceso inequívoco e intransferible del usuario a las instalaciones y que dicha huella se conservaba encriptada mientras esa persona era socia, destruyéndose al darse de baja.
Además, explicaba que en el contrato se informaba de dicho procedimiento a los consumidores, que podía no ser socios del club si no se mostraban conformes. Pero la clienta adujo que cuando se inscribió no se especificaba nada acerca del consentimiento para el tratamiento de los datos del registro biométrico, ya que la huella dactilar no estaba instalada entonces.
De este modo, se carecía de información sobre el propósito de usar el sistema biométrico y la posible comunicación de datos a terceros. Además, se comprobó que en las últimas 100 bajas de usuarios analizadas no se había borrado la huella de la reclamante. Finalmente, la AEPD concluyó que el uso de la huella no era algo necesario, porque hasta la fecha no había sido requerida.
¿Fin de la biometría para accesos y fichajes?
Aunque se hayan puesto sanciones por el uso de los sistemas de fichaje o control de accesos mediante huella dactilar, esto no quiere decir que no se puedan utilizar. Pero hay que hacerlo con las debidas cautelas, tal y como contábamos en EMPRENDEDORES.
En primer lugar, hay que hacer una evaluación de impacto para la protección de datos (EIPD), donde se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento. Si se consigue, la empresa podrá hacer uso de la biometría de forma justificada, al disponer de los argumentos necesarios para hacer frente a cualquier inspección.
En cualquier caso, si no se pasa, hay que recordar que existen otros muchos sistemas, como tarjetas físicas de proximidad, bluetooth en el móvil, el chip de nuestro propio DNI o el fichaje web, por ejemplo.
