eldiario.es
Argentina España
Buscar
Boletines
¿No encuentras algo?
Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.
Comunitat Valenciana
La portada de mañana
Acceder
Trump abre su presidencia con medidas contra los migrantes y antiLGTBI
El PSOE apura el deshielo con Junts para salvar el alza de las pensiones y otras medidas
Opinión - En adelante, señor Quirón. Por Esther Palomera

Multas de 220.000 euros a una empresa de Alicante por usar reconocimiento facial con sus trabajadores para fichar

Sistema de reconocimiento facial.
Sistema de reconocimiento facial.

Lucas Marco

València —

0

La Agencia Española de Protección de Datos (AEPD) ha impuesto dos multas, por un importe total de 220.000 euros, a una empresa de Banyeres de Mariola (Alicante), por usar tecnología de reconocimiento facial en el sistema de fichaje de sus trabajadores. Un empleado de Cartonajes Bañeres SA formuló una solicitud de derecho de acceso el 29 de agosto de 2022 sin que, finalmente, recibiera respuesta formal de la empresa. Un mes y medio después, el trabajador recurrió a la AEPD, denunciando que “como empleado”, la empresa “le obliga a fichar en la entrada a su puesto de trabajo con un dispositivo de reconocimiento facial, sin alternativa de uso de otro medio distinto”.

Se trataba de un terminal de reconocimiento facial 3D que captaba varias imágenes de la cara y generaba un patrón biométrico mediante un algoritmo matemático. Los datos biométricos se almacenaban en una base de datos del 'software' de control horario ubicado en el servidor de las instalaciones de la empresa.

En la copia del consentimiento sobre el tratamiento de datos personales de los empleados, aportada a la AEPD, solo se aludía a la huella digital para el “control del cumplimiento de la jornada laboral”. Además, según el apartado de hechos probados de la resolución, el documento “no lleva ningún apartado para seleccionar el consentimiento afirmativo, o negarlo, ni opción alguna para revocar el consentimiento, ni en definitiva invitación alguna a aceptar una operación de tratamiento”.

En una visita de inspección la AEPD constató que Cartonajes Bañeres SA había sido adquirida por el Grupo Saica el 7 de julio, un mes y medio antes de la solicitud de acceso del trabajador a cuenta del reconocimiento facial.

El Comité de Protección de Datos del Grupo Saica, tras la integración de la filial alicantina, analizó el sistema de fichaje y recomendó que se sustituyera “de forma inmediata”. A pesar de ello, “consta acreditado” que la empresa siguió usando el sistema de tratamiento biométrico facial hasta el 29 de mayo de 2023. Posteriormente, recurrió a un sistema de fichajes con tarjetas individualizadas de los empleados, propio del resto de plantas de la empresa matriz. 

La AEPD comprobó durante su inspección que los datos del registro de fichajes de los trabajadores, anteriores al cambio del sistema, se conservaban en un fichero y los 'hash' (el patrón biométrico) almacenados habían sido destruidos.

Cartonajes Bañeres SA se escudó en que el trabajador había prestado su consentimiento expreso para el tratamiento de sus datos, entre ellos también para el biométrico “de la huella dactilar” para el “control de cumplimiento de la jornada laboral”. La empresa también alegó que el sistema de reconocimiento facial se instauró en 2016, cuando, a su juicio, no le era de aplicación la normativa estatal y europea de protección de datos. La firma consideraba que se había aplicado de manera retroactiva una normativa “que no era aplicable cuando acontecieron los hechos sancionados”.

La resolución de la AEPD, por el contrario, recuerda que “los hechos constitutivos de la infracción y que han sido probados se producen” desde la entrada en vigor del Reglamento General de Protección de Datos, una norma europea de “plena aplicación”.

La empresa multada también consideraba que la agencia había incurrido en una falta de proporcionalidad de la sanción, al no haber aplicado atenuante alguno. Sin embargo, la resolución tiene en cuenta el “grado de intencionalidad, descuido o negligencia que revele la conducta”.

Nuevos escenarios con “múltiples riesgos”

La AEPD también argumenta que el tratamiento de reconocimiento facial con herramientas biométricas de lectura y registro “presenta altos riesgos para los derechos y libertades fundamentales”.

“Antes de implantar un proyecto de tratamiento de datos, siempre y cuando sea probable que el mismo suponga un riesgo significativo para los derechos y libertades de las personas, como es este caso, es preciso auditar su funcionamiento, no de forma aislada sino en el marco del tratamiento concreto en que se va a emplear”, afirma la resolución. En todo caso, los responsables del uso de esta tecnología deben considerar, de entrada, “medios menos intrusivos para lograr su objetivo legítimo de tratamiento”.

El tratamiento biométrico, recuerda la AEPD, “conjuga” productos tecnológicos que evolucionan muy rápidamente, “influyendo sin duda en las esencias de las operaciones de tratamiento, trasladándose a nuevos escenarios la exposición a los múltiples riesgos que precisan continuas reevaluaciones a los que las organizaciones deben responder a nivel técnico y organizativo”.

Sin embargo, la empresa no aportó la Evaluación de Impacto de Protección de Datos Personales (EIPD) —la herramienta prevista por el reglamento europeo— que “debería haber superado para llevar a cabo de tratamiento que realizó”.

“El hecho de que la reclamada considere que no ha de llevar a cabo una EIPD”, concluye la resolución, “no disminuye la obligación general de los responsables de aplicar medidas para gestionar adecuadamente los riesgos para los derechos y libertades de los interesados”.

Un “contexto de desequilibrio de poder”

La AEPD también considera que la situación afectaba a “todos los empleados” (no solo al trabajador que reclamó) y, además, se mantuvo la “falta de la obligación exigible” desde que se incorporó al reglamento europeo, en mayo de 2018. Se trata, en definitiva, de una “infracción que persiste en el tiempo”.

Por otro lado, la resolución también destaca que la recogida y el tratamiento de datos se produce entre la empresa y los trabajadores, “lo que implica un contexto de desequilibrio de poder entre las partes, asociado a la deficiente información del tratamiento de sus datos”. La AEPD recuerda que la empresa indicaba a sus empleados que tenían que “otorgar el consentimiento expreso para el tratamiento de sus datos, incluyendo los de reconocimiento facial, cuando no se le daba otra opción”.

La resolución, publicada el pasado viernes, se convierte en “ejecutiva” (firme) una vez superado el plazo de un mes para interponer un recurso potestativo de resolución. Además, la empresa sancionada también pude plantear un recurso de reposición ante la directora de la agencia o un recurso contencioso-administrativo ante la Audiencia Nacional. Este diario ha tratado, sin éxito, de obtener la versión del Grupo Saica, actual propietario de la firma sancionada.

Etiquetas
elDiario.es

Periodismo a pesar de todo

Descubre nuestras apps

Necesitamos tu apoyo económico para hacer un periodismo riguroso y con valores sociales

HAZTE SOCIO, HAZTE SOCIA
stats