Sancionan con 220.000 euros a una empresa por usar reconocimiento facial para fichar
Una empresa de Banyeres de Mariola (Alicante) ha recibido una multa de 220.000 euros de la Agencia Española de Protección de Datos por usar tecnología de reconocimiento facial en el sistema de fichaje de sus trabajadores.
El 29 de agosto de 2022, un trabajador de Cartonajes Bañeres SA presentó una solicitud de acceso a sus datos, la cual no fue respondida formalmente por la empresa. Tras transcurrir aproximadamente mes y medio sin recibir respuesta, el empleado acudió a la AEPD, alegando que la compañía “le obliga, como trabajador, a registrar su entrada en el puesto mediante un sistema de reconocimiento facial, sin ofrecerle ninguna alternativa para utilizar otro método»
En este caso, se trataba de un terminal de reconocimiento 3D que tras captar varias imágenes, generaba un patrón biométrico. Estos datos biométricos se almacenaban en una base de datos relacionada con un software de control horario, y se encontraba alojado en el servidor de las instalaciones de la empresa.
Resolución de la Agencia Española de Protección de Datos
Tras aportar la copia del consentimiento sobre el tratamiento de datos personales a la AEPD, solo se tenía en consideración la huella digital para el control del cumplimiento de la jornada laboral. También cabe destacar que el consentimiento no llevaba opciones para aceptarlo o revocarlo.
La empresa siguió usando el reconocimiento facial hasta mayo de 2023, aunque se recomendó cambiarlo con anterioridad al integrarse la filial en el comité de protección de datos del Grupo Saica.
Durante la inspección de la AEPD, se comprobó que los datos de los fichajes de los trabajadores, anteriores al cambio del sistema, se conservaban en un fichero.
Infracción posterior a la entrada en vigor de la normativa europea
Cartonajes Bañeres SA defendió que el trabajador había dado su consentimiento explícito para el tratamiento de sus datos, incluyendo los biométricos, como la huella dactilar, para el control horario. Además, la empresa argumentó que el sistema de reconocimiento facial se implantó en 2016, antes de que considerara aplicables la normativa estatal y europea de protección de datos, y que la sanción se basaba en reglas aplicadas de manera retroactiva.
La AEPD señala en su resolución que los hechos que constituyen la infracción y que han quedado acreditados ocurrieron tras la entrada en vigor del Reglamento General de Protección de Datos, normativa europea de aplicación obligatoria.
Por su parte, la empresa sancionada alegaba que la sanción carecía de proporcionalidad, ya que no se habían considerado posibles atenuantes. No obstante, la resolución valora el “nivel de intencionalidad, descuido o negligencia reflejado en la conducta” del infractor.
Sanciones como la anterior ponen de manifiesto la importancia de cumplir con la normativa de protección de datos, así como adaptar los procesos internos de la empresa. En Forlopd llevamos más de 10 años ayudando a profesionales, empresas y entidades a que las exigencias se conviertan en una adecuación práctica, sea cual sea su sector de actividad. Puedes solicitarnos un análisis gratuito y sin coste a través de nuestro formulario y los especialistas te guiarán.
