La Agencia Española de Protección de Datos publicó esta semana una RESOLUCIÓN en la que sancionaba a una empresa con 20.000 € por la instalación de un sistema biométrico de huellas dactilares para el registro del control horario por parte de los trabajadores sin haber realizado previamente una evaluación de impacto en protección de datos (EIPD) conforme a lo establecido en el artículo 35 del RGPD.
La empresa reclamada tiene unos 520 trabajadores y para el registro de la jornada laboral tenía el fichaje mediante tarjeta pero prefirió incorporar un sistema de huellas dactilares para evitar casos que se han dado de dar la tarjeta entre empleados para fichar por el titular.
Históricamente existían dos terminales de control de presencia mediante tarjeta en la empresa. Durante 2017, para sustituir estos terminales de tarjeta se instalan cinco terminales de huella en cada área de trabajo del centro, con las mismas finalidades. Coexistieron los métodos de fichaje de tarjeta y el nuevo de huella, utilizando ambos para comprobar que funciona con corrección antes de implantar definitivamente la huella.
La finalidad del registro de huella dactilar es el control horario o de jornada, de conformidad con el artículo 34.9 del Estatuto de los Trabajadores. Desde la empresa realizan un análisis de riesgos de actividades de tratamiento, figurando el resultado de la actividad de “escaso riesgo”, con resultado de que no era preciso realizar una evaluación de impacto en protección de datos (EIPD).
La Agencia Española de Protección de Datos indica en el expediente que se debe acreditar la necesidad del tratamiento de datos a través del registro de huellas y proporcionalidad para el cumplimiento de la obligación legal del registro de jornada. Se considera que pueden existir sistemas alternativos al utilizado que cumplen con los principios de proporcionalidad, necesidad y minimización en el tratamiento de datos.
Antes de implantar un sistema de reconocimiento de huella dactilar, se debe de valorar si hay otro sistema menos intrusivo con el que se obtenga idéntica finalidad. La Evaluación de Impacto en Protección de Datos (EIPD) es un paso necesario para el tratamiento de datos, no siendo el único exigible, es un presupuesto al que se debe añadir el resto de los requisitos legales para el tratamiento, base legitimadora y respeto de los principios fundamentales del tratamiento de datos previsto en el artículo 5 del RGPD.
¿QUÉ ES UNA EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS?
El Reglamento General de Protección de Datos (RGPD) introduce el concepto de Evaluación de Impacto relativa a la Protección de Datos (EIPD) en su artículo 35.
Una EIPD es un proceso ligado a los principios de protección de datos desde el diseño y protección de datos por defecto concebido para describir, de manera anticipada y preventiva, un tratamiento de datos personales, evaluar su necesidad y proporcionalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.
Esta obligación debe entenderse en el contexto de la responsabilidad proactiva y la obligación general de gestionar adecuadamente los riesgos y demostrar que se han tomado las medidas adecuadas para garantizar el cumplimiento de los requisitos exigidos por el RGPD
¿MÉTODOS ALTERNATIVOS PARA EL REGISTRO DEL CONTROL HORARIO?
Desde OZONIA queremos ayudarte bien sea, a incorporar un sistema biométrico de huellas dactilares a través de una EIPD o bien dándote alternativas para la misma finalidad que no supongan la necesidad de realizar este paso establecido en el artículo 35 del RGPD.
Por eso, te presentamos OZOTIME es una herramienta para el registro del control horario de los trabajadores.
Desde el 12 de mayo 2019 (R. D. Ley 8/2019 de 8 de Marzo) las empresas tienen obligación de utilizar mecanismos para el registro de la jornada laboral de sus Trabajadores, con indicación de las entradas y salidas a su puestos de trabajo. os registros deben conservarse al menos 4 años y tenerlos a disposición de los Trabajadores, Inspección de Trabajo y Seguridad Social. La sanciones por incumplimiento pueden ir desde los 626€ (leve) o llegar a los 6.250€ (grave).