¿Pueden las empresas utilizar las huellas de sus trabajadores?

¿Quién está obligado a presentar la declaración de la renta en esta campaña?
13 mayo, 2024
Ver todo

¿Pueden las empresas utilizar las huellas de sus trabajadores?

Recientemente hemos conocido una sanción de 365.000 euros impuesta por la Agencia Española de Protección de Datos a una empresa por emplear la huella dactilar de sus empleados, conozcamos el caso particular y las razones de la imposición de la multa.

Esta sanción se ha impuesto por incumplir una serie de normas en materia de protección de datos al haber recabado la empresa las huellas dactilares de sus empleados al realizar el fichaje de jornada. En concreto, los incumplimientos se fijan en distintos aspectos: falta de información adecuada de la recopilación de datos biométricos, la falta de implementación de medidas de seguridad necesarias y la carencia de un análisis de riesgos idóneos.

   Al respecto, es importante partir del hecho de que la huella dactilar de una persona es un dato biométrico único en cada individuo y como tal debe estar protegido y ello es lo que justifica que su captación pese a que el fin sea legítimo, sea debidamente informada.

  Ello implica que las empresas deben tratar los datos personales de manera adecuada, respetando las normas de protección y no tan sólo si pertenecen a los clientes de una empresa sino también en lo que concierne a los trabajadores que prestan servicios en la misma.

  En el caso concreto, se establecía que la información a los trabajadores no era suficiente ya que el sistema de fichaje no era únicamente de autenticación sino que lo era de identificación. De igual modo, la empresa no garantizaba el borrado de dicha huella tras la captura y que por tanto no se almacenaban.

   De las distintas resoluciones en las que la Agencia Española de Protección de Datos ha sancionado a empresas, en la mayoría de los supuestos se debe a que las empresas incumplieron:

            1.- El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado.

            2.- Los datos de carácter personal se deben registrar en ficheros que reúnan las condiciones adecuadas de integridad y seguridad.

            3.- Cuando se obtengan de un interesado datos personales, el responsable del tratamiento en el momento que los obtenga facilitará la siguiente información: identidad y datos de contacto del responsable; datos de contacto del delegado de protección; los fines del tratamiento a que se destinan los datos personales; los destinatarios de los datos personales y, en su caso, la intención del responsable de transferir los datos a un tercer país.

            4.- Además, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente: el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo; la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos y su rectificación o supresión, limitar su tratamiento, oponerse al tratamiento, así como el derecho a la portabilidad de los datos. Cuando el tratamiento se base en datos otorgados para un fin concreto, se debe informar del derecho a retirar el consentimiento en cualquier momento. Además, el interesado tendrá el derecho a presentar una reclamación ante la autoridad de control.

¿Qué deben conocer las empresas en concreto sobre esta cuestión?

            1º.- Si la empresa emplea medios telemáticos para el registro horario de sus trabajadores y ello implica la captación de datos biométricos (huella dactilar, reconocimiento facial o un sistema similar que implique la captación de datos personales) debe cumplir con lo dispuesto en el Reglamento General de Protección de Datos.

            2º.- Es muy importante que la empresa cuente con el asesoramiento de una empresa especialista en protección de datos que revise, supervise y garantice el cumplimiento en esta materia.

            3º.- La utilización de datos biométricos debe hacerse PREVIO CONSENTIMIENTO a través de un acto afirmativo claro que refleje la voluntad libre, específica, informada e inequívoca del interesado en aceptar el tratamiento de los datos con una declaración por escrito.  

            4º.- Al tratarse de la utilización de nuevas tecnologías, y debido a que por su propia naturaleza, alcance, contexto o fines, pudiera entrañar un alto riesgo para los derechos y libertades de las personas físicas el responsable del tratamiento DEBE REALIZAR, antes del tratamiento, UNA EVALUACIÓN DEL IMPACTO DE LAS OPERACIONES DE TRATAMIENTO EN LA PROTECCIÓN DE DATOS.

  En definitiva, las empresas deben valorar si están empleando o piensan emplear nuevas tecnologías para el registro horario de sus empleados y si es así revisar sus protocolos para que sean acordes con la normativa vigente y, de ese modo, evitar las cuantiosas sanciones que la Agencia Española de Protección de Datos impondrá si alguno de los afectados interpone una denuncia.

  Si tiene dudas al respecto, consúltenos.

Comments are closed.