Con motivo de la sanción impuesta por la AEPD a un Ayuntamiento por infracción del artículo 13 del RGPD (relativo a los deberes de información para la obtención datos de los interesados), la Agencia ha detallado una serie de aspectos a tener en cuenta en caso de querer implementar sistemas de control horario basados en el tratamiento de datos biométricos de los trabajadores. En particular, de acuerdo con la AEPD:
– El trabajador deberá ser informado de los tratamientos que vayan a realizarse.
– Deberán respetarse los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos. El tratamiento, además, deberá ser adecuado, pertinente y no excesivo con relación a dicha finalidad.
– Los datos biométricos deberán almacenarse como plantillas biométricas que no podrán ser utilizadas por otros responsables del tratamiento de sistemas similares.
– Para garantizar que los datos biométricos no pueden ser reutilizados con otras finalidades, se implementarán medidas de seguridad. Asimismo, se utilizarán mecanismos como el cifrado para evitar el acceso y la utilización no autorizada de los datos. Por otro lado, los formatos de datos o las tecnologías empleadas deberán imposibilitar la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
– Los sistemas biométricos deberán ser diseñados de tal forma que resulte posible revocar el vínculo de identidad.
– Los datos biométricos deberán ser suprimidos -preferiblemente a través de mecanismos automatizados- cuando no se vinculen a la finalidad que motivó su tratamiento.
En su resolución, la AEPD señala que, en particular, es necesario informar a los trabajadores de manera completa, clara y concisa cuando el empleador implementa un sistema de control horario a partir de la huella dactilar, siendo preciso, además, proporcionar la información básica recogida en el artículo 13 del RGPD.
Más allá de lo anterior, la Agencia recuerda que la huella dactilar es un dato biométrico y, como categoría especial de datos, requiere de la existencia no sólo de una base legitimadora de las previstas en el artículo 6 del RGPD, sino también de la concurrencia de alguna de las excepciones recogidas en el artículo 9.2 del RGPD. En este sentido, el ordenamiento jurídico español prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores, por lo que la AEPD entiende que puede resultar válido implantar un sistema que registre la presencia del trabajador a partir de sus datos biométricos -como la huella dactilar-, siempre que se haya realizado la preceptiva evaluación de impacto y se cumpla con los requisitos mencionados anteriormente. En el caso resuelto por la AEPD, se concluye que el Ayuntamiento no informó adecuadamente al trabajador de la existencia de este sistema de control ni del tratamiento que iba a efectuarse de sus datos, por lo que la Agencia impone sanción de apercibimiento al ente público.