Recae una sanción de 20.000 euros por parte de la Agencia Española de Protección de Datos (AEPD) a una empresa de servicios logísticos que hacía uso del reconocimiento a partir de huella dactilar de sus empleados, como parte del control de su jornada laboral.
Desde el punto de vista de la adecuación de la empresa sancionada en materia de protección de datos, se había llevado a cabo un procedimiento de gestión de riesgos en el que se había considerado que el uso de esta tecnología implicaba un riesgo bajo para los derechos e intereses de los interesados (los empleados). En atención a este resultado, había considerado que no era necesaria la realización de una Evaluación de Impacto en Protección de Datos (EIPD).
La AEPD, por su parte, considera que se trata de una tecnología intrusiva para los derechos de los empleados que en ningún caso puede considerarse de bajo riesgo, teniendo en cuenta que se realiza utilizando datos biométricos.
Son datos biométricos aquellos que se refieren a las características físicas, fisiológicas o conductuales de las personas, de forma que las hagan identificables de forma única. Para considerarse datos biométricos, se tienen que obtener a través de medios técnicos.
Teniendo en cuenta que los datos biométricos se utilizan en este caso para comparar los datos de un determinado empleado con todas las huellas existentes en la base de datos de la empresa, se considera que se trata de datos especialmente protegidos o datos sensibles.
Por todo ello, la AEPD ha considerado que sí era necesaria la realización de una Evaluación de Impacto en la que se tendrían que haber llevado a cabo los juicios de necesidad y de proporcionalidad de este tratamiento.
Es más, la AEPD se pronuncia sobre dicha necesidad, considerando no necesario el tratamiento mediante la huella cuando era posible la identificación mediante métodos menos invasivos.