La Agencia Española de Protección de Datos (AEPD) impone a la Consellería de Educación, Universidad y Formación Profesional de la Xunta de Galicia una sanción de apercibimiento del artículo 13 del RGPD (deber de información).
El reclamante presentó denuncia ante la AEPD, en la que manifestó su disconformidad con la implantación de un sistema de control de acceso y horario mediante huella dactilar por la Consellería sin que se hubiese informado adecuadamente a los trabajadores.
La AEPD recuerda que la legitimación para el tratamiento de la huella dactilar para dicho control debe buscarse en el artículo 9.2 del RGPD en la medida en que “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.”, así como en el artículo 6.1.b) del RGPD, en el que establece que el tratamiento solo será lícito si “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.”
También hace especial hincapié la AEPD al recordar que la implantación e integración de este tipo de sistemas, el empleador debe informar a los empleados de manera “completa, clara, concisa y, además, la citada información debe ser completada con referencia tanto a las bases legales que den conbertura a dicho tipo de control de acceso, como a la información básica a la que hace referencia en el artículo 13 RGPD.” y que la huella dactilar se trata además como dato biométrico.