No llevar a cabo una Evaluación de Impacto de Datos Personales (EIPD) cuando se tratan y recogen datos biométricos en los sistemas de registro de jornada puede salirte muy caro. Sin ir más lejos, la semana pasada, la Agencia Española de Protección de Datos (AEPD) impuso, en primera instancia, una sanción de 20.000 euros a una empresa de transporte y montaje de piezas de vehículos automóviles por implantar un sistema de control presencial de los trabajadores a través de huella dactilar, sin haber realizado previamente una Evaluación de Impacto para el tratamiento de esos datos.

Hay que recordar que la huella dactilar es un dato biométrico de los calificados por la normativa como de ‘categoría especial’, por lo cual tiene una protección más intensa. Sin embargo, no todos los datos biométricos recogidos por estos sistemas de fichaje son considerados especialmente protegidos, sino que depende del tipo de sistema que se implante y el tratamiento que se haga de esos datos biométricos.  

Por tanto, una vez visto el contexto y resultado de la decisión de la AEPD, es importante entender cómo era el funcionamiento del sistema de fichaje de la empresa amonestada, por qué era necesaria una evaluación de impacto y, en definitiva, el motivo de la sanción.

Tipos de sistemas de fichaje biométricos

En el caso de la empresa analizada, se utilizó un sistema de identificación biométrica uno-a-varios con el que se comparaba la huella dactilar del empleado con todas las huellas almacenadas de los trabajadores de la empresa. De este modo, los datos biométricos tratados sí son considerados como especialmente protegidos.

Exactamente, su sistema de fichaje funcionaba de la siguiente forma:

“Al introducir la huella en la fichadora, considerando que cada fichadora tiene todas las plantillas de la huella dactilar almacenadas de todos los empleados para que fichen en la que deseen, se compara la misma en orden a que franquee el acceso, registrando el comienzo o el final. Se estima que la comparación no se produce una contra una, es decir, la del empleado que accede con la suya, sino con todas las que están almacenadas, realizando una función de comparación uno a varios cada vez que un empleado entra o sale. En este caso, aunque no se guarde enteramente la imagen de la huella (sino unas coordenadas) y cada una de ellas en la forma de plantilla, es capaz de identificar unívocamente a cada empleado al confrontar en el terminal la toma de la huella con el resto de las existentes”.

Si en lugar de utilizar este sistema de identificación uno-a-varios hubieran recurrido a un sistema de autenticación o verificación uno-a-uno, el resultado de la sentencia hubiera sido muy distinto. Recordemos que el sistema uno a uno compara la huella dactilar del empleado que trata de acceder con la huella almacenada en los sistemas de ese mismo empleado, por lo que de este modo no estaría considerado como dato especialmente protegido.

Necesidad de realizar una Evaluación de Impacto de Protección de Datos

¿Cuándo es entonces necesario realizar una Evaluación de Impacto relativa a la protección de datos? En la resolución publicada por la AEPD hace referencia a una lista orientativa de tipos de tratamiento de datos que requieren una evaluación de impacto de este tipo. En este documento se indica que será necesario realizar una EIPD en la mayoría de los casos en los que un tratamiento cumpla con dos o más criterios de la citada lista.

En el caso que estamos analizando, los dos criterios que hacen que se tenga que acometer una EIPD son los siguientes:

• Tratamientos que impliquen el uso de categorías especiales de datos.
• Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.

Por todo ello, y viendo las consecuencias económicas y de reputación que puede acarrear para una empresa, es fundamental hacer una correcta elección del sistema de fichaje que se va a implantar, analizar sus implicaciones técnicas y realizar una evaluación de impacto en caso de que el sistema lo requiera.

Ante la obligatoriedad de realizar una EIPD, esta deberá ser llevada a cabo por profesionales expertos que puedan aportar todo el conocimiento, tanto jurídico como técnico, para llevar a cabo una evaluación de manera exitosa y evitar así sanciones o problemas futuros.   

En Vadillo Asesores podemos ayudarte con la Evaluación de Impacto. Disponemos de un equipo de abogados y técnicos especializados en protección de datos y miembros de la Asociación Española de Profesionales de la Privacidad para asesorarte y llevar a cabo todos los trámites necesarios con total garantía. ¿Hablamos?