La empresa, con más de 520 trabajadores en plantilla y dedicada al transporte de ensamblado y montaje de piezas de vehículos automóviles, está ubicada dentro de las instalaciones del cliente, por lo que para acceder, los trabajadores tienen que pasar por el control de acceso a fabrica que su titular tiene implantado. Además, la empresa viene utilizando históricamente terminales de control de presencia mediante tarjeta, situados después de pasar el citado control de acceso. Posteriormente, se instalan terminales de huella en cada área de trabajo del centro con la misma finalidad de controlar la jornada, conviviendo ambos sistemas. La empresa acredita haber consultado a la representación sindical antes del uso del sistema de huella dactilar e individualmente a los empleados, si bien no aporta la cláusula informativa que incluya la recogida de un consentimiento expreso. También dispone del documento de análisis de riesgos de actividades de tratamiento, en el que figura que la actividad es de “escaso riesgo”, y se indica que no es preciso realizar una evaluación de impacto en protección de datos (EIPD).
En este caso, el sistema de huella dactilar utilizado funciona de tal forma que la comparación no se produce una contra una, la del empleado que accede con la suya, sino con todas las que están almacenadas, realizando una función de comparación cada vez que se entra o se sale. Aunque no se guarde enteramente la imagen de la huella, sino unas coordenadas, cada una de ellas es capaz de identificar unívocamente a cada empleado al confrontar en el terminal la toma de la huella con el resto de las existentes.
La Agencia Española de Protección de Datos (AEPD) considera estos sistemas muy intrusivos para los derechos y libertades fundamentales de las personas físicas. Además, afirma que existen sistemas alternativos que cumplen con los principios de proporcionalidad, necesidad y minimización en el tratamiento de datos. El tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física está prohibido con carácter general en el art. 19 del Reglamento General de Protección de Datos (RGPD), por lo que entiende que cualquier excepción a dicha prohibición debe ser objeto de interpretación restrictiva.
En el ámbito laboral estima que el tratamiento de datos biométricos que identifiquen de manera univoca a las personas no es necesario para cumplir con la obligación de registrar la jornada laboral, pues se puede hacer de forma menos intrusiva con el uso de tarjetas, con lo que considerando que se están tratando datos personales de categoría especial, la falta de evaluación de impacto en la protección de los datos personales (EIPD) supone un incumplimiento del art. 35 RGPD, por lo que sanciona a la empresa con una multa de 20.000 euros.
