L'Agència Espanyola de Protecció de Dades li dona 10 dies per revertir les presumptes irregularitats detectades. L'ens al·lega que “la imatge escanejada es destrueix” i que no és possible reconstruir la petjada.
El uso de las nuevas tecnologías para los sistemas de acceso y gestión de plantillas sigue generando debate. Lo saben bien en la Diputación Provincial de Cuenca después de que la Agencia Española de Protección de Datos (AEPD) haya cuestionado su nuevo sistema de control de horarios con huella dactilar. En una resolución conocida en las últimas horas, el citado organismo concede al ente supramunicipal un plazo de 10 días para que “limite temporal o definitivamente” el citado protocolo hasta que no disponga de una “evaluación de impacto de protección de datos válida” en la que se tenga en cuenta “los riesgos para los derechos y libertades de los empleados” y las “medidas y garantías adecuadas” para el tratamiento de la información.
La reclamación se sustenta en una presunta infracción de los artículos 13 y 35 del Reglamento General de Protección de Datos (RGPD), que abordan detalladamente la comunicación que se debe realizar a la plantilla sobre el tratamiento de sus datos, así como la “evaluación de impacto” que se debe realizar con antelación a la puesta en marcha de cualquier iniciativa que implique la recolección de información personal.
El proceso indagatorio se inició el 11 de julio del pasado año tras la información aportada por un trabajador. Esta persona explicaba en su escrito que la citada administración había aplicado durante los últimos años un método de verificación presencial consistente en introducir en la Intranet un nombre de usuario y una contraseña. “A partir del mes de junio [de 2022], la Diputación de Cuenca instaló diversos dispositivos y marcas para establecer un nuevo sistema de control de los fichajes basado en la huella dactilar”. Decisión que, según el empleado, se adoptó sin que se facilitase información sobre “los procedimientos de seguridad vinculados al tratamiento de sus datos biométricos”.
El denunciante acompañó su reclamación con la copia de un correo electrónico que remitió el día 8 de ese mes en el que reclamaba a la institución reseñas concretas sobre el nuevo sistema, ya que entiende que “el tratamiento de los datos biométricos atenta contra los derechos y libertades de los trabajadores”.
Este, además, alertaba de que se trataba de un procedimiento “obsoleto” que puede provocar un “daño irreversible” en el caso “de que se produzca un incidente de seguridad”. Y pregunta por qué se volvía a implantar “si existen otras alternativas menos intrusivas y proporcionales”, antes de solicitar copia sobre el cumplimiento del RGPD, el análisis de riesgos realizado por la institución y las medidas de seguridad implantadas de este estudio.
El ente supramunicipal, a requerimiento de la Agencia Española de Protección de Datos, explicó en un escrito recibido el 16 de septiembre en el que aseguraba que la huella dactilar “no se guardaba nunca” y que “un algoritmo genera un número en función de la fisonomía” de la impresión de las crestas de los dedos. Esta cifra “se asocia al código del trabajador”.
La Diputación conquense reiteró en su documento que la huella dactilar no se almacenaba y no se podía reproducir, para lo que adjuntó un informe elaborado por la empresa adjudicataria de la instalación del sistema en el que se afirmaba que “la imagen escaneada se destruye” una vez extraídos los puntos característicos que validan la identidad del empleado público. También precisó que contrató con una empresa externa la elaboración de un plan de adecuación e implantación del Reglamento General de Protección de Datos y que esta consideró que no era necesario realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) en relación con el sistema de control de horarios.
El fallo, de 23 páginas, considera probado que no se remitió a la plantilla información relativa a los procedimientos de seguridad vinculados al tratamiento de sus datos biométricos y que tampoco se llevó a cabo una EIPD. Recuerda, también, que las huellas dactilares contienen datos “de cuyo uso pueden desprenderse riesgos significativos para los derechos fundamentales y las libertades”.
Por esta circunstancia, además de la sanción por las infracciones supuestamente cometidas, la AEPD insta a la Diputación de Cuenca a dejar en suspenso este protocolo de control de horarios hasta que no atienda sus indicaciones. Transcurridos los 10 días de gracia, deberá informar de que ha acatado la resolución. El fallo recuerda que, en otras circunstancias, las presuntas irregularidades sumarían un máximo de 30.000 euros en multas, pero que podrían alcanzar los 20 millones de euros en caso de que no se atiendan las indicaciones de la AEPD.
Frente a esta resolución se puede interponer recurso de reposición en un plazo de un mes y el ente supramunicipal también puede acudir a la vía de lo contencioso-administrativo.