Última revisión
18/12/2024
La AEPD sanciona al Colegio Notarial de Aragón por el uso de huella dactilar en el registro de jornada laboral
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 12.000 euros al Colegio Notarial de Aragón por el uso indebido de huella dactilar como método de registro de jornada laboral. A pesar de alegar que el sistema biométrico fue implementado para asegurar la objetividad y fiabilidad de los registros horarios, la AEPD considera que esta práctica infringe el Reglamento General de Protección de Datos (RGPD), ya que no se justificó adecuadamente el tratamiento de datos biométricos, que son considerados de alto riesgo.
El caso comenzó el pasado 7 de marzo de 2023, cuando un empleado del Colegio Notarial presentó una queja a la AEPD argumentando que la implementación de un sistema de control horario mediante huella dactilar no cumplía con la normativa al no haberse realizado correctamente la evaluación de impacto. Según el reclamante, el sistema no estaba basado en un almacenamiento descentralizado, donde los datos biométricos diversas a tarjetas inteligentes en poder del empleado, lo que planteaba serias preocupaciones sobre la protección de su identidad personal.
Aunque el Colegio Notarial de Aragón reconoció posteriormente su responsabilidad, efectuando el pago de la sanción el 22 de noviembre de 2024, la AEPD enfatizó que el tratamiento de datos biométricos presenta riesgos significativos. En su análisis, la AEPD subrayó que, de acuerdo con el artículo 4.14 del RGPD, cualquier dato biométrico utilizado para identificar a una persona es considerado dato de carácter personal, lo que conlleva la necesidad de cumplir estrictamente con la normativa de protección de datos.
La AEPD ha reiterado su postura restrictiva respecto al uso de datos biométricos, argumentando que no es suficiente realizar una Evaluación de Impacto de Protección de Datos (EIPD) de forma formal, sino que esta debe presentar un análisis exhaustivo y robusto de los riesgos implicados y las medidas que se implementarán para mitigarlos. Esto debe hacerse antes de iniciar cualquier tratamiento de datos biométricos, asegurando la protección desde el diseño y por defecto, tal como establece el artículo 25 del
El Colegio Notarial se defendió afirmando que habían optado por el sistema biométrico tras considerar que el anterior método manual, que consistía en anotar a mano las horas de entrada y salida, carecía de objetividad y seguridad. Sin embargo, la AEPD insistió en que existen alternativas menos invasivas que podrían haber sido implementadas y que el uso de huella dactilar no se justificó adecuadamente mediante la evaluación de la idoneidad, necesidad y proporcionalidad del tratamiento, tal como se exige.
La resolución de la AEPD señala que incluso si el Colegio había realizado una EIPD, esta no cumplía con los requerimientos necesarios para ser considerada válida. La normativa establece que deben existir otros métodos que logren la misma finalidad. Así, si puede demostrarse que hay opciones menos intrusivas que garantizan la identificación o verificación de los empleados sin recurrir a métodos biométricos, su utilización se considerará contraria al RGPD.