Última revisión
Resolución de la Agencia Española de Protección de Datos PS-00218-2021 de 21 de julio de 2022
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 21/07/2022
Num. Resolución: PS-00218-2021
Cuestión
Sector:1 / 40
Expediente N.º: PS/00218/2021
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes
ANTECEDENTES
PRIMERO : RECLAMANTE (figura en ANEXO GENERAL) (en adelante, la parte reclamante) ,
con fecha 22/...
Contestacion
1/40
? Expediente N.º: PS/00218/2021
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes
ANTECEDENTES
PRIMERO: RECLAMANTE (figura en ANEXO GENERAL) (en adelante, la parte reclamante),
con fecha 22/06/2020, presenta reclamación ante la AEPD. La reclamación se dirige contra
ENTIDAD URBANÍSTICA COLABORADORA DE CONSERVACIÓN EUROVILLAS, con NIF
G79414033, en calle ***DIRECCIÓN.1, Madrid (en adelante, la parte reclamada). Los motivos
en que basa la reclamación son que la reclamada instauró un sistema de registro diario de
jornada laboral de los empleados a través de técnica de reconocimiento facial (RF).
Manifiesta:
-El 13/02/2020, la reclamada instaló en los lugares de trabajo un sistema de registro horario
?por huella dactilar?, modificando el previo de uso de tarjeta. La representación de los
empleados envió un escrito el 17/02/2020, del que acompaña copia como DOCUMENTO 1,
firmado por la reclamante y otros dos empleados, como ?Delegados XXXXXXXXXX?, en el
que mencionan que no se da en su totalidad el cumplimiento del artículo 9.2.b) del
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27/04/2016, relativo a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de estos datos (en lo sucesivo, RGPD); y que se ha tomado la medida sin
haber comunicado ni negociado con los representantes de los trabajadores, solicitando que
se cambie a otros sistemas.
-Con fecha 17/02/2020, la reclamada hizo entrega en mano de una comunicación del sistema
implantado de ?reconocimiento táctil?, con indicación de puesta en marcha el 1/03/2020.
-En escrito de la reclamada de la misma fecha, 17/02/2020, contestó al de la reclamante de
17/02 indicando que ? no existe obligación de obtener el consentimiento dado que el sistema
de fichaje implantado persigue unos intereses legítimos por parte de la empresa?, ?dado que
la legislación laboral obliga a registrar el número de horas que realizan los trabajadore s ?, y
que ?el uso de las tarjetas que se venia utilizando provocaba fraudes en la gestión y por tanto
no eran medios adecuados a la finalidad perseguida?. Acompaña DOCUMENTO 3 con el
recibí, que verifica estas afirmaciones.
-Se dirigió escrito por la reclamante a la reclamada el 11/03/2020, solicitando:
?Características del tratamiento, forma de almacenamiento y responsable de la custodia,
forma en que van a estar disponibles los registros de jornada, tanto para trabajadores como
para sus representantes.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/40
Acompaña DOCUMENTO 4 que contiene la respuesta de 12/03/2020, indicando que la
responsable de los datos es la persona nombrada por la empresa para tratar los datos de los
trabajadores y que debido a la situación creada por el ?coronavirus?, se está valorando el
cambiar el sistema de registro de horas actual, ?por uno de vectores faciales, en cuyo caso,
almacenaría una fotografía, al igual que el sistema que se utilizaba con las tarjetas
anteriores?.
-Manifiesta la reclamante, que en fecha 30/04/2020, la reclamada comunica un cambio en el
sistema de registros horarios originado por la enfermedad COVID-19 y que va a implantarse a
partir del 6/05/2020. Consiste en la identificación del personal por datos de su propio rostro,
?mediante vectorización facial? ?Este sistema funciona a partir de la identificación de un
porcentaje de características extraídas del rostro, sin tomar una imagen en tres dimensiones
de las caras ?entendemos que esta medida es menos invasiva que la grabación del momento
del fichaje por cámara, que además suponía el contacto físico con un lector de tarjeta
compartido. El fin único de estos datos es el fichaje de personal y análisis de los tiempos de
trabajo para el cumplimiento del decreto ley 8/2019, con objeto de analizar los datos en toma
de decisiones y la defensa de sus interese legítimos?. ?Estos datos se encontrarán en los
servidores de esta entidad, en ningún caso en la nube?. Acompaña DOCUMENTO 6.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5/12, de
Protección de Datos Personales y garantía de los derechos digitales (en adelante
LOPDGDD), el 7/07/2020, se dio traslado de dicha reclamación a la parte reclamada, para
que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de:
?1.La decisión adoptada a propósito de esta reclamación.
2. Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.
3. Análisis de Riesgos y Estudio de Evaluación de Impacto relativos al tratamiento de datos
personales objeto de la reclamación.
4. Base de legitimación de dicho tratamiento y justificación.
5. Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares,
fechas de implantación y controles efectuados para comprobar su eficacia.
6. Cualquier otra que considere relevante.?
Con fecha 5/08/2020, se recibe en esta Agencia escrito de respuesta indicando:
1) Es un ?ente administrativo? ?dependiente de? la Comunidad de Madrid si bien con
personalidad jurídica propia y plena capacidad de autonomía para el cumplimiento de sus
fines, de conformidad con la ley y los Estatutos, y que fundamentalmente consisten en la
conservación de los espacios libres de dominio y uso público, y en su caso de los privados, y
el mantenimiento de las dotaciones como instalaciones e infraestructuras de la urbanización.
El carácter de ?entidad administrativa? se recoge de forma expresa, el artículo 26.1 del Real
Decreto 3288/1978, de 25/08, por el que se aprueba el Reglamento de Gestión Urbanística
para el desarrollo y aplicación de la Ley sobre Régimen del Suelo y Ordenación Urbana
(RGU) ?las entidades urbanísticas colaboradoras tendrán carácter administrativo y
dependerán en este orden de la administración urbanística actuante?.
Aporta copia de sus Estatutos, cuya versión vigente aparece publicada en el BOCM de
29/05/2014. Se consideran de importancia para el caso, las siguientes disposiciones:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/40
?art 1- Se constituye una entidad urbanística colaboradora de naturaleza administrativa con
personalidad jurídica propia y plena capacidad legal desde su inscripción en el registro de
entidades urbanísticas colaboradoras de la Consejería competente en materia urbanística de
la Comunidad de Madrid.?
Esta entidad de conservación se constituyó con carácter obligatorio en virtud de las
determinaciones del plan especial ciudad de las Américas, hoy Euro Villas, aprobado
definitivamente el 23 de marzo de 1988 y estará compuesta por todos los propietarios
comprendidos en su ámbito territorial.
La entidad de conservación se regirá por lo dispuesto en los presentes estatutos y en lo no
previsto por ellos por los artículos 24 a 30 y 68 a 70 del RGU de 25 de agosto de 1978 y
demás disposiciones concordantes y complementarias.
?Artículo 3, objeto: Esta entidad tiene por objeto la conservación de la obra urbanizada, de
los espacios libres de dominio y uso público y, en su caso, de los privados y el mantenimiento
de las dotaciones e instalaciones de los servicios urbanísticos e infraestructuras conforme a
lo dispuesto en el artículo 32 de estos estatutos.?
En el artículo 4 se indican los fines básicamente de ejecución de obras necesarias para la
reparación y mantenimiento cuya conservación sea necesaria en cuanto al uso y utilización de
los bienes y servicios.
En el artículo 5 se establece: ?A la Consejería competente en materia urbanística como
administración actuante le corresponden las siguientes funciones: aprobar el texto de los
estatutos para la constitución de la entidad de conservación, aprobar la constitución de la
entidad de conservación para su inscripción en el registro. En el apartado c se indica que sin
perjuicio de que la administración actuante sea la Consejería de Obras Públicas y Urbanismo
y Transporte, corresponderá a los Ayuntamientos en los que se encuentra ubicada la
urbanización, la utilización de la vía de apremio para el cobro de las cantidades adeudadas
por cualquiera de los miembros de la Entidad de Conservación. En el apartado d) indica que
corresponde a la administración actuante resolver los recursos de alzada contra acuerdos de
la entidad, así como acordar la disolución de la entidad en los supuestos contemplados en el
artículo 40 de los estatutos y cuantas otras atribuciones resulten de la legislación urbanística
y autonómica.?
El artículo 19 prevé como facultades y funciones del Consejo Rector, el nombramiento y
separación del personal y señalamiento de su régimen de trabajo y la administración de la
entidad.
2) La entidad cuenta con equipamientos, maquinaria y personal propio para acometer sus
tareas de conservación y mantenimiento de las infraestructuras y el dominio público de la
organización. ?Agrupa a unos 4.000 propietarios de parcelas sobre las que existen
construidas alrededor de unas 3.000 viviendas unifamiliares que son habitadas por una
población superior a los 10.000 habitantes.?
En la actualidad, la plantilla está formada por 38 trabajadores que prestan sus servicios en
algunos casos en régimen de turnos, contándose con servicios de urgencias que cubren una
atención de 24 horas al día. La revisión de este personal y la comprobación de su asistencia
al puesto de trabajo siempre ha sido objeto de control. ?Hace unos años se fichaba?, luego se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/40
hizo uso de tarjetas individuales, pero al detectarse fraudes con las tarjetas que se dejaban a
otros empleados, ?se estableció un sistema de fichado? por medio de huella dactilar y
posteriormente por los riesgos del COVID-19, se varió el sistema al RF.
3) ?El registro de las jornadas de trabajo es obligatorio para la empresa en virtud del artículo
34.9 del Estatuto de los trabajadores?. ?Dado el derecho y a la vez la obligación que tiene la
Entidad de llevar un control y registro de la jornada de los trabajadores que sea fidedigno, el
sistema implantado es efectivo y proporcional, a la vez que el más adecuado para garantizar
la salud de los trabajadores, en estos tiempos de pandemia.? ?La base de legitimación para el
tratamiento de estos datos viene dada por el contrato laboral existente con los usuarios (art.
6.1.b RGPD); la obligación legal de llevar acabo un registro de la jornada laboral de los
empleados de la Entidad (art. 6.1.c) y la propia necesidad de la empresa de controlar a los
trabajadores (art. 6.1. f), de modo que la propia Entidad pueda prestar las funciones de
interés público que tiene encomendadas dado su carácter de administración pública (art. 6.
1.e).?
4) Los sistemas empleados por la entidad en ningún caso conservan imágenes o fotografías
de la huella dactilar o rostro de la persona, sino que son sistemas biométricos en los que para
su funcionamiento no utilizan imágenes de huellas o rostros, sino meras descripciones de
estos que se traducen en las tomas de varias minucias o patrones del dibujo de la huella del
rostro. Por tanto, el sistema solo toma unas pocas minucias o características especiales
concretas, en general la posición o dimensiones, elementos de la huella o el rostro
fundamentalmente, que no permiten reconstruir a partir de ellas la huella ni el rostro de una
persona, por lo que consideran que no permiten la identificación inequívoca del sujeto más
que dentro de un grupo reducido de personas como es el personal de la entidad. ?El sistema
está instalado en un ordenador independiente, protegido bajo contraseña, al que solo tiene
acceso una persona y que los datos biométricos estadísticos, quedan encriptados, no son
extraíbles, ni conocibles, por formar parte del propio programa, sin que se puedan usar para
ninguna otra finalidad.? Entiende que está actuando en todo momento conforme a derecho.
TERCERO: Con fecha 4/09/2020, la Directora de la Agencia Española de Protección de Datos
acordó admitir a trámite la reclamación.
CUARTO: La Subdirección General de Inspección de Datos procedió a la realización de
actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en
virtud de los poderes de investigación otorgados a las autoridades de control en el artículo
58.1 del RGPD, de conformidad con lo establecido en el Título VII, Capítulo I, Sección
segunda, de la LOPDGDD, teniendo conocimiento de los siguientes extremos:
Solicitó a la reclamada que aportar el análisis de riesgos, la evaluación de impacto del
tratamiento del dato biométrico y características del sistema.
Con fecha de 29/10/2020, se respondió, que ?ya se contestó sobre esta reclamación en el
seno del procedimiento de traslado y admisión de la reclamación.?
QUINTO: Con fecha 2/09/2021, se acordó por la Directora de la AEPD:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/40
?INICIAR PROCEDIMIENTO SANCIONADOR a ENTIDAD URBANÍSTICA
COLABORADORA DE CONSERVACIÓN EUROVILLAS, con NIF G79414033, por la
presunta infracción:
-Del artículo 9.2.b) en relación con el 6.1 del RGPD, tipificada en el artículo 83.5.a) del RGPD
-Del artículo 35 del RGPD, tipificada en el artículo 83.4.a) del RGPD.?
(?)
?QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1/10, del Procedimiento
Administrativo Común de las Administraciones Públicas (en lo sucesivo, LPACAP) , las
sanciones que pudieran corresponder serían de multas de 100.000 euros, y de 20 mil euros,
según lo especificado, sin perjuicio de lo que resulte de la instrucción.?
SEXTO: Con fecha 17/09/2021, se reciben alegaciones en las que la reclamada manifiesta:
1- Se considera incluida en el apartado d) del artículo 77.1 de la LOPDGDD como ?organismo
público y entidad de derecho público vinculada o dependiente de las administraciones
públicas?, por lo que procedería en su caso una sanción de apercibimiento. Considera,
además, que es indiferente si el ente público está realizando o no una actividad pública,
porque la normativa regula la posibilidad de sancionar por lo que se es, una administración
pública, y no por la actividad que se realiza. El citado artículo señala que las ?
Administraciones Públicas serán sancionadas con apercibimiento por el mero hecho de serlo,
y siempre que reúnan esa condición, sin que el ordenamiento establezca que ello solo
ocurrirá cuando realicen funciones públicas, lo que es una interpretación expansiva, o más
bien, una creación legal ?ex novo? de esa Agencia, dado que carece de soporte legal alguno y
no existe norma que dé pie, siquiera a esa interpretación, sin que por otro lado, las
infracciones de que se acusa a la Entidad puedan considerarse como de derecho privado.?
Es indiferente que la contratación laboral de los trabajadores de la entidad sea de carácter
privado. Indica que carece de sentido separar a que ámbitos puede afectar la actividad, dada
la razón de ser administrativa del propio ente y sus funciones públicas que realiza. No se está
ante una cuestión de índole laboral, sino ?ante una cuestión de protección de datos, materia
que compete ser cumplida por el ente administrativo en el ejercicio de su actividad pública y
con la intervención de sus órganos rectores de funcionamiento, cuya actividad está sujeta a
derecho administrativo.?
Las decisiones relacionadas con despidos, organización del personal, y cualquier cuestión
laboral, se adoptan por el Consejo Rector, estando todas estas cuestiones sometidas al
derecho administrativo, y pudiendo impugnarse en alzada ante la CCAA de Madrid o en vía
contenciosa (art 38 de los Estatutos). ?La situación es similar a lo que ocurre con las
reclamaciones de propietarios morosos de la entidad, en las que el Tribunal Supremo ha
dicho que solo es competente para su conocimiento en la jurisdicción contenciosoadministrativa?. Como por ejemplo, el auto de 30/05/2012, recurso 203/2009. Señala que
incluso cuando los empleados demandan laboralmente a la entidad, dado el carácter de
administración pública de la misma, no tienen que realizar actos de conciliación previa
señalados en los artículos 63 y 64 en relación con el 69.1 de la ley de la jurisdicción social, lo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/40
que demuestra que no es una relación privada la que existe con dichos empleados de la
entidad.
2- ?La iniciación del procedimiento sancionador, lo es por el sistema de reconocimiento facial,
implantado según esa Agencia, desde el 6 de mayo de 2021. Con ello, se está reconociendo
la validez del sistema de reconocimiento mediante huella dactilar que anteriormente había
implantado la Entidad.? ?Es por lo tanto, el cambio del sistema, de reconocimiento de huella
dactilar a facial, lo que generaría las infracciones que se atribuyen a la Entidad.? Considera
que si la huella toma las minucias, en el RF, se hace sobre el rostro, siendo en ambos casos
lo mismo, no sirven para identificar de forma univoca a una persona. No se trata de datos de
carácter especial pues no se conservan imágenes o fotografías del rostro, que para su
funcionamiento utilizan ?meras descripciones de estos?, ?patrones de dibujo del rostro?,
posición o dimensiones de elementos que no permiten reconstruir a partir de ellas el rostro de
una persona, ?las cuales además podrían coincidir en otras muchas personas, por lo que no
permiten la identificación inequívoca del sujeto, mas que dentro de un grupo reducido de
personas, como es el personal de la entidad?. Los datos almacenados en un ordenador, son
solo accesibles a una persona, quedando encriptados y cifrados. Considera que no seria de
aplicación la prohibición del artículo 9.1 del RGPD pues ?no se esta antes datos biométricos
dirigidos a identificar de manera inequívoca a una persona física.?
Por tanto, no siendo datos de carácter especial, no es preceptivo aportar la Evaluación de
Impacto establecida en el artículo 35 del RGPD.
3-La principal causa y contexto que motivó el cambio de un sistema de registro horario por
huella dactilar a uno de RF, se debió a la extraordinaria y grave situación derivada de la alerta
sanitaria por la pandemia, ?que pone en peligro la salud e incluso la vida de los trabajadores
de la Entidad, y con ello, que la Entidad pueda cumplir sus fines y obligaciones.? Las tareas
que desempeña su personal afectan a la salud pública-limpieza , vadeo de calles,
mantenimiento de red de saneamiento, alumbrado etc., junto con desinsectación que
afectaba a 10.000 residentes, que en aquellas fechas salían de un confinamiento. Se
pretendía no tocar el lector de huellas y poner su dedo en el sensor. Considera proporcional el
sistema al ser un sistema fidedigno y efectivo, y el más adecuado para garantizar la salud de
los empleados.
4- Considera que la base de legitimación del tratamiento viene dada por
-?El contrato laboral con los usuarios, art 6.1.b) del RGPD
- La obligación legal de llevar a cabo un registro de la jornada laboral de los
empleados de la entidad, art 6.1.c) del RGPD
-la propia necesidad de la empresa de controlar a los trabajadores (art. 6.1. f), de
modo que la propia Entidad pueda prestar las funciones de interés público que tiene
encomendadas, dado su carácter de administración pública (art. 6. 1.e).?
5- ?Con la mejora de la situación epidemiológica se ha vuelto al sistema de fichaje por tarjeta,
si bien se está negociando al respecto?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/40
6- En el acuerdo, se analiza como única posibilidad de legalidad del tratamiento, la laboral,
contemplada en la letra 2.b) del artículo 9 del RGPD, concluyéndose que no procede por tres
cuestiones:
a) Se dice, que no se justifica que el tratamiento a través del RF sea necesario para el
cumplimiento de las obligaciones en materia laboral como lo es el registro de jornada y ello
porque ese control ya se había realizado previamente con el sistema de tarjetas. Considera
dicho cambio de sistema necesario pues las tarjetas se prestaban por unos empleados a
otros.
b) Las letras g) y h) del artículo 9.2 del RGPD, por si solas, de forma individual, y más puestas
en relación entre ellas, con la propia letra b), justificarían el tratamiento especial, dada la
extraordinaria situación de pandemia que hemos vivido y que se ha expuesto. La letra g)
habilita en el supuesto de que sea ?necesario para fines de interés publico esencial?, siendo
evitar la propagación del COVID un interés publico esencial, con recomendaciones para que
no hubiera contacto interpersonal ni contacto con superficies. También considera que la letra
h) habilita mejor el tratamiento, ?es necesario para fines de medicina preventiva o laboral?,
siendo esa la finalidad que ha movido el cambio del sistema de registros horarios, evitar los
contagios entre el personal laboral de la entidad.
7- Se dice que no se respetó la negociación o consulta con los representantes del personal,
pero esto no fue así, pues se informó, se negoció y finalmente se optó por el mantenimiento
del registro facial mientras duraba la pandemia, debiendo destacarse además que ?los
representantes de los trabajadores no quisieron nunca formular una reclamación ante la
AEPD, sino simplemente realizar una consulta?.
8- La reclamada es una entidad que presta servicio publico, sin animo de lucro. Actuó con
animo de proteger la salud de su personal, con el fin de garantizar que pudiera prestar su
servicio que califica de esencial durante el confinamiento, entre un personal, al que le afectó
de manera alta el contagio de la enfermedad. Por todo ello, considera que no puede
considerar culpable a la reclamada. Añade, que además la sanción es desproporcionada, por:
a) en la infracción del artículo 9.2.b) en relación con el 6.1 del RGPD, considera que no se
pueden producir las agravantes:
- del 83.2.a) del RGPD, pues la infracción es ya de carácter muy grave, ?no puede utilizarse
esa misma gravedad intrínseca en la propia infracción para añadir a la misma un agravante?
?Se esta sancionando dos veces por la misma conducta?.
-del 83.2. b) del RGPD por el mismo motivo, la negligencia ya va incorporada en el tipo que se
sanciona, suponiendo una ficticia suma de agravamientos que no procede.
-del artículo 76.2.b) de la LOPDGDD, no lo considera relevante, pues no es una entidad con
gran experiencia en el tratamiento de datos con estas especiales características.
-del artículo 83.2.k) del RGPD, siendo de nuevo una agravante ya incluida en la sanción como
muy grave, no contemplando la causa que se manifiesta como agravante el citado artículo
b) En la infracción del artículo 35 del RGPD, algunas de las cuestiones que se señala como
agravantes de la infracción, estarían ya incorporadas en esta misma infracción, nuevamente
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/40
se están castigando dos veces, por lo que seria la misma conducta o reproche sancionador y
en concreto, considera que no se pueden producir las agravantes por:
-el artículo 83.2.b) por un grado cualificado de grado de diligencia, al no contemplar algún tipo
de análisis sobre el tratamiento, que se mantiene durante la tramitación del traslado,
continuando la realización del tratamiento (93.2.1 del RGPD). ?si lo que se castiga es no
haber realizado una valoración de impacto, porque se considera que antes de implantar un
sistema de reconocimiento facial, que esta debe realizarse, no puede considerarse agravante
no haber hecho el análisis o la propia evaluación?.
Considera se debería valorar, como atenuantes:
- La situación de grave emergencia sanitaria nacional y excepcionalidad (con estados de
alarma) derivada de la pandemia vivida. No puede obviarse que estamos hablando del mes
de mayo de 2020, pleno estado de alarma con situación de confinamiento domiciliario. La
pretensión última y que motiva el cambio de sistema a RF fue la lucha contra la pandemia y
garantizar o cuando menos disminuir las posibilidades de contagio de la plantilla.
Considera que las sanciones ni siquiera guardan la debida proporción entre ellas mismas:
Se proponen de 100.000,00 euros y 20.000,00 euros. El artículo 83.5.a) del RGPD, aplicable
a la primera infracción, hace alusión al 4 % del volumen de negocio en el caso de empresas y
con un máximo total posible de 20 millones de euros, mientras que en el 83.4 del RGPD
aplicable a las sanciones graves, este porcentaje se reduce al 2 % con un máximo de 10
millones de euros. Dado que una sanción es muy grave, debería ser el doble de una grave,
sin embargo la sanción muy grave es cinco veces la grave, alcanzando los 100.000,00 euros
cuando el doble de la grave serían 40.000,00 euros.
Teniendo en cuenta que se trata de un ente administrativo carente de lucro, debe reducirse a
como mínimo una cuarta parte, situándose entre los 25.000,00 euros para la muy grave y los
12.500,00 euros para la grave, si bien, esto se dice con un carácter subsidiario, dado que ni
hay infracción, ni de haberla, se puede sancionar económicamente, siendo lo correcto hacerlo
con apercibimiento.
SÉPTIMO: Con fecha 21/03/2022, se inicia un periodo de practica de pruebas, dando por
reproducidos a efectos probatorios la reclamación interpuesta y su documentación, los
documentos obtenidos y generados durante la fase de admisión a trámite de la reclamación, y
el informe de actuaciones previas de investigación que forman parte del procedimiento
E/08378/2020. Asimismo, se da por reproducido a efectos probatorios, las alegaciones al
acuerdo de inicio del procedimiento sancionador referenciado, presentadas por la reclamada y
la documentación que a ellas acompaña.
Además, se solicita a la reclamada que aporte e informe:
a) Sistema que está utilizando actualmente para el control de jornada laboral, y si dejó de
usar el RF, fecha y acreditación de ello.
Con fecha 4/04/2022, se recibe respuesta de la reclamada en la que indica que ?el sistema
actual empleado? es el de tarjetas, desde que recibió el acuerdo de inicio por ?prudencia? se
suspendió el sistema de RF el 8/09/2021, en cuanto adquirieron las tarjetas. Aporta factura de
adquisición de 40 tarjetas de 6/09/2021, tipo ?proximidad por radiofrecuencia RFID PAS?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/40
b) En el escrito de la reclamada de 12/03/2020 dice que ?Se está valorando cambiar el
sistema de registro de horas actual por uno de vectores faciales, en cuyo caso almacenaría
una fotografía al igual que el sistema que se utilizaba con las tarjetas?. Explique el sentido y
finalidad de lo subrayado dentro del sistema de RF implantado.
Manifiesta que lo que quiere decir es que ?no hay variaciones significativas entre el sistema
de tarjetas y el de vectores faciales, siendo la finalidad explicárselo a los delegados
XXXXXXXXXX. En cualquier caso, en ese escrito solo se hacía referencia a una posibilidad
que se estaba barajando. por lo que cuando se redacta no se conoce todavía en qué consiste
realmente el sistema?.
c) Si la recogida de imágenes del rostro para el registro se efectuó con imágenes (fotografías)
de los empleados previamente usadas, o con actuación presencial de los empleados.
Manifiesta que con actuación presencial. ?El mismo equipo que hace el reconocimiento,
captura previamente para ello los vectores que va a emplear sobre el propio empleado. Los
datos o minutas faciales, se captan, entran, se cifran, son usados por el aparato y no salen
del mismo, sin que puedan usarse para ningún otro fin, ni extraerse. El aparato solo reporta
externamente a un único equipo informático de la entidad: el día, hora y nombre de la
persona verificada?.
d) Identificación del soporte tecnológico adquirido para el funcionamiento técnico del sistema
y en que consiste. Añadiendo los elementos que lo componen, y si se contrató los servicios
de la gestión del sistema con un proveedor. Si el sistema cuenta con alguna certificación tipo
ISO sobre datos biométricos. Copia del contrato de gestión de tratamiento de datos por
encargo.
Manifiesta que se adquirió ?un sistema completo, una unidad compacta, maquina lectora y
que procesa la información y que lleva su programa propio?. ?El proveedor no tiene acceso ni
se contrató para gestionar nada del sistema?.
En la factura que aporta documento 2, figura: 31/03/2020, equipo por importe de 375 euros
?equipo de control presencial y acceso facial SAFIER, VSFTCT2MTFN3A ?SOFTWARE
GESTIÓN PRESENCIAL SAFIRE CONTROL CENTER? de fabricación china, modelo SFAC3062KEMR-IP
según el folleto que adjunta en documento 4 en que se ve el dispositivo, y el
literal:
?control de accesos y presencia- Reconocimiento facial y tarjeta EM-1.600 caras, 2.500
tarjetas y 50.000 registros, comunicación TCP/IP, USB y WIFI, controladora integrada,
Software SAFIRE CONTROL CENTER AC, Lector biométrico autónomo de control de
accesos.?
Se acompaña como parte del folleto también el literal ?especificaciones? que describe una
descripción de elementos.
Se acompaña con el folleto la imagen del dispositivo ?HIKVISION?, ?DS-K1T9105 Series
terminal de reconocimiento facial que informa que funciona con algoritmo de aprendizaje
puede funcionar como múltiples modo de autenticación 1:N emparejamiento de cara, IC
autenticación tarjeta, etc. También indica las ?características?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/40
Con fecha 26/04/2022 se busca en GOOGLE ?SAFIRE CONTROL CENTER AC SOFTWARE
existiendo entre otras la dirección:
?Safire Control Center AC Software
https://svtclti.com ? manuales ? SAFIRE-HIKVISION?, en la que pinchando sale el ?manual
usuario SAFIRE CONTROL CENTER CONTROL acceso?. Titula el manual versión 2019 V1.0
build 07082019, de 114 páginas en el pdf, que se incorpora al procedimiento para completar
las pruebas. El mismo día 26/04/2022 se envía copia de dicho acceso y el manual integro a la
reclamada. El manual contiene los mismos aspectos que detallan los folletos aportados por la
reclamada, detallando la sistemática de funcionamiento y múltiples y variadas configuraciones
posibles.
El manual, lo mismo que el folleto que aporta la reclamada, informa que dispone de: sensor
de activación auto activación por infrarrojos, cámara de 2 MP con doble sensor de
reconocimiento facial, comunicación TCP/IP, USB, RS485, Wi-Fi, Peso: 400 gr.-Modos de
identificación pin, tarjeta, reconocimiento facial y combinaciones, controladora integrada,
sensor de puerta pulsador timbre y relé. Figura como opción la de incorporar una foto como
cara, realizar una foto desde el software o capturar rostros desde el dispositivo de control de
accesos, con objeto de verificar si el dispositivo de reconocimiento facial administrado en el
software puede reconocer la cara desde la foto. La imagen del dispositivo compacto y de una
única pieza del manual de usuario que aporta la reclamada en documento 4 ?face recognition
terminal? es un terminal de reconocimiento facial en el que se indica que ?adopta algoritmos
de aprendizaje profundo, que contribuyen a reconocer la cara más rápido y con más certeza.
También soporta modos de autenticación múltiples: 1:N face match, IC card autenthication,
etc. Señala que la duración del reconocimiento facial es de no más de un segundo por
persona y la tasa de exactitud en el reconocimiento es de más de un 99%.
e) Modo de recogida, registro y almacenamiento de los datos de los empleados utilizados
para el RF. Entorno en el que se produce la comparación de la cara del sistema y si hay un
único punto para ello o varios.
Manifiesta que ?es el equipo el que hace la toma de los vectores?, solo hay un punto y el
entorno es el propio equipo
f) Tipo de tecnología empleada de almacenamiento y funcionamiento del RF, servidor,
algoritmo utilizado y funciones que efectúa.
?Se compra el software que va dentro del equipo?.
g) En cuanto a la lectura de lo datos e identificación positiva, indiquen el modo de
funcionamiento y su sincronización, puntos de lectura existentes de los datos para el cotejo de
la imagen y distribución en que se hallan esos terminales de lectura. Especifiquen, si cuando
se presenta la cara, ¿donde se encuentra la plantilla almacenada del empleado contra la que
se coteja la imagen presentada.? (si está en el lector, en una base de datos, características
de estos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/40
Manifiesta que ?había un solo lector a la entrada con el equipo que también es uno?. El equipo
lleva el programa incorporado. Los vectores están en el equipo, que es totalmente autónomo.
La entidad solo ve: día, hora e identidad de la persona verificada. Nadie puede ver otra cosa.?
h) Indiquen que sucede si no reconoce la cara que se le presenta, y si almacenaría la plantilla
de esa persona.
Manifiesta que no sucede nada, pues el aparato no detecta los vectores, le tiene por no
fichado y no almacena nada.
i) ¿Que conexiones tiene la base de datos del ordenador con los datos del rostro que se
presentan por los empleados, con los datos de empleo? Sistema de asociación del registro de
la cara a la identidad de la persona. Si la base de datos se almacena en servidores, tipo de
servidor y localización y titularidad.
Manifiesta que no es un ordenador como tal, sino ?un equipo todo integrado, autónomo en su
funcionamiento e independiente?. ?Al equipo asignado de la ECE- el sistema solo admite unola
única información que llega es el día, hora y nombre o identidad del empleado reconocido
por el sistema.?
j) Sistema de información a cada empleado sobre recogida y tratamiento de sus datos
proporcionado, conteniendo la finalidad, base legitimadora y ejercicio de derechos de datos
derivados del RF, y forma de acreditar su efectiva puesta a disposición.
Manifiesta que se informó en una reunión del personal y se les ratificó de forma personal e
individualizada cuando pasaron a hacerse la foto, aclarándoles las preguntas, que en su caso
pudieran plantear, que fueron pocas.
k) Acreditación de que el sistema de control horario a través de la tarjeta era usado
impropiamente.
Manifiesta que el uso inapropiado de tarjetas de registro del horario por algunos empleados
no es fácil de acreditar siendo ese el problema que permite realizar fraudes en el registro
horario sin ser detectado. Aportan documento 5, una carta de un empleado al Consejo Rector,
y el orden del día de la ?asamblea personal? de 18/02/2020 que contiene en un punto del día
?información sobre el registro de jornada de trabajo? en el que se refiere el asunto que se
trató esta cuestión por supuestamente pasar la tarjeta de otro compañero en 30/01/2020 y
haber recibido una amonestación, indicando ?en relación a las aseveraciones que alguna
compañera ha realizado?, niega los hechos, y manifiesta que cuando se encontraban en la fila
varios compañeros esperando en orden delante de el, ?nos ha entregado su tarjeta y la
hemos pasado por el lector, pero nunca sin estar presente el?.
l) Copia de hoja registro de control horario generado por algún empleado con el fin de ver los
datos que se marcan, e informen, si además el sistema se usaba para otras personas, o con
otros fines.
Indica que el sistema solo se usó para la finalidad de registro de horario. Acompañan una
copia de un registro de un empleado anonimizado como documento número 6 apreciándose
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/40
que para esa personas, se puede agrupar los registros por días de la semana, figurando los
registros horarios anotados con varias entradas y salidas en algunas jornadas.
m) Croquis de imagen de espacios en los que se sitúan los dispositivos para las tomas del
rostro para el registro de la jornada, explicando si existen interrupciones de tiempo de trabajo
efectivo y si se tiene que volver a registrar la cara en cada ocasión que se entre o salga o
como funcionaría el régimen de pausas.
Indica que cuando sistema estaba implantado, sí que recogía las paradas o descansos pues
no se necesitaba contacto con superficies a través de las manos.
Manifiesta que solo hay un dispositivo conforme al croquis que acompaña. ?Está ubicado en
una mesa, en un pequeño cuarto destinado a tal fin al que se accede desde un patio por una
puerta. Se aprecia que el sistema se limitaría a presentar la cara ante el dispositivo y volver a
salir por donde se ha entrado, como registro de presencia y que captaría fecha, hora y datos
del empleado.
n) Valor umbral en el que el software indica que se ha producido coincidencia entre las dos
imágenes faciales que se comparan, y que recomendación para este caso da el fabricante.
Indica que se desconoce, ya que ?se compró un software de un proveedor externo.?
o) Copia del registro de actividades del tratamiento: ?control horario por reconocimiento
facial? en documento 8, figurando como finalidad: ?control horario de empleados a través de
reconocimiento facial?.
Legitimación: ?contrato laboral existente con los usuarios. artículo 6. b) RGPD, obligación
legal de realizar el registro de la jornada laboral de los empleados, artículo 6.c), necesidad de
control de los trabajadores: artículo 6. f), cumplimiento a través del personal de las funciones
de interés público encomendadas: artículo 6.e)
?Categorías de datos minucias del rostro sin salida del equipo de lectura día y hora de lectura
nombre y apellidos del empleado?
Cesión de datos: no se prevén salvo en su caso administración laboral y juzgados laborales.
Solo datos reportados por el equipo
Periodo de conservación mínimo cuatro años, máximo 10 años, los datos reportados por el
equipo de lectura. Minucias del rostro, son eliminados al cese de la relación laboral.
Medidas de seguridad: cifrado de las minucias del rostro y conservación de los datos estanca
en el equipo.
p) Bajo su punto de vista, que significado otorga a la expresión ?sistema biométricos
estadísticos? al que alude en alguno de sus escritos.
Indica que esto es información que da el fabricante sobre cómo opera el tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/40
Indica que el sistema solo recoge unas minucias o características especiales concretas, en
general la posición o dimensiones de elementos de la huella o el rostro fundamentalmente
que no permiten construir la propia huella ni el rostro de una persona. Se trata de destacar
que no se guarda en el sistema la fotografía de la persona sino unas minucias especiales y
con el término estadístico que son diferenciadoras solo dentro del propio grupo comparativolos
empleados de la entidad-.
q) Que intereses y derechos de los empleados, y medidas de seguridad para sus datos se
han tenido en cuenta en la instauración del sistema de RF.
Manifiesta que el interés para el establecimiento ha sido la salud del personal, tomándose la
medida en contexto de pandemia, confinamiento y lucha contra la COVID, pretendiendo evitar
contagios derivados del uso de tarjetas de mano.
En cuanto a las medidas de seguridad se vuelve a insistir en que el aparato es estanco y
autónomo por lo que no hay ninguna circulación de los datos o minucias que del rostro toma.
Además, cifra los datos, por lo que éstos no se pueden utilizar por nadie, ni para nada. El
aparato toma las minucias del rostro diferenciadoras, en comparación con el resto que tiene
del grupo, las cifra, y las procesa, conservándolas para hacer las identificaciones y solo
reporta el resultado, consistente en día, hora e identidad de la persona, sin que esas minucias
circulen, ni se usen para nada, ni se puedan usar para otros fines.
r) Acuerdo por el que se aprobó la instauración del sistema de RF para el control horario.
Aporta copia de documento 9, certificado que señala que en la reunión del Consejo Rector de
la Entidad de 31/03/2020, se adoptó el acuerdo de:
?El presidente informa que, ante la expansión del virus COVID-19, y en evitación de la
proliferación de contagios entre los trabajadores de esta entidad, que proceden diariamente al
fichaje dentro de su jornada laboral, se tendría que determinar otro sistema de registro.
Después de un largo debate al respecto, se acuerda por unanimidad, proceder a la
adquisición de un sistema biométrico facial para el control de accesos, eliminando así la
posibilidad de cualquier contacto físico con el sistema mencionado?
s) Quien es el titular de las instalaciones, dominio publico urbanizado sobre el que recae la
obligación de conservar de esa entidad, y si el mismo tomó parte en la decisión de uso del
RF.
Indica que el titular de algunas de las instalaciones, como por ejemplo el terreno y
edificaciones en que se ubican las oficinas de la propia entidad es esta misma.
Otras instalaciones como pueden ser los viales, la red de saneamiento, espacios verdes, o
cualquier instalación o espacio de dominio público, son titularidad de los Ayuntamientos de
***LOCALIDAD.1y de Nuevo Baztán.
?Los Ayuntamientos no participaron en la toma de decisión, puesto que son parte del Consejo
pero sin voto.?
t) Qué funciones de las públicas que tiene atribuidas ejercita cuando decide el uso de
dispositivos técnicos para la recogidas de datos en base a RF de los empleados para su
control horario.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/40
Manifiesta que las de conservación de las instalaciones de dominio público de la
urbanización, las cuales se llevan a la práctica y se realizan a través de sus empleados de
conformidad con los estatutos de la entidad.
Reiteran su consideración, ya hecha en las alegaciones de que es la persona, es decir, la
entidad como ente público administrativo y no la actividad que ejerce- que la considera
también pública administrativa- lo que determina la posibilidad de imponer un tipo de sanción
u otro, sin que puedan realizarse interpretaciones expansivas sobre las que establece la ley y
menos para imponer una sanción.
OCTAVO: Con fecha 3/05/2022 se emite propuesta de resolución del literal:
?Que por la Directora de la Agencia Española de Protección de Datos se sancione con
apercibimiento a ENTIDAD URBANÍSTICA COLABORADORA DE CONSERVACIÓN
EUROVILLAS, con NIF G79414033, por las infracciones del RGPD:
-artículo 9.2.b) del RGPD, tipificada en el artículo 83.5 a) del RGPD y en el 72.1. e) de la
LOPDGDD.
-artículo 35 del RGPD, tipificada en el artículo 83.4 a) del RGPD y en el 73.t) de la
LOPDGDD.?
Se reciben alegaciones el 17/05/2022, en las que indica:
- La propuesta no explica en que consiste la identificación unívoca que hace que los datos
sean considerados especiales. Para estar ante una categoría especial de datos personales,
no solo tenemos que estar ante datos biométricos, sino ante datos biométricos dirigidos a
identificar de forma unívoca o única a una persona. Que no se consideren datos especiales
hace que no se requiera evaluación de impacto.
unívoca
- No se ha tenido en cuenta la manifestación de que ?no utilizan imágenes de rostros, sino
descripciones de estos que se traducen en ciertos patrones del dibujo del rostro? y que el
sistema solo toma ?posición o dimensiones del rostro que no permiten reconstruir el rostro de
la persona, las cuales podrían coincidir en otras muchas personas por lo que no permiten la
identificación inequívoca del sujeto, mas que dentro de un grupo reducido de personas como
es el personal de la entidad? ?no se guardan datos identificativos inequívocos de ningún
trabajador?. ?En el procedimiento no se ha realizado un análisis o peritaje de qué capta
realmente el lector, siendo la carga de la prueba de esa Agencia, por lo que no está
acreditado que lo expuesto por esta parte no sea así?. ?En este sentido, se rechaza la
incorporación al expediente como prueba del supuesto Manual de usuario localizado por el
instructor en Internet a través de una búsqueda genérica en Google, habiendo localizado el
mismo en un enlace en la dirección principal web ***URL.1 (que no da ningún resultado), por
desconocerse si dicho Manual es el correcto, ni haberse reclamado siquiera al fabricante o
haberse confirmado con el mismo su corrección. Todos los hechos y conclusiones que se
realizan en base a dicho Manual no pueden tenerse por acreditados ni darse por correctos,
dado que no es una prueba obtenida con las debidas garantías de veracidad y certeza.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/40
-Reitera que si existía causa que levantaba la prohibición del tratamiento si se considerase el
mismo dato especial. ?Las letras g) y h) del articulo 9.2 del RGPD por si solas, de forma
individual y mas puestas en relación entre ellas con la propia b) justificarían el tratamiento?,
dada la extraordinaria situación de pandemia vivida. ?La letra h) encaja mejor porque habilita
el tratamiento cuando es necesario para fines de medicina preventiva o laboral?.
-Reitera que no es causa suficiente manifestar que antes controlaban la jornada laboral con
tarjetas, dada la manipulación y fraudes que se han dado ?que han explicado y justificado?.
- ?Se rechazan las alegadas bases de legitimación, por considerarse que no está justificada la
utilización de un medio que esa Agencia considera muy intrusivo, no guardando
proporcionalidad, y porque, además, anteriormente, el control de la jornada laboral se hacía
por medio de tarjetas sin que se hayan justificado los problemas que las mismas
presentaban?. ?Existe base jurídica para ello, si bien esa Agencia lo acaba denegando en
base a un principio jurídico indeterminado: ?el de la proporcionalidad?. ?La proporcionalidad?,
no deja de ser algo subjetivo y relativo, no algo claro e indubitado. Se puede discutir sobre
ello. Esta parte, puede llegar a aceptar, que si la Agencia así lo considera, no esté justificado
el tratamiento en atención a ese juicio de proporcionalidad entre el interés de la Entidad y los
derechos de los empleados, pero otra cosa muy distinta es imponer una sanción.?
- No responde a la situación alegada, que se presentaba en el momento de la instauración del
reconocimiento facial, la de la extraordinaria y grave situación sanitaria que ponía en peligro la
vida y la salud de los trabajadores. Reitera la importancia del desempeño de las funciones de
los empleados cuando la gente pasaba mas tiempo que nunca en sus casas y que resultaron
muchos empleados afectados, queriendo con ello evitar que tuvieran que controlar la jornada
con el lector de huellas.
-Falta de culpabilidad que se desprende de la situación extraordinaria y grave del periodo en
el que se instauró el sistema. Consideran que es inexistente. Además, en la resolución se
indica que es la primera resolución por uso de RF en el control de jornada laboral.
HECHOS PROBADOS
1) Con fecha 12/03/2020, la reclamada informa a sus 38 empleados a través de sus representantes
, que por la situación de coronavirus, va a implantar para el registro diario de jornada
laboral, el sistema de reconocimiento facial (RF). El 30/04/2020 la reclamada comunica su
instauración a partir de 6/05/2020. Antes de la declaración de la pandemia, en 1/03/2020, la
empresa tenía implantado el sistema de huella dactilar para el control del registro horario laboral
, en el trámite del cual había informado a las empleados que las tarjetas utilizadas anteriormente
, eran susceptibles de traspasarse para fichar entre empleados en nombre de otros
para la misma función. El cambio al RF, entre otros motivos, manifestó la reclamada, se hizo
por evitar el contacto con el lector de huella por la propagación de la COVID.
2) La reclamada es una entidad urbanística colaboradora de conservación constituida con
carácter obligatorio desde 1988, agrupando unos cuatro mil propietarios, en unas tres mil vi-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/40
viendas unifamiliares, formando una población de más de diez mil habitantes, según la reclamada
).
3) Los empleados de la reclamada prestan en algunos casos régimen de trabajo a turnos, o
servicios de urgencias con atención de 24 horas al día, y además, tareas típicas relacionadas
con el fin de las entidades de conservación urbanística: conservar la urbanización y el mantenimiento
de las dotaciones e instalaciones de los servicios públicos, a título de ejemplo: realización
de obras ordinarias y extraordinarias e instalaciones, labores como limpieza y vadeo
de calles, obras a conservar y mantener, pueden ser de vialidad (calzada, aceras, aparcamiento
y red peatonal), red de saneamiento (colectores, sumideros, depuradoras), de alcantarillado
, de suministro de agua (potable, para el riego, hidrantes contra el fuego), de suministro
de energía eléctrica (conducción, distribución y alumbrado público), y jardinería y arbolado en
parques, jardines y vías públicas, amueblamiento y mobiliario urbano, para su uso y disfrute,
titularidad pública de los Ayuntamientos de ***LOCALIDAD.1 y de ***LOCALIDAD.2 espacios
en cuyo ámbito se localiza la reclamada.
La reclamada adoptó el 31/03/2020, el acuerdo de registrar la jornada diaria laboral para
empleados de su entidad, mediante el uso de un sistema biométrico de RF, teniendo en
cuenta la expansión de la COVID-19, y en evitación de la proliferación de contagios entre los
trabajadores. Manifiesta en el traslado la reclamada, que el RF es ?el más adecuado para
garantizar la salud de los trabajadores?, ?efectivo y proporcional? sin documentación que
soporte dichas afirmaciones.
4) En el registro de actividades del tratamiento de la reclamada, figura: ?control horario por reconocimiento
facial? finalidad: ?control horario de empleados a través de reconocimiento facial?.
Legitimación: ?contrato laboral existente con los usuarios artículo 6. b) RGPD, obligación legal
de realizar el registro de la jornada laboral de los empleados (artículo 6.c), necesidad de
control de los trabajadores (artículo 6. f), cumplimiento a través del personal de las funciones
de interés público encomendadas: artículo 6.e)?
?Categorías de datos: minucias del rostro -sin salida del equipo de lectura-. Día y hora de
lectura nombre y apellidos del empleado?.
Cesión de datos: no se prevén salvo en su caso administración laboral y juzgados laboralessolo
datos reportados por el equipo-.
Periodo de conservación; mínimo cuatro años, máximo 10 años, los datos reportados por el
equipo de lectura. Minucias del rostro, son eliminados al cese de la relación laboral.
Medidas de seguridad: cifrado de las minucias del rostro y conservación de los datos estanca
en el equipo.?
5) El dispositivo que utiliza la reclamada lo adquirió el 30/03/2020, según su manual, diseñado
para control presencial y acceso facial, SAFIER, modelo SF-AC3062KEMR-IP, fabricado
en China ? 1.600 caras, 2.500 tarjetas y 50.000 registros, TCP/IP, USB y WIFI, controladora
integrada, Software Safire Control Center AC, tiempo reconocimiento , cámara 2 MP con doble sensor de reconocimiento facial, pantalla 5 LCD táctil, un coste de
375 euros. Figura como opciones, las de incorporar una foto como cara, realizar una foto des-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/40
de el software o capturar rostros desde el dispositivo de control de accesos, con objeto de verificar
si el dispositivo de reconocimiento facial administrado en el software puede reconocer la
cara desde la foto. La imagen del dispositivo que aporta la reclamada es un terminal de reconocimiento
facial en el que se indica que ?adopta algoritmos de aprendizaje profundo, que
contribuyen a reconocer la cara más rápido y con más certeza?. También soporta modos de
autenticación múltiples: 1:N face match, IC card autenthication, etc.
El dispositivo para el reconocimiento facial, está instalado en un ordenador protegido con
contraseña, al que solo tiene acceso una persona, estando los datos biométricos encriptados,
no siendo extraíbles. El dispositivo que lleva dentro su propio software hace la propia
extracción de puntos de referencia de la cara tras hacer la fotografía y crea un patrón. El
dispositivo dispone de un solo lector. Proporciona al ordenador de la reclamada informes
sobre hora, fecha y empleado en cada ocasión que entra y o sale , para lo cual tiene que
pasar por la habitación en la que se produce la captura de la imagen.
6) Técnicamente, de la información extraída del expediente, por comunicación de reclamada
a reclamante, manifestaciones de la reclamada, y documentos aportados, el sistema de RF
con fines de registro diario de jornada laboral consiste en un dispositivo colocado en una
habitación frente al que los empleados presentan la cara y a través del RF, registra la hora,
fecha y nombre y apellidos del empleado.
El sistema del software funciona extrayendo imágenes bidimensionales del rostro, no
conserva imágenes o fotografías del rostro, sino que traduce la toma de la fotografía que la
empresa les hizo presencialmente a los empleados a una plantilla, con las características de
los parámetros capturados, plantilla que se guarda en el equipo o sistema vinculada con el
nombre y apellidos del empleado. Cuando se captura una muestra biométrica de la persona,
al entrar o salir del trabajo, la compara con las plantillas registradas y da como resultado la
hora, fecha y el nombre y empleado de la persona que entra o sale del turno de jornada. En
cada ocasión que el empleado ha de hacer una interrupción de la jornada, debe volver a
entrar en la habitación y presentar la cara para su registro. Los datos tratados se encuentran
en los servidores de la entidad. De acuerdo con la reclamada, los datos registrados se
almacenen en el mismo dispositivo en el que tiene lugar el registro.
7) La reclamada no ha aportado a la AEPD la evaluación de impacto del tratamiento de datos
biométricos de RF para el registro de la jornada diaria laboral de sus empleados, alegando
que no trata datos biométricos de carácter especial porque no identifican de manera univoca a
una persona.
8) Sobre información a los afectados de la recogida y tratamiento de sus datos, conteniendo
la finalidad, base legitimadora y ejercicio de derechos derivados del tratamiento de reconocimiento
facial para el registro diario de jornada laboral, manifestó la reclamada que se informó
en una reunión del personal y cuando pasaron a hacerse la foto. Figura que la reclamada, en
documento 6 aportado por la reclamante, el 30/04/2020, le informa de la implantación del RF:
?Este sistema funciona a partir de la identificación de un porcentaje de características extraídas
del rostro, sin tomar una imagen en tres dimensiones de las caras, entendemos que esta
medida es menos invasiva que la grabación del momento del fichaje por cámara, que además
suponía el contacto físico con un lector de tarjeta compartido. El fin único de estos datos
es el fichaje de personal y análisis de los tiempos de trabajo para el cumplimiento del decreto
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/40
ley 8/2019, con objeto de analizar los datos en toma de decisiones y la defensa de sus interese
legítimos?. ?Estos datos se encontrarán en los servidores de esta entidad, en ningún caso
en la nube?. Con ocasión de la implantación del anterior sistema de huella dactilar para lo mismos
fines, las partes habían intercambiado escritos sobre el uso, fines e información y constaba
la disconformidad de la reclamante con el sistema.
9) Con fecha 17/09/2021, en alegaciones al acuerdo, la reclamada indicó que ?se ha vuelto
al sistema de fichaje por tarjeta? desde que recibió el acuerdo de inicio, aportando una factura
de adquisición de dichos elementos.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de
control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora de la
Agencia Española de Protección de Datos es competente para iniciar y para resolver este
procedimiento.
II
Es objeto de valoración en este procedimiento el ajuste normativo que se analiza en cuanto
al sistema de RF para el registro diario de jornada laboral que la reclamada reconoce ha
implantado y usado desde 6/05/2020, hasta recibir el acuerdo de inicio, con la finalidad de
tratar los datos de los 38 empleados de su entidad para el registro diario de la jornada laboral,
obligación impuesta en el artículo 34.9 del Texto Refundido de la Ley del Estatuto de los
Trabajadores, aprobado por Real Decreto Legislativo 2/2015, de 23/10 (ET).
No se trata en puridad del primer tipo de reclamación que por esta técnica tan novedosa ha
tenido entrada en esta AEPD, habiendo sido ya resueltas algunas. Sin embargo, si se trata
de la primera relacionada con el tratamiento de datos como entidad empleadora que decide
utilizar el registro y almacenamiento de datos originados por el RF para la finalidad de registro
diario de jornada laboral.
El ámbito de aplicación del RGPD extiende su protección, tal y como establece su artículo 1.2,
a los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho
a la protección de los datos personales, definidos en su artículo 4.1 como ?toda información
sobre una persona física identificada o identificable («el interesado»); se considerará persona
física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente,
en particular mediante un identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o varios elementos
propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de
dicha persona.?
El derecho y la titularidad de los datos personales que cada persona reconocido en el artículo
18.4 de la Constitución Española, fue interpretado en la sentencia del Tribunal constitucional
292/2000 precisando que:
?Este derecho fundamental a la protección de datos ? atribuye a su titular un haz de
facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/40
realización u omisión de determinados comportamientos cuya concreta regulación debe
establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática,
bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien
regulando su ejercicio (art. 53.1 CE). ?
? el derecho fundamental a la protección de datos persigue garantizar a esa persona un
poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de
impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. ? El derecho a la
protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Esta
garantía impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa
información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan
derivarse del acceso o divulgación indebidas de dicha información. Pero ese poder de
disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos
son los que se poseen por terceros, quiénes los poseen, y con qué fin. ?
Como tipos específicos, los datos biométricos quedan definidos en el artículo 4.14 del RGPD:
«datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico,
relativos a las características físicas, fisiológicas o conductuales de una persona física que
permitan o confirmen la identificación única de dicha persona, como imágenes faciales o
datos dactiloscópicos;
Para considerarse datos biométricos en el sentido del RGPD, el tratamiento de datos sin procesar
, como las características físicas, fisiológicas o conductuales de una persona física deben
implicar una medición de dichas características. Dado que los datos biométricos son el
resultado de tales mediciones, el RGPD indica en su artículo 4, apartado 14, que son datos
personales «[?] obtenidos a partir de un tratamiento técnico específico, relativos a las características
físicas, fisiológicas o conductuales de una persona física que permitan o confirmen
la identificación única de dicha persona [?]»Así pues, del concepto, no hay que perder de vista
:
-La naturaleza de los datos: datos relativos a las características físicas, fisiológicas o
conductuales de una persona física;
- Los medios y las formas de tratamiento: datos «obtenidos a partir de un tratamiento
técnico específico»; lo que diferencia por ejemplo de las imágenes de una persona que figuran
en un sistema de videovigilancia, que no pueden considerarse datos biométricos si no se
han tratado técnicamente de una forma especifica con el fin de contribuir a la identificación
única de esa persona. El considerando 51 del RGPD también se refiere a la no consideración
sistemáticamente como un tratamiento de categoría especial de datos, a las fotografías, a menos
que se les aplique un medio de tratamiento técnico especifico que ?permita la identificación
o la autentificación unívocas de una persona física?.
- La finalidad del tratamiento: los datos se deben utilizar para la finalidad de identificar
de manera unívoca a una persona física.
Los datos biométricos presentan la particularidad de ser producidos por el propio cuerpo y lo
caracterizan definitivamente, son datos no sobre esa persona, sino que los datos refieren a la
misma persona, en principio no modificables por voluntad del individuo, ni la persona puede
ser liberada de ellos, no se pueden cambiar en caso de compromiso-pérdida o intrusión en el
sistema. Además, debido a que los datos biométricos son propios de una persona y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/40
perpetuos, el usuario utiliza los mismos datos en diferentes sistemas. Por lo tanto, un robo de
identidad no solo es perpetuo en el tiempo, sino que afecta a todos los sistemas en que un
usuario tenga almacenados sus datos biométricos. El titular por lo tanto, no tiene la posibilidad
de utilizar un dato biométrico para el banco, y uno diferente para su sistema de salud, sino
que utiliza la misma información para verificar su identidad en ambos, y frente a una
vulnerabilidad se ven afectados todos ellos al mismo tiempo. Finalmente, el interesado no se
entera de que su información esta siendo utilizada, pudiéndose obtener a través de objetos,
rastros o cámaras de vigilancia.
También de partida, hay que destacar la nota del carácter restrictivo, pues por principio, su
tratamiento está prohibido y solo pueden tratarse con carácter excepcional, en determinados
supuestos que se contemplan en el RGPD, que prevé unos estrictos requisitos para
posibilitar finalmente la puesta en funcionamiento de tales sistemas, debido a la afectación a
los derechos y libertades fundamentales, por los riesgos que puede entrañar el contexto de su
tratamiento, y que como señala el Considerando 51 del RGPD:? Tales datos personales no
deben ser tratados, a menos que se permita su tratamiento en situaciones específicas
contempladas en el presente Reglamento, habida cuenta de que los Estados miembros
pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar
la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal
o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de
ese tratamiento, deben aplicarse los principios generales y otras normas del presente
Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se
deben establecer de forma explícita excepciones a la prohibición general de tratamiento de
esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé
su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el
tratamiento sea realizado en el marco de actividades legítimas por determinadas
asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades
fundamentales.?
El Considerando (52) ?Asimismo deben autorizarse excepciones a la prohibición de tratar
categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de
los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos
personales y otros derechos fundamentales, cuando sea en interés público, en particular:
- el tratamiento de datos personales en el ámbito de la legislación laboral,
- la legislación sobre protección social, incluidas las pensiones y
-con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de
enfermedades transmisibles y otras amenazas graves para la salud. (...)?
III
La reclamada ha tratado datos de carácter personal, y específicamente datos biométricos. El
concepto de tratamiento El RGPD define en su artículo 4:
?2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no,
como la recogida, registro, organización, estructuración, conservación, adaptación o
modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/40
cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o
destrucción;
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad
pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del
tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y
medios del tratamiento, el responsable del tratamiento o los criterios específicos para su
nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
La definición de dato biométrico alude a ?tratamiento técnico?, sin especificar, excepto para
reseñar que el propósito de dicho tratamiento debe ser identificar a una persona. Las
características biométricas se someten a un tratamiento técnico mediante un proceso que se
contiene en todos los tratamientos de datos biométricos: captura o registro de datos,
almacenamiento o procesamiento y última fase de comparación.
Las fotografías de los empleados se capturan obteniendo una imagen, de la que se extraen
las características a través del algoritmo, que forma parte del software del dispositivo de la
reclamada. Estas características-vectores faciales, las llama la reclamada- son las medidas
del posicionamiento y mediciones relativas de referencia (puntos nodales distancia: entre los
ojos, forma de pómulos?) que recoge de cada imagen en cada individuo y el punto de
partida natural para el tratamiento y reconocimiento automático de los individuos. La
extracción de características es la que proporciona información para distinguir entre las caras
de las diferentes personas según sus variaciones geométricas o fotométricas.
Se reduce la imagen bruta de las características biométricas, transformándose,
conservándose información discriminada destacada que es esencial para el reconocimiento
de la persona. Estas características extraídas se mantienen en una plantilla biométrica, que
es una forma de representación matemática reducida de la característica original. La plantilla
de referencia se almacena para su comparación. En la última fase, se comparará una muestra
biométrica-como la cara- presentada al sensor con una plantilla previamente grabada. Las
fases se avienen con la enumeración de lo que podría ser una operación de tratamiento de
datos (recogida, almacenamiento, uso). El funcionamiento de la huella dactilar es similar, con
matices no destacables por cuanto no varían en lo fundamental el modo de funcionamiento.
La no referencia a su valoración en este procedimiento no puede ser valorada como pretende
la reclamada en sus alegaciones.
En cuanto a que solo identifica a los pertenecientes al grupo de empleados, no es razón para
no considerarse dato biométrico, que están dirigidos a que a las personas físicas se la
identifique con los datos generados a partir de la extracción de sus características
biométricas.
En cuando a la consideración de datos biométricos como datos especiales, hay que tener en
cuenta que en las propuestas sobre el paquete de reforma de la Protección de Datos, que
desembocó en la aprobación el RGPD, la Comisión Europea, solo añadió a la lista de datos
sensibles, los datos genéticos. Fue el Parlamento Europeo quien añadió a la lista de datos
sensibles, los biométricos, cuando votó la propuesta del RGPD el 14/03/2014, a pesar de que
algunas autoridades nacionales sugirieron por su naturaleza especifica añadirlos a la lista de
datos sensibles.
Por un lado, la definición de datos biométricos incluye que a través del tratamiento técnico
especifico, ?permitan o confirmen? ?la identificación única? de dicha persona. Las menciones a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/40
?permitan? pueden entenderse a la identificación, la de ?confirmen? a la verificación. Por tanto,
ambas, identificación o autenticación han de ser únicas, referidas a la identificación que se
produzca de la persona . La identificación única por otro lado, va mas allá de que el dato sea
de una persona física identificada o identificable. Dato de persona física identificada es que
esa persona se la distingue o aisla de un grupo de personas. Único, puede referirse a que los
datos biométricos tienen tales particularidades que pueden identificar sin ambigüedades a un
individuo
Las diferencias entre los términos identificación-autenticación se refieren al modo de
búsqueda en los registros almacenados y al ingreso previo del registro, según se desprende
del Dictamen 3/2012, del GT 29, de 27/04/2012, sobre la evolución de las tecnologías
biométricas, momento en que los datos biométricos no gozaban de la categoría de
?especiales? que introduce el RGPD y no se aludía por tanto al termino ?dirigidos a la
identificación unívoca?. El dictamen diferenciaba entre:
?Identificación biométrica: la identificación de un individuo por un sistema biométrico es
normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la
identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es
decir, un proceso de búsqueda de correspondencias uno-a-varios).
Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico
es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el
momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo
(es decir, un proceso de búsqueda de correspondencias uno-a-uno).?
El considerando 51 señala que ?El tratamiento de fotografías no debe considerarse
sistemáticamente tratamiento de categorías especiales de datos personales, pues
únicamente se encuentran comprendidas en la definición de datos biométricos cuando el
hecho de ser tratadas con medios técnicos específicos permita la identificación o la
autenticación unívocas de una persona física. Tales datos personales no deben ser tratados,
a menos que se permita su tratamiento en situaciones específicas contempladas en el
presente Reglamento?.
El artículo 9.1 junto a la prohibición de tratamiento indica que lo son, los ?dirigidos a identificar
de manera unívoca a una persona física?, lo que indica que los datos biométricos, por
naturaleza, no son sensibles, sino dependerá del uso o contexto en que se utilicen, las
técnicas empleadas para su tratamiento, y la consiguiente injerencia en el derecho a la
protección de datos.
Técnicamente, la plantilla biométrica contra la que se coteja la muestra, es el producto de
una medición que identifica unívoca y únicamente al individuo. Esto es lo que por ejemplo
diferencia las imágenes visionadas de una videocámara que no pueden ser consideradas
dato biométrico bajo la definición del artículo 9 si no son específicamente tratadas con un
medio técnico para contribuir a la identificación de una persona.
Los datos biométricos de cada empleado, adquiridos en el momento de su captación se
relacionan con el nombre y apellidos del empleado que los registra, para someterlos al
procedimiento técnico que convierte la imagen, el formato, en muestra biométrica y el
algoritmo en plantilla biométrica, almacenándose, para que con las muestras introducidas al
fichar, se comparan con la serie de plantillas biométricas almacenadas en la base de datos,
es decir, la comparación no se produce con una única plantilla biométrica almacenada en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/40
dispositivo. El reconocimiento facial no solo es capaz de validar la identidad de forma precisa,
sino que tiene información única sobre personas físicas. El algoritmo del software, sobre la
muestra biométrica, extrae las características biométricas, reduce y transforma en etiqueta o
números esa muestra, constituyendo una representación matemática de la característica
biométrica original, que es la plantilla biométrica. La plantilla se almacena para su
comparación en la ultima fase en la cual con la muestra biométrica-cara-y con la plantilla
previamente grabada, está identificando unívocamente al empleado, en cada ocasión que
entra o sale prestando su cara al dispositivo, por lo que se considera que los datos entran
dentro del ámbito de los datos especiales.
En el presente caso, desde luego, no puede hablarse de que no se trata información ligada a
datos personales de una persona identificada en cada registro horario, aunque los datos se
guarden en el dispositivo cifrados/encriptados. Cada vez que un empleado se sitúa frente a la
cámara, permite o confirma su identificación única a través del tratamiento que lleva a cabo el
reclamante con el dispositivo adquirido. La muestra presentada se compara y el sistema tiene
la función de identificación con una función biométrica, identificando únicamente al empleado
que dice ser y registrando sus datos. Sobre la alegación de que el sistema solo toma
?posición o dimensiones del rostro que no permiten reconstruir el rostro de la persona, las
cuales podrían coincidir en otras muchas personas por lo que no permiten la identificación
inequívoca del sujeto, mas que dentro de un grupo reducido de personas como es el personal
de la entidad? ?no se guardan datos identificativos inequívocos de ningún trabajador?, se debe
señalar que si no permitieran la identificación inequívoca del empleado no se produciría el
registro que se ha llevado a cabo, del cual la reclamada no ha dado cuenta de ninguna
irregularidad en los registros llevados a cabo con su sistema, o no hubiera superado el
umbral de aceptación del dispositivo y no accedería con la consiguiente falta de anotación,
como sucede si no se corresponde el patrón registrado. Por lo demás, se ha detallado el
funcionamiento consistente en la transformación técnica del rasgo biométrico que permite la
identificación unívoca aunque sea dentro del reducido grupo de empleados.
Sobre la incorporación del manual de usuario, del que se le envió copia completa, no se
puede acoger la alegación de la falta de certeza, ya que es reflejo de las especificaciones
que se detallan en los folletos que la reclamante envía, sin que la reclamada haya aportado el
que si considera cierto o veraz. Las especificidades señaladas en el manual coinciden con los
detalles que da del sistema autónomo que utiliza como software y que constan en los folletos
enviados en pruebas por la reclamada. La tecnología disponible juega un papel determinante
en la identificación de la persona (considerando 26 del RGPD) y por ello se ha de mencionar
y traer al caso dicho manual, aunque sea para apreciar sus características generales. Sobre
la falta de peritaje que verifique que el sistema funciona como manifiesta la reclamada, no se
puede discutir que inicialmente se toma una fotografía del empleado, identificando con sus
datos de empleado correlacionando su plantilla, siendo cierto que es sobre la imagen
procesada sobre la que se produce a través de su captura una muestra biométrica y una
plantilla, no existiendo divergencias en cuanto a su consideración, que supone per se un
tratamiento de datos.
IV
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/40
El artículo 7 de la Carta de Derechos Fundamentales prescribe que toda persona tiene
derecho al respeto a su vida privada, y el artículo 8.1 que toda persona tiene derecho a la
protección de datos de carácter personal que le conciernen. Interpretadas conjuntamente, se
infiere que puede constituir una vulneración de tales derechos cualquier tratamiento de datos
por parte de un tercero, en este caso la reclamada. Esta utilización de los datos de sus
empleados, cuya titularidad les corresponde, podría suponer una vulneración de su derecho a
la vida privada y a la protección de datos si no resultara justificada. El artículo 8.2 de la Carta
de Derechos fundamentales precisa que los datos de carácter personal solo pueden ser
tratados con el consentimiento del interesado o en virtud de otro fundamento legitimo previsto
por Ley. Además, los artículos 7 y 8 de la carta no son absolutos, admitiendo limitaciones,
siempre que estén previstas por la Ley, respeten el contenido esencial de esos derechos y
con observancia del principio de proporcionalidad, sean necesarias y respondan
efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de
protección de los derechos y libertades de los demás (Sentencia del Tribunal de Justicia de la
Unión Europea, sala cuarta, sentencia de 15 de octubre del 2013, C/291/2012.). Estos
aspectos por lo demás, se reiteran en relación con los derechos fundamentales, en el art.
52.1 in fine de la Carta de los Derechos Fundamentales de la UE.
Se imputa a la reclamada la infracción del artículo 9.2.b) del RGPD.
El artículo 9.1 del RGPD, indica:
? Tratamiento de categorías especiales de datos personales?
1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o
racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y
el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca
a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la
orientación sexual de una persona física.?
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias
siguientes:
[?]?
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de
derechos específicos del responsable del tratamiento o del interesado en el ámbito del
Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el
Derecho de la Unión o de los Estados miembros o un convenio colectivo con arreglo al
Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los
derechos fundamentales y de los intereses del interesado;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente,
para dar su consentimiento;
[?]?
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del
Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo
perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas
adecuadas y específicas para proteger los intereses y derechos fundamentales del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/40
interesado;
Pero tratándose de datos biométricos, además de levantar la prohibición sobre su tratamiento,
debe contener una de las bases jurídica legitimadoras del tratamiento contenidas en el
artículo 6.1 del RGPD. El derecho fundamental a la protección de los datos, previsto en el
artículo 18.4 de la CE, se sustenta, por lo que hace al caso, sobre el principio esencial que el
tratamiento de datos de su titular, ?solo será licito si se cumple al menos una? de las
condiciones que prevé el artículo 6.1.a) a f) del RGPD, partiendo de la base de que cualquier
tratamiento de esos datos restringe derechos de su titular por el mero hecho de sufrir dicho
tratamiento, momento a partir del cual cada vez va a ser identificado con este mecanismo.
La reclamada alude en su registro de tratamiento a tres bases de legitimación, que procede
examinar separadamente:
- ?el tratamiento es necesario para la ejecución de un contrato en el que el interesado es
parte o para la aplicación a petición de este de medidas precontractuales;? art 6.1. b) RGPD,
añadiendo que también concurre la del artículo 6.1.c) del RGPD ?El tratamiento es necesario
para el cumplimiento de una obligación legal aplicable al responsable del tratamiento?.
La obligación legal del registro de jornada laboral no deriva de obligaciones asumidas entre
las partes sino de normativa legal contenida en el artículo 34.9 del ET, que prevé:
?La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de
inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la
flexibilidad horaria que se establece en este artículo.
Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del
empresario previa consulta con los representantes legales de los trabajadores en la empresa,
se organizará y documentará este registro de jornada.
La empresa conservará los registros a que se refiere este precepto durante cuatro años y
permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de
la Inspección de Trabajo y Seguridad Social.?
Para el control mediante el registro diario de jornada laboral de cada empleado, es necesario
tratar sus datos. Diferente es el análisis de la necesidad y proporcionalidad en el medio
elegido, para lo cual, se podría considerar que existen sistemas alternativos.
El Grupo de Trabajo del artículo 29, GT29 (adoptado el 8/06/2017) (creado en virtud del
artículo 29 de la Directiva 95/46/CE, órgano consultivo independiente europeo en materia de
protección de datos y derecho a la intimidad, cuyos cometidos se describen en el artículo 30
de la Directiva95/46/CE y en el artículo 15 de la Directiva 2002/58/CE, asumidos hoy día por
el Comité Europeo de Protección de Datos, CEPD), en su Dictamen 3/2012 sobre la evolución
de las tecnologías biométricas, indica que ?Al analizar la proporcionalidad de un sistema
biométrico propuesto, es preciso considerar previamente si el sistema es necesario para
responder a la necesidad identificada, es decir, si es esencial para satisfacer esa necesidad,
y no solo el más adecuado o rentable. Un segundo factor que debe tenerse en cuenta es la
probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz
de las características específicas de la tecnología biométrica que se va a utilizar. Un tercer
aspecto para ponderar es si la pérdida de intimidad resultante es proporcional a los beneficios
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/40
esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero
ahorro, entonces la pérdida de intimidad no es apropiada. El cuarto aspecto para evaluar la
adecuación de un sistema biométrico es considerar si un medio menos invasivo de la
intimidad alcanzaría el fin deseado?.
Debe considerarse que en este caso, previamente a la instauración del RF, la entidad contaba
con tarjetas para el control de jornada, si bien no parece haber analizado otras alternativas de
uso para dicho fin.
- Otra base de legitimación que da la reclamada es la ?necesidad del control de los
trabajadores?, 6.1 f) del RGPD, cuando el RGPD define ese artículo, como: ?el tratamiento es
necesario para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses
o los derechos y libertades fundamentales del interesado que requieran la protección de
datos personales, en particular cuando el interesado sea un niño.?, extremo que de todos
modos no desarrolla ni desarrolla el balance de la prevalencias de derechos e intereses,
debiéndose añadir que esta base jurídica no aplica conforme continua la redacción del citado
precepto ?? al tratamiento realizado por las autoridades públicas en el ejercicio de sus
funciones.?, considerando que como entidad pública realiza por delegación dichas funciones.
- Finalmente, el ?cumplimiento a través del personal de las funciones de interés público
encomendadas?, artículo 6.1.e) del RGPD, que en realidad indica: ?e) el tratamiento es
necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de
poderes públicos conferidos al responsable del tratamiento?, no resultaría tampoco aplicable,
ya que el artículo 8.2 de la LOPDGDD establece que el tratamiento de datos personales solo
podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o
en el ejercicio de poderes públicos conferidos al responsable, cuando derive de una
competencia atribuida por una norma con rango de ley.
Así pues, la única base que podría ser de aplicación sería la 6.1.c).
Sin embargo, acudiendo al levantamiento de la prohibición que prevé el tratamiento de los
datos biométricos, el artículo 9.2.b) del RGPD que es el que guarda relación con el ámbito
laboral, determina que:
-el tratamiento ha de ser necesario para dicho cumplimiento,
-en la medida en que así lo autoricen los Estados Miembros,
- o un Convenio Colectivo también con arreglo al derecho de los Estados miembros, que
establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses
del interesado.
Estos son requisitos cumulativos que suponen una garantía adicional en el tratamiento de datos
de su titular, que tiene en cuenta que si la consecución de los fines previstos puede realizarse
sin tratamiento de datos personales, será preferible esta vía y supondrá que no es necesario
llevar a cabo tratamiento alguno de datos, y subsidiariamente, que la recogida de datos
sea necesaria para la finalidad establecida o pretendida y si lo fuera, que sea proporcional.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/40
En todo caso, en estos tratamientos, se debe ser muy cauteloso en la valoración que se
efectué sobre si se reúnen dichos requisitos, ya que se están tratando datos especiales.
Subsidiariamente, señala la reclamada, otros literales del artículo 9.2 del RGPD, ninguno de
ellos alcanza a levantar la presunción de la prohibición del tratamiento de datos biométricos,
por:
- el artículo 9.2.g): ?tratamiento es necesario por razones de un interés público
esencial?, pues un interés público no legitima cualquier tipo de tratamiento de datos
personales, sino que deberá estarse, en primer lugar, a las condiciones que haya podido
establecer el legislador, tal como prevé el propio artículo 6 del RGPD, en sus apartados 2 y 3,
así como a los ya citados principios del artículo 5 del RGPD, especialmente a los de limitación
de la finalidad y minimización de datos. En este caso, no hay ninguna norma que prevea la
declaración de interés publico esencial en el tratamiento de los datos de imágenes faciales
para el registro laboral, ni las garantías que debería llevar con esa declaración.
-que el ?tratamiento es necesario para fines de medicina preventiva o laboral?, que no
guarda relación alguna con la instalación del dispositivo para los registros, dentro de un
contexto de pandemia en el que no se suspende el derecho de protección de datos,
disponiendo la normativa de protección de datos personales y la sectorial aplicable de una
regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza
para el bien común.
Así, se concluye que la causa de legitimación para realizar el control horario de la jornada
laboral diaria, sólo alcanza a la obligación de realizarla, pero no a realizarla utilizando datos
biométricos, y su uso, sin causa de excepción para el tratamiento, como se ha acreditado,
supone la infracción del artículo 9.2.b) del RGPD.
V
El incumplimiento del artículo 9.2.b) del RGPD de la reclamada, aparece descrito en el artículo
83.5.a) del RGPD, con la referencia:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de
una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total
anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento
a tenor de los artículos 5, 6, 7 y 9;?
La LOPDGDD establece en su artículo 72.1.e) de la LOPDGDD:
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran
muy graves y prescribirán a los tres años las infracciones que supongan una vulneración
sustancial de los artículos mencionados en aquel y, en particular, las siguientes?
?e) El tratamiento de datos personales de las categorías a las que se refiere el artículo 9
del Reglamento (UE) 2016/679, sin que concurra alguna de las circunstancias previstas en
dicho precepto y en el artículo 9 de esta ley orgánica.?
VI
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/40
El Dictamen 2/2017 sobre el tratamiento de datos en el trabajo, del GT 29, establece que
?Independientemente de la base jurídica de dicho tratamiento, antes de su inicio se debe
realizar una prueba de proporcionalidad con el fin de determinar si el tratamiento es
necesario para lograr un fin legítimo, así como las medidas que deben adoptarse para
garantizar que las violaciones de los derechos a la vida privada y al secreto de las
comunicaciones se limiten al mínimo
Desde que en los años 90 del pasado siglo nuestro Tribunal Constitucional adoptó el
denominado ?test alemán? en el examen del principio de proporcionalidad, es una constante
en su jurisprudencia, que las medidas que afecten a derechos fundamentales, deben ser
idóneas o adecuadas, necesarias y proporcionadas en sentido estricto.
El apartado 72, de las Directrices 3/2019 sobre el tratamiento de datos personales mediante
dispositivos de video, de 29 de enero del 2020, del CEPD, indica: ?El uso de datos
biométricos y, en particular, del reconocimiento facial conllevan elevados riesgos para los
derechos de los interesados. Es fundamental que el recurso a dichas tecnologías tenga
lugar respetando debidamente los principios de licitud, necesidad, proporcionalidad y
minimización de datos tal y como establece el RGPD. Aunque la utilización de estas
tecnologías se pueda percibir como particularmente eficaz, los responsables del tratamiento
deben en primer lugar evaluar el impacto en los derechos y libertades fundamentales y
considerar medios menos intrusivos de lograr su fin legítimo del tratamiento. ? Es decir,
habría que responder la cuestión de si esta aplicación biométrica es algo que realmente es
imprescindible y necesaria, o es solo ?conveniente?.
El dictamen 3/2012, sobre la evolución de las tecnologías biométricas de 27/04/2012, del GT
29, indica que: ?Al analizar la proporcionalidad de un sistema biométrico propuesto, es
preciso considerar previamente si el sistema es necesario para responder a la necesidad
identificada, es decir, si es esencial para satisfacer esa necesidad, y no solo el más
adecuado o rentable. Un segundo factor que debe tenerse en cuenta es la probabilidad de
que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las
características específicas de la tecnología biométrica que se va a utilizar. Un tercer aspecto
para ponderar es si la pérdida de intimidad resultante es proporcional a los beneficios
esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero
ahorro, entonces la pérdida de intimidad no es apropiada. El cuarto aspecto para evaluar la
adecuación de un sistema biométrico es considerar si un medio menos invasivo de la
intimidad alcanzaría el fin deseado?.
Estas valoraciones requieren exhaustividad, partiendo en este caso, no solo de la
prohibición de tratamiento de estos datos, sino considerando los riesgos de usar una
tecnología intrusiva, los sesgos o la probabilidad de un error en la identificación, su
interoperabilidad, la suplantación de la identidad y el tipo de identidad única, permanente e
invariable que se tratan, su impacto en la privacidad de las personas, las implicaciones en
cuestión de derechos fundamentales de tales sistemas y las medidas de seguridad, Su uso
cada vez más extendido, e interconexión tecnológica es más probable que interfiera con
estos derechos fundamentales y puede dar lugar a vulneración grave de derechos.
Los responsables del tratamiento deben garantizar que la evaluación de la necesidad y la
proporcionalidad considere una evaluación exhaustiva de las opciones alternativas menos
intrusivas disponibles. Por consiguiente, se ha de documentar la viabilidad de otras opciones
alternativas disponibles que no requieran el uso de datos especiales, comparar todas las
opciones y documentar las conclusiones. Todo ello, considerando el contexto del marco en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/40
el que se traza el tratamiento, el cumplimiento de las obligaciones a través del registro de
jornada.
La necesidad implica que se requiere una evaluación combinada, basada en hechos, sobre
la eficacia de la medida para el objetivo perseguido y sobre si resulta menos intrusiva en
comparación con otras opciones para lograr el mismo objetivo
La necesidad no debe confundirse con utilidad del sistema. Puede que se facilite el no tener
que llevar una tarjeta, es automático e instantáneo y no excesivamente costoso.
Obviamente, un sistema de RF puede ser útil, pero no tiene por qué ser objetivamente
necesario (siendo esto último lo que realmente debe estar presente). Como establece el
dictamen 3/2012 sobre la evolución de las tecnologías biométricas- del GT 29-, debe
examinarse ?si es esencial para satisfacer esa necesidad, y no solo el más adecuado o
rentable?. En cuanto a la fiabilidad del sistema, hay que decir que cuanto mayor sea el
numero de sistemas de identificación que se basan en datos biométricos o en una plantilla
obtenida a partir de datos biométricos, mayor es el riesgo de que este dato pueda acabar
siendo utilizado de manera inadecuada y dando lugar a un riesgo de usurpación o
suplantación de identidad.
En cuanto a la producción de estos eventos de suplantación, la reclamada aportó un
ejemplo de un solo caso acontecido dos meses antes de implantar el primer medio de
control dactilar del horario. Se trata de un escrito de un empleado que no acredita
fehacientemente que se hubiera producido la citada suplantación en el uso de las tarjetas de
acuerdo con sus manifestaciones y la falta de un procedimiento basado en acreditar los
hechos, que no es aportado. La alegación de que no se considera proporcional el uso del
reconocimiento facial porque previamente utilizó el sistema de tarjeta, no es mencionada en
la propuesta. De todos modos se puede concluir que no se acreditan tales usos fraudulentos
por la mención de un caso, que como queda acreditado son unas declaraciones del
empleado. Aparte, se podría establecer un régimen sancionador interno que disuada y sea
efectivo por el uso fraudulento si fuera el caso de las tarjetas, no se justifica que el
tratamiento a través del RF sea necesario para el cumplimiento de las obligaciones en
materia laboral como lo es el registro de jornada laboral diaria establecido por Ley.
Mencionar de todos modos que se ha vuelto tras el acuerdo de inicio a ese sistema y se han
de analizar las opciones y alternativas antes de instaurar un sistema nuevo que supone una
exagerada limitación del derecho de cada empleado, cuando pueden existir medios menos
invasivos de la intimidad, y no optar por lo practico y cómodo cuando están en juego
derechos de sus titulares. También se deben considerar los riesgos del tratamiento, que
denotan una falta de consolidación plena de la confianza en el sistema, dados los pros y los
contras, siendo conocedores que los sistemas biométricos pueden ser burlados y ser
comprometidos sus datos e información, en formas relativamente fáciles. En este caso, el
tipo de actividad, común a muchas empresas, como es el registro de jornada, no puede dar
pie al tratamiento de datos especiales en bloque de colectivos, que no generan mas
ventajas o beneficios para el interés general que perjuicios sobre los bienes o valores en
conflicto. Se reitera que dada la finalidad que se pretende conseguir y los bienes jurídicos en
liza, el contexto en el que se produce, el tipo de actividad que desarrolla el reclamante, que
no entraña un riesgo importante a proteger o un bien jurídico supremo o prevalente, supone
que el tratamiento especializado que plantea no puede ceder para el registro de jornada,
incidiendo en el juicio de proporcionalidad, tal como reseña el Dictamen 3/12 sobre la
evolución de las tecnologías biométricas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/40
VII
Además, el sistema de responsabilidad proactiva implantado por el RGPD, enfocado a la
gestión continua de los riesgos potenciales asociados al tratamiento, impone a los
responsables del tratamiento que analicen que datos tratan, con que finalidades y que tipo
de tratamientos llevan a cabo, relacionando los potenciales riesgos a que están expuestos y
a partir de ahí, decidir que medidas toman y aplican para asegurar su cumplimiento en función
de los riesgos detectados y asumidos.
El tratamiento de RF presenta altos riesgos para los derechos y libertades fundamentales y
antes de implantar un proyecto de tratamiento de datos, siempre y cuando sea probable
que el mismo suponga un riesgo significativo para los derechos y libertades de las personas,
como es este caso, es preciso auditar su funcionamiento, no de forma aislada sino en el
marco del tratamiento concreto en que se va a emplear. La evaluación de impacto en la
protección de datos personales, EIPD, es la herramienta que en el RGPD se ocupa de la
garantía de cumplimiento de esta vertiente del tratamiento.
En este caso, se han de analizar los riesgos diversos que se pueden dar, incluyendo su
tecnología, en el marco de un uso cada vez más intensivo de este tipo de datos. Su uso,
interoperabilidad e interconexión tecnológica, es más que probable que interfiera con estos
derechos fundamentales y puede dar lugar a cuestionamientos sobre su implantación.
El RGPD establece la obligación de gestionar el riesgo que para los derechos y libertades
de las personas supone un tratamiento. Este riesgo surge tanto por la propia existencia del
tratamiento, como por las dimensiones técnicas y organizativas del mismo. El riesgo surge
por los fines del tratamiento y su naturaleza, y también por su alcance y el contexto en el
que se desenvuelve.
La utilización de datos biométricos y, en particular, el RF entraña mayores riesgos para los
derechos de los interesados. Es fundamental que el recurso a esas tecnologías se haga
respetando debidamente los principios de legalidad, necesidad, proporcionalidad y
minimización de los datos establecidos en el RGPD. Si bien el uso de estas tecnologías
puede percibirse como particularmente eficaz, los responsables deben, en primer lugar,
evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos
intrusivos para lograr su objetivo legítimo del tratamiento.
La ?aproximación basada en el riesgo? se desarrolla en el ?Statement on the role of a riskbased
approach in data protection legal frameworks WP218? del GT 29, WP218, y no es un
concepto novedoso en el marco de la protección de datos.
La gestión del riesgo para los derechos y libertades, tiene por objetivo el estudio del impacto
y la probabilidad de causar daño a las personas, a nivel individual o social, como
consecuencia de un tratamiento de datos personales. Por el contrario, la gestión de riesgo
de cumplimiento normativo tiene por objetivo facilitar al responsable una herramienta para
verificar el grado de cumplimiento de las obligaciones y preceptos exigidos legalmente con
relación a una actividad de tratamiento. Por lo tanto, previamente al proceso de gestión de
riesgos y como condición sine qua non para emprender una actividad de tratamiento, es
preciso sistematizar la verificación de cumplimiento normativo a lo largo de todo el ciclo de
vida del tratamiento. La complejidad del proceso de gestión de riesgo ha de ajustarse, no al
tamaño de la entidad, la disponibilidad de recursos, la especialidad o sector de la misma,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/40
sino al posible impacto de la actividad de tratamiento sobre los interesados y a la propia
dificultad del tratamiento.
El artículo 35 del RGPD cuya infracción se imputa a la reclamada, establece la obligación de
disponer de una Evaluación de Impacto en la Protección de los Datos Personales (EIPD),
señalando:
?1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías
, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y
libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento
, una evaluación del impacto de las operaciones de tratamiento en la protección de
datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento
similares que entrañen altos riesgos similares.
2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de
datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de
datos.
3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado
1 se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se
base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se
tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten
significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo
9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a
que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.
4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones de
tratamiento que requieran una evaluación de impacto relativa a la protección de datos de
conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a
que se refiere el artículo 68.
5. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento
que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad
de control comunicará esas listas al Comité.
6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control
competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas listas
incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios
a interesados o con la observación del comportamiento de estos en varios Estados
miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación
de datos personales en la Unión.
7. La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/40
tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del
tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento
con respecto a su finalidad;
c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se
refiere el apartado 1, y
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad
y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad
con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de
los interesados y de otras personas afectadas.
8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 por
los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar
las repercusiones de las operaciones de tratamiento realizadas por dichos responsables
o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de
datos.
9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes
en relación con el tratamiento previsto, sin perjuicio de la protección de intereses
públicos o comerciales o de la seguridad de las operaciones de tratamiento.
10. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga
su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique
al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento
o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto
relativa a la protección de datos como parte de una evaluación de impacto general en el
contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación
excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a
las actividades de tratamiento.
11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación
de impacto relativa a la protección de datos, al menos cuando exista un cambio del
riesgo que representen las operaciones de tratamiento.?
En desarrollo del párrafo 4, la Directora de la AEPD aprobó un listado no exhaustivo,
orientativo de los tipos de tratamiento que requieren una evaluación de impacto relativa a la
protección de datos, indicándose: ?En el momento de analizar tratamientos de datos será
necesario realizar una EIPD en la mayoría de los casos en los que dicho tratamiento cumpla
con dos o más criterios de la lista expuesta a continuación, salvo que el tratamiento se
encuentre en la lista de tratamientos que no requieren EIPD a la que se refiere en artículo
35.5 del RGPD. La lista se basa en los criterios establecidos por las ?DIRECTRICES
SOBRE LA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS
(EIPD) Y PARA DETERMINAR SI EL TRATAMIENTO «ENTRAÑA PROBABLEMENTE UN
ALTO RIESGO» A EFECTOS DEL RGPD?, revisadas por última vez y adoptadas el
4/10/2017, WP 248 rev.01 del GT 29 que los complementa y debe entenderse como una
lista no exhaustiva:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/40
?4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere
el artículo 9.1 del RGPD? o deducir información sobre las personas relacionada con categorías
especiales de datos.
5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de
manera única a una persona física .?
9. Tratamientos de datos de sujetos vulnerables??
En las mismas Directrices, se señala:
?Con el fin de ofrecer un conjunto más concreto de operaciones de tratamiento que requieran
una EIPD debido a su inherente alto riesgo, teniendo en cuenta los elementos particulares
del artículo 35, apartado 1, y del artículo 35, apartado 3, letras a) a c), la lista que debe
adoptarse a nivel nacional en virtud del artículo 35, apartado 4, y los considerandos 71, 75 y
91, y otras referencias del RGPD a operaciones de tratamiento que «probablemente entrañen
un alto riesgo», se deben considerar los nueve criterios siguientes:
?7. Datos relativos a interesados vulnerables (considerando 75): El tratamiento de este tipo
de datos representa un criterio debido al aumento del desequilibrio de poder entre los interesados
y el responsable del tratamiento, lo cual implica que las personas pueden ser incapaces
de autorizar o denegar el tratamiento de sus datos, o de ejercer sus derechos. Entre los
interesados vulnerables puede incluirse a niños (se considera que no son capaces de denegar
o autorizar consciente y responsablemente el tratamiento de sus datos), empleados?
La EIPD es un paso necesario para el tratamiento de datos, no siendo como se ha descrito,
el único exigible, es un presupuesto al que se debe añadir el resto de los requisitos legales
para el tratamiento, base legitimadora y respeto de los principios fundamentales del tratamiento
de datos previsto en el artículo 5 del RGPD.
Antes de implantar un sistema de RF, el responsable debe de valorar si hay otro sistema
menos intrusivo con el que se obtenga idéntica finalidad.
El tratamiento biométrico presenta, entre otros los siguientes riesgos, algunos de los cuales
se contemplan en el Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del
GT 29 de 27/04/2012:
-La definición del tamaño (cantidad de información) de la plantilla biométrica es una cuestión
crucial. Por una parte, el tamaño de la plantilla debe ser lo bastante grande para gestionar la
seguridad (evitando solapamientos entre los diferentes datos biométricos, o sustituciones de
identidad), y por otra, no deberá ser demasiado grande a fin de evitar los riesgos de
reconstrucción de los datos biométricos
-Riesgos que conlleva la utilización de datos biométricos para fines de identificación en
grandes bases de datos centralizadas, dadas las consecuencias potencialmente
perjudiciales parar las personas afectadas.
-No hace falta decir que toda pérdida de las cualidades de integridad, confidencialidad y
disponibilidad con respecto a las bases de datos sería claramente perjudicial para cualquier
aplicación futura basada en la información contenida en dichas bases de datos, y causaría
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/40
asimismo un daño irreparable a los interesados. Por ejemplo, si los datos registrados de una
persona autorizada se asociaran con la identidad de una persona no autorizada, esta última
podría acceder a los servicios de que dispone el propietario del dato, sin tener derecho a
ello. El resultado sería un robo de identidad, que (independientemente de su detección)
quitaría fiabilidad al sistema para futuras aplicaciones y, en consecuencia, limitaría su
libertad.
-La transferencia de la información contenida en la base de datos.
-Se puede crear la ilusión de que la identificación a través de la cara siempre es correcta,
por ello se debe incluir un análisis de los errores que se pueden producir en su uso,
medidores de evaluación del rendimiento, tasa de falsa aceptación- probabilidad de que un
sistema biométrico identifique incorrectamente a un individuo o no rechace a un individuo
que no pertenece al grupo, y tasa de falso rechazo o falso negativo: no se establece la
correspondencia entre una persona y su propia plantilla. Frente a las decisiones que afecten
jurídicamente a una persona, toda decisión que se adopte en base a ello, como podría ser
en sistemas de registro y control horario, la deducción de retribuciones por registro con el
sistema, que solo debería efectuarse salvaguardando los derechos y libertades y los
intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana
por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
-Vinculación: un gran número de servicios en línea permiten a los usuarios cargar una
imagen para vincularla con el perfil del usuario. El RF puede utilizarse para vincular los
perfiles de diferentes servicios en línea (a través de la imagen del perfil), pero también entre
el mundo en línea y fuera de línea. No está fuera de lo posible tomar una fotografía de una
persona en la calle y determinar su identidad en tiempo real buscando en estas imágenes de
perfil público. Servicios de terceros también pueden rastrear fotografías de perfil y otras
fotografías públicamente disponibles para crear grandes colecciones de imágenes a fin de
asociar una identidad del mundo real con tales imágenes. Este impacto aumenta con el
creciente despliegue de estas tecnologías. Cada individuo puede figurar en uno o varios
sistemas biométricos.
-Deben adoptarse medidas de seguridad con motivo del tratamiento de datos biométricos
(almacenamiento, transmisión, extracción de características y comparación, etc.) y sobre
todo si el responsable del tratamiento transmite esos datos a través de Internet. Las
medidas de seguridad podrían incluir, por ejemplo, la codificación de las plantillas y la
protección de las claves de codificación aparte del control del acceso y una protección que
convierta en virtualmente imposible la reconstrucción de los datos originales a partir de las
plantillas. Adicionalmente, uso de máscaras realistas o de uso de fotos para intentar
engañar al sistema, siempre en conexión con los avances y el estado de la técnica.,
teniendo en cuenta que los sistemas biométricos más eficaces a la hora de reconocer a una
persona son también los más potencialmente vulnerables
En cuanto a las garantías a implementar que se han de contener en la EIPD, la Guía ?La
protección de datos en las relaciones laborales? de la AEPD contempla, a título de referencia
diez aspectos que se pueden tener en cuenta.
Asimismo, el documento de trabajo sobre biometría, adoptado el 1/08/2003 del GT29, opina
que los sistemas biométricos relativos a características físicas que no dejan rastro (por
ejemplo la forma de la mano, pero no las huellas digitales) o los sistemas biométricos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/40
relativos a características físicas que dejan rastro pero no dependen de la memorización de
los datos poseídos por una persona distinta del interesado (en otras palabras, los datos no
se memorizan en el dispositivo de control de acceso ni en una base de datos central) crean
menos riesgos para la protección de los derechos y libertades fundamentales de las
personas (Se pueden distinguir los datos biométricos que se tratan de manera centralizada
de los datos de referencia biométricos que se almacenan en un dispositivo móvil y el
proceso de conformidad se realiza en la tarjeta y no en el sensor o cuando éste forma parte
del dispositivo móvil).
-Se acepta generalmente que el riesgo de reutilización de datos biométricos obtenidos a
partir de rastros físicos dejados por personas sin darse cuenta (por ejemplo: huellas
digitales) para fines incompatibles es relativamente bajo si los datos no están almacenados
en bases de datos centralizadas, sino en poder de la persona y son inaccesibles para
terceros. El almacenamiento centralizado de datos biométricos incrementa asimismo el
riesgo del uso de datos biométricos como llave para interconectar distintas bases de datos,
lo cual podría permitir obtener perfiles detallados de los hábitos de una persona tanto a nivel
público como privado. Además, la cuestión de la compatibilidad de los fines nos lleva a la
interoperabilidad de diferentes sistemas que utilizan la biometría. La normalización que
requiere la interoperabilidad puede dar lugar a una mayor interconexión entre bases de
datos.
La reclamada no contempla diversos y variados elementos y escenarios que se han
señalado en este apartado en su valoración de riesgos, y ha manifestado que no trata datos
de carácter especial. Sin embargo, los datos si que son de dicho tipo, por cuando identifican
ineludiblemente al empleado, ya que tiene su plantilla guardada y cuando presente la
muestra, la comprueba de entre todas las existentes, identificando plenamente a su titular a
través de las muestras que se guardan en el dispositivo. Como ya se señalado previamente
se produce un tratamiento de este tipo de datos.
De conformidad con las evidencias de las que se dispone, se considera que los hechos expuestos
incumplen lo establecido en el artículo 35 del RGPD, con ausencia de cualquier
tipo de análisis documentado del impacto vinculado al tratamiento de reconocimiento facial
del que deriven la adopción de medidas y garantías específicas.
VIII
Sobre la inexistencia de culpabilidad porque actuó con animo de proteger la salud de su
personal, intentando garantizar la prestación de sus servicios esenciales durante el período
extraordinario de confinamiento, y que es la primera resolución por uso de RF en el control
de jornada laboral, se ha de indicar que por culpabilidad debe entenderse el juicio personal
de reprochabilidad dirigido al autor de un hecho típico y antijurídico. Ello implica que el autor
sea causa de la acción que supone la conducta ilícita. que sea imputable sin que concurran
circunstancias que alteren su capacidad de obrar y que sea culpable, esto es que haya
actuado con conciencia y voluntariedad bien a título intencional bien a título culposo.
Cabe indicar que el principio de culpabilidad impide la admisión en el derecho administrativo
sancionador de la responsabilidad objetiva, también es cierto, que la ausencia de
intencionalidad resulta secundaria ya que este tipo de infracciones normalmente se cometen
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/40
por una actuación culposa o negligente, lo que es suficiente para integrar el elemento
subjetivo de la culpa. El campo de la simple inobservancia es el clásico de la imprudencia o
negligencia, en sus distintos grados. Desde el punto de vista material, la culpabilidad
consiste en la capacidad que tiene el sujeto obligado para obrar de modo distinto y, por
tanto, de acuerdo con el ordenamiento jurídico, dentro de lo que es una interpretación
jurídica razonable. Por tanto, lo relevante es la diligencia desplegada en la acción por el
sujeto, y la lo que excluye la imposición de una sanción, únicamente en base al mero
resultado, es decir al principio de responsabilidad objetiva. En este sentido el Tribunal
Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber
legal de cuidado, cuando el infractor no se comporta con la diligencia exigible.
?No obstante, el modo de atribución de responsabilidad a las personas jurídicas no se
corresponde con las formas de culpabilidad dolosas o imprudentes que son imputables a la
conducta humana. De modo que, en el caso de infracciones cometidas por personas
jurídicas, aunque haya de concurrir el elemento de la culpabilidad, éste se aplica
necesariamente de forma distinta a como se hace respecto de las personas físicas. Según
la S.TC. 246/1991: "(...) esta construcción distinta de la imputabilidad de la autoría de la
infracción a la persona jurídica nace de la propia naturaleza de ficción jurídica a la que
responden estos sujetos. Falta en ellos el elemento volitivo en sentido estricto, pero no la
capacidad de infringir las normas a las que están sometidos. Capacidad de infracción y, por
ende, reprochabilidad directa que deriva del bien jurídico protegido por la norma que se
infringe y la necesidad de que dicha protección sea realmente eficaz y por el riesgo que, en
consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha
norma ". En esta misma línea, se pronuncia la S.TS. de 24 de noviembre de 2011 -recurso
nº. 258/2009-. ?(Sentencia 1456/2021 del Tribunal Supremo, sala tercera, de lo contencioso
administrativo, sección tercera, de 13/12/2021, recurso 6109/2020.
Sobre la concurrencia de la pandemia ya se ha explicado su interacción en el tratamiento de
datos y su conjugación con los derechos de los titulares. El desempeño de servicios esenciales
no implica el uso del sistema de reconocimiento facial que partiendo de su prohibición
precisa de un análisis de su impacto y las garantías de los derechos de sus titulares. Sobre
que es un caso novedoso, se han citado en esta resolución dictámenes y directrices del GT
29 que suponen interpretación de la norma, publicadas en la web, que se remontan a: 2003,
2012, 2017, 2018 y 2020. Junto a ello, también existen informes de la materia de la AEPD
publicados en la web, elementos que contribuyen a una razonable y cautelosa interpretación
de la clara prohibición de tratamiento de datos en la norma, en un sistema de valoración de
riesgos y proactivo, que no consta llevara a cabo la reclamada. Por tanto, se desprende que
si existe culpabilidad por parte de la reclamada cuando podría haber actuado de forma distinta
a la que lo hizo, sin la exigencia de una diligencia exagerada.
IX
El artículo 83.4 RGPD señala: ?Las infracciones de las disposiciones siguientes se sancionarán
, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen
de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor
cuantía:
a) Las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/40
39, 42 y 43;?
La LOPDGDD establece en su artículo 73.t):
?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran
graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial
de los artículos mencionados en aquel y, en particular, las siguientes:
t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de
las operaciones de tratamiento en la protección de datos personales en los supuestos en
que la misma sea exigible.?
X
El artículo 83.7 del RGPD señala que ?Sin perjuicio de los poderes correctivos de las
autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá
establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a
autoridades y organismos públicos establecidos en dicho Estado miembro.?
En tal sentido, señala el artículo 77 de la LOPDGDD:
?1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que
sean responsables o encargados:
[?]?
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de
las Administraciones Públicas?
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen
alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la
autoridad de protección de datos que resulte competente dictará resolución sancionando a
las mismas con apercibimiento. La resolución establecerá asimismo las medidas que
proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se
hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que
dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de
interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos
propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios
suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las
establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de
aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite
la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran
sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá
una amonestación con denominación del cargo responsable y se ordenará la publicación en
el Boletín Oficial del Estado o autonómico que corresponda.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/40
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que
recaigan en relación con las medidas y actuaciones a que se refieren los apartados
anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las
comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo
de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta
publicará en su página web con la debida separación las resoluciones referidas a las
entidades del apartado 1 de este artículo, con expresa indicación de la identidad del
responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de datos se
estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa
específica.
El artículo 26.1 del RGU, señala que: ?las entidades urbanísticas colaboradoras tendrán
carácter administrativo y dependerán en este orden de la administración urbanística
actuante?.
La reclamada es una entidad que ostenta carácter jurídico-administrativo para el
cumplimiento de sus fines, constituida en este caso con carácter obligatorio por voluntad de
sus miembros, según se refleja en los Estatutos, que tiene por objeto la conservación de las
obras de urbanización y mantenimiento de las dotaciones y servicios por parte de sus
propietarios agrupados
La Ley 29/2001 de 1707, del suelo, de la Comunidad de Madrid (BOCM de 27/07/2001, que
dispone de competencia exclusiva en materia de Urbanismo en su artículo 137 indica:
?Entidades urbanísticas de conservación?:
?1. Las entidades urbanísticas de conservación son entidades de Derecho público, de
adscripción obligatoria y personalidad y capacidad jurídicas propias para el cumplimiento de
sus fines.
2. Se rigen por sus estatutos en el marco de la presente Ley y sus normas reglamentarias y
adquieren personalidad jurídica desde su inscripción en el registro administrativo
correspondiente de la Consejería competente en materia de ordenación urbanística .?
El objetivo por el que se constituye una entidad urbanística de conservación es atribuir a los
propietarios de una determinada urbanización la conservación de esta, función que
inicialmente le correspondería al Ayuntamiento o Ayuntamientos de los términos municipales
en los que se encuadra la urbanización. Estas entidades reciben tanto aportaciones de los
propietarios que pagan la correspondiente cuota como fondos públicos. Dada esta
naturaleza pública calificada de entidad de Derecho Público, dependiente de la Consejería
de Medio Ambiente, Vivienda y Agricultura, le resultaría de aplicación el régimen establecido
en el artículo 77 de la LOPDGDD en cuanto a la imposición de sanción de apercibimiento.
Por tanto, no procedería imposición de sanción de multa administrativa.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/40
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: SANCIONAR con apercibimiento a ENTIDAD URBANÍSTICA
COLABORADORA DE CONSERVACIÓN EUROVILLAS, con NIF G79414033, por las
infracciones del RGPD:
-artículo 9.2.b) del RGPD, tipificada en el artículo 83.5 a) del RGPD y en el 72.1. e) de la
LOPDGDD.
-artículo 35 del RGPD, tipificada en el artículo 83.4 a) del RGPD y en el 73.t) de la
LOPDGDD.
SEGUNDO: NOTIFICAR la presente resolución a ENTIDAD URBANÍSTICA
COLABORADORA DE CONSERVACIÓN EUROVILLAS, con el envío de ANEXO
GENERAL y a la CONSEJERÍA MEDIO AMBIENTE, VIVIENDA Y AGRICULTURA de la
CCAA de MADRID.
TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad
con lo establecido en el artículo 77.5 de la LOPDGDD.
CUARTO: De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de
la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día
siguiente a la notificación de esta resolución o directamente recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con
arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta
de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa,
en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto,
según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá
suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta
su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el
interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia
Española de Protección de Datos, presentándolo a través del Registro Electrónico de la
Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los
restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre.
También deberá trasladar a la Agencia la documentación que acredite la interposición
efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día
siguiente a la notificación de la presente resolución, daría por finalizada la suspensión
cautelar.
938-050522
Mar España Martí
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/40
Directora de la Agencia Española de Protección de Datos
ANEXO GENERAL
Reclamante: A.A.A.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es