Resolución de la Agencia Española de Protección de Datos PS-00597-2022 de 24 de abril de 2023

Cuestión

Expediente N.º: EXP202209921

RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : Con fecha 20 de febrero de 2023 , la Directora de la Agencia...

Contestacion

1/13

? Expediente N.º: EXP202209921

RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Con fecha 20 de febrero de 2023, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a ALBERO FORTE

COMPOSITE, S.L. (en adelante, la parte reclamada), mediante el Acuerdo que se

transcribe:

Expediente N.º: EXP202209921

ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR

De las actuaciones practicadas por la Agencia Española de Protección de Datos y en

base a los siguientes

HECHOS

PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 17 de agosto de 2022

interpuso reclamación ante la Agencia Española de Protección de Datos.

La reclamación se dirige contra ALBERO FORTE COMPOSITE, S.L. con NIF

B54620182 (en adelante, la parte reclamada).

Los motivos en que basa la reclamación son los siguientes:

El reclamante expone que la empresa reclamada saca una fotografía de la cara de los

empleados desde un dispositivo de la entrada y que esa imagen se usa para fichar la

entrada y la salida en el puesto de trabajo.

Manifiesta que nunca ha sido informado del uso de los datos biométricos, tan solo les

hacen firmar un consentimiento al uso de los derechos de imagen que podrían ser

utilizadas y difundidas para la publicación en su página web, redes sociales,

campañas, revistas, folleos, publicidad corporativa y demás materiales de apoyo

necesarios para la difusión y promoción de la empresa reclamada.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/13

Junto al escrito de reclamación aporta copia de un documento denominado:

"Consentimiento para la recogida y tratamiento de datos personales" firmado por el

reclamante el XX/XX/2022.

Acompaña también copia de una solicitud de acceso, de fecha 10/05/2022.

En fecha 16/05/2022 se le informa de que ya tiene disponible la contestación a su

solicitud de acceso y que puede pasar a retirarla.

Aporta copia de la contestación recibida, en la que se informa de que la categoría de

datos objeto de tratamiento son "datos identificativos".

El reclamante considera insuficiente la respuesta recibida y el 17/05/2022, a través de

correo electrónico, la empresa reclamada le remite nueva documentación que no da

respuesta al uso de datos biométricos.

Le entregan copia de un documento sobre prevención de riesgos laborales, informe de

los tiempos de presencia desde el XX/XX/2022 y el XX/XX/2022, información sobre el

tratamiento de los datos de su CV, registro de entrada de EPIS y su fotografía.

El reclamante considera que no se le informa de la necesidad de captación de la

biometría de la cara, ni se informa de la empresa que capta y gestiona los datos,

tampoco sobre las características de los servidores donde está almacenada la

biometría ni la finalidad del tratamiento.

Únicamente se le facilitan la foto captada por el fichador, sin proporciones biométricas

y sin firma de Delegado de Protección de Datos, informando que no era necesaria su

designación para dar la información de carácter personal solicitada.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

adelante LOPDGDD), el 23 de septiembre de 2022 se dio traslado de dicha

reclamación a la parte reclamada, para que procediese a su análisis e informase a

esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a

los requisitos previstos en la normativa de protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de

1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas (en adelante, LPACAP), fue recogido en fecha 27 de septiembre de 2022

como consta en el acuse de recibo que obra en el expediente.

Con fecha 18 de octubre de 2022 se recibe en esta Agencia escrito de respuesta de la

entidad reclamada donde manifiesta que la implementación del registro de jornada, no

precisa el consentimiento del trabajador, siendo base suficiente de legitimación el

artículo 34.9 del Estatuto de los trabajadores, donde se establece la obligación de las

empresas de realizar dicho registro de la jornada con carácter individual de cada

persona trabajadora y que , de acuerdo con lo previsto en el artículo 6.1 c) del

Reglamento Europeo 2016/76(RGPD), el tratamiento de datos personales de los

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/13

trabajadores derivado de la implantación del registro de jornada es necesario para el

cumplimiento de una obligación legal aplicable al responsable del tratamiento, única

finalidad del tratamiento.

La entidad reclamada concluye diciendo que no se encuentra en ninguno de los

supuestos que exigen una evaluación de impacto, de conformidad con el artículo 35

del RGPD.

TERCERO: Con fecha 27 de octubre de 2022, de conformidad con el artículo 65 de la

LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en adelante, LOPDGDD), es competente para

iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección

de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos."

II

El artículo 35 del RGPD, establece en relación con la evaluación de impacto relativa a

la protección de datos lo siguiente:

?1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas

tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para

los derechos y libertades de las personas físicas, el responsable del tratamiento

realizará, antes del tratamiento, una evaluación del impacto de las operaciones de

tratamiento en la protección de datos personales.

Una única evaluación podrá abordar una serie de operaciones de tratamiento similares

que entrañen altos riesgos similares.

2. El responsable del tratamiento recabará el asesoramiento del delegado de

protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa

a la protección de datos.

3. La evaluación de impacto relativa a la protección de los datos a que se refiere el

apartado 1 se requerirá en particular en caso de:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/13

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas

que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre

cuya base se tomen decisiones que produzcan efectos jurídicos para las personas

físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el

artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones

penales a que se refiere el artículo 10, o

c) observación sistemática a gran escala de una zona de acceso público.

4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones

de tratamiento que requieran una evaluación de impacto relativa a la protección de

datos de conformidad con el apartado 1.

La autoridad de control comunicará esas listas al Comité a que se refiere el artículo

68.

5. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de

tratamiento que no requieren evaluaciones de impacto relativas a la protección de

datos. La autoridad de control comunicará esas listas al Comité.

6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de

control competente aplicará el mecanismo de coherencia contemplado en el artículo

63 si esas listas incluyen actividades de tratamiento que guarden relación con la oferta

de bienes o servicios a interesados o con la observación del comportamiento de estos

en varios Estados miembros, o actividades de tratamiento que puedan afectar

sustancialmente a la libre circulación de datos personales en la Unión.

7. La evaluación deberá incluir como mínimo:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los

fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el

responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de

tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados a

que se refiere el apartado 1, y

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de

seguridad y mecanismos que garanticen la protección de datos personales, y a

demostrar la conformidad con el presente Reglamento, teniendo en cuenta los

derechos e intereses legítimos de los interesados y de otras personas afectadas.

8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo

40 por los responsables o encargados correspondientes se tendrá debidamente en

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/13

cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por

dichos responsables o encargados, en particular a efectos de la evaluación de impacto

relativa a la protección de datos.

9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus

representantes en relación con el tratamiento previsto, sin perjuicio de la protección de

intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.

10. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e),

tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro

que se aplique al responsable del tratamiento, tal Derecho regule la operación

específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya

realizado una evaluación de impacto relativa a la protección de datos como parte de

una evaluación de impacto general en el contexto de la adopción de dicha base

jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros

consideran necesario proceder a dicha evaluación previa a las actividades de

tratamiento.

11. En caso necesario, el responsable examinará si el tratamiento es conforme con la

evaluación de impacto relativa a la protección de datos, al menos cuando exista un

cambio del riesgo que representen las operaciones de tratamiento.?

III

En el presente supuesto la entidad reclamada afirma no tener evaluación de impacto

por no encontrarse en ninguno de los supuestos en los que la ley lo exige.

En este sentido ha de indicarse que la lista se basa en los criterios establecidos por las

?DIRECTRICES SOBRE LA EVALUACIÓN DE IMPACTO RELATIVA A LA

PROTECCIÓN DE DATOS (EIPD) Y PARA DETERMINAR SI EL TRATAMIENTO

«ENTRAÑA PROBABLEMENTE UN ALTO RIESGO» A EFECTOS DEL RGPD?,

adoptadas e 4/04/2017 y revisadas por última vez y adoptadas el 4/10/2017, WP 248

rev.01 del GT 29 que los complementa y debe entenderse como una lista no

exhaustiva:

?4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se

refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a

los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación

financiera o de solvencia patrimonial o deducir información sobre las personas relacionada

con categorías especiales de datos.

5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar

de manera única a una persona física.?

9. Tratamientos de datos de sujetos vulnerables??

En las mismas Directrices, se señala:

?Con el fin de ofrecer un conjunto más concreto de operaciones de tratamiento que requieran

una EIPD debido a su inherente alto riesgo, teniendo en cuenta los elementos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/13

particulares del artículo 35, apartado 1, y del artículo 35, apartado 3, letras a) a c), la

lista que debe adoptarse a nivel nacional en virtud del artículo 35, apartado 4, y los

considerandos 71, 75 y 91, y otras referencias del RGPD a operaciones de tratamiento

que «probablemente entrañen un alto riesgo», se deben considerar los nueve criterios

siguientes:

?7. Datos relativos a interesados vulnerables (considerando 75):

El tratamiento de este tipo de datos representa un criterio debido al aumento del desequilibrio

de poder entre los interesados y el responsable del tratamiento, lo cual implica

que las personas pueden ser incapaces de autorizar o denegar el tratamiento de

sus datos, o de ejercer sus derechos.

Entre los interesados vulnerables puede incluirse a niños (se considera que no son capaces

de denegar o autorizar consciente y responsablemente el tratamiento de sus

datos), empleados?.

Al tratarse el sistema de registro de un sistema de identificación novedoso y muy

intrusivo para los derechos y libertades fundamentales de las personas físicas, el

RGPD establece la obligación de gestionar el riesgo que para los derechos y

libertades de las personas supone esos tratamientos. Este riesgo surge tanto por la

propia existencia del tratamiento, como por las dimensiones técnicas y organizativas

del mismo.

El riesgo surge por los fines del tratamiento y su naturaleza, y también por su alcance

y el contexto en el que se desenvuelve.

La complejidad del proceso de gestión de riesgo ha de ajustarse, no al tamaño de la

entidad, la disponibilidad de recursos, la especialidad o sector de la misma, sino al

posible impacto de la actividad de tratamiento sobre los interesados y a la propia

dificultad del tratamiento.

El tratamiento biométrico presenta entre otros los siguientes riesgos, algunos de los

cuales se contemplan en el DICTAMEN 3/2012 SOBRE LA EVOLUCION DE LAS

TECNOLOGÍAS BIOMETRICAS del GT 29 de 27/04/2012:

-La definición del tamaño (cantidad de información) de la plantilla biométrica es una

cuestión crucial.

Por una parte, el tamaño de la plantilla debe ser lo bastante grande para gestionar la

seguridad (evitando solapamientos entre los diferentes datos biométricos, o

sustituciones de identidad), y por otra, no deberá ser demasiado grande a fin de evitar

los riesgos de reconstrucción de los datos biométricos.

- Riesgos que conlleva la utilización de datos biométricos para fines de identificación

en grandes bases de datos centralizadas, dadas las consecuencias potencialmente

perjudiciales parar las personas afectadas.

-No hace falta decir que toda pérdida de las cualidades de integridad, confidencialidad

y disponibilidad con respecto a las bases de datos sería claramente perjudicial para

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/13

cualquier aplicación futura basada en la información contenida en dichas bases de

datos, y causaría asimismo un daño irreparable a los interesados.

- La transferencia de la información contenida en la base de datos.

-Deben adoptarse medidas de seguridad con motivo del tratamiento de datos

biométricos (almacenamiento, transmisión, extracción de características y

comparación, etc.) y sobre todo si el responsable del tratamiento transmite esos datos

a través de Internet.

Las medidas de seguridad podrían incluir, por ejemplo, la codificación de las plantillas

y la protección de las claves de codificación aparte del control del acceso y una

protección que convierta en virtualmente imposible la reconstrucción de los datos

originales a partir de las plantillas.

-Asimismo, el DOCUMENTO DE TRABAJO SOBRE BIOMETRÍA, adoptado el

1/08/2003, del GT29, opina que los sistemas biométricos relativos a características

físicas que no dejan rastro o los sistemas biométricos relativos a características físicas

que dejan rastro pero no dependen de la memorización de los datos poseídos por una

persona distinta del interesado (en otras palabras, los datos no se memorizan en el

dispositivo de control de acceso ni en una base de datos central) crean menos riesgos

para la protección de los derechos y libertades fundamentales de las personas (Se

pueden distinguir los datos biométricos que se tratan de manera centralizada de los

datos de referencia biométricos que se almacenan en un dispositivo móvil y el proceso

de conformidad se realiza en la tarjeta y no en el sensor o cuando éste forma parte del

dispositivo móvil).

-Se acepta generalmente que el riesgo de reutilización de datos biométricos obtenidos

a partir de rastros físicos dejados por personas sin darse cuenta para fines

incompatibles es relativamente bajo si los datos no están almacenados en bases de

datos centralizadas, sino en poder de la persona y son inaccesibles para terceros.

El almacenamiento centralizado de datos biométricos incrementa asimismo el riesgo

del uso de datos biométricos como llave para interconectar distintas bases de datos, lo

cual podría permitir obtener perfiles detallados de los hábitos de una persona tanto a

nivel público como privado.

Además, la cuestión de la compatibilidad de los fines nos lleva a la interoperabilidad de

diferentes sistemas que utilizan la biometría.

La normalización que requiere la interoperabilidad puede dar lugar a una mayor

interconexión entre bases de datos.

- Riesgos evidentes si la tecnología empleada no garantiza de manera suficiente que

la plantilla obtenida a partir de los datos biométricos no coincidirá con la empleada en

otros sistemas similares.

En cuanto a las garantías a implementar que se han de contener en la EIPD, la Guía

?La protección de datos en las relaciones laborales? de la AEPD contempla, a título de

referencia diez aspectos que se pueden tener en cuenta.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/13

La parte reclamada ha manifestado que no se efectuó la EIPD porque no se encuentra

en ninguno de los supuestos que lo exige, según el artículo 35 del RGPD.

Sin embargo, no estamos ante una lista exhaustiva, sino que ha de valorarse la

complejidad del proceso de gestión de riesgo, teniendo en cuenta no el tamaño de la

entidad, la disponibilidad de recursos, la especialidad o sector de esta, sino el posible

impacto de la actividad de tratamiento sobre los interesados y la propia dificultad del

tratamiento.

IV

La infracción imputada se tipifica en al artículo 83.4.a) del RGPD que indica:

?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por la

de mayor cuantía:

a) Las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25

a 39, 42 y 43;?

La LOPDGDD establece en su artículo 73.t):

?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se

consideran graves y prescribirán a los dos años las infracciones que supongan una

vulneración sustancial de los artículos mencionados en aquel y, en particular, las

siguientes:

t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto

de las operaciones de tratamiento en la protección de datos personales en los supuestos

en que la misma sea exigible.?

V

En virtud de lo establecido en el artículo 58.2 del RGPD, la Agencia Española de

Protección de Datos, en cuanto autoridad de control, dispone de un conjunto de

poderes correctivos en el caso de que concurra una infracción a los preceptos del

RGPD.

El artículo 58.2 del RGPD dispone lo siguiente:

?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados

a continuación:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/13

(?)

?d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento

se ajusten a las disposiciones del presente Reglamento, cuando proceda, de

una determinada manera y dentro de un plazo especificado;?

(...)

?i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de

las medidas mencionadas en el presente apartado, según las circunstancias de cada

caso particular;?

Por lo tanto, a tenor de lo anteriormente expuesto, esta Agencia considera que

podríamos encontrarnos ante una infracción del artículo 35 del RGPD, indicado en el

fundamento de derecho II.

Asimismo, de confirmarse la existencia de infracción, de acuerdo con lo establecido en

el citado artículo 58.2.d) del RGPD, en la resolución podrá ordenarse al reclamado la

suspensión del tratamiento hasta que se haya realizado la evaluación de impacto.

VI

De confirmarse la infracción, además de las medidas de seguridad sugeridas en el

fundamento de derecho III, relativas a la codificación de las plantillas, o

establecimiento de claves para controlar el acceso, podría acordarse imponer al

responsable la adopción de medidas adecuadas para ajustar su actuación a la

normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo

58.2 d) del RGPD, según el cual cada autoridad de control podrá ?ordenar al

responsable o encargado del tratamiento que las operaciones de tratamiento se

ajusten a las disposiciones del presente Reglamento, cuando proceda, de una

determinada manera y dentro de un plazo especificado??.

La imposición de esta medida es compatible con la sanción consistente en multa

administrativa, según lo dispuesto en el art. 83.2 del RGPD.

Se advierte que no atender la posible orden de adopción de medidas impuestas por

este organismo en la resolución sancionadora podrá ser considerado como una

infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como

infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un

ulterior procedimiento administrativo sancionador.

Por lo tanto, la Directora de la Agencia Española de Protección de Datos, ACUERDA:

PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a ALBERO FORTE

COMPOSITE, S.L., con NIF B54620182, por la presunta infracción del artículo 35 del

RGPD tipificada en el artículo 83.4.a) del RGPD, como infracción grave, y a efectos de

prescripción en el artículo 73.t) de la LOPDGDD.

SEGUNDO: NOMBRAR como instructor a B.B.B. y, como secretario, a C.C.C.,

indicando que cualquiera de ellos podrá ser recusado, en su caso, conforme a lo

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/13

establecido en los artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen

Jurídico del Sector Público (LRJSP).

TERCERO: INCORPORAR al expediente sancionador, a efectos probatorios, la

reclamación interpuesta por la parte reclamante y su documentación, así como los

documentos obtenidos y generados por la Subdirección General de Inspección de

Datos en las actuaciones previas al inicio del presente procedimiento sancionador.

CUARTO: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de

octubre, del Procedimiento Administrativo Común de las Administraciones Públicas la

sanción que pudiera corresponder sería de 20.000 ? (veinte mil euros).

QUINTO: NOTIFICAR el presente acuerdo a ALBERO FORTE COMPOSITE, S.L.,

con NIF B54620182, otorgándole un plazo de audiencia de diez días hábiles para que

formule las alegaciones y presente las pruebas que considere convenientes. En su

escrito de alegaciones deberá facilitar su NIF y el número de procedimiento que figura

en el encabezamiento de este documento.

Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo

podrá ser considerado propuesta de resolución, según lo establecido en el artículo

64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de

las Administraciones Públicas (en lo sucesivo, LPACAP).

De conformidad con lo dispuesto en el artículo 85 de la LPACAP, podrá reconocer su

responsabilidad dentro del plazo otorgado para la formulación de alegaciones al

presente acuerdo de inicio; lo que llevará aparejada una reducción de un 20% de la

sanción que proceda imponer en el presente procedimiento. Con la aplicación de esta

reducción, la sanción quedaría establecida en 16.000 euros, resolviéndose el

procedimiento con la imposición de esta sanción.

Del mismo modo podrá, en cualquier momento anterior a la resolución del presente

procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que

supondrá la reducción de un 20% de su importe. Con la aplicación de esta reducción,

la sanción quedaría establecida en [Introduzca el texto correspondiente 16.000 euros y

su pago implicará la terminación del procedimiento, sin perjuicio de la imposición de

las medidas correspondientes.

La reducción por el pago voluntario de la sanción es acumulable a la que corresponde

aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento

de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular

alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida

en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En

este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría

establecido en 12.000 euros.

En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará

condicionada al desistimiento o renuncia de cualquier acción o recurso en vía

administrativa contra la sanción.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/13

En caso de que optara por proceder al pago voluntario de cualquiera de las cantidades

señaladas anteriormente 16.000 o 12.000 euros, deberá hacerlo efectivo mediante su

ingreso en la cuenta nº IBAN: ES00-0000-0000-0000-0000-0000 (BIC/Código SWIFT:

CAIXESBBXXX) abierta a nombre de la Agencia Española de Protección de Datos en

la entidad bancaria CAIXABANK, S.A., indicando en el concepto el número de

referencia del procedimiento que figura en el encabezamiento de este documento y la

causa de reducción del importe a la que se acoge.

Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de

Inspección para continuar con el procedimiento en concordancia con la cantidad

ingresada.

El procedimiento tendrá una duración máxima de nueve meses a contar desde la

fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.

Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de

actuaciones; de conformidad con lo establecido en el artículo 64 de la LOPDGDD.

En cumplimiento de los artículos 14, 41 y 43 de la LPACAP, se advierte de que, en lo

sucesivo, las notificaciones que se le remitan se realizarán exclusivamente de forma

electrónica, a través de la Dirección Electrónica Habilitada Única (dehu.redsara.es) y el

Servicio de Notificaciones Electrónicas (notificaciones.060.es), y que, de no acceder a

ellas, se hará constar su rechazo en el expediente, dando por efectuado el trámite y

siguiéndose el procedimiento. Se le informa que puede identificar ante esta Agencia

una dirección de correo electrónico para recibir el aviso de puesta a disposición de las

notificaciones y que la falta de práctica de este aviso no impedirá que la notificación

sea considerada plenamente válida.

Por último, se señala que conforme a lo establecido en el artículo 112.1 de la

LPACAP, contra el presente acto no cabe recurso administrativo alguno.

935-121222

Mar España Martí

Directora de la Agencia Española de Protección de Datos

>>

SEGUNDO: En fecha 28 de febrero de 2023, la parte reclamada ha procedido al pago

de la sanción en la cuantía de 12000 euros haciendo uso de las dos reducciones

previstas en el Acuerdo de inicio transcrito anteriormente, lo que implica el

reconocimiento de la responsabilidad.

TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a

la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía

administrativa contra la sanción y el reconocimiento de responsabilidad en relación con

los hechos a los que se refiere el Acuerdo de Inicio.

CUARTO: En el Acuerdo de inicio transcrito anteriormente se señalaba que, de

confirmarse la infracción, podría acordarse imponer al responsable la adopción de

medidas adecuadas para ajustar su actuación a la normativa mencionada en este

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/13

acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el

cual cada autoridad de control podrá ?ordenar al responsable o encargado del

tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del

presente Reglamento, cuando proceda, de una determinada manera y dentro de un

plazo especificado??. En concreto, se indicaba que en la resolución podría ordenarse

al reclamado la suspensión del tratamiento hasta que se haya realizado la evaluación

de impacto.

Habiéndose reconocido la responsabilidad de la infracción, procede la imposición de

las medidas incluidas en el Acuerdo de inicio.

FUNDAMENTOS DE DERECHO

I

Competencia

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en adelante, LOPDGDD), es competente para

iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección

de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos."

II

Terminación del procedimiento

El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica

?Terminación en los procedimientos sancionadores? dispone lo siguiente:

?1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,

se podrá resolver el procedimiento con la imposición de la sanción que proceda.

2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una

sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la

improcedencia de la segunda, el pago voluntario por el presunto responsable, en

cualquier momento anterior a la resolución, implicará la terminación del procedimiento,

salvo en lo relativo a la reposición de la situación alterada o a la determinación de la

indemnización por los daños y perjuicios causados por la comisión de la infracción.

3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el

órgano competente para resolver el procedimiento aplicará reducciones de, al menos,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/13

el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.

Las citadas reducciones, deberán estar determinadas en la notificación de iniciación

del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de

cualquier acción o recurso en vía administrativa contra la sanción.

El porcentaje de reducción previsto en este apartado podrá ser incrementado

reglamentariamente.?

De acuerdo con lo señalado,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DECLARAR la terminación del procedimiento EXP202209921, de

conformidad con lo establecido en el artículo 85 de la LPACAP.

SEGUNDO: Requerir en aplicación de los artículos 90.3 de la LPCAP, y 58. 2.f), del

RGPD, a ALBERO FORTE COMPOSITE, S.L, para que en el plazo de diez días,

limite temporal o definitivamente el tratamiento del sistema de reconocimiento facial

con objeto de control laboral, en tanto no disponga de una evaluación de impacto de

protección de datos del tratamiento válida, que tenga en cuenta los riesgos para los

derechos y libertades de los empleados y las medidas y garantías adecuadas para su

tratamiento, o incluso si se realizara, precisara efectuar la previsión de consulta que se

establece en el artículo 36 del RGPD.

Transcurrido el tiempo otorgado, deberá informar a esta AEPD. La falta de atención al

requerimiento puede dar lugar a la comisión de una infracción del artículo 83.6 del

RGPD.

TERCERO: NOTIFICAR la presente resolución a ALBERO FORTE COMPOSITE,

S.L..

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por

el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas, los interesados podrán interponer recurso

contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

1259-121222

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es