Resolución de la Agencia Española de Protección de Datos REPOSICION-PS-00441-2021 de 31 de enero de 2023

Cuestión

Expediente nº.: RR/00027/2023

RESOLUCIÓN DE RECURSO DE REPOSICIÓN

Examinado el recurso de reposición interpuesto por Consejería de Sanidad de la Junta

de Comunidades de Castilla-La Mancha (en lo sucesivo, la parte recurrente) contra la

resolución dictada...

Contestacion

1/8

? Expediente nº.: RR/00027/2023

RESOLUCIÓN DE RECURSO DE REPOSICIÓN

Examinado el recurso de reposición interpuesto por Consejería de Sanidad de la Junta

de Comunidades de Castilla-La Mancha (en lo sucesivo, la parte recurrente) contra la

resolución dictada por la Directora de la Agencia Española de Protección de Datos de

fecha 27 de diciembre de 2022, y en base a los siguientes

HECHOS

PRIMERO: Con fecha 27 de diciembre de 2022, se dictó resolución por la Directora de la

Agencia Española de Protección de Datos en el expediente º: PS/00441/2021, en virtud de

la cual se imponía a Consejería de Sanidad de la Junta de Comunidades de Castilla-

La Mancha

?PRIMERO: SANCIONAR a CONSEJERÍA DE SANIDAD DE LA JUNTA DE

COMUNIDADES DE CASTILLA-LA MANCHA, con NIF S1911001D, con apercibimiento

por una infracción del artículo 35 del RGPD, de conformidad con el artículo 83.4 a) del

RGPD, y a efectos de prescripción de la infracción en el artículo 73.t) de la LOPDGDD.

SEGUNDO: Requerir en aplicación de los artículos 90.3 de la LPCAP, y 58. 2.f), del

RGPD, a la CONSEJERÍA DE SANIDAD DE LA JUNTA DE COMUNIDADES DE

CASTILLA-LA MANCHA, para que en el plazo de diez días, ?límite temporal o

definitivamente el tratamiento? del sistema de control horario mediante la huella dactilar, en

tanto no disponga de una evaluación de impacto de protección de datos del tratamiento

válida, que tenga en cuenta los riesgos para los derechos y libertades de los empleados y

las medidas y garantías adecuadas para su tratamiento, o incluso si se realizara, precisara

efectuar la previsión de consulta que se establece en el artículo 36 del RGPD.?

Dicha resolución, que fue notificada a la parte recurrente en fecha 27 de diciembre de

2022, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de

conformidad con lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección

de Datos Personales y garantía de los derechos digitales (LOPDGDD), y supletoriamente

en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (en lo sucesivo, LPACAP), en materia de tramitación de

procedimientos sancionadores.

SEGUNDO: Como hechos probados del citado procedimiento sancionador,

PS/00441/2021, quedó constancia de los siguientes:

?1-En la Dirección Provincial de Sanidad de ***LOCALIDAD.1, (DPS) desde ***FECHA.2

hasta ***FECHA.3, en que se suspende por la pandemia, el sistema de control horario

empleado ha sido el fichaje mediante comprobación de huella digital. Desde el ***FECHA.3,

el personal podía fichar a través del ordenador de cada usuario con una aplicación

denominada CHRONOS. El reclamante que prestaba servicios en dicha sede manifestó que

ha estado fichando hasta el ***FECHA.3 con ese sistema, aplicable según la reclamada

para personal funcionario, eventual o laboral.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/8

2- La Orden de 7/09/2009 de la Consejería de Administraciones Públicas y Justicia sobre

horarios de trabajo y vacaciones del personal funcionario regula la duración de la jornada de

trabajo, el horario, y la ?necesidad de dotación de medios electrónicos o informáticos

adecuados para el control del horario del personal, cumpliendo la normativa vigente sobre

protección de datos de carácter personal.?

La Orden 34/2020, de 15/03, de la Consejería de Hacienda y Administraciones Públicas, por

la que se regula la prestación de servicios en la Administración General de la Junta de

Comunidades de Castilla-La Mancha en desarrollo de las medidas adoptadas como

consecuencia de la declaración del estado de alarma para la gestión de la situación de crisis

sanitaria ocasionada por el COVID-19 estableció como modo habitual de prestación de

servicios, la modalidad no presencial, sin perjuicio de que en cualquier momento puedan

requerirse modalidades presenciales cuando sea necesario. En desarrollo de la misma, la

DG Función Pública adoptó medidas extraordinarias en relación con el control horario del

personal de la Admón de la Junta de Comunidades de CLM, resolviendo ?suspender las

reglas de control horario previstas en el artículo 13 de la Orden de la Consejería de Admnes.

Públicas de 7/09/2009 sobre horarios de trabajo y vacaciones del personal funcionario

La resolución de la Dirección General de la Función Pública sobre medidas organizativas y

de prevención de riesgos laborales para la reincorporación presencial del personal de

10/05/2020 señalaba ?En relación a la utilización de dispositivos de lectura biométrica para

el fichaje, se continuará con la medida establecida el ***FECHA.3 que posibilita realizar el

fichaje mediante CHRONOS a través del ordenador de cada usuario o usuaria.?

3-Según ha manifestado la reclamada, en la DPS de ***LOCALIDAD.1, desde ***FECHA.2,

hasta ***FECHA.3, el sistema de control horario empleado ha sido el fichaje mediante

comprobación de huella digital, interrumpiéndose por la pandemia y reanudándose el

2/11/2021.

También existe el régimen de teletrabajo (solo puestos de trabajo susceptibles de

teletrabajo) que se conjuga con jornadas presenciales-al menos dos a la semana (?) en el

que el registro de la jornada se efectúa a través de la aplicación CHRONOS.

No obstante, en el análisis de riesgos aportado por la reclamada, de ***FECHA.1: en cuanto

al fichaje, señala que la: ?captura de datos? para el fichaje, se puede recoger de las

siguientes formas,

? Mediante la lectura de la huella dactilar en el terminal biométrico instalado en las entradas

de los edificios. Se recoge la huella, y la fecha y la hora de entrada y salida.

? Mediante la introducción de un código facilitado al empleado y que este debe introducir

en el terminal biométrico. En este caso, se recoge el código del empleado y la fecha y la

hora de entrada y salida.? La reclamada señala que solo hay un empleado al que se aplica

este sistema, que se negó a proporcionar la huella, si bien se informa verbalmente de esta

opción a todos, circunstancia que no queda acreditada.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/8

? A través del ordenador de cada empleado público en la aplicación FICHAR CHRONOS.-

sin especificar los paréntesis temporales y el colectivo de teletrabajo:

4-Por orden de 5/12/2016, la Consejería de Hacienda y Administraciones Públicas,

ejerciendo sus competencias sobre creación, modificación y supresión de ficheros con

datos de carácter personal de varias Consejerías de la Junta, determinó la creación del

fichero PERSONAL, Diario oficial de CLM de 19/12/2016, ?para la gestión de los RRHH de

la Consejería?, en tipos de datos personales que contiene, figura entre otros: ?huella?, en

descripción -tipos de datos personales que contiene-, figura: ?Datos relativos a infracciones

administrativas?, con la Secretaria General de la Consejería de Sanidad como responsable.

Manifiesta la reclamada que con la entrada en vigor del RGPD, se transformó en un

tratamiento que forma parte del Registro de Actividad del Tratamiento, como ?gestión de

personal de la Consejería de Sanidad?, con finalidad: gestión del expediente del personal

funcionario, eventual y laboral adscrito a la Consejería, control horario o de presencia del

personal, y como base jurídica: la ley 4/2011 de 10/03 del empleo público de Castilla la

Mancha, el Real Decreto Legislativo 5/2015 de 30/10 por el que se aprueba la ley del

Estatuto básico del empleado público y el Real Decreto Legislativo 2/2015 de 23/10 por el

que se aprueba el texto refundido de la de la ley del Estatuto básico de los trabajadores. En

Tipos de datos: ?datos relativos a infracciones administrativas, NIF, DNI, número de

Seguridad Social, nombre y apellidos, dirección, teléfono, firma, correo electrónico, número

de registro de personal, huella. Otros datos: características personales, académicos y

profesionales detalles del empleo económicos financieros y de seguros?

No obstante, la reclamada manifestó que en la base jurídica se basa en los artículos 6.1.b),

6.1.c), 6.1.e) y 9.2.b), del RGPD, y dado que la medida la implantó antes de la entrada en

vigor del RGPD, el artículo 6.2 de la LOPD 15/1999.

5-Como ampliación de medidas extraordinarias con el control horario del personal de la

Administración de la Junta de Comunidades de Castilla la Mancha, la D. Gral. de la Función

Pública resolvió (?), que el personal, desde el ***FECHA.2 puede emplear el ordenador del

trabajo para realizar el fichaje de manera alternativa al dispositivo de control de huella.

6- Las huellas se almacenan en una base de datos centralizada en SQL Server 11, incluida

en la infraestructura certificada. Para la lectura de las huellas se usan terminales de control

de acceso con sensores biométricos, marca NITGEN-Fingkey Acces modelo SW101. ?Estos

terminales se conectan a un servidor central a través de la red corporativa. La huella se

almacena en una base de datos centralizada en SQL Server 11 y se asigna para cada

usuario al terminal o terminales desde los que puede fichar, no pudiendo fichar en ningún

otro?. La aplicación ACCESS MANAGER hace que la huella se transforme en un código a

partir de un algoritmo, y gestiona todas las transacciones de datos entre los terminales y la

base de datos centralizada, también la recogida o registro de la huella y codificación,

almacenándose en forma cifrada el código de la huella, huella que luego es eliminada.

7- A través de la huella dactilar utilizada por la reclamada, y que sirve con la finalidad de

control horario, en entrada y salida del centro de trabajo, la reclamada efectúa deducción de

haberes, ajustándose en su cálculo a la Ley 1/2021 de 21/02 de medidas complementarias

para la aplicación del plan de garantías de servicios sociales de la CCAA de Castilla la Man-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/8

cha, BOE 13/08/2012. La reclamada efectúa las tareas de control horario utilizando una

aplicación denominada FICHAR CHRONOS, que también almacena todos los datos en una

base de datos tipo SQL Server, y en la que los empleados fichan en el ordenador (RAT),

desde el ***FECHA.3, como consecuencia de la pandemia, al empezar o terminar su jornada

laboral, ?sin perjuicio de las especificidades y especialidades de la tipología de personal y

servicios públicos a prestar por cada Consejería y Organismo Autónomo?

8- La reclamada efectuó un análisis de riesgos con fecha ***FECHA.1 con la herramienta

GESTIONA (que la AEPD pone en la web), a base de una hoja de completar con

respuestas 17, dando un resultado de:

-Riesgos identificados: Figura un cuadro con ?Amenaza/riesgo? en el lado izquierdo y en su

apartado derecho, ?Riesgo residual?, con el resultado bajo, medio. Destaca:

? ?Manipulación o modificación no autorizada de la información?: bajo

? ?Imposibilidad de atribuir a usuarios identificados todas las acciones que se llevan a

cabo en un sistema de información?: bajo.

Finaliza indicando que el resultado obtenido es aceptable, ?por lo que cuando se implanten

las recomendaciones realizadas el riesgo sería bajo?.

Se señala como recomendación:

?Optar por sistemas de verificación o autenticación biométrica 1:1, utilizando la fórmula de

combinar código más huella en todos los casos. Además, se recomienda que los sistemas

se basen en la lectura de los datos biométricos conservados por la persona trabajadora, por

ejemplo en una tarjeta.?

9-Según la reclamada, las garantías adecuadas para la protección de los derechos y

libertades de los interesados son las relacionadas con el cumplimiento de los principios de

protección de datos recogidos en el artículo 5 del RGPD. En el caso del control horario solo

se utiliza para comprobar la presencia del trabajador en su lugar de trabajo durante el

tiempo establecido por la Administración. ?Tal y como se ha indicado en el ANEXO 1, en

caso de incumplimiento de horario se podrá reducir de la nómina la parte proporcional al

tiempo no trabajado?.

10- En un documento diferente, sin fecha ni firma, referido a la idoneidad, necesidad y proporcionalidad

alude la reclamada a su uso para evitar suplantar la identidad del empleado, y

que se decidió la huella ?tras comprobar el mal uso que se estaba dando a otros sistemas

como tarjetas de identificación o códigos? sin aportar evidencia probatoria.

11-Sobre la Evaluación de Impacto, indica la reclamada que no está obligada a realizarla,

pues se trata de un tratamiento que viene de la anterior normativa al RGPD. Indica que

?Dicho tratamiento no ha sufrido ningún cambio tecnológico ni funcional que justifique la

realización de esta EIPD.?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/8

12-En pruebas contestó la reclamada que estaba elaborando una evaluación de impacto del

control horario.?

TERCERO: La parte recurrente ha presentado en fecha 30 de diciembre de 2022, un

escrito solicitando en esta Agencia Española de Protección de Datos la suspensión del

resuelvo segundo de la resolución, ?hasta que se lleve a cabo la mencionada evaluación de

impacto? fundamentándolo, básicamente, en:

1) Reitera lo que figura en un hecho probado, que se ha iniciado la evaluación de

impacto requerida.

2) Por la complejidad de la misma, debido a:

-El sistema de fichaje actual afecta, no solo a la Delegación Provincial de Sanidad en

***LOCALIDAD.1, sino a toda la Administración autonómica, se ha de dar audiencia y

recabar opinión de gran cantidad de órganos.

-La competencia para decidir la forma de efectuar el control horario de los empleados

públicos de esta Consejería y del resto de órganos de la Administración autonómica le

corresponde únicamente a la Consejería de Hacienda y Administraciones Públicas

FUNDAMENTOS DE DERECHO

I

Con carácter preliminar, debe señalarse que el nuevo escrito presentado por el recurrente

no ha sido calificado como recurso de reposición. No obstante, el apartado 2 del artículo 115

de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (en lo sucesivo, LPACAP), establece que el error o la ausencia

de la calificación del recurso por parte del recurrente no será obstáculo para su tramitación,

siempre que se deduzca su verdadero carácter, por lo que el escrito presentado se tramitará

como un recurso de reposición.

Es competente para resolver el presente recurso la Directora de la Agencia Española de

Protección de Datos, de conformidad con lo dispuesto en el artículo 123 de la LPACAP y el

artículo 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos

Personales y garantía de los derechos digitales (en adelante, LOPDGDD).

II

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/8

El escrito de la recurrente se califica como recurso de reposición en favor del derecho de defensa

del recurrente. Solicita dejar sin efecto una parte de la resolución a expensas de proseguir

con el cumplimiento de elaboración de la evaluación de impacto de protección de datos

válida para el tratamiento. Para ello, se ha de considerar que dicho documento es exigible

antes de iniciar el tratamiento para que con el resultado de dicha evaluación de impacto

de las operaciones de tratamiento, y que debe conjugar entre otras circunstancias, el impacto

de la tecnología utilizada con las medidas previstas para afrontar los riesgos, incluidas

garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales

, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los

derechos e intereses legítimos de los interesados y de otras personas afectadas.

III

Siendo el objeto del RGPD: ?proteger los derechos y libertades fundamentales de las personas

físicas y, en particular, su derecho a la protección de los datos personales (art1 .2 del

RGPD), teniendo en cuenta, según el considerando 129 que: ?Para garantizar la supervisión

y ejecución coherentes del presente Reglamento en toda la Unión, las autoridades de control

deben tener en todos los Estados miembros las mismas funciones y poderes efectivos,

incluidos poderes de investigación, poderes correctivos y sancionadores, y poderes de autorización

y consultivos, [...]. Dichos poderes deben incluir también el poder de imponer una limitación

temporal o definitiva al tratamiento, incluida su prohibición [...]. En particular, toda

medida debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento

del presente Reglamento [...]?.

El artículo 58.2 del RGPD, establece:

?Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados

a continuación:

f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

El artículo 90.3 de la LPACAP, en virtud del cual se impuso la medida del resuelve segundo,

estipula lo siguiente:

?La resolución que ponga fin al procedimiento será ejecutiva cuando no quepa contra ella

ningún recurso ordinario en vía administrativa, pudiendo adoptarse en la misma las

disposiciones cautelares precisas para garantizar su eficacia en tanto no sea ejecutiva y que

podrán consistir en el mantenimiento de las medidas provisionales que en su caso se

hubieran adoptado?.

Considerando el régimen sobre la suspensión de lo resuelto, que es lo impugnado, se

contempla en artículo 117 de la LPCAP, indicando:

1. La interposición de cualquier recurso, excepto en los casos en que una disposición

establezca lo contrario, no suspenderá la ejecución del acto impugnado.

2. No obstante lo dispuesto en el apartado anterior, el órgano a quien competa resolver el

recurso, previa ponderación, suficientemente razonada, entre el perjuicio que causaría al

interés público o a terceros la suspensión y el ocasionado al recurrente como consecuencia

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/8

de la eficacia inmediata del acto recurrido, podrá suspender, de oficio o a solicitud del

recurrente, la ejecución del acto impugnado cuando concurran alguna de las siguientes

circunstancias:

a) Que la ejecución pudiera causar perjuicios de imposible o difícil reparación.

b) Que la impugnación se fundamente en alguna de las causas de nulidad de pleno

derecho previstas en el artículo 47.1 de esta Ley.

3. La ejecución del acto impugnado se entenderá suspendida si transcurrido un mes desde

que la solicitud de suspensión haya tenido entrada en el registro electrónico de la

Administración u Organismo competente para decidir sobre la misma, el órgano a quien

competa resolver el recurso no ha dictado y notificado resolución expresa al respecto. En

estos casos, no será de aplicación lo establecido en el artículo 21.4 segundo párrafo, de

esta Ley.

La recurrente no especifica cuál es el motivo de nulidad o anulabilidad en que fundamenta

su solicitud, más allá de las complejidades que tiene en la elaboración de la EIPD y que no

inciden en la ilegalidad de la resolución administrativa dictada.

Dado que la medida impuesta pretende que la resolución administrativa no pierda su

eficacia mientras no sea ejecutiva y su objetivo fundamental es que se garanticen los

derechos y libertades de los interesados, la continuidad del tratamiento vulneraría

gravemente los mismos.

Teniendo en cuenta que la recurrente no acredita que se de alguna de las circunstancias

señaladas.

Considerando que la suspensión hasta la realización de la evaluación de impacto, o si

procediera, hasta la consulta de la autoridad que prevé el artículo 36.1 del RGPD, vaciaría

de contenido la medida, que busca proteger los derechos y libertades de los interesados con

carácter inmediato y en tanto no exista un resultado de dicha evaluación.

Estando acreditado además, que la recurrente disponía de posibles alternativas para la

misma finalidad del control horario que no serían tan intrusivas como la que fue objeto de la

resolución del procedimiento, sin que por tanto los eventuales perjuicios superen el interés

del colectivo y bien jurídico protegido de sus empleados, no procede autorizar la suspensión

solicitada.

Vistos los preceptos citados y demás de general aplicación,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DESESTIMAR el recurso de reposición interpuesto por la CONSEJERÍA DE

SANIDAD DE LA JUNTA DE COMUNIDADES DE CASTILLA-LA MANCHA, consistente en

la solicitud de suspensión del resuelve segundo de la resolución del procedimiento

PS/00441/2021, RR/00027/2023 de esta Agencia Española de Protección de Datos dictada

con fecha 27 de diciembre de 2022.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/8

SEGUNDO: NOTIFICAR la presente resolución a CONSEJERÍA DE SANIDAD DE LA

JUNTA DE COMUNIDADES DE CASTILLA-LA MANCHA.

TERCERO: De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la

presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la Ley 39/2015, de 1 de

octubre, del Procedimiento Administrativo Común de las Administraciones Públicas

(LPACAP), los interesados podrán interponer recurso contencioso-administrativo ante la

Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto

en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de

13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos

meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el

artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) LPACAP, se podrá

suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta

su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el

interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia

Española de Protección de Datos, presentándolo a través del Registro Electrónico de la

Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los

restantes registros previstos en el art. 16.4 de la citada LPACAP. También deberá trasladar

a la Agencia la documentación que acredite la interposición efectiva del recurso

contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del

recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

180-111122

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es