Esta resolución analiza el sistema de reconocimiento facial (RF) para el registro diario de jornada laboral frente a reclamación de sindicato contra empresa que usaba el RF para el registro diario de la jornada laboral, obligación impuesta en el art. 34.9 ET.

Al comienzo de la pandemia, la empresa cambio el sistema de huella dactilar que tenía implantado al de RF, entre otros motivos, para evitar el contacto con el lector de huella por la propagación de la COVID.

Este sistema consistía en un dispositivo colocado en una habitación frente al que los empleados presentan la cara y a través del RF, registra la hora, fecha y nombre y apellidos del empleado. No se ha aportado ante la AEPD la evaluación de impacto del tratamiento de datos biométricos de RF para el registro de la jornada diaria laboral de sus empleados.

Señala la AEPD que para considerarse datos biométricos en el sentido del RGPD, el tratamiento de datos sin procesar, como las características físicas, fisiológicas o conductuales de una persona física deben implicar una medición de dichas características.

Los datos biométricos presentan la particularidad de ser producidos por el propio cuerpo y lo caracterizan definitivamente, son datos no sobre esa persona, sino que los datos refieren a la misma persona, en principio no modificables por voluntad del individuo, ni la persona puede ser liberada de ellos, no se pueden cambiar en caso de compromiso-pérdida o intrusión en el sistema.

Los responsables del tratamiento deben garantizar que la evaluación de la necesidad y la proporcionalidad considere una evaluación exhaustiva de las opciones alternativas menos intrusivas disponibles, pues el tratamiento de RF presenta altos riesgos para los derechos y libertades fundamentales.

Por tanto, la evaluación de impacto en la protección de datos personales, EIPD, es la herramienta que en el RGPD se ocupa de la garantía de cumplimiento de esta vertiente del tratamiento.

El art. 35 RGPD cuya infracción se imputa a la reclamada, establece la obligación de disponer de una Evaluación de Impacto en la Protección de los Datos Personales (EIPD). Y la reclamada no presentó valoración de riesgos por entender que no trata datos de carácter especial, por lo que se incumple dicho artículo y se sanciona a la empresa -entidad pública- con un apercibimiento.

Resolución AEPD, de 21 de julio de 2022 PS-00218-2021