Una empresa fabricante de productos de plástico de Alicante tendrá que pagar una multa de 20.000 euros por una sentencia de la Agencia Española de Protección de Datos (AEPD), ya que fotografiaba a sus empleados para crear una plantilla biométrica para su reconocimiento facial, sin avisarlos de ello. Hay que decir que por diversos motivos, como pago pronto, la multa se ha visto reducida a 12.000 euros.
Sí que los empleados firmaban un consentimiento pero este decía que las fotos “podrían ser utilizadas y difundidas para la publicación en su página web, redes sociales, campañas, revistas, folletos, publicidad corporativa y demás materiales de apoyo”. Pero no se avisó que iba a ser para hacer reconocimiento facial, según la información de la sentencia.
Este mínimo ajuste en tu móvil evitará que roben tu vida digital en menos de 3 minutos
La sentencia concluye, entre otros asuntos, que «el tratamiento del sistema de reconocimiento facial con objeto de control laboral, en tanto no disponga de una evaluación de impacto de protección de datos del tratamiento válida, que tenga en cuenta los riesgos para los derechos y libertades de los empleados y las medidas y garantías adecuadas para su tratamiento, o incluso si se realizara, precisara efectuar la previsión de consulta que se establece en el artículo 36 del RGPD».
Fotografía y control
El reclamante expone en la demanda que la empresa reclamada saca una fotografía de la cara de los empleados desde un dispositivo de la entrada y que esa imagen se usa para fichar la entrada y la salida en el puesto de trabajo.
Además manifiesta el demandante que nunca ha sido informado del uso de los datos biométricos.La empresa «tan solo les hacen firmar un consentimiento al uso de los derechos de imagen con materiales de apoyo necesarios para la difusión y promoción de la empresa», pero sin avisar que se usará para ejercer un control sobre ellos.
Fronteras biométricas en los aeropuertos españoles: la apuesta de AENA para reducir las colas y aumentar la seguridad
El artículo 35 del RGPD, establece en relación con la evaluación de impacto relativa a la protección de datos lo siguiente: “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.
Además, dice la Agencia que «el responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos».
En Genbeta | Vodafone, BBVA y Mercadona, en el top de las multas millonarias por vulnerar la protección de datos personales en 2021
Imagen | Tobias Tullius en Unsplash
–
La noticia
Hacer fotos a tus empleados y usarlas para reconocimiento facial y control, sin que lo sepan, sale mal. Multa pionera en España
fue publicada originalmente en
Genbeta
por
Bárbara Bécares
.