La Agencia Española de Protección de Datos (AEPD) ha resuelto un procedimiento sancionador a la Diputación de Cuenca por haber cometido una infracción al implantar el uso de lectores de huellas dactilares para el control de accesos de los trabajadores, concretamente por falta de información a los empleados públicos y la carencia de «evaluación de impacto». La AEPD advierte a la institución provincial que de no atender su requerimiento podría dar lugar a la comisión de una infracción del Reglamento General de Protección de Datos.
Fuentes de la Diputación han indicado a Voces de Cuenca que los controladores de huella dactilar fueron sustituidos hace un mes aproximadamente por un sistema de códigos para pasar el control de fichajes.
En la resolución del procedimiento sancionador a la Diputación de Cuenca, la Agencia de Protección de Datos consideró que la institución provincial había cometido una doble infracción: por un lado la falta de información a los trabajadores relativa al sistema de control de presencia que implica el tratamiento de los datos biométricos de los trabajadores; y por otro la carencia de Evaluación de Impacto de Protección de Datos.
El proceso se inició el 11 de julio de 2022, cuando un trabajador comunicó a la AEPD que el sistema de control mediante usuario y contraseña había sido sustituido el mes anterior por uno nuevo basado en la huella dactilar, aseverando asimismo que no se recibió ninguna comunicación relativa a los procedimientos de seguridad vinculados al tratamiento de los datos biométricos, y manifestando que este tipo de control atentaba contra los derechos y libertades de los trabajadores, puesto que utilizaba un “sistema operativo obsoleto” y en el caso de un incidente de seguridad se produciría un daño irreversible.
En su respuesta, la Diputación aseguró que la huella dactilar de los trabajadores no se guardaba nunca, e indicaba que se generaba un algoritmo en función de la fisionomía de la huella asociando un número a cada empleado público. Además, señaló que por parte de la empresa encargada de instalar los aparatos de control de acceso se consideró que el control de horarios instalado no estaba dentro de los supuestos en los que era necesario elaborar una Evaluación de Impacto de Protección de Datos.
En su resolución, la Agencia Española de Protección de Datos requería a la Diputación para que en el plazo de diez días limitara “temporal o definitivamente el tratamiento” del sistema de control horario mediante huella dactilar “en tanto no disponga de una evaluación de impacto de protección de datos del tratamiento válida, que tenga en cuenta los riesgos para los derechos y libertades de los empleados y las medidas y garantías adecuadas para su tratamiento”.
Contra esta resolución, que pone fin a la vía administrativa, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Naciona en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto.
