Si tu aplicación de registro de jornada laboral utiliza reconocimiento facial, debes tener en cuenta que, al no cumplir con la normativa de protección de datos, puedes exponerte a sanciones graves. Un ejemplo claro es la multa de 220.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD) a una empresa alicantina que usaba esa tecnología. Asegúrate de que tu sistema, ya sea un software de control horario o una app de registro horario, cumpla con los requisitos del Reglamento General de Protección de Datos (RGPD) para evitar consecuencias legales.
220.000 euros de multa
La Agencia Española de Protección de Datos (AEPD) ha sancionado con 220.000 euros a una empresa alicantina por usar tecnología de reconocimiento facial en el fichaje de sus empleados, en incumplimiento de la normativa de protección de datos. La denuncia partió de un trabajador que, tras solicitar acceso a sus datos en agosto de 2022, no recibió respuesta formal por parte de la empresa. Según el empleado, la compañía le obligaba a fichar mediante un dispositivo de reconocimiento facial, sin ofrecerle alternativas.
Sistema de reconocimiento facial sin cumplir con la normativa
El sistema utilizado era un terminal de reconocimiento facial 3D que captaba imágenes de los rostros de los empleados para generar patrones biométricos, almacenados en una base de datos en el servidor de la empresa. Aunque la AEPD comprobó que los datos de fichajes previos al cambio de sistema se conservaban en un fichero y los patrones biométricos habían sido eliminados, detectó múltiples incumplimientos de la normativa vigente.
La empresa argumentó que los empleados habían dado su consentimiento expreso para el tratamiento de datos biométricos, incluyendo la huella dactilar, para el registro de la jornada laboral. Además, sostuvo que el sistema se había implantado en 2016, antes de la entrada en vigor del Reglamento General de Protección de Datos (RGPD), y que no era aplicable de forma retroactiva. Sin embargo, la AEPD rechazó estos argumentos, indicando que las infracciones se habían producido desde la entrada en vigor del RGPD en mayo de 2018.
Consecuencias de no cumplir con el RGPD
La resolución de la AEPD subraya que el consentimiento presentado por la empresa era deficiente, ya que no incluía opciones claras para aceptar, rechazar o revocar el tratamiento de datos. Además, señala que la empresa no realizó una Evaluación de Impacto de Protección de Datos Personales (EIPD), obligatoria en casos de alto riesgo como el uso de biometría facial. La agencia también criticó la falta de medidas técnicas y organizativas adecuadas para gestionar los riesgos asociados al tratamiento de datos sensibles.
En julio de 2022, la empresa alicantina fue adquirida por un grupo mayor. Tras analizar el sistema de fichaje, su Comité de Protección de Datos recomendó sustituirlo de forma inmediata. No obstante, la empresa continuó utilizando el sistema de reconocimiento facial hasta mayo de 2023, cuando finalmente lo reemplazó por un sistema de control horario basado en tarjetas individuales, similar al del resto de plantas del grupo.
La AEPD concluye que el uso de herramientas biométricas de este tipo supone un alto riesgo para los derechos y libertades fundamentales de los empleados, quienes se encontraban en una posición de desequilibrio frente a la empresa, al no disponer de alternativas al fichaje facial. Además, la agencia resalta que la infracción afectó a todos los trabajadores y persistió en el tiempo, desde 2018 hasta 2023.
La resolución, publicada el pasado viernes, se convierte en firme tras un mes, aunque la empresa tiene la posibilidad de presentar un recurso ante la AEPD o la Audiencia Nacional. El Grupo Saica ya ha anunciado su intención de recurrir la sanción.
