La sentencia 190/2023, de 15 de septiembre, del Juzgado de lo Social nº 2 de Alicante, multa a una empresa por utilizar datos biométricos de sus empleados sin su permiso.

El Juzgado de lo Social nº 2 de Alicante establece que la empresa no puede imponer un sistema de control de jornada de reconocimiento facial sin el consentimiento de los trabajadores que se someten a él. En el caso de la sentencia, con fecha 15 de septiembre, la empresa no ofreció otras opciones para fichar, ni evaluó el impacto en la protección de datos.

La empresa realizó fotografías de los empleados a través de un dispositivo electrónico, y extendió una hoja de «Consentimiento para la recogida y tratamiento de datos personales» para su firma, la hoja autorizaba a la empresa al uso de sus derechos de imagen para la publicaciones en páginas web, redes sociales, campañas, publicidad,etc. Todo ello para la difusión y promoción de la empresa.

Uno de los trabajadores interpuso una reclamación ante la Agencia Española de Protección de Datos frente a la empresa, debido a que la empresa utilizó las fotografías para utilizarlas en un dispositivo de fichaje de entrada y salida del puesto de trabajo. El trabajador alega en la reclamación que no se le informó del uso de los datos biométricos, sólo había autorizado a la empresa para utilizar su imagen con fines promocionales de la misma.

La AEPD sancionó con 12.000 a la empresa por el tratamiento inadecuado de los datos personales del trabajador.

El control del empresario y el derecho a la intimidad y a la propia imagen

El afectado ejercitó posteriormente la acción especial de tutela, invocando el derecho a la intimidad y a la propia imagen. El trabajador firmó el consentimiento para el uso de derechos de imagen con fines promocionales, pero no para fichar en el puesto de trabajo. No existió consentimiento informado por parte del trabajador.

Además, consta que la empresa no realizó la necesaria evaluación de impacto de los datos biométricos, y que existe una desproporción entre la sensibilidad de la información y su necesidad práctica.

La utilización de datos biométricos

Los datos biométricos sólo pueden utilizarse bajo determinadas circunstancias, por lo que implica una evaluación estricta de la necesidad y la proporcionalidad de los datos. Para valorar la proporcionalidad, la sentencia establece los siguientes criterios:

• Debe ser esencial para satisfacer la necesidad, no sólo que sea la más adecuada o rentable.
• La eficacia de la medida en relación a las características de la tecnología biométrica.
• La ponderación con la pérdida de la intimidad.
• No debe haber otro medio menos invasivo que alcance el fin deseado.

En  el caso, no se le ofreció al trabajador otra forma de fichar, cuando sí que había otras posibilidades. Como ejemplo, la empresa permitió a unas trabajadoras gemelas fichar con una tarjeta.

¿El sistema de reconocimiento facial implica el tratamiento de datos biométricos?

El técnico proveedor del software alegó que el programa comparaba el algoritmo de la fotografía para reconocer al trabajador, por lo que se trataría de un sistema de reconocimiento facial, pero no uno biométrico.

Sin embargo, el artículo 4.14 del RGPD define los datos biométricos como «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos». Por lo tanto, al partir de una fotografía, sí entra en el ámbito de reconocimiento biométrico.

El juez considera que los hechos no respetan el derecho de intimidad de los trabajadores, por lo que impone una multa de 6.251 euros, al tratarse de una sanción recogida en el artículo 40 de la LISOS.