eldiario.es
Boletines
¿No encuentras algo?
Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.
Comunitat Valenciana

Multes de 220.000 euros a una empresa d’Alacant per usar reconeixement facial amb els seus treballadors per a fitxar

  • L’Agència Espanyola de Protecció de Dades alerta dels “alts riscos per als drets i les llibertats fonamentals” de la tecnologia biomètrica

Sistema de reconeixement facial.
Sistema de reconeixement facial.

Lucas Marco

20 de enero de 2025 23:01 h

0

L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat dues multes, per un import total de 220.000 euros, a una empresa de Banyeres de Mariola (l’Alcoià), per usar tecnologia de reconeixement facial en el sistema de fitxatge dels seus treballadors. Un empleat de Cartonajes Bañeres SA va formular una sol·licitud de dret d’accés el 29 d’agost de 2022 sense que, finalment, rebera resposta formal de l’empresa. Un mes i mig després, el treballador va recórrer a l’AEPD, denunciant que, “com a empleat”, l’empresa “l’obliga a fitxar a l’entrada al seu lloc de treball amb un dispositiu de reconeixement facial, sense alternativa d’ús d’un altre mitjà diferent”.

Es tractava d’un terminal de reconeixement facial 3D que captava diverses imatges de la cara i generava un patró biomètric mitjançant un algorisme matemàtic. Les dades biomètriques s’emmagatzemaven en una base de dades del programari de control horari situat en el servidor de les instal·lacions de l’empresa.

En la còpia del consentiment sobre el tractament de dades personals dels empleats, aportada a l’AEPD, només s’al·ludia a l’empremta digital per al “control del compliment de la jornada laboral”. A més, segons l’apartat de fets provats de la resolució, el document “no porta cap apartat per a seleccionar el consentiment afirmatiu, o negar-lo, ni cap opció per a revocar el consentiment, ni en definitiva cap invitació a acceptar una operació de tractament”.

En una visita d’inspecció l’AEPD va constatar que Cartonajes Bañeres SA havia sigut adquirida pel Grupo Saica el 7 de juliol, un mes i mig abans de la sol·licitud d’accés del treballador a compte del reconeixement facial.

El Comité de Protecció de Dades del Grupo Saica, després de la integració de la filial banyeruda, va analitzar el sistema de fitxatge i va recomanar que se substituïra “de manera immediata”. Malgrat això, “consta acreditat” que l’empresa va continuar usant el sistema de tractament biomètric facial fins al 29 de maig de 2023. Posteriorment, va recórrer a un sistema de fitxatges amb targetes individualitzades dels empleats, propi de la resta de les plantes de l’empresa matriu.

L’AEPD va comprovar durant la seua inspecció que les dades del registre de fitxatges dels treballadors, anteriors al canvi del sistema, es conservaven en un fitxer i els hash (el patró biomètric) emmagatzemats s’havien destruït.

Cartonajes Bañeres SA es va escudar en el fet que el treballador havia prestat el seu consentiment exprés per al tractament de les seues dades, entre aquestes també per a la biomètrica “de l’empremta dactilar” per al “control de compliment de la jornada laboral”. L’empresa també va al·legar que el sistema de reconeixement facial es va instaurar el 2016, quan, a parer seu, no li era aplicable la normativa estatal i europea de protecció de dades. La firma considerava que s’havia aplicat de manera retroactiva una normativa “que no era aplicable quan van esdevindre els fets sancionats”.

La resolució de l’AEPD, per contra, recorda que “els fets constitutius de la infracció i que han sigut provats es produeixen” des de l’entrada en vigor del Reglament General de Protecció de Dades, una norma europea de “plena aplicació”.

L’empresa multada també considerava que l’Agència havia incorregut en una falta de proporcionalitat de la sanció, per no haver aplicat cap atenuant. No obstant això, la resolució té en compte el “grau d’intencionalitat, descuit o negligència que revela la conducta”.

Nous escenaris amb “múltiples riscos”

L’AEPD també argumenta que el tractament de reconeixement facial amb eines biomètriques de lectura i registre “presenta alts riscos per als drets i les llibertats fonamentals”.

“Abans d’implantar un projecte de tractament de dades, sempre que siga probable que aquest supose un risc significatiu per als drets i les llibertats de les persones, com és aquest cas, cal auditar-ne el funcionament, no de manera aïllada, sinó en el marc del tractament concret en què s’ha de fer servir”, afirma la resolució. En tot cas, els responsables de l’ús d’aquesta tecnologia han de considerar, d’entrada, “mitjans menys intrusius per a aconseguir el seu objectiu legítim de tractament”.

El tractament biomètric, recorda l’AEPD, “conjuga” productes tecnològics que evolucionen molt ràpidament, “influint, sens dubte, en les essències de les operacions de tractament, traslladant-se a nous escenaris l’exposició als múltiples riscos que necessiten reavaluacions contínues a què les organitzacions han de respondre des del punt de vista tècnic i organitzatiu”.

No obstant això, l’empresa no va aportar l’avaluació d’impacte de protecció de dades personals (AIPD) –l’eina prevista pel reglament europeu– que “hauria d’haver superat per a dur a terme de tractament que va dur a terme”.

“El fet que la reclamada considere que no ha de dur a terme una AIPD”, conclou la resolució, “no disminueix l’obligació general dels responsables d’aplicar mesures per a gestionar adequadament els riscos per als drets i llibertats dels interessats”.

Un “context de desequilibri de poder”

L’AEPD també considera que la situació afectava “tots els empleats” (no sols el treballador que va reclamar) i, a més, es va mantindre la “falta de l’obligació exigible” des que es va incorporar al reglament europeu, el maig del 2018. Es tracta, en definitiva, d’una “infracció que persisteix en el temps”.

D’altra banda, la resolució també destaca que la recollida i el tractament de dades es produeix entre l’empresa i els treballadors, “cosa que implica un context de desequilibri de poder entre les parts, associat a la informació deficient del tractament de les seues dades”. L’AEPD recorda que l’empresa indicava als seus empleats que havien d’“atorgar el consentiment exprés per al tractament de les seues dades, incloent-hi les de reconeixement facial, tot i que no se li donava una altra opció”.

La resolució, publicada divendres passat, es converteix en “executiva” (ferma) una vegada superat el termini d’un mes per a interposar un recurs potestatiu de resolució. A més, l’empresa sancionada també va poder plantejar un recurs de reposició davant la directora de l’Agència o un recurs contenciós administratiu davant l’Audiència Nacional. El Grup Saica, actual propietari de l'empresa sancionada, afirma que recorrerà la resolució.

Etiquetas
Logo elDiario.es

Periodismo a pesar de todo

Descubre nuestras apps

Necesitamos tu apoyo económico para hacer un periodismo riguroso y con valores sociales

HAZTE SOCIO, HAZTE SOCIA
stats