Si hace unos años desbloquear un teléfono con el rostro o acceder a un edificio a través de huella dactilar parecía ciencia ficción, hoy en día los sistemas de reconocimiento facial son comunes en todo tipo de empresas. Un tipo de tecnología que hace uso de los datos biométricos de las personas para reconocerlas e identificarlas. Un tipo de datos (rasgos fisiológicos como los patrones de la retina y la estructura facial) que son considerados especialmente sensibles por la legislación de protección de datos.
En este sentido, la Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 20.000 euros a una fábrica española por usar un sistema de reconocimiento facial con sus empleados. La compañía tomó fotografías a sus 470 trabajadores para crear una plantilla biométrica de sus caras que sirviese para respaldar un sistema de control de la jornada laboral.
Los empleados firmaron un documento de autorización de imagen cuando se hicieron las fotografías, en donde se disponía que sus imágenes podrían ser «utilizadas y difundidas en su página web, redes sociales, revistas o publicidad corporativa». En ningún momento se les informó de que sus fotografías serían tratadas por otra empresa para crear un patrón de reconocimiento para el registro de la jornada laboral. Por tanto, además de desconocer dicha finalidad, los empleados tampoco sabían qué empresa exacta captaría sus datos, cómo los gestionaría y tampoco sabía en qué servidores se almacenarían.
La AEPD considera la captación de imágenes no es una medida proporcional en este caso, ya que no ha habido la información adecuada, ni tampoco se ha realizado una evaluación de impacto que determine que dicho sistema es seguro para la privacidad de los empleados. La empresa, remarca la AEPD, debió recabar, el asesoramiento del Delegado de Protección de Datos de la propia compañía para, posteriormente, actuar con la diligencia debida.
Además, el artículo 35 del Reglamento General de Protección de Datos (RGPD), obliga a comunicar al comité de empresa, cómo cuándo y quién despliega la tecnología biométrica. Nada de esto se llevó a cabo y por eso la AEPD ha interpuesto una sanción administrativa. Asimismo, se ha instado a la compañía a limitar «temporal o definitivamente» el tratamiento del sistema de reconocimiento facial mientras no cuente con una evaluación de riesgos al respecto.
____________________
Pídenos una valoración sin compromiso para asesorarte con la protección de datos de tu empresa.