La Agencia Española de Protección de Datos (AEPD) ha resuelto un procedimiento sancionador contra el Instituto Valenciano de Servicios Sociales (IVASS) por el uso de sistemas de fichaje basados en huella dactilar para el control horario de sus empleados, sin cumplir con las exigencias del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
Origen de la reclamación
La investigación se inició tras la denuncia de un empleado que solicitó dejar de fichar mediante huella dactilar, alegando que prefería un sistema alternativo por tratarse de un dato biométrico especialmente protegido. El IVASS denegó verbalmente su petición y no ofreció respuesta escrita. El trabajador aportó a la AEPD la documentación de su solicitud y la negativa recibida.
El sistema de fichaje y la interpretación errónea del IVASS
El IVASS utilizaba desde 2010 un sistema de control horario basado en la toma de huella dactilar, que convertía la huella en un código numérico para identificar al empleado. Inicialmente, la entidad defendió que no se trataban datos biométricos porque no almacenaba la imagen de la huella, sino un número generado a partir de la misma. Sin embargo, tanto la Delegación de Protección de Datos de la Generalitat Valenciana como la propia AEPD concluyeron que la plantilla biométrica, aunque sea un código, es un dato biométrico de especial protección, ya que permite la identificación única del trabajador.
Incumplimientos detectados
La resolución de la AEPD identifica varios incumplimientos graves por parte del IVASS:
- Falta de Evaluación de Impacto (EIPD): No se realizó ni superó la obligatoria evaluación de impacto relativa a la protección de datos antes de implantar o continuar el sistema biométrico, a pesar de que el RGPD lo exige para tratamientos de alto riesgo como el uso de datos biométricos.
- Ausencia de base legal y excepción del artículo 9.2 RGPD: No se acreditó la concurrencia de ninguna de las excepciones legales que permitirían el tratamiento de datos biométricos para el control horario, por lo que dicho tratamiento estaba prohibido.
- No consulta al Delegado de Protección de Datos (DPD): El IVASS no consultó ni involucró a su DPD en la implantación y revisión del sistema de fichaje biométrico, incumpliendo el deber de participación temprana del DPD en decisiones relevantes sobre protección de datos.
- No aplicación del principio de minimización y proporcionalidad: La AEPD destaca que existen alternativas menos intrusivas y eficaces para el control horario (tarjetas, códigos, firmas), por lo que el uso de la huella dactilar no era necesario ni proporcional.
Medidas correctivas y consecuencias
Tras la intervención de la AEPD, el IVASS sustituyó el sistema de fichaje por huella dactilar por otro basado en códigos y contraseñas, y anunció la futura implantación de un sistema definitivo no biométrico. Sin embargo, la Agencia subraya que la corrección posterior no exime de responsabilidad por los años en que se mantuvo el sistema biométrico sin cumplir la normativa (desde la entrada en vigor del RGPD en 2018 hasta junio de 2024).
La AEPD impone al IVASS la obligación de:
- Acreditar la sustitución definitiva del sistema biométrico por otro que no implique el tratamiento de datos biométricos.
- En caso de volver a tratar datos biométricos, realizar y superar una EIPD con la participación del DPD, justificando la necesidad, idoneidad y proporcionalidad del tratamiento.
- Establecer un protocolo que asegure la intervención del DPD en todas las cuestiones relativas a la protección de datos.
La resolución también se comunica al Defensor del Pueblo y será publicada oficialmente, en cumplimiento de la LOPDGDD.
