La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 20.000 euros al Colegio Notarial de Aragón por utilizar un sistema de control de horario basado en huellas dactilares sin contar con el consentimiento explícito de sus empleados ni evaluar la posibilidad de usar métodos menos intrusivos. No obstante, la sanción se redujo a 12.000 euros después de que el Colegio aceptara los hechos y realizara el pago voluntario.
Motivo de la sanción
La AEPD considera que el Colegio Notarial de Aragón vulneró el Reglamento General de Protección de Datos (RGPD), infringiendo dos artículos clave:
- Artículo 9: Relativo al tratamiento de categorías especiales de datos personales, como los datos biométricos.
- Artículo 35: Referente a la obligación de realizar una evaluación de impacto previa al tratamiento de datos que puedan suponer riesgos significativos para los derechos y libertades de las personas.
El uso de huellas dactilares se considera un tratamiento de datos biométricos, que, según la normativa, debe estar debidamente justificado, ser proporcional, y contar con medidas de seguridad adecuadas. La AEPD argumentó que existían métodos menos intrusivos para controlar la jornada laboral, y que no se realizó una evaluación exhaustiva sobre la necesidad ni la proporcionalidad de este sistema.
Orígenes del conflicto
El conflicto se remonta al 7 de marzo de 2024, cuando un empleado presentó una reclamación alegando que el sistema de control horario, implementado el 14 de marzo de 2023, no cumplía con la normativa de protección de datos. Según la denuncia, el sistema de control de huella dactilar no se había sometido a una evaluación de impacto previa y su configuración no garantizaba la protección adecuada, ya que la huella no se almacenaba en un dispositivo personal (como una tarjeta inteligente) controlado por el empleado.
El Colegio admitió que había instalado el sistema, pero señaló que no estaba operativo al 100% ni emitía los informes diarios de control de jornada. Justificó la decisión de implementar este sistema porque el anterior, basado en registros manuales, era poco objetivo y no garantizaba la fiabilidad ni la seguridad necesarias. Su objetivo, argumentaron, era lograr un método «más seguro y objetivo» para controlar la jornada laboral. Aseguraron haber informado por escrito a los empleados y afirmaron que ninguno se opuso. Además, señalaron que el tratamiento de los datos biométricos se encontraba legitimado por el artículo 34.9 del Estatuto de los Trabajadores (ET).
Postura de la AEPD
La AEPD no aceptó las justificaciones del Colegio Notarial de Aragón. La Agencia recordó que los datos biométricos se consideran una categoría especial de datos personales debido a su carácter único y permanente, ya que están asociados de forma inseparable a la identidad de una persona. Por este motivo, la normativa de protección de datos exige que su uso esté justificado, sea necesario y proporcione garantías adecuadas de seguridad.
La AEPD subrayó que la normativa laboral no impone ni autoriza expresamente el uso de sistemas biométricos para el control de la jornada laboral. Además, consideró que existían métodos menos invasivos para este control, como sistemas de identificación mediante tarjetas o aplicaciones de registro de entrada y salida. La Agencia concluyó que la evaluación de impacto presentada por el Colegio era insuficiente, ya que no analizaba de forma adecuada la necesidad, proporcionalidad e idoneidad del uso de huellas dactilares.
Sanción
Finalmente, el Colegio Notarial de Aragón ingresó la sanción reducida de 12.000 euros, tras acogerse a las dos bonificaciones propuestas por la AEPD:
- Reconocer la infracción.
- Realizar el pago voluntario en el plazo establecido.
El Colegio decidió no recurrir la sanción ante la Audiencia Nacional, aceptando la resolución de la AEPD.
