¿Sabías qué hacer fotos a tus empleados y usarlas para reconocimiento facial y control sin que lo sepan va en contra de la legislación de protección de datos?
Un ejemplo concreto:
Ha sucedido en un Alicante, una empresa fabricante de productos de plástico tendrá que pagar una multa de 20.000 euros por una sentencia de la Agencia Española de Protección de Datos (AEPD), ya que fotografiaba a sus empleados para crear una plantilla biométrica para su reconocimiento facial, pero sin avisar que se usará para ejercer un control sobre ellos
Los empleados firmaron un consentimiento, pero la finalidad era que las fotos
“podrían ser utilizadas y difundidas para la publicación en su página web, redes sociales, campañas, revistas, folletos, publicidad corporativa y demás materiales de apoyo”. Pero no se avisó que iba a ser para hacer
reconocimiento facial.
La empresa reclamada sacaba una fotografía de la cara de los empleados desde un dispositivo de la entrada y esa imagen se usa para fichar la entrada y la salida en el puesto de trabajo.
La sentencia concluye, entre otros asuntos, que el tratamiento del sistema de reconocimiento facial con objeto de control laboral, en tanto no disponga de una evaluación de impacto de protección de datos del tratamiento válida, que tenga en cuenta los riesgos para los derechos y libertades de los empleados y las medidas y garantías adecuadas para su tratamiento; o incluso si se realizará, precisaría efectuar la previsión de consulta que se establece en el artículo 36 del RGPD;.
El artículo 35 del RGPD, establece en relación con la evaluación de impacto relativa a la protección de datos lo siguiente: “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.
Además, dice la Agencia que el responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos;.