Por Patricia Giménez.- El procedimiento sancionador al Colegio Notarial de Aragón se inició en octubre de 2024, tras una reclamación presentada a la agencia en marzo de 2023. Se alegaba entonces una infracción del Reglamento (UE) 2016/679 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
Específicamente, se objetaba que el procedimiento no era conforme a la normativa de protección de datos, «al no haberse efectuado una evaluación del impacto de las operaciones de tratamiento». Según Esperança Jordà, abogada especialista en protección de datos del bufete Pierre Abogados, «dicha evaluación es obligatoria si hablamos de tratar datos biométricos, y consiste en valorar la necesidad, la idoneidad y la proporcionalidad de la acción. Si tras ese ‘triple juicio’ no se hace imprescindible la vía que se pensaba implantar, se han de buscar otras menos invasivas, como aplicaciones móviles».
En concreto, como se observa en la resolución de la AEPD de 10 de diciembre (expediente: EXP202304834) (LA LEY 1015/2024), se denunciaba que cada trabajador debía marcar su huella dactilar «en todas las entradas y salidas del Colegio, y no solo las que se producen al comienzo y final de la jornada laboral». Además, cada viernes los miembros del personal debían enviar un informe del cumplimiento de los horarios al correo electrónico de la junta directiva.
La parte reclamante argumentó, en definitiva, que la implantación era incorrecta, ya que no disponía de almacenamiento descentralizado, donde la huella dactilar recogida se incorporara, por ejemplo, a una tarjeta privada.
20.000 euros por vulnerar un derecho fundamental
Tras analizar el caso, la AEPD ha resuelto imponer dos multas administrativas al Colegio Notarial de Aragón, ya que el mecanismo «afecta de una forma incisiva en el derecho fundamental a la protección de datos». El organismo opina que la medida «no ha venido precedida de una adecuada valoración de los riesgos», lo que constituye una actuación negligente. Y que, pese a ello, ha permanecido en vigor durante varios meses.
En la resolución, la agencia española recuerda que el artículo 9 del RGPD (LA LEY 6637/2016) (Reglamento General de Protección de Datos (LA LEY 6637/2016)) prohíbe el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física «a no ser que medie consentimiento expreso y libre», como señala la letrada de Pierre Abogados, «entre otras excepciones que tampoco se podían aplicar en este caso». Y respecto a la huella dactilar como tal, la AEPD expone que esta se enmarca «en las categorías especiales de datos, merecedoras de un nivel especialmente elevado de protección».
La multa propuesta fue de 20.000 euros, una primera multa administrativa de 10.000 euros por la infracción del artículo 9 del RGPD (LA LEY 6637/2016), más una segunda —de otros 10.000— por el incumplimiento del artículo 35 del RGPD (LA LEY 6637/2016), que versa sobre la evaluación de impacto. Pero, gracias a las deducciones, la cifra se ha limitado a 12.000 euros (por reconocimiento de responsabilidad y optar por el pago voluntario), cantidad que se abonó finalmente en noviembre de 2024. En esta línea, no hay que olvidar que disfrutar de estas ventajas conlleva la renuncia a presentar un recurso contencioso administrativo.
Jordà, como especialista en la materia, advierte que ni la práctica ni sus consecuencias son nuevas: «me consta que ha habido otros muchos casos donde la Agencia Española de Protección de Datos ha multado a empresas y entidades por el mismo motivo».
«No se efectúa ninguna fotografía digital de la huella»
Cuando la Agencia Española de Protección de Datos trasladó la queja al Colegio, este confirmó la existencia de esta dinámica de fichaje, pero que los afectados fueron debidamente informados con anterioridad a su puesta en funcionamiento. Y manifestó que, en la toma de decisión previa de la instalación del sistema biométrico, llevó a cabo «la correspondiente y obligatoria evaluación de impacto de protección de datos, en su calidad de responsable del tratamiento».
En cuanto los informes semanales, subrayó que no se solicitan a los empleados sino al Oficial Mayor del Colegio, y solo de forma temporal. Asimismo, resaltó que «únicamente se anota cualquier hecho especialmente relevante o excepcional ocurrido durante la semana en relación a los horarios (por ejemplo, un retraso no justificado)».
En lo que respecta a la legalidad del método, la entidad colegial afirmó que el uso de los datos biométricos está legitimado por el Real Decreto-ley 8/2019, de 8 de marzo (LA LEY 3310/2019), de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. Pero la experta Esperança Jordà aclara que «el Real Decreto al que hacen referencia estipula que hay que registrar el horario laboral, pero no dice las formas de hacerlo».
Paralelamente, los reclamados explicaron que el programa trabaja con tecnologías de cifrado, las cuales evitan la lectura, copia o modificación de las huellas. En ese sentido, aseguraban que era «imposible obtener la imagen real de la huella dactilar con el patrón guardado en el lector del terminal, ya que no se efectúa ninguna fotografía digital». Y que, en consecuencia, no se podían reutilizar los datos biométricos para ninguna otra finalidad.
El Colegio se echó atrás al comienzo de la investigación
En diciembre de 2023, tras las actuaciones de investigación por parte de la Subdirección General de Inspección de Datos, el Colegio Notarial de Aragón respondió a la agencia informando de que había «adoptado la decisión, con carácter definitivo, de no implantar dicho sistema como herramienta del control horario de sus empleados». Pero inicialmente no se daba la razón al 100% a la parte reclamante, ya que se aducía que esa determinación respondía a que el control no funcionaba correctamente: no emitía los informes deseados e interfería en otras aplicaciones del mismo servidor.
Sin embargo, también hicieron referencia a una guía de la propia AEPD publicada en noviembre de 2023, que califica como tratamiento de alto riesgo el hecho de emplear la huella digital para el control horario.
A su vez, los responsables de la entidad confirmaron que habían destruido los códigos binarios obtenidos de las huellas dactilares. Y que implantarían en adelante un método «menos intrusivo» para fichar.