La Agencia Española de Protección de Datos (AEPD) ha multado con 20.000 euros al fabricante de productos de plástico Plastic Forte por haber usado el reconocimiento facial para hacer el registro horario de sus empleados sin informarles.
En el documento de consentimiento, la empresa solo explicaba que las imágenes “podrían ser utilizadas y difundidas para la publicación en su página web, redes sociales, campañas, revistas, folletos, publicidad corporativa y demás materiales de apoyo”.
El trabajador que denunció la situación solicitó a la firma información sobre los datos personales que esta manejaba y recibió documentación de la empresa que no citaba la posesión de los datos biométricos de la plantilla.
Plastic Forte argumentó que la ley le obliga a llevar un registro horario del tiempo de trabajo de cada empleado, y al ser esa la única finalidad de los datos biométricos, no se consideraba obligada a notificar el empleo de esta tecnología.
Sin embargo, la AEPD recuerda que el uso de reconocimiento facial para el control horario es “un sistema de identificación novedoso y muy intrusivo para los derechos y libertades fundamentales de las personas”. Además, requiere de una evaluación de impacto y la comunicación al comité de empresa de cómo, cuándo y quién despliega la tecnología biométrica.
La resolución destaca que el empleo de reconocimiento facial para el control horario es un sistema intrusivo para los derechos y libertades fundamentales de las personas, por lo que su uso debe evaluarse en términos de necesidad y proporcionalidad, así como considerar las medidas necesarias para afrontar los riesgos que conlleva el reconocimiento facial, como las brechas de seguridad o la desviación de la información biométrica a “bases de datos centralizadas” menos seguras.
La empresa debe tener en cuenta cuántos datos de la cara se recogen e intentar minimizarlos. Además, “el tamaño de la plantilla debe ser lo suficientemente grande para gestionar la seguridad y no demasiado grande para evitar los riesgos de reconstrucción de los datos biométricos”, señala el organismo.
Por otro lado, la AEPD también ha multado este miércoles con 5.000 euros a otra empresa que instaló un sistema de videovigilancia capaz de retransmitir en tiempo real el audio de un establecimiento sin informar a los trabajadores ni a los clientes.
En ambos casos, la institución destaca que la vigilancia desplegada sobre los trabajadores sin su consentimiento es una violación de los derechos fundamentales y puede llevar a multas y apercibimientos por parte del organismo de privacidad español.
La decisión de la AEPD llega en un momento en el que la Unión Europea se encuentra finalizando las normas que determinarán cómo se puede desplegar esta tecnología en los próximos años.
Los reguladores de privacidad del continente han pedido que solo se emplee cuando no haya opciones más seguras disponibles y que se haga de forma transparente para las personas a las que se vigila.
El uso de la tecnología de reconocimiento facial debe evaluarse cuidadosamente para minimizar los riesgos para los derechos y libertades fundamentales de las personas, según la AEPD.