BANYERES. La empresa Cartonajes Bañeres SA ha sido sancionada por la Agencia Española de Protección de Datos con dos multas que suman 220.000 euros, tras la denuncia de un trabajador por tener que fichar para acceder al trabajo a través de un sistema de reconocimiento facial, sin tener alternativa, tal y como se recoge en la resolución de la Agencia, a la que recurrió tras formular a la empresa una solicitud sobre el derecho de acceso y no recibir respuesta formal de la empresa.
Según se indica en la resolución, el sistema suponía "la captación del patrón biométrico por parte de la cámara se basa en tomar varias imágenes de la cara y mediante un algoritmo matemático se genera un patrón. Este algoritmo de encriptación genera una plantilla representativa de dicho patrón (hash) y se almacena en equipo y en el Software para poder hacer la identificación biométrica".
Los hechos se remontan a 2022, cuando la parte reclamante manifiesta que la citada empresa ubicada en Banyeres "realiza una fotografía de la cara de los empleados desde un dispositivo situado en la entrada", sin tener otra alternativa. Desde la Agencia se realizó una inspección, comprobándose que Cartonajes Bañeres SA había sido adquiridad por el Grupo Saica un mes y medio antes de la petición de datos por parte del empleado, y planteaba diferentes cuestiones sobre el sistema de control. De hecho, el Comité de Protección de Datos del Grupo Saica recomendó que de forma inmediata se sustituyera el sistema de fichajes de control laboral mediante reconocimiento facial, por emplear datos biométricos, si bien se siguió utilizando durante un tiempo, hasta que se optó por otro sistema de fichajes con tarjetas individualizadas.
Por su parte, la Agencia comprobó que los datos del registro de fichajes previos al cambio de sistema se mantenían en un archivo, mientras que los 'hash' (patrones biométricos) almacenados habían sido eliminados de forma segura. La empresa había argumentado que los empleados habían firmado su consentimiento para el tratamiento de sus datos, incluido el biométrico, como la huella dactilar, y que la implementación del reconocimiento facial tuvo lugar en 2016, incidiendo en que en ese momento no se aplicaba la normativa estatal y europea de protección de datos. La Agencia Española de Protección de Datos aseguró que los hechos se produjeron al amparo del Reglamento General de Protección de Datos, una normativa europea de aplicación desde su entrada en vigor.
Igualmente, la resolución de la Agencia en la que se recoge la sanción se indica que se ha tenido en cuenta "el grado de intencionalidad, descuido o negligencia que revele la conducta", mientras que la empresa considera que existe una falta de proporcionalidad en la sanción. En concreto, se trata de dos sanciones, una de 200.000 y otra de 20.000 euros.