L’ Autoritat Catalana de Protecció de Dades, l’equivalent a Catalunya a l’estatal Agència Espanyola de Protecció de Dades, ha sancionat amb 31.000 euros una empresa municipal de Cabrera de Mar per dues infraccions (una de greu i una altra de molt greu). La multa, que ha quedat reduïda a 18.660 euros pel pagament immediat i l’assumpció de responsabilitats, es justifica per la utilització d’un sistema de reconeixement facial per controlar la jornada laboral d’una trentena de persones “sense base jurídica”.
Els fets afecten la firma
Gicsa (Gestió Iniciatives Cabrera SA), que emprèn obres per encàrrec del Consistori del
municipi del Maresme, a més de “prestar serveis municipals de conservació de l’enllumenat i del clavegueram públic, neteja viària i manteniment de carrers i jardins”, entre altres funcions. L’empresa va aplicar un sistema de control facial per supervisar la jornada dels seus empleats (abans eren 32, ara 22). La iniciativa “va començar el gener del 2023 i va acabar el novembre del 2024”, segons la resolució de Protecció de Dades.
“La normativa vigent en el dret laboral i en l’àmbit de la funció pública no preveu aquests sistemes”
Un treballador va denunciar els fets davant Protecció de
Dades i ha vist ara com li donaven la raó. Aquest organisme independent considera que la implantació del sistema de reconeixement facial es va dur a terme “sense haver realitzat prèviament una avaluació d’impacte en matèria de protecció de dades”, com exigeix la llei. En realitat, GICSA va pecar d’ingènua perquè sí que va complir aquest requisit, però després de la posada en marxa del sistema. Això constitueix, segons el parer de l’ òrgan supervisor, una falta greu. I haver implantat el sistema per si mateix “sense base jurídica”, una falta molt greu.
A més, l’empresa va mantenir una reunió amb els treballadors per informar-los de la novetat, però tampoc no va prendre la precaució d’obtenir la seva autorització per escrit. Les autoritzacions més o menys tàcites de la plantilla, sense que haguessin donat llum verda de manera documental, tampoc no són vàlides. I no ho són, raona l’ Autoritat Catalana de Protecció de Dades, perquè “l’existència d’una relació laboral o el consentiment del personal no legitimen l’ús de sistemes que tracten dades biomètriques especialment rellevants (“sensibles”, diu la resolució).
La companyia va al·legar que va oferir a la seva plantilla altres sistemes de control que no utilitzaven dades biomètriques, com ara una targeta magnètica per fitxar a l’hora d’entrar i sortir de la feina (de fet, almenys tres operaris van triar aquesta opció). Però l’empresa també va admetre que no va obtenir, “per desconeixement”, l’autorització expressa de la resta dels seus companys.
Plou sobre mullat, perquè, com insisteix la resolució PS 113/2024, “la normativa vigent en el dret laboral i en l’àmbit de la funció pública no preveu cap mecanisme pel qual l’empresari o l’administració contractant puguin controlar el registre de la jornada dels seus treballadors a partir del reconeixement fa-cial”. Tampoc no consta, afegeix el text de la sanció, “que hi hagi un conveni col·lectiu que empari les circumstàncies que han estat denunciades”.
L’ Autoritat Catalana de Protecció de Dades no concedeix cap importància a la reunió prèvia entre l’empresa i la plantilla per informar de la posada en marxa del sistema. “La dependència laboral –subratlla– impedeix afirmar que el consentiment es podia prestar sense temor d’efectes perjudicials”.
No es pot garantir que el consentiment s’hagi donat lliurement quan “hi ha un desequilibri clar entre l’interessat i el responsable del tractament, en particular quan el responsable sigui una autoritat pública”. Es pot presumir que l’autorització s’ha concedit de manera forçada, conclou Protecció de Dades, “quan el compliment d’un contracte o la prestació d’un servei depèn d’aquell consentiment”. Així ho admet el reglament
general de Protecció de Dades de la UE.
