La Autoritat Catalana de Protecció de Dades, el equivalente en Catalunya a la estatal Agencia Española de Protección de Datos, ha sancionado con 31.000 euros a una empresa municipal de Cabrera de Mar por dos infracciones (una grave y otra muy grave). La multa, que ha quedado reducida a 18.660 euros por el pronto pago y la asunción de responsabilidades, se justifica por la utilización de un sistema de reconocimiento facial para controlar la jornada laboral de una treintena de personas “sin base jurídica”.
Los hechos afectan a la firma GICSA (Gestió Iniciatives Cabrera SA), que acomete obras por encargo del consistorio de este municipio del Maresme, además de “prestar servicios municipales de conservación del alumbrado y del alcantarillado público, limpieza viaria y mantenimiento de calles y jardines”, entre otras funciones. La empresa aplicó un sistema de control facial para supervisar la jornada de sus empleados (antes eran 32, ahora 22). La iniciativa comenzó “en enero del 2023 y finalizó en noviembre del 2024”, según consta en la resolución.
“La normativa laboral y el ámbito de la función pública no prevén estos sistemas”
Un trabajador denunció los hechos ante Protecció de Dades y ha visto ahora como le daban la razón. Este organismo independiente considera que la implantación del sistema de reconocimiento facial se llevó a cabo “sin haber realizado previamente una evaluación de impacto en materia de protección de datos”, como exige la ley. En realidad, GICSA pecó de ingenua porque sí que cumplió este requisito, pero con posterioridad a la puesta en marcha del sistema. Ello constituye, a juicio del órgano supervisor, una falta grave. Y haber implantado el sistema en sí “sin base jurídica”, una falta muy grave.
El reconocimiento facial está cada vez presente en más dispositivos
Además, la empresa mantuvo una reunión con los empleados para informarles de la novedad, pero tampoco tomó la precaución de recabar su autorización por escrito. Las autorizaciones más o menos tácitas de la plantilla, sin que hubieran dado luz verde de forma documental, tampoco son válidas. Y no lo son, razona la Autoritat Catalana de Protecció de Dades, porque “la existencia de una relación laboral o el consentimiento de su personal no legitiman el uso de estos sistemas que tratan datos biométricos especialmente relevantes ” (“sensibles”, dice la resolución).
Lee tambiénSe disparan las investigaciones para crear tecnologías de vigilancia de ciudadanos
La compañía alegó que ofreció a su plantilla otros sistemas de control que no utilizaban datos biométricos, como una tarjeta magnética para fichar a la hora de entrar y salir del trabajo (de hecho, al menos tres operarios eligieron esta opción). Pero la empresa también admitió que no recabó “por desconocimiento” la autorización expresa del resto de sus compañeros.
Llueve sobre mojado porque, como insiste la resolución PS 113/2024, “la normativa vigente en el derecho laboral y en el ámbito de la función pública no prevé ningún mecanismo por el cual el empresario o la administración contratante puedan controlar el registro de la jornada de sus trabajadores a partir del reconocimiento facial”. Tampoco consta, añade el texto de la sanción, “que haya un convenio colectivo que ampare las circunstancias denunciadas”.
Un sistema de reconocimiento facial, en una feria de Barcelona
La Autoritat Catalana de Protecció de Dades no concede importancia alguna a la reunión previa entre la empresa y la plantilla para informar de la puesta en marcha del sistema. “La dependencia laboral –subraya– impide sostener que el consentimiento se podía prestar sin temor a represalias o efectos perjudiciales”.
No se puede garantizar que el consentimiento se haya dado libremente cuando “existe un desequilibrio claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública”. Se puede presumir que la autorización se ha concedido de forma forzada, concluye Protecció de Dades, “cuando el cumplimiento de un contrato o la prestación de un servicio depende de ese consentimiento”. Así lo admite el Reglamento General de Protección de Datos de la UE.
