En el ámbito de la protección de datos, el cumplimiento de las normativas de privacidad es fundamental para garantizar la seguridad y confidencialidad de la información personal. Un caso reciente ha puesto de manifiesto la importancia de respetar las regulaciones en materia de datos personales y las consecuencias de no hacerlo.
En el expediente N.º EXP202202960, la Agencia Española de Protección de Datos (AEPD) inició un procedimiento sancionador contra CTC EXTERNALIZACIÓN, S.L. por varias infracciones relacionadas con el tratamiento de datos biométricos para el registro horario de los trabajadores.
Sanción:
Las multas impuestas por la AEPD suman un total de 365.000 euros.
Motivo de las sanciones:
1.- Una multa de 200.000 euros se aplicó a causa de la carencia de información adecuada al afectado sobre el tratamiento de sus datos, incumpliendo el Artículo 13 del RGPD. Esta infracción resalta la importancia de informar de manera transparente a los individuos sobre cómo se utilizarán sus datos personales.
2.- Una multa de 65.000 euros se derivó de la ausencia de medidas de seguridad en el tratamiento de los datos biométricos, contraviniendo el Artículo 32 del RGPD. Esta carencia de seguridad pone en riesgo la privacidad de los datos sensibles de los empleados. Las medidas de seguridad que faltaban en relación al tratamiento de los datos biométricos en este caso incluyen la carencia de garantías en la supresión de las huellas dactilares y la insuficiente segregación de acceso a los datos sensibles, poniendo en evidencia la necesidad de implementar protocolos de seguridad robustos para proteger adecuadamente la información biométrica de los trabajadores.
3.- Una multa de 100.000 euros se impuso por no realizar una evaluación de impacto de protección de datos, incumpliendo el Artículo 35 del RGPD. Esta evaluación es crucial para identificar y mitigar posibles riesgos en el tratamiento de datos personales.
Medidas correctivas:
Además de las multas, la AEPD obligó a CTC EXTERNALIZACIÓN, S.L. a cumplir con una serie de medidas correctivas, entre las cuales se incluyen:
Informar de manera adecuada a todos los trabajadores sobre el tratamiento de datos, detallando aspectos que previamente no se habían incluido.
Establecer medidas de seguridad para evitar el acceso no autorizado en los datos biométricos y garantizar la eliminación de la huella dactilar después de su captura.
Separar el acceso a las tablas que contienen el hash de las improntas y los datos identificativos de los trabajadores.
Elaborar una evaluación de impacto de protección de datos que contemple todos los aspectos requeridos por el RGPD, especialmente teniendo en cuenta las deficiencias identificadas en el proceso.
Finalmente, la AEPD ordenó a CTC EXTERNALIZACIÓN, S.L. cesar en el tratamiento de datos personales hasta que supere con éxito la evaluación de impacto de protección de datos, asegurándose que las prácticas de tratamiento cumplan con las normativas de privacidad y seguridad establecidas por el RGPD.
Este caso ejemplifica la importancia de cumplir con las normativas de protección de datos y las medidas correctivas que las empresas tienen que implementar para garantizar la seguridad y privacidad de la información personal de sus empleados y clientes. La protección de datos es un aspecto esencial en la era digital actual, y el cumplimiento de las regulaciones vigentes es esencial para mantener la confianza y el respeto por la privacidad de los individuos.
La resolución de este caso fue emitida el 12 de febrero de 2024 y se puede consultar a https://www.aepd.es/documento/ps-00170-2023.pdf