En l’àmbit de la protecció de dades, el compliment de les normatives de privacitat és fonamental per garantir la seguretat i confidencialitat de la informació personal. Un cas recent ha posat de manifest la importància de respectar les regulacions en matèria de dades personals i les conseqüències de no fer-ho.
En l’expedient N.º EXP202202960, l’Agència Espanyola de Protecció de Dades (AEPD) va iniciar un procediment sancionador contra CTC EXTERNALIZACIÓN, S.L. per diverses infraccions relacionades amb el tractament de dades biomètriques per al registre horari dels treballadors.
Sanció:
Les multes imposades per l’AEPD sumen un total de 365.000 euros.
Motiu de les sancions:
1.- Una multa de 200.000 euros es va aplicar a causa de la manca d’informació adequada a l’afectat sobre el tractament de les seves dades, incomplint l’Article 13 del RGPD. Aquesta infracció ressalta la importància d’informar de manera transparent als individus sobre com s’utilitzaran les seves dades personals.
2.- Una multa de 65.000 euros es va derivar de l’absència de mesures de seguretat en el tractament de les dades biomètriques, contravenint l’Article 32 del RGPD. Aquesta manca de seguretat posa en risc la privacitat de les dades sensibles dels empleats. Les mesures de seguretat que faltaven en relació al tractament de les dades biomètriques en aquest cas inclouen la manca de garanties en la supressió de les empremtes dactilars i la insuficient segregació d’accés a les dades sensibles, posant en evidència la necessitat d’implementar protocols de seguretat robustos per protegir adequadament la informació biomètrica dels treballadors.
3.- Una multa de 100.000 euros es va imposar per no realitzar una avaluació d’impacte de protecció de dades, incomplint l’Article 35 del RGPD. Aquesta avaluació és crucial per identificar i mitigar possibles riscos en el tractament de dades personals.
Mesures correctives:
A més de les multes, l’AEPD va obligar a CTC EXTERNALIZACIÓN, S.L. a complir amb una sèrie de mesures correctives, entre les quals s’inclouen:
- Informar de manera adequada a tots els treballadors sobre el tractament de dades, detallant aspectes que prèviament no s’havien inclòs.
- Establir mesures de seguretat per evitar l’accés no autoritzat a les dades biomètriques i garantir l’eliminació de l’empremta dactilar després de la seva captura.
- Separar l’accés a les taules que contenen el hash de les empremtes i les dades identificatives dels treballadors.
- Elaborar una avaluació d’impacte de protecció de dades que contempli tots els aspectes requerits pel RGPD, especialment tenint en compte les deficiències identificades en el procés.
Finalment, l’AEPD va ordenar a CTC EXTERNALIZACIÓN, S.L. cessar en el tractament de dades personals fins que superi amb èxit l’avaluació d’impacte de protecció de dades, assegurant-se que les pràctiques de tractament compleixin amb les normatives de privacitat i seguretat establertes pel RGPD.
Aquest cas exemplifica la importància de complir amb les normatives de protecció de dades i les mesures correctives que les empreses han d’implementar per garantir la seguretat i privacitat de la informació personal dels seus empleats i clients. La protecció de dades és un aspecte essencial en l’era digital actual, i el compliment de les regulacions vigents és essencial per mantenir la confiança i el respecte per la privacitat dels individus.
La resolució d’aquest cas va ser emesa el 12 de febrer de 2024 i es pot consultar a https://www.aepd.es/documento/ps-00170-2023.pdf