- Multa impuesta por la AEPD: 365.000 euros a CTC por recoger huellas dactilares sin informar adecuadamente a los trabajadores.
- Infracción de tres artículos del RGPD: Se han violado los artículos 13, 32 y 35, resultando en sanciones de 200.000, 65.000 y 100.000 euros respectivamente.
- Medidas ordenadas por la AEPD: CTC debe informar correctamente a los empleados, asegurar el borrado de datos biométricos y evaluar los impactos de protección de datos.
- Situación del caso: La sanción aún no es firme y puede ser recurrida ante la Sala de lo Contencioso de la Audiencia Nacional.
El caso, al detalle
La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa considerable a la empresa CTC Externalización por solicitar y gestionar las huellas dactilares de sus empleados sin cumplir con las normativas establecidas por el Reglamento General de Protección de Datos (RGPD). La sanción de 365.000 euros se desglosa en infracciones específicas que suman penalizaciones por los artículos 13, 32 y 35 del RGPD, debido a fallos en la información proporcionada a los trabajadores y en las medidas de seguridad de los datos recopilados.
Procedimientos inadecuados y reclamaciones
La reclamación original fue presentada el 14 de febrero de 2022, después de que un trabajador del centro de Madrid-Coslada alertara sobre la falta de información y consentimiento adecuados respecto al tratamiento de datos biométricos. A pesar de que CTC argumentó haber implementado métodos informativos como carteles y correos electrónicos, la AEPD encontró deficiencias significativas en la manera en que la empresa había comunicado y gestionado la información relacionada con la recopilación de huellas dactilares.
Respuesta y defensa de CTC
CTC defendió su procedimiento afirmando que el sistema utilizado no almacenaba huellas y que su finalidad era meramente la verificación de identidad. Sin embargo, no logró demostrar el cumplimiento adecuado con los requisitos de protección de datos, particularmente en lo que respecta a la transparencia y el consentimiento informado.
Contexto amplio y casos similares
Este incidente se suma a otros casos recientes donde la AEPD ha actuado contra el uso inapropiado de datos biométricos. En febrero, el gimnasio Metropolitan también fue multado con 27.000 euros por motivos similares, marcando una tendencia clara de la agencia hacia una regulación más estricta y una supervisión más rigurosa del tratamiento de datos biométricos en España.
