Ficha Resumen de la Resolución

Número
RPS-2024/018
Fecha
Resumen
Se reclama la implantación de un sistema de control de acceso del personal mediante uso de datos biométricos (reconocimiento facial y de la palma de la mano) sin la necesaria legitimidad, sin previa Evaluación de impacto relativa a la protección de datos (EIPD) ni información al personal.
Tras un periodo de actuaciones previas de investigación se constató que el órgano incoado llevó a cabo entre su personal un tratamiento de categorías especiales de datos biométricos sin que se diera una circunstancia que permitiera levantar la prohibición general del tratamiento de dichas categorías especiales de datos, lo que supone una vulneración de lo dispuesto en el artículo 9 del RGPD y que el tratamiento no cumplía con lo establecido en la normativa de protección de datos, por tanto, no era válido. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Se procede a DECLARAR las INFRACCIONES responsabilidad de la Diputación Provincial de Sevilla, por la comisión de la infracción tipificada en el art. 83.5.a) del RGPD por vulneración sustancial del articulo 9 del RGPD referido al tratamiento de categorías especiales de datos en relación con la implantación de un sistema de control horario por datos biométricos (reconocimiento facial y de palma de la mano), así como la infracción tipificada el artículo 83.4.a) del RGPD por vulneración sustancial del artículo 35 del RGPD referido a la Evaluación de impacto relativa a la protección de datos en relación al tratamiento de datos antes de llevar a cabo una evaluación de impacto relativa a la protección de datos cuando ésta era exigible.
Como medidas adicionales se propone:
a) Ordenar a la Diputación Provincial de Sevilla que, de conformidad con el artículo 58.2.d) y g) del RGPD y de acuerdo con el principio de transparencia recogido en el artículo 5.1.a) del RGPD proceda, en el plazo de un mes a comunicar individualmente a todas las personas afectadas, trabajen actualmente o no en la Diputación Provincial de Sevilla, que se ha efectuado la mencionada supresión de sus datos biométricos de reconocimiento facial y de palma de la mano. Para acreditar el cumplimiento de esta medida la Diputación Provincial de Sevilla debe remitir al Consejo, en el plazo máximo de un mes tras la notificación de la resolución definitiva, la documentación acreditativa de haber efectuado dichas comunicaciones.
b) Ordenar a la Diputación Provincial de Sevilla que, de conformidad con el artículo 58.2.d) RGPD que, en el plazo de un mes a corregir las menciones hechas a “Datos de reconocimiento biométrico a efectos de autenticación del control de presencia de su personal ” en el registro de actividades de tratamiento y que remita a este Consejo, en idéntico plazo, la documentación acreditativa de haber efectuado dichas correcciones.
Tipología
PROCEDIMIENTO SANCIONADOR
Ley
RGPD
Artículo
9
35
Párrafo
Categorías especiales de datos
Evaluación de impacto relativa a la protección de datos
Ámbito
ENTIDADES LOCALES
Órgano
DIPUTACIÓN PROVINCIAL DE SEVILLA
Provincia
SEVILLA
Sentido
DECLARACIÓN DE INFRACCIÓN
Descarga