Primera multa de Suecia bajo el RGPD

Un colegio en Suecia ha sido multado por la autoridad de control sueca con 20.000 € por usar tecnología de reconocimiento facial para controlar la asistencia de los estudiantes.

El colegio alegó que estaba valorando implementar esta tecnología como procedimiento estándar por motivos de eficiencia. Dado que comprobar la asistencia de los menores a clase conlleva un tiempo de aproximadamente diez minutos diarios, automatizar la tarea supondría ganar más de 17.000 horas de trabajo por año.

Los datos biométricos se recogían mediante cámaras que tomaban fotografías y se vinculaban con los nombres completos. Después, dicha información se almacenaba en equipos sin conexión a internet, que eran guardados en una taquilla bajo llave.

El colegio argumenta que no procedió a dicho tratamiento sin ninguna base legal, pues solicitaba el consentimiento previo de los padres o tutores, que tenían la posibilidad de negarse a participar. Sin embargo, no se realizó ninguna evaluación de riesgo, ni Evaluación de Impacto ni consulta a la autoridad de control.

La autoridad de control sueca, en consecuencia, determinó que el colegio había infringido el RGPD de tres maneras diferentes:

  • Violación de los principios fundamentales del Artículo 5 al tratar datos de manera más invasiva de lo necesario en relación al propósito (asistencia a clase).
  • Artículo 9, al tratar datos de categoría sensible (datos biométricos) sin base legal.
  • Artículos 35 y 36 por incumplir los requisitos de Evaluación de Impacto y consulta previa.

Aunque el colegio sostenía que contaba con el consentimiento de los estudiantes, la autoridad de control consideró que no había base legítima para el tratamiento debido a la posición desigual entre el interesado (los estudiantes) y el responsable (el colegio).

Debe recordarse que, en un caso similar, pero aplicado al entorno de trabajo en lugar de a escuelas, la AEPD afirmó que se permite el uso de la huella dactilar para el control en el registro de la jornada laboral, siempre que se apliquen determinadas garantías, como la aplicación de los principios de finalidad y minimización, entre otros.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

Leave a Comment

(0 Comentarios)

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *