AEPD sanciona a Cartonajes Bañeres con 220.000 euros por incumplir el RGPD en el uso de reconocimiento facial y acceso a datos personales

La empresa Cartonajes Bañeres, S.A. fue denunciada por un empleado que reclamó el acceso a sus datos personales. La empresa utilizaba un sistema de reconocimiento facial para el control de la jornada laboral, lo que implicaba el tratamiento de datos biométricos sin haber realizado una Evaluación de Impacto en la Protección de Datos (EIPD), como exige el Reglamento General de Protección de Datos (RGPD). Además, la empresa no atendió adecuadamente la solicitud de acceso a los datos del empleado, incumpliendo así el artículo 15 del RGPD. La denuncia se presentó el 11 de octubre de 2022, y la empresa fue notificada el 21 de noviembre de 2022. A pesar de las recomendaciones del Comité de Protección de Datos del Grupo SAICA, que adquirió Cartonajes Bañeres en julio de 2022, la empresa continuó utilizando el sistema de reconocimiento facial hasta el 29 de mayo de 2023. La empresa alegó que el sistema se instaló en 2016, antes de la entrada en vigor del RGPD, y que no era consciente de la necesidad de realizar una EIPD. Sin embargo, la autoridad de protección de datos determinó que la empresa debía cumplir con las obligaciones del RGPD desde su entrada en vigor en mayo de 2018. La empresa fue sancionada con 200.000 euros por no realizar la EIPD y con 20.000 euros por no atender adecuadamente la solicitud de acceso a los datos del empleado. Además, se le ordenó que atendiera el ejercicio del derecho de acceso del reclamante.