La Agencia Española de Protección de Datos da la razón a las personas que hace 4 años denunciaron la forma ilegal en que se puso en marcha y se desarrolló la implantación de la “Huella Digital” en 10 oficinas de Lanbide. La entidad encargada fue la empresa de certificación y servicios “Izenpe S.A.”, sociedad anónima constituida en 2002.
Las dependencias del barrio barakaldés de Cruces fue una de las 10 oficinas que participaron en esta “experiencia piloto” de recogida de datos biométricos de cada una sus personas usuarias: huellas de las dos manos, de cada uno de los 10 dedos. En concreto, se trató de recoger en estas dependencias la “Huella Digital” de las 2.413 personas que en ese momento estaban desempleadas; las 600 personas demandantes de empleo; o las 1.047 familias perceptoras de la RGI.
En el mes de mayo del año 2018 cualquier persona que realizaba algún tipo de gestión: sellar el paro, informarse sobre cursillos de formación o gestiones relacionadas con la RGI. Se la derivaba al cuarto habilitado para la recogida invasiva de sus datos biométricos.
Durante seis meses se recogió los siguientes datos biométricos: huellas de las dos manos, de cada uno de los 10 dedos; más una foto telemática del rostro. En este periodo de tiempo se almacenaron en la CAPV los datos biométricos de 10.738 personas en las 10 oficinas habilitadas para esta supuesta “experiencia piloto”. Siendo la oficina de Lanbide en Cruces la que facilitó un menor número de datos biométricos debido al rechazo mostrado por sus personas usuarias.
Cabe destacar, que esta recopilación de datos biométricos no contaba con ningún amparo legal, como corrobora ahora la Agencia Española de Protección de Datos. Es más, en circular interna remitida a su personal se reconocía que “Lanbide tiene que desarrollar una Ley para determinar en qué servicios va a ser necesaria la identificación de datos biométricos para los distintos servicios”. Por lo cual, queda claro, que no existía ningún amparo jurídico que legitimara esta recogida masiva de datos biométricos en las oficinas del Servicio Vasco de Empleo.
Cabe destacar que el propio Lanbide constataba que no existía un análisis de riesgo de lo que suponía recabar estos datos biométricos o que utilidad ha dado o dará en un futuro a las “huellas digitales” de estas 10.738 personas.
Sin existir amparo legal alguno la Consejería de Empleo y Políticas Sociales del Gobierno Vasco insistió en impulsar esta medida. Además, “la previsión es ampliar la recogida mediante lectores de huella en las 43 oficinas de Lanbide hacia finales de 2018. Las acciones van encaminadas a extender la recogida de datos biométricos, y su utilización desde marzo de 2019, donde se será necesaria la identificación dactilar en los postes de gestión de tumos de las oficinas para la obtención de tickets de cita previa para orientación laboral, prestaciones o Darde”.
Las denuncias realizadas por las personas usuarias de esta oficina de Lanbide en Cruces frenaron esta pretensión de criminalizar a las personas desempleadas, pensionistas o con empleos precarios que utilizaban sus servicios.
En la resolución final de la Agencia Española de Protección de Datos se decide sancionar a la empresa “IZENPE S.A.”. En la misma se señala:
“Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a EMPRESA DE CERTIFICACION Y SERVICIOS IZENPE, S.A., con NIF A01337260, una sanción de apercibimiento, por una infracción de los artículos 4.1 de la LOPD y 5 del RGPD, tipificada en los artículos 44.3 c) de la LOPD y 83.5 a) del RGPD, respectivamente.
SEGUNDO: REQUERIR a la entidad EMPRESA DE CERTIFICACION Y SERVICIOS IZENPE, S.A., para que en el plazo un mes, contado desde la notificación del presente acto, adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, con el alcance expresado en el Fundamento de Derecho VIII. En concreto, se requiere que IZENPE cese en la utilización ilícita de los datos de carácter personal relativos a las huellas dactilares de los diez dedos de las manos, ajustando este tratamiento de datos de forma que se conserve el registro de un número de huellas dactilares compatible con el principio de minimización de datos, siempre que se justifique debidamente ese número.
TERCERO: NOTIFICAR la presente resolución a la entidad EMPRESA DE CERTIFICACION Y SERVICIOS IZENPE, S.A.”.
Desde un primer momento esta propuesta de implantación masiva de la “Huella Digital” en las 43 oficinas de Lanbide era totalmente irregular y no ajustada a derecho. En concreto,
-Obligatoriedad de análisis de riesgo y evaluación del impacto sobre el derecho fundamental
La Unión Europea exige en su artículo 90 del Reglamento 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales. Que se lleve a cabo, antes de la implantación de la recogida masiva de datos biométricos, una evaluación de impacto sobre los derechos fundamentales con el fin de valorar la particular gravedad y probabilidad del alto riesgo de la utilización de estos datos. Análisis y evaluación que no ha sido realizada por Lanbide.
-Principio general: prohibición de utilización de datos biométricos
La Unión Europea establece como principio general la prohibición del tratamiento de datos biométricos.
Por otro lado, advierte de los riesgos que conlleva la utilización de datos biométricos para grandes bases de datos centralizadas, dadas las consecuencias potencialmente perjudiciales parar las personas afectadas, tanto en el caso de desvío como de violación de los datos o la privacidad.
-Importante impacto en la dignidad humana
En su Dictamen 3/2012, la Unión Europea alerta sobre el importante impacto en la dignidad humana de las personas a las que se les aplica sistemas de identificación biométricos y las implicaciones en cuestión de derechos fundamentales.
En esta línea, la Agencia Vasca de Protección de Datos, por voz de su directora Margarita Uria, ha manifestado ante la comisión de Derechos Humanos del Parlamento Vasco que el “uso de la biometría puede conllevar un mayor impacto sobre la dignidad, la desprotección de la intimidad y la privacidad de personas vulnerables”.
-No hay consentimiento libre
Cabe destacar, que el artículo 43 del Reglamento de la UE señala expresamente que “en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública. Es improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación”. Circunstancias que se dan de facto en las oficinas de Lanbide sobre las personas usuarias.
Con la resolución de la Agencia Española de Protección de Datos queda claro que el único objetivo de la puesta en marcha de la “Huella Digital” era criminalizar la pobreza y a las personas usuarias de los servicios de Lanbide.
