Changeflow GovPing Data Privacy & Cybersecurity AEPD Resolution: Closure of Employee Biometric ...
Routine Enforcement Removed Final

AEPD Resolution: Closure of Employee Biometric Data Tracking Investigation

Favicon for www.aepd.es AEPD Resolutions (Spain DPA)
Filed October 2nd, 2024
Detected March 24th, 2026
Email

Summary

The Spanish Data Protection Agency (AEPD) has closed an investigation into the Ayuntamiento de Valladolid regarding its use of fingerprint-based employee time tracking. The agency closed the case after the municipality confirmed it had ceased using biometric data for employee time registration on September 2, 2024, following AEPD guidance.

View original document View source feed page

What changed

The Spanish Data Protection Agency (AEPD) has issued a resolution closing an investigation (EXP202413411) into the Ayuntamiento de Valladolid concerning its use of fingerprint data for employee time tracking. The investigation was initiated on August 7, 2024, following a complaint, and the AEPD's Director formally requested preliminary investigation actions on October 2, 2024. The Ayuntamiento acknowledged using a fingerprint system since 2009 but stated that upon becoming aware of AEPD's guidance on biometric presence control systems, it took measures to eliminate the use of biometric data for employee time registration.

The Ayuntamiento provided evidence that the fingerprint system was decommissioned on September 2, 2024. The resolution notes the significant efforts made to implement technical and organizational measures, including enabling non-biometric registration methods and facilitating check-ins via employee computer terminals, especially given the large workforce and varying technological capabilities. As the municipality has ceased the challenged practice, the AEPD has closed the case, indicating no further action is required from the entity regarding this specific investigation.

What to do next

  1. Review internal policies on employee data collection and biometric data usage.
  2. Ensure compliance with AEPD guidance on biometric data processing for employee monitoring.

Source document (simplified)

 Expediente N.º: EXP202413411

RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos y teniendo como base los siguientes HECHOS PRIMERO: Con fecha 7 de agosto de 2024 la Agencia Española de Protección de datos tuvo conocimiento, a través de una denuncia, de ciertos hechos que podrían vulnerar la normativa en materia de protección de datos. Con fecha 2 de octubre de 2024, la Directora de la Agencia Española de Protección de Datos (AEPD) instó a la Subdirección General de Inspección de Datos (SGID) a iniciar las actuaciones previas de investigación a las que se refiere el artículo 67 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), para investigar al AYUNTAMIENTO

DE VALLADOLID con NIF P4718700J (en adelante, el Ayuntamiento), en relación con

la utilización por parte de este de un sistema de fichaje a través de huella dactilar basado en el tratamiento de datos biométricos. SEGUNDO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de las funciones asignadas a las autoridades de control en el artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los siguientes extremos: Mediante escrito de 28 de octubre de 2024, el Ayuntamiento reconoce que contaba con sistema de fichaje mediante huella dactilar desde el año 2009 pero que, una vez tuvo constancia de la publicación por parte de la AEPD de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos, se puso a trabajar para eliminar el uso de datos biométricos para el control de la jornada laboral de sus empleados. Asegura que “han sido grandes los esfuerzos realizados para adoptar las medidas técnicas y organizativas que garantizaran ese equilibrio y ponderando los intereses afectados, dado el alto volumen de empleados del AYUNTAMIENTO afectados, las particularidades de la plantilla no sólo a nivel de régimen jurídico sino también de dotación de medios tecnológicos ya que un importante número de empleados carecen de firma electrónica y perfil de usuario en el directivo activo. Entre las medidas técnicas, posibilitar el registro de fichaje no basado en datos biométricos, así como la implantación de fichajes desde los propios terminales informáticos de los trabajadores”.

Confirma y acredita que la eliminación de la huella como sistema de registro de presencia y de fichaje tuvo lugar a fecha 2 de septiembre de 2024.

FUNDAMENTOS DE DERECHO I Competencia De acuerdo con las funciones que el artículo 57.1 a), f) y h) del Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante RGPD) confiere a cada autoridad de control y según lo dispuesto en los artículos 47 y 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), es competente para resolver estas actuaciones de investigación la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos." II Tratamiento de categorías especiales de datos personales El artículo 9 del RGPD, que regula el tratamiento de categorías especiales de datos personales, establece lo siguiente: "1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

  1. El apartado 1 no será de aplicación cuando concurra una de las circunstancias
    siguientes:

  2. el interesado dio su consentimiento explícito para el tratamiento de dichos datos
    personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

  3. el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de
    derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión o de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

  4. el tratamiento es necesario para proteger intereses vitales del interesado o de otra
    persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

  5. el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las
    debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

  6. el tratamiento se refiere a datos personales que el interesado ha hecho
    manifiestamente públicos;

  7. el tratamiento es necesario para la formulación, el ejercicio o la defensa de
    reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

  8. el tratamiento es necesario por razones de un interés público esencial, sobre la
    base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

  9. el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación
    de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

  10. el tratamiento es necesario por razones de interés público en el ámbito de la salud
    pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional;

  11. el tratamiento es necesario con fines de archivo en interés público, fines de
    investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

  12. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines
    citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas

establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

  1. Los Estados miembros podrán mantener o introducir condiciones adicionales,
    inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud." III Evaluación de impacto relativa a la protección de datos La evaluación de impacto relativa a la protección de datos se regula en el artículo 35 del RGPD en los siguientes términos: "1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

  2. El responsable del tratamiento recabará el asesoramiento del delegado de
    protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.

  3. La evaluación de impacto relativa a la protección de los datos a que se refiere el
    apartado 1 se requerirá en particular en caso de:

  4. evaluación sistemática y exhaustiva de aspectos personales de personas físicas
    que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

  5. tratamiento a gran escala de las categorías especiales de datos a que se refiere el
    artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

  6. observación sistemática a gran escala de una zona de acceso público.

  7. La autoridad de control establecerá y publicará una lista de los tipos de operaciones
    de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68.

  8. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de
    tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité.

  9. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de
    control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas listas incluyen actividades de tratamiento que guarden relación con la oferta

de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión.

  1. La evaluación deberá incluir como mínimo:

  2. una descripción sistemática de las operaciones de tratamiento previstas y de los
    fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

  3. una evaluación de la necesidad y la proporcionalidad de las operaciones de
    tratamiento con respecto a su finalidad;

  4. una evaluación de los riesgos para los derechos y libertades de los interesados a
    que se refiere el apartado 1, y

  5. las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de
    seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

  6. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo
    40 por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.

  7. Cuando proceda, el responsable recabará la opinión de los interesados o de sus
    representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.

  8. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e),
    tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.

  9. En caso necesario, el responsable examinará si el tratamiento es conforme con la
    evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento." IV Conclusión El Considerando 129 del RGPD indica que “[…] Los poderes de las autoridades de control deben ejercerse de conformidad con garantías procesales adecuadas establecidas en el Derecho de la Unión y los Estados miembros, de forma imparcial, equitativa y en un plazo razonable. En particular, toda medida debe ser adecuada, necesaria y proporcionada con vistas a garantizar el

cumplimiento del presente Reglamento, teniendo en cuenta las circunstancias de cada caso concreto…” La Sentencia del Tribunal de Justicia de la Unión Europea (STJUE) de 26/09/2024, en el asunto C-768/2021, señala (el subrayado es de la AEPD): “37. A este respecto, ha de señalarse que el RGPD deja a la autoridad de control un margen de apreciación en cuanto a la manera en que debe subsanar la deficiencia constatada, puesto que el artículo 58, apartado 2, del mismo confiere a dicha autoridad la facultad de adoptar diversas medidas correctoras. Así, el Tribunal de Justicia ya ha declarado que la elección del medio adecuado y necesario corresponde a la autoridad de control, que debe realizar tal elección tomando en consideración todas las circunstancias del caso concreto y cumpliendo con toda la diligencia requerida su misión consistente en velar por el pleno respeto del RGPD (véase, en este sentido, la Sentencia de 16 de julio de 2020, Facebook Ireland y Schrems,C- 311/18, EU:C:2020:559, apartado 112).

  1. Sin embargo, este margen de apreciación está limitado por la necesidad de
    garantizar un nivel coherente y elevado de protección de los datos personales mediante una aplicación rigurosa de las normas, como se desprende de los Considerandos 7 y 10 del RGPD.

  2. Por lo que se refiere, más concretamente, a las multas administrativas
    contempladas en el artículo 58, apartado 2, letra i), del RGPD, del artículo 83, apartado 2, de este Reglamento resulta que aquellas se imponen, según las características propias de cada caso, con carácter adicional o en sustitución de las demás medidas previstas en el citado artículo 58, apartado 2. Además, ese mismo artículo 83, apartado 2, precisa que, al decidir la imposición de una multa administrativa y su cuantía en cada caso individual, la autoridad de control debe tener debidamente en cuenta los elementos que figuran en las letras a) a k) de esta disposición, como la naturaleza, la gravedad y la duración de la infracción” (…)

  3. En consecuencia, no puede deducirse ni del artículo 58, apartado 2, del RGPD ni
    del artículo 83 de este la existencia de una obligación a cargo de la autoridad de control de adoptar, en todos los casos, cuando constate una violación de la seguridad de datos personales, una medida correctora, en particular una multa administrativa, siendo su obligación, en tales circunstancias, reaccionar adecuadamente para subsanar la deficiencia constatada. (…) En estas circunstancias, como señaló el Abogado General en el punto 81 de sus conclusiones, el autor de una reclamación cuyos derechos han sido vulnerados no dispone de un derecho subjetivo a que la autoridad de control imponga una multa administrativa al responsable del tratamiento. (…)” “43. A este respecto, no se excluye que, con carácter excepcional y habida cuenta de las circunstancias particulares del caso concreto, la autoridad de control pueda abstenerse de adoptar una medida correctora, aunque se haya constatado una violación de la seguridad de datos personales. Tal puede ser el caso, en particular, cuando la violación constatada no haya persistido, por ejemplo cuando el responsable del tratamiento, que, en principio, había aplicado medidas técnicas y organizativas apropiadas en el sentido del artículo 24 del RGPD, haya adoptado, tan pronto como haya tenido conocimiento de dicha violación, las medidas adecuadas y necesarias para que la violación finalice y no vuelva a producirse, habida cuenta de las obligaciones que le incumben, en particular, en virtud de los artículos 5, apartado 2, y24 del mencionado Reglamento.

  4. La interpretación según la cual la autoridad de control, cuando constata una
    violación de la seguridad de datos personales, no está obligada a adoptar en todos los casos una medida correctora con arreglo al artículo 58, apartado 2, del RGPD se ve corroborada por los objetivos perseguidos por este artículo 58, apartado 2, y por el artículo 83 de dicho Reglamento, respectivamente. 45.Por lo que respecta al objetivo perseguido por el artículo 58, apartado 2, del RGPD,del Considerando 129 de este se desprende que esta disposición tiene por objeto garantizar la conformidad del tratamiento de datos personales con dicho Reglamento y la regularización de las situaciones de incumplimiento de este para que se ajusten al Derecho de la Unión, mediante la intervención de las autoridades de control nacionales (Sentencia de 14 de marzo de 2024, Újpesti Polgármesteri Hivatal,C-46/23, EU:C:2024:239, apartado 40). 46.De lo anterior se infiere que la adopción de una medida correctora puede, con carácter excepcional y habida cuenta de las circunstancias particulares del caso concreto, no imponerse, siempre que la situación de infracción del RGPD ya haya sido subsanada y que se garantice la conformidad de los tratamientos de datos personales con dicho Reglamento por su responsable y que tal abstención de la autoridad de control no menoscabe la exigencia de una aplicación rigurosa de las normas, tal como se ha recordado en el apartado 38 de la presente sentencia.” El TJUE incide, por tanto, en el margen de apreciación que tienen las autoridades de control para, en el ejercicio de sus funciones, desarrollar y optar entre los poderes atribuidos por el artículo 58 del RGPD, teniendo en cuenta las circunstancias del caso concreto, así como velando por el pleno respeto del RGPD. La consigna que debe regir siempre la actuación de una autoridad de control es asegurar un nivel alto de protección de los datos personales. Así, cabe que, aun cuando se hubiera constatado o se tuvieran indicios de que se ha producido una vulneración en materia de protección de datos, las autoridades de control se abstengan de ejercitar sus poderes correctivos cuando esta presunta infracción hubiera sido subsanada y se garantice la conformidad de los tratamientos de datos personales con el RGPD. Lo señalado por el TJUE en la Sentencia antes citada, refuerza la idea de proporcionalidad de actuación de las autoridades de control que se recoge, con anterioridad a que fuera dictada la mencionada Sentencia, en los artículos 65.4 y 65.6 de la LOPDGDD, por los que se permite a la AEPD, en atención a las circunstancias del caso concreto, la inadmisión a trámite o el archivo de reclamaciones, cuando, tras el traslado de las mismas al responsable del tratamiento, éste demostrara haber adoptado medidas para el cumplimiento de la normativa aplicable. En el presente caso, los hechos que impulsaron las actuaciones previas de investigación conforme al artículo 67 de la LOPDGDD tras la recepción de una denuncia, se referían a la utilización por parte del Ayuntamiento de un sistema de fichaje a través de huella dactilar que trataba datos biométricos. Durante las actuaciones previas de investigación se ha constatado que el sistema estaba operativo desde el año 2009, pero que al comprobar que podía plantear discrepancias con la normativa en materia de protección de datos, fue eliminado con carácter definitivo el 2 de septiembre de 2024, tras el estudio de diversas alternativas desde noviembre de 2023.

Además, ha de subrayarse que la eliminación del mencionado sistema se produjo con carácter previo a la apertura de las mencionadas actuaciones previas de investigación. Por tanto, no cabe entender que las acciones llevadas a cabo por el Ayuntamiento se hicieran a raíz de una actuación de la AEPD. Lo anterior pone de manifiesto la diligencia con la que el responsable del tratamiento actuó al conocer que el sistema por él elegido podía vulnerar la normativa en materia de protección de datos y responde adecuadamente, en esencia, al principio de responsabilidad proactiva, elemento vertebrador del RGPD previsto en su artículo 5.2 y desarrollado en el artículo 24 de la misma norma. En consecuencia, de conformidad con la citada sentencia STJUE y atendiendo a las singulares circunstancias que conforman este caso, en particular la desaparición del sistema objeto de investigación y la diligencia del responsable para asegurar su cumplimiento de la normativa en materia de protección de datos, esta Agencia considera que no procede el despliegue de sus poderes correctivos previstos en el artículo 58 del RGPD. Todo ello sin perjuicio de las posibles actuaciones posteriores que esta Agencia pudiera llevar a cabo, aplicando los poderes de investigación y correctivos que ostenta. Así pues, de acuerdo con lo señalado, por la Presidencia de la Agencia Española de Protección de Datos, SE ACUERDA: PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones. SEGUNDO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE VALLADOLID. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez haya sido notificada a los interesados. Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y de conformidad con lo establecido en los arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

940-101025Lorenzo Cotino Hueso

Presidente de la Agencia Española de Protección de Datos

Related changes

Favicon for www.aepd.es GDPR Resolution on Data Access Rights for VIMCORSA
Priority review Mar 24, 2026 AEPD Resolutions (Spain DPA) Data Privacy & Cybersecurity
Favicon for www.aepd.es GDPR Rights Resolution: Access and Suppression Claims
Priority review Mar 24, 2026 AEPD Resolutions (Spain DPA) Data Privacy & Cybersecurity
Favicon for www.aepd.es GDPR Resolution on Right of Access and Sanction
Priority review Mar 24, 2026 AEPD Resolutions (Spain DPA) Data Privacy & Cybersecurity
Favicon for www.courtlistener.com Scranton v. Coyne - Injunction Affirmed on Personnel Files
Priority review Mar 24, 2026 PA Commonwealth Court Courts & Legal
Favicon for www.federalregister.gov Energy Department Privacy Act System of Records Notice Modification
Priority review Mar 24, 2026 FR: Energy Department Energy
Favicon for ico.org.uk Cleveland Police FOI Data Protection Complaints Decision
Priority review Mar 24, 2026 ICO Decision Notices Data Privacy & Cybersecurity

Source

Favicon for www.aepd.es
AEPD Resolutions (Spain DPA) aepd.es/es/informes-y-resoluciones/resoluciones
Data Privacy & Cybersecurity
Analysis generated by AI. Source diff and links are from the original.

Classification

Agency
AEPD Spain
Filed
October 2nd, 2024
Instrument
Enforcement
Legal weight
Binding
Stage
Final
Change scope
Minor
Document ID
EXP202413411

Who this affects

Applies to
Employers
Industry sector
9211 Government & Public Administration
Activity scope
Biometric Data Processing Employee Time Tracking
Geographic scope
ES ES

Taxonomy

Primary area
Data Privacy
Operational domain
Compliance
Compliance frameworks
GDPR
Topics
Biometrics Employee Monitoring

Browse Categories

Agriculture & Food Safety 61 Banking & Finance 236 Consumer Protection 40 Courts & Legal 323 Data Privacy & Cybersecurity 64 Defense & National Security 48 Education 20 Energy 104 Environment 83 Government & Legislation 261 Healthcare 131 Housing 16 Immigration 9 Insurance 56 Labor & Employment 111 Legal & Courts 1 Pharma & Drug Safety 99 Securities & Markets 79 Tax 64 Telecom & Technology 47 Trade & Sanctions 124 Transportation 56

Get Data Privacy & Cybersecurity alerts

Weekly digest. AI-summarized, no noise.

Free. Unsubscribe anytime.

Get alerts for this source

We'll email you when AEPD Resolutions (Spain DPA) publishes new changes.

Free. Unsubscribe anytime.