El Jutjat del Social número 3 de la Corunya ha dictat la sentència SJSO 2400/2025, en què valida l’ús d’un sistema d’empremta dactilar per controlar l’accés i registrar la jornada laboral en un hospital privat. La resolució ha generat debat perquè s’allunya del posicionament tradicional de les autoritats de protecció de dades, que han considerat sempre molt restringit l’ús de tecnologies biomètriques en l’àmbit laboral.

Fins ara, tant l’AEPD com la Comissió Europea han mantingut una línia clara: les dades biomètriques són dades especialment protegides i, fora de situacions molt concretes, no es poden utilitzar per controlar la jornada laboral. L’article 9.1 del RGPD prohibeix el tractament d’aquest tipus de dades llevat que s’apliqui alguna de les excepcions de l’article 9.2, i la majoria d’aquestes excepcions no encaixen en un fitxatge convencional. A més, l’AEPD recorda que el consentiment dels treballadors no és vàlid en aquests casos perquè no és un consentiment lliure en una relació laboral.

La sentència fa un canvi de perspectiva força significatiu. El jutjat argumenta que, en un hospital, l’ús de biometria pot emparar-se en l’article 9.2.i del RGPD, que permet tractar dades de categoria especial quan hi ha raons d’interès públic en l’àmbit de la salut pública. Segons aquest criteri, el correcte funcionament del centre, la seguretat de pacients i professionals i la protecció davant possibles riscos sanitaris podrien justificar el sistema.

Per arribar a aquesta conclusió, el jutjat destaca diversos elements:

• No es guarda l’empremta completa, sinó una plantilla parcial, xifrada i no reconstruïble, fet que redueix el risc i s’alinea amb el principi de minimització. Tot i així, per a l’AEPD, aquesta plantilla continua sent dada biomètrica i, per tant, especialment protegida.
• L’hospital havia realitzat diverses EIPD, tant abans com després de la implantació del sistema. En aquestes avaluacions es van analitzar riscos, alternatives i mesures de mitigació. El jutjat ho valora com una mostra de diligència i de proporcionalitat.
• La plantilla va ser informada de manera detallada, mitjançant reunions, comunicacions internes i documentació específica. Segons el jutjat, això acredita el compliment dels articles 12 i 13 del RGPD, relatius a la transparència.
• El context sanitari: el tribunal considera que la seguretat d’un hospital justifica un nivell de control superior al d’altres entorns laborals. Això inclou evitar accessos indeguts, garantir la traçabilitat de determinades operatives i assegurar la qualitat del servei.

La sentència també esmenta el nou Reglament europeu d’Intel·ligència Artificial (AI Act), i suggereix que la verificació biomètrica presencial presenta un risc baix. Aquest punt, però, és discutible: l’AI Act no classifica automàticament aquests sistemes com a “baix risc” i se centra sobretot en la regulació de la identificació remota i altres pràctiques d’alt risc.

Malgrat la solidesa tècnica del sistema analitzat, la interpretació jurídica del jutjat presenta alguns elements que susciten dubtes:

• Salud pública vs. control laboral: l’article 9.2.i RGPD exigeix una base legal específica que autoritzi el tractament per motius de salut pública. En el cas del fitxatge, la finalitat és laboral, no sanitària. Actualment no existeix cap normativa que habiliti explícitament aquest tractament per a aquesta finalitat.
• Existència d’alternatives menys intrusives: la normativa laboral obliga a registrar la jornada, però no a fer-ho amb empremta. Targetes, aplicacions o codis serien opcions menys invasives que, segons el criteri de l’AEPD, s’haurien d’emprar prioritàriament.
• Coherència amb la doctrina europea: tant les Directrius del Comitè Europeu de Protecció de Dades com les decisions de la Comissió mantenen una postura restrictiva, especialment arran de diverses sancions imposades per sistemes de fitxatge biomètric.

Aquesta resolució posa sobre la taula un debat important sobre com s’haurien d’utilitzar els sistemes biomètrics en hospitals, que són entorns especialment sensibles. El tribunal considera que, si s’adopten mesures de seguretat sòlides i es fa una anàlisi de riscos ben fonamentada, l’ús d’aquest tipus de tecnologia pot arribar a ser proporcional en un context on la seguretat assistencial és prioritària. Tot i així, la decisió també genera incertesa, perquè s’allunya del criteri que fins ara havien defensat les autoritats de protecció de dades. En qualsevol cas, la sentència encara no és definitiva i pot ser recorreguda davant el Tribunal Superior de Justícia de Galícia, de manera que caldrà estar pendents de l’evolució que tindrà aquesta qüestió.

Les implicacions del principi de motivació, del dret a ser escoltat i de la condició de “inexistència de control” del tercer país en contractació pública del Agencia de la Unión Europea para el Programa Espacial (EUSPA)

En la decisió que dictà el Tribunal General el 19 de novembre de 2025 en l’assumpte T-41/24, les empreses demandants, LGAI Technological Center, S.A. i jtsec Beyond IT Security, S.L., impugnaren dues decisions de la EUSPA mitjançant les quals se’ls notificava que no havien estat seleccionades en la licitació EUSPA/OP/01/23 per a la prestació de «serveis de suport a l’acreditació de seguretat». La qüestió central gira entorn de l’aplicació d’una condició de participació establerta en el plec: que l’entitat jurídica adjudicatària “no estigui subjecta al control d’un tercer país o d’una entitat d’un tercer país”.

El Tribunal procedeix a diferenciar i resoldre (en primer lloc) la inadmissibilitat del recurs respecte de la primera decisió impugnada, en considerar que aquest havia quedat sense objecte perquè la pròpia EUSPA l’havia “anul·lat” abans de la intervenció jurisdiccional. En segon lloc, examina en profunditat el fons del recurs referit a la segona decisió impugnada, analitzant successivament el dret a ser escoltat (article 41 de la Carta dels Drets Fonamentals), l’obligació de motivació (article 296 TUE i article 170 del Reglament financer), l’obligació d’avaluar les ofertes segons els criteris del plec, la interpretació i aplicació de la condició de “inexistència de control” i, finalment, el principi de proporcionalitat i de maximització de la competència.

Pel que fa al dret a ser escoltat, el Tribunal constata que les demandants van aportar la documentació exigida i van respondre a les sol·licituds d’aclariment formulades per la EUSPA en relació amb la seva estructura accionaral i el control. D’aquesta manera, considera que es va garantir el dret a presentar el punt de vista i no existeix vulneració. En relació amb la motivació de la decisió, el Tribunal conclou que aquesta era suficient atès que s’identificava la no-prova del compliment de la condició de control, i a més s’adjuntava un resum de les conclusions del comitè d’avaluació que explicava la qüestió. Per tant, no es vulnera l’obligació de motivar.

Quant a l’exigència d’avaluació conforme al plec, es sosté que la condició de l’anunci (punt 2.2.1.1 c) del plec i article 24(2)(c) del Reglament (UE) 2021/696) exigia que l’entitat jurídica “no estigui subjecta al control” d’un tercer país o entitat d’un tercer país, entès aquest concepte com la capacitat de l’entitat d’exercir una influència decisiva, directament o indirectament, bé per una, bé per diverses entitats interposades. El Tribunal valida la interpretació adoptada per l’EUSPA que entén que la capacitat pot venir d’un conjunt de propietaris no concertats i que aquesta no exigeix, com pretengueren les demandants, la demostració d’un acord explícit de concertació.

En l’aplicació concreta de la condició, el comitè d’avaluació va concloure que la societat matriu de les demandants tenia accionistes de tercers països (Estats Units) amb participacions significatives i la capacitat per convocar juntes i adoptar decisions rellevants, cosa que feia de la demandant una entitat sota control segons la definició normativa. Així doncs, no s’identificà error manifest d’apreciació en la valoració dels elements fets i jurídics rellevants.

Finalment, pel que fa al principi de proporcionalitat i al de maximització de la competència, el Tribunal recorda que la finalitat del Reglament del Programa Espacial és protegir interessos essencials de seguretat de la Unió, i que això justifica que la condició de control tingui una tipologia més exigent en aquest context. La interpretació adoptada per l’EUSPA no suposa una restricció arbitrària de la competència, sinó una mesura objectivament dirigida al compliment de l’objectiu legislatiu.

Aquesta sentència, per tant, estableix rellevants punts de fixació per als procediments de contractació pública en l’àmbit de programes de la UE amb exigències de seguretat elevada: (i) el dret a ser escoltat i la motivació dels actes administratius es mantenen com a garanties fonamentals; (ii) la definició de “control” pot comprendre la capacitat d’acció de diverses entitats no concertades formalment; (iii) l’òrgan de contractació disposa d’una àmplia facultat d’apreciació sempre que justifiqui adequadament la seva valoració i (iv) l’objectiu de seguretat prevalgué, a aquest nivell de contractació, davant de la maximització de la competència.

Text íntegre sentència:

https://curia.europa.eu/juris/document/document.jsf?text=&docid=306329&pageIndex=0&doclang=es&mode=req&dir=&occ=first&part=1&cid=9058376

La gestió dels projectes finançats a través del Mecanisme de Recuperació i Resiliència (MRR) continua essent un repte rellevant per a les administracions públiques, que han d’operar en un entorn caracteritzat per una elevada exigència normativa i una cultura de control orientada al resultat. Aquest model de gestió obliga a integrar en el dia a dia una metodologia basada en la traçabilitat, la transparència i l’evidència documental, amb procediments molt concrets que garanteixen que els recursos europeus s’utilitzen de manera eficient i conforme als criteris del Pla de Recuperació, Transformació i Resiliència.

Una de les peces centrals d’aquest sistema és el seguiment de fites i objectius, que ha de quedar registrat i validat mitjançant la plataforma CoFFEE, l’eina oficial que permet monitorar l’execució i assegurar que cada actuació avança en la direcció acordada. Aquesta digitalització del seguiment ha suposat un canvi important en la cultura administrativa, ja que requereix introduir dades de forma sistemàtica, acreditar evidències i mantenir actualitzat l’estat de cada projecte. La vinculació entre finançament i compliment objectivable fa que CoFFEE sigui un mecanisme de control essencial i, al mateix temps, un instrument que reforça la planificació estratègica interna.

A aquesta dimensió de seguiment se li suma l’exigència de complir amb els criteris de contribució verda i digital, que obliguen a justificar de manera precisa com cada actuació participa en les transicions ecològica i tecnològica. Aquest etiquetatge, aparentment formal, determina una part substancial de l’elegibilitat de les despeses i condiciona la redacció inicial dels projectes. Les modificacions que puguin alterar aquest impacte han de revisar-se amb cura per evitar desajustos amb els compromisos adquirits.

Un altre dels requisits que vertebra el sistema és el compliment del principi de no causar perjudicis significatius al medi ambient, conegut com a DNSH. Aquesta condició, que s’aplica a tots els projectes finançats amb fons MRR, obliga a incorporar avaluacions ambientals, declaracions responsables i documentació justificativa que permeti acreditar que les actuacions no comprometen els objectius de sostenibilitat fixats per la Unió Europea. Aquest enfocament acompanya les entitats executores durant tot el cicle de vida del projecte i s’estén igualment a contractistes i subcontractistes.

La integritat en la gestió es reforça mitjançant l’aplicació del Pla de mesures antifrau i les declaracions d’absència de conflicte d’interès, que s’han de verificar a través de la plataforma MINERVA, una eina que analitza possibles vincles entre responsables públics i operadors econòmics. MINERVA ha esdevingut un filtre imprescindible per assegurar que no existeixen conflictes que puguin comprometre la imparcialitat del procediment i, alhora, representa un instrument preventiu que contribueix a reforçar la confiança en la gestió dels recursos públics.

Aquest conjunt de requisits es completa amb obligacions estrictes de traçabilitat financera, que inclouen la identificació dels perceptors finals, la comprovació dels titulars reals i la prevenció del doble finançament.

En definitiva, la gestió dels fons MRR requereix una planificació acurada, una documentació exhaustiva i una cultura organitzativa orientada al resultat i la transparència. És un model exigent però, alhora, una oportunitat perquè les administracions reforcin la seva capacitat de gestió i consolidin pràctiques que poden perdurar més enllà del marc temporal del Pla de Recuperació.