Con motivo del reciente cambio normativo en el Estatuto de los Trabajadores, tras la aprobación del Real Decreto-Ley 8/2019, de 8 de marzo, el empleador debe llevar un registro obligatorio de la jornada laboral de su personal. Aunque el plazo de implantación de esta medida ha vencido el pasado día 12 de mayo, la mayoría de las empresas han comenzado a implantarlo con cierto retraso, y está suponiendo un quebradero de cabeza a nivel organizativo.

¿En qué consiste el nuevo control horario?

Consiste en la obligación de llevar un registro fehaciente de las horas que realizan los empleados, registrando entrada y salida.

¿Quién debe darme instrucciones sobre cómo cumplir las normas aplicables?

Si bien son los departamentos de laboral los que deben explicar a las empresas cómo cumplir la normativa laboral, son los asesores y/o Delegados de Protección de Datos, tanto internos como externos, los que deben dar las instrucciones a la empresa para que este control se realice dentro del respeto de la privacidad.

¿Qué implicaciones en Protección de Datos tiene el registro obligatorio de la jornada laboral?

Este sistema de control laboral indudablemente tiene implicaciones en la Protección de Datos, ya que se produce un tratamiento de datos personales relativos a empleados que no existía con anterioridad, y cuyos fines pueden ser considerados más o menos invasivos según el mecanismo utilizado. Aunque este tratamiento se realiza en cumplimiento de una obligación legal sobrevenida, es preciso cumplir con los principios de protección de datos establecidos por el Reglamento General de Protección de Datos (RGPD).

¿Qué debo hacer para cumplir con el Reglamento General de Protección de Datos (RGPD)?

Se debe cumplir con el principio de transparencia, minimización, y limitación de la finalidad. Además, se deberá valorar la idoneidad, necesidad y proporcionalidad del mecanismo elegido por la empresa para el control horario, ya que no es lo mismo el control horario en papel mediante firma, que mediante huella o reconocimiento facial. Por último, no debe olvidarse que el principio de responsabilidad proactiva supone poder demostrar que se cumple el RGPD, por lo que lo que hagamos, deberá ser acreditable.

Concretamente, recomendamos a las empresas, como mínimo, realizar las siguientes acciones:

  • Informar, que no significa solicitar consentimiento, a los empleados sobre el nuevo tratamiento de datos con fines de control horario que se pone en marcha, indicando cual es la finalidad, la legitimación, las posibles cesiones, el plazo de conservación y el procedimiento para ejercer sus derechos o reclamar ante la Autoridad de Control.
  • Incluir esta nueva actividad de “Control Horario” dentro del registro de actividades de tratamiento al que obliga el RGPD y describirlo detalladamente.
  • Implantar medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de la información generada en este registro. Lo deseable es que no se trate de un documento de uso interno, sino de uso restringido al personal autorizado que por sus funciones deba conocer esta información.
  • En el caso de que se implante un sistema de control horario que lleve aparejado un servicio externo de mantenimiento técnico, con acceso a datos por cuenta de terceras empresas, se deberá acreditar una selección responsable del tercero encargado, y firmar el correspondiente acuerdo de protección de datos que garantice la confidencialidad.
  • Elegir el medio menos invasivo posible que permita cumplir con el control horario, y documentar esta valoración.
  • Conservar durante 4 años los registros, siendo éste el plazo legal establecido en la norma.

¿Y si para el control horario implanto sistema de huella o de reconocimiento facial?

Si para el registro obligatorio de la jornada laboral se utilizaran técnicas más avanzadas como el reconocimiento facial o la huella dactilar, se requiere realizar un análisis previo a la instalación. Este análisis debe en un juicio de idoneidad, necesidad, y proporcionalidad, de acuerdo con reiterada jurisprudencia del Tribunal Supremo y el Tribunal Constitucional. Además, se deberá seleccionar un sistema que sea técnicamente seguro, y valorar la aplicación de medidas de seguridad adecuadas al riesgo como pueden ser la seudonimización o la encriptación de datos, si el sistema lo permite. La legitimidad de estos mecanismos viene dada por la información previa al empleado sobre instalación, fines, riesgos, etc. Si el Responsable no ha informado a sus empleados en el ámbito de protección de datos, está realizando un tratamiento ilegítimo, y asumiendo un alto riesgo en esta actividad.

Lilliam Valenzuela
DPD Certificado
Socia responsable de Legal en Umbra Abogados

Pin It on Pinterest

Share This