Control horario laboral: El pasado 13 de marzo entró en vigor el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.
Con ella se trata de paliar la realización de horas no cotizadas por parte de los trabajadores y empresarios a las arcas de la Seguridad Social.
¿Cómo afecta la Protección de Datos al control horario laboral?
Muchas son las preguntas que han planteado las empresas respecto a su implicación en la protección de datos de sus trabajadores.
A falta de una regulación específica, la Agencia Española de Protección de Datos considera que es importante que las empresas apliquen el principio de minimización de datos.
Además se debe de buscar el equilibrio entre los derechos y las obligaciones de los interesados. Es por eso que, debe efectuarse esa ponderación de derechos y obligaciones y tomar la decisión de implantar el sistema menos intrusivo respecto a la privacidad y derechos de los trabajadores.
También habrá que analizar la base de legitimación de las empresas para tratar esos datos, dando como resultado en todos los casos que se encuentra amparado en el propio contrato de trabajo (Art. 6.1. b) del RGPD) y en la obligación establecida por ley (Art. 6.1.c) del RGPD).
Pues bien, esta nueva regulación del control horario laboral, tiene sus implicaciones en protección de datos en cuanto que llevan aparejadas una serie de actuaciones y modificaciones en la documentación y actividades del Responsable del tratamiento de los datos de los empleados, es decir, los empresarios.
Así, respecto al tratamiento de datos, se debería modificar el registro de actividades de tratamiento donde se recojan los tratamientos de RRHH y añadir el control horario de los empleados, bien dentro del apartado de RRHH o bien como un tratamiento aparte (aconsejable en caso de hacer el control horario mediante la utilización de datos biométricos).
Si el control de acceso se realiza mediante la utilización de formato en papel, donde se establecen las horas de entrada y salida y los diversos descansos, es necesario precisar que éste documento deberá ser nominativo y único.
Es decir, uno por persona, no pudiendo firmar todos los trabajadores en el mismo papel. De igual manera, es conveniente que la información que aparezca de los trabajadores, sea la mínima e imprescindible para su identificación; por ejemplo, nombre y apellidos y, en caso de coincidencia, 4 cifras aleatorias, sin letra, del Documento Nacional de Identificación o documento identificativo asimilado.
En el caso de que se decida poner un control horario laboral de acceso a través de huella dactilar, reconocimiento facial, de voz, iris u otro que conlleve el tratamiento de datos biométricos, debemos recordar que esta tipología de datos está dentro de las categorías especiales de datos (artículo 9.4 del RGPD) y que por tanto es necesario informar al trabajador de dicho control de acceso mediante uso de dato biométrico.
Es por esto que la AEPD admite el uso de estos sistemas para el control de la jornada laboral, pero siempre que se cumplan determinadas garantías, esto es:
- Que se cifren los datos
- Que se almacenen esos datos en sistemas no centralizados
Por su parte, si el control horario laboral se efectúa mediante cámaras de videovigilancia instaladas en las dependencias de la empresa que anteriormente se utilizasen únicamente para garantizar la seguridad de los bienes, instalaciones y personal, esta modificación deberá incluirse en los registros de actividades de tratamiento e informar a los trabajadores de la nueva finalidad en la utilización del sistema de videovigilancia.
De igual manera, se deberá informar en los casos en los que el Software elegido sea una App y puedan aparecer datos de geolocalización. Respecto a este sistema de fichaje por geolocalización, es necesario aclarar que, además del deber de informar, los trabajadores tienen reconocido el derecho a la desconexión digital, concretamente, el artículo 88 de la LOPD establece que los trabajadores tendrán derecho a la desconexión digital a fin de garantizar su descanso fuera de su jornada laboral, así como su intimidad personal y familiar, de tal forma que este sistema debe permitir su conexión y desconexión por parte del trabajador al iniciar y finalizar su jornada laboral, respectivamente. No obstante, puede obtener más información en la noticia que se publicará próximamente.
Además, es preciso que se identifique quién tendrá acceso a esos datos, ya que sólo deberá hacerse por personal autorizado, bien sea propio de la empresa o externalizado. En este último caso, habría que firmar el correspondiente contrato de encargado de tratamiento con la empresa prestadora de este servicio. Por ejemplo, en el caso de acceso con huella dactilar, cuando la empresa instaladora del aparato y del software gestione el mantenimiento y almacén de las huellas y datos asociados, es preciso firmar el contrato de prestación de servicio de encargado de tratamiento.
También será preciso realizar un análisis de riesgos sobre este tratamiento, y en consecuencia aplicar las medidas de seguridad correspondientes para salvaguardar estos datos.
¿Durante cuánto tiempo hay que conservar los registros de control horario laboral?
En cuanto al plazo de conservación de los datos, éstos se mantendrán por un plazo de 4 años (según establece el art. 21 del Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social) de tal manera que deben estar a disposición de los organismos que lo soliciten, tal y como marca la modificación del artículo 34 del texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, añadiendo un nuevo apartado, el 9 con la siguiente redacción:“…La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.”
En caso que el trabajador ya no preste sus servicios en la empresa, por el motivo que sea, se deberá establecer un protocolo a seguir que permita bloquear estos datos hasta que dicho plazo de vencimiento, de 4 años, llegue y se proceda a la supresión definitiva de la información.
Por tanto, podemos concluir que sea cual sea el sistema adoptado de control horario laboral, es necesario informar expresa, clara e inequívocamente a los trabajadores y a sus representantes, así como del protocolo del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
