miércoles, 15 de mayo de 2019

CONTROL HORARIO Y RGPD- LOPDyGDD


CONTROL HORARIO Y RGPD- LOPDyGDD
Actualmente nos enfrentamos a un nuevo cambio normativo que introduce el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, en relación al control de la jornada laboral, y que por ende supone actualizar la documentación de protección de datos en los puntos que pasamos a comentar. Tras finalizar el «periodo transitorio» para la puesta en marcha de esta medida en 2 meses, a partir del 12 de mayo de 2019 todas las empresas deben estar adaptadas.

Contexto normativo

Este Real Decreto-Ley, viene a regular el registro de la jornada laboral, como medida para combatir la precariedad en el trabajo, ya que la realización de más horas de las pactadas en el contrato supone dos afectaciones: el salario y la dificultad de conciliar la vida personal. Asimismo, la creación de este registro asegura la conformidad de la normativa española con el ordenamiento europeo.

Exactamente este cambio normativo viene establecido en el artículo 10 del citado RDL, que modifica el texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre, a los efectos de garantizar el cumplimiento de los límites en materia de jornada, de crear un marco de seguridad jurídica tanto para las personas trabajadoras como para las empresas y de posibilitar el control por parte de la Inspección de Trabajo y Seguridad Social.

Principio de proactividad en acción

Para dar cumplimiento al principio de proactividad contemplado en el RGPD en su artículo 5, debemos llevar a cabo los cambios mencionados en relación al tratamiento de datos relacionado con el control de la jornada laboral, y para ello debemos proceder a actualizar los siguientes apartados.

- Crear/Modificar tratamiento de datos: podrá tratarse de un nuevo tratamiento de datos y por tanto habrá que crear un Registro de Actividad de Tratamiento nuevo, o bien ya existe este tratamiento y procedemos a modificar los que ya teníamos de RRHH y añadir el control horario de los empleados (obligación legal para la empresa).
En el caso de que se decida poner un control de acceso a través de huella dactilar, recordar que esta tipología de datos está dentro de la categoría de especialmente sensible y que por tanto recomendamos crear un nuevo tratamiento a parte del de empleados e informar al trabajador de dicho control de acceso mediante uso de dato biométrico. 

- Respecto al análisis de riesgos: tendremos que modificar o hacer un análisis de riesgos sobre este tratamiento, y en consecuencia aplicar las medidas de seguridad correspondientes para salvaguardar estos datos.

- Modificación de los usuarios autorizados: Deberemos identificar quién tendrá acceso a esos datos, ya que sólo deberá hacerse por personal autorizado.

- Firma del contrato de encargado de tratamiento: Firmar con la empresa prestadora de este servicio (si lo hay) el contrato de encargo. (Por ejemplo, en el caso de sistemas de control mediante software de terceros).

- Cumplimiento del deber de información: Informar previamente los empleados de este nuevo tratamiento.

En caso de existir representación legal de los trabajadores, La información se deberá facilitar al comité de empresa con la finalidad de que emita un informe, y a pesar de que la norma no establece la forma concreta de realizar la comunicación (podría realizarse tanto en forma escrita como oral), siempre es más recomendable la forma escrita con la finalidad de que quede constancia de la comunicación.

De la misma manera, deberá informar a los trabajadores sobre el sistema de fichaje elegido, detallando desde cuando se pone en marcha, y facilitando información en materia de protección de datos para cumplir el deber de información

(*Adjuntamos Modelo Información a trabajadores control laboral) Para su descarga en PDF editable:
.

Podrá facilitar la información a los trabajadores a través de la vía habitual de comunicación entre la empresa y el trabajador. En caso de utilizar sistemas de control horario mediante huella o geolocalización, es preferible que conste la firma del trabajador para acreditar se entrega la información. 

- Protocolización del procedimiento: Establecer un protocolo sencillo para facilitar al empleado una copia del cuadro mensual de las horas realizadas junto a su nómina, por ejemplo.

- Protocolo de conservación/supresión: El sistema de archivo de estos datos (si es automatizado o manual) debe tener algún sistema para que, una vez estos datos ya no sean necesarios y haya pasado el tiempo legalmente establecido (4 años, según lo que dice esta normativa), puedan suprimirse. Durante estos 4 años, deben estar a disposición de los organismos que lo soliciten, tal y como marca la modificación del artículo 34 del texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, añadiendo un nuevo apartado, el 9 con la siguiente redacción:“…La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social. ”Establecer un protocolo a seguir al producirse la baja del empleado que permita bloquear estos datos hasta que dicho plazo de vencimiento, de 4 años, llegue.

Especial Control horario mediante geolocalización. Derecho a desconexión digital del trabajador.
En caso de utilizar sistemas de geolocalización, el empresario debe facilitar la herramienta para dicho control, y no debería recoger datos de localización en relación con un empleado fuera de su horario laboral (si son equipos o vehículos que también se pueden usar para fines privados deberán disponer de un sistema que permita desactivar la función de localización). Dicho esto, se debe informar a los trabajadores implicados de la instalación de dichos controles y de su finalidad. No es necesario contar con el consentimiento del interesado, pero si es exigible informarles (artículo 5 de la LOPD).

El derecho a la desconexión digital establece la obligación para la empresa de elaborar políticas internas dirigidas a los trabajadores y directivos para el ejercicio del derecho a la desconexión.

Especial Control horario mediante Huella Dactilar (uso de dato biométrico). 

La huella dactilar es un dato biométrico (como el iris del ojo) y es un dato de los calificados en el Reglamento Europeo como de “categoría especial”, es decir una protección más intensa (otros ejemplos son datos como la ideología política, la orientación sexual, o datos de salud).
Cuando una empresa u organización valora la instalación de un lector de huellas en el ámbito laboral (habitualmente como medida de control de acceso o para controlar los fichajes, la hora de incorporación y salida al puesto de trabajo) necesita legitimar el tratamiento en general de datos, y específicamente, el del dato “huella dactilar”, por ser de categoría especial. Se recomienda siempre dejar constancia por escrito de la información facilitada al trabajador.

La AEP ha señalado en diversos informes que podrían existir buenas prácticas que permitieran el control a través de la huella digital sin que el sistema tuviera que almacenar el dato biométrico (por ejemplo, por su incorporación a una tarjeta inteligente que se contrastase con la huella y se mantuviera siempre en poder del trabajador). El control por huella dactilar se justifica por limitarse a comparar la cadena numérica que genera cada huella mediante el algoritmo de encriptado con las previamente registradas, asociando el fichaje al empleado al que se encuentre vinculada la cadena numérica (igual que sucede con las tarjetas de fichaje) de modo que el tratamiento de esta información no tiene un alcance distinto al de los datos relativos a un número de identificación personal.


PARA CONOCER NUESTRA SOLUCION INFORMÁTICA DE CONTROL DE PRESENCIA, EN COLABORACIÓN CON EDOR-TEAM ANDALUCIA, SL,
PINCHAR EN EL SIGUIENTE BANNER:

http://www.edorteam.net/CONTROL%20PRESENCIA%202019.pdf
Control de presencia