CONTROL HORARIO Y RGPD- LOPDyGDD
Actualmente nos enfrentamos a un nuevo cambio normativo que introduce el Real Decreto-ley 8/2019, de 8 de
marzo, de medidas urgentes de protección social y de lucha contra la
precariedad laboral en la jornada de trabajo, en relación al
control de la jornada laboral, y que por ende supone actualizar la documentación
de protección de datos en los puntos que pasamos a comentar. Tras finalizar el
«periodo transitorio» para la puesta en marcha de esta medida en 2 meses, a
partir del 12 de mayo de 2019 todas las empresas deben estar adaptadas.
Contexto normativo
Este Real Decreto-Ley, viene a regular el registro de la jornada laboral,
como medida para combatir la precariedad en el trabajo, ya que la realización
de más horas de las pactadas en el contrato supone dos afectaciones: el salario
y la dificultad de conciliar la vida personal. Asimismo, la creación de este
registro asegura la conformidad de la normativa española con el ordenamiento
europeo.
Exactamente este cambio normativo viene establecido en el artículo 10 del
citado RDL, que modifica el texto refundido de la Ley del Estatuto de los
Trabajadores, aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre, a
los efectos de garantizar el cumplimiento de los límites en materia de jornada,
de crear un marco de seguridad jurídica tanto para las personas trabajadoras
como para las empresas y de posibilitar el control por parte de la Inspección
de Trabajo y Seguridad Social.
Principio de
proactividad en acción
Para dar cumplimiento al principio de proactividad contemplado en el RGPD en
su artículo 5, debemos llevar a cabo los cambios mencionados en relación al
tratamiento de datos relacionado con el control de la jornada laboral, y para
ello debemos proceder a actualizar los siguientes apartados.
- Crear/Modificar
tratamiento de datos: podrá tratarse de un nuevo tratamiento de
datos y por tanto habrá que crear un Registro de Actividad de Tratamiento
nuevo, o bien ya existe este tratamiento y procedemos a modificar los que ya
teníamos de RRHH y añadir el control horario de los empleados (obligación legal
para la empresa).
En el caso de que se decida poner un control de acceso a través de huella
dactilar, recordar que esta tipología de datos está dentro de la categoría de
especialmente sensible y que por tanto recomendamos crear un nuevo tratamiento
a parte del de empleados e informar al trabajador de dicho control de acceso
mediante uso de dato biométrico.
- Respecto al
análisis de riesgos: tendremos que modificar o hacer un
análisis de riesgos sobre este tratamiento, y en consecuencia aplicar las
medidas de seguridad correspondientes para salvaguardar estos datos.
- Modificación de los
usuarios autorizados: Deberemos identificar quién tendrá acceso
a esos datos, ya que sólo deberá hacerse por personal autorizado.
- Firma del contrato
de encargado de tratamiento: Firmar con la empresa prestadora
de este servicio (si lo hay) el contrato de encargo. (Por ejemplo, en el caso
de sistemas de control mediante software de terceros).
- Cumplimiento del
deber de información: Informar previamente los empleados de
este nuevo tratamiento.
En caso de existir representación legal de los trabajadores, La información
se deberá facilitar al comité de empresa con la finalidad de que emita un
informe, y a pesar de que la norma no establece la forma concreta de realizar
la comunicación (podría realizarse tanto en forma escrita como oral), siempre
es más recomendable la forma escrita con la finalidad de que quede constancia
de la comunicación.
De la misma manera, deberá informar a los trabajadores sobre el sistema de
fichaje elegido, detallando desde cuando se pone en marcha, y facilitando
información en materia de protección de datos para cumplir el deber de
información
(*Adjuntamos Modelo Información a trabajadores control laboral) Para su
descarga en PDF editable:
.
Podrá facilitar la
información a los trabajadores a través de la vía habitual de comunicación
entre la empresa y el trabajador. En caso de utilizar sistemas de control
horario mediante huella o geolocalización, es preferible que conste la firma
del trabajador para acreditar se entrega la información.
- Protocolización del
procedimiento: Establecer un protocolo sencillo para facilitar
al empleado una copia del cuadro mensual de las horas realizadas junto a su
nómina, por ejemplo.
- Protocolo de
conservación/supresión: El sistema de archivo de estos datos
(si es automatizado o manual) debe tener algún sistema para que, una vez estos
datos ya no sean necesarios y haya pasado el tiempo legalmente establecido (4
años, según lo que dice esta normativa), puedan suprimirse. Durante estos 4
años, deben estar a disposición de los organismos que lo soliciten, tal y como
marca la modificación del artículo 34 del texto refundido de la Ley del
Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015,
de 23 de octubre, añadiendo un nuevo apartado, el 9 con la siguiente
redacción:“…La empresa
conservará los registros a que se refiere este precepto durante cuatro años y
permanecerán a disposición de las personas trabajadoras, de sus representantes
legales y de la Inspección de Trabajo y Seguridad Social. ”Establecer
un protocolo a seguir al producirse la baja del empleado que permita bloquear
estos datos hasta que dicho plazo de vencimiento, de 4 años, llegue.
Especial Control
horario mediante geolocalización. Derecho a desconexión digital del trabajador.
En caso de utilizar sistemas de geolocalización, el empresario debe
facilitar la herramienta para dicho control, y no debería recoger datos de
localización en relación con un empleado fuera de su horario laboral (si son
equipos o vehículos que también se pueden usar para fines privados deberán
disponer de un sistema que permita desactivar la función de localización).
Dicho esto, se debe informar a los trabajadores implicados de la instalación de
dichos controles y de su finalidad. No es necesario contar con el
consentimiento del interesado, pero si es exigible informarles (artículo 5 de la
LOPD).
El derecho a la
desconexión digital establece la obligación para la empresa de elaborar
políticas internas dirigidas a los trabajadores y directivos para el ejercicio
del derecho a la desconexión.
Especial Control
horario mediante Huella Dactilar (uso de dato biométrico).
La huella dactilar es un dato biométrico (como el iris del ojo) y es un dato
de los calificados en el Reglamento Europeo como de “categoría especial”, es
decir una protección más intensa (otros ejemplos son datos como la ideología
política, la orientación sexual, o datos de salud).
Cuando una empresa u organización valora la instalación de un lector de
huellas en el ámbito laboral (habitualmente como medida de control de acceso o
para controlar los fichajes, la hora de incorporación y salida al puesto de
trabajo) necesita legitimar el tratamiento en general de datos, y
específicamente, el del dato “huella dactilar”, por ser de categoría especial.
Se recomienda siempre dejar constancia por escrito de la información facilitada
al trabajador.
La AEP ha señalado en diversos informes que podrían existir buenas prácticas
que permitieran el control a través de la huella digital sin que el sistema
tuviera que almacenar el dato biométrico (por ejemplo, por su incorporación a
una tarjeta inteligente que se contrastase con la huella y se mantuviera
siempre en poder del trabajador). El control por huella dactilar se justifica
por limitarse a comparar la cadena numérica que genera cada huella mediante el
algoritmo de encriptado con las previamente registradas, asociando el fichaje
al empleado al que se encuentre vinculada la cadena numérica (igual que sucede
con las tarjetas de fichaje) de modo que el tratamiento de esta información no
tiene un alcance distinto al de los datos relativos a un número de
identificación personal.
PINCHAR EN EL SIGUIENTE BANNER: