Protección de datos y el nuevo control horario en la empresa

El registro horario y la protección de datos

Cuestiones a tener en cuenta relativas a la protección de datos de los trabajadores ahora que es obligatorio tener un registro horario

El nuevo registro horario es obligatorio para todo el que tenga trabajadores y está en vigor desde el pasado 12 de mayo de 2019, siendo ésta la medida estrella del Real Decreto Ley 8/2019. ¿Qué implicaciones prácticas tienen en cuanto a la gestión de la protección de datos de nuestros trabajadores? ¿Qué adaptaciones o modificaciones debemos hacer en nuestra empresa?

Cuestiones a tener en cuenta:

¿Tenemos que recabar el consentimiento de nuestros trabajadores para el tratamiento de datos personales  del control de horarios? ( nombre y apellidos, cargos, horario laboral, entradas, salidas, etc)

No, la base de legitimación para el tratamiento de los datos personales que se tratarán es la obligación legal según RD Ley 8/2019, como hemos comentado. Por lo tanto, no será necesario obtener el consentimiento del empleado. Pero el hecho de que el tratamiento de los datos sea “lícito” sin necesidad del consentimiento, no exime a las empresas de su OBLIGACIÓN DE INFORMAR de los tratamientos previstos para controlar la jornada laboral del trabajador, qué datos se van a recopilar, sus fines y posibles cesiones a terceros.

¿Qué sistema de control laboral debería usar? La Agencia Española de Protección de Datos (AEPD) ha incidido en que el control de la jornada laboral por parte de las empresas debe ser “el menos intrusivo posible”, siendo muy importante la aplicación del principio de “minimización” y que se ponderen las obligaciones y los derechos de los afectados. El método a usar deberá ser acordado con los representantes de los trabajadores o en su defecto, bajo acuerdo de la empresa con los trabajadores, y puede ser desde manual hasta biométrico. En defecto de negociación colectiva o acuerdo empresarial, será la empresa quien decida sobre la organización del registro de jornada.

¿El tratamiento es automatizado, manual o mixto? Pues depende del mecanismo con el que hayamos decidido implementarlo, en empresas medianas y grandes suelen ser sistemas automatizados a través de dispositivos digitales de captura de la huella digital o código de tarjeta, en las menos incluso reconocimiento facial o iris. Con respecto a las pequeñas pueden existir estos dispositivos, pero será común la utilización de plantillas de papel (tratamiento manual) o excel (tratamiento digital) o ambas, en ese caso sería mixto.

¿Cuál es el plazo de conservación de los datos de control laboral? El plazo de conservación de los registros de control laboral será de 4 años, y estará a disposición de las autoridades públicas competentes, el propio empleado y los representantes de los trabajadores.

¿Se puede subcontratar el control laboral? Si, y las empresas que gestionen el control laboral se considerarán encargados del tratamiento de los datos, debiendo tratar los datos bajo el estricto sometimiento a las indicaciones de la empresa, asunto que debe regularse mediante acuerdo formal, conforme al artículo 28 del Reglamento General de Protección de Datos (UE) 2018/679, debiendo el prestador garantizar la implementación de las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos, conforme al artículo 35 del citado Reglamento.

¿Existe cesión de datos? Si existe cesión de datos hay que informar a los trabajadores de la cesión, hay que saber si el aparato digital está conectado con la empresa que lo comercializa o la que da soporte al software, en ese caso pueden tener acceso a  la información o directamente lo tienen.

En los casos que se haya contratado el aparato (hardware) y no el soporte lo normal es que la información esté conectada con un software de gestión en la propia empresa o se saque la información mediante puerto USB. En el caso de haber contratado soporte, es muy probable que el servicio técnico del fabricante tenga acceso al software del aparato para, por ejemplo, acceder en remoto para arreglar cualquier incidencia.

Obviamente con ese proveedor habrá que firmar el consiguiente contrato de servicios y habrá que regular el acceso a los datos personales de los trabajadores mediante un contrato de encargado de tratamiento.

Recordar que según la nueva normativa de protección de datos, todos sus proveedores con acceso a datos personales, tienen que acreditarle documentalmente que cumplen con la normativa, ya que es responsabilidad suya disponer de proveedores que cumplan con la Ley.

¿Hay transferencia internacional de datos?

Otro aspecto que hay que revisar es ¿donde están alojados los datos del control de horario? Sobre todo, en los casos en los que el almacenamiento sea en la nube, especialmente en los casos en los que el almacenamiento en la nube los preste el proveedor del software. Esto es muy común en aplicaciones SaaS, que las hay. Por ejemplo, si ha contratado un software de control horario a través de internet y del que paga un pequeña cuota mensual u anual.

En los casos anteriores, es importante conocer la ubicación de los data center del proveedor donde se alojan nuestros datos, para verificar que no se incurra en transferencias internacionales de sus datos personales.

Para aquellos casos que los datos biométricos sean almacenados en la nube o aquellos casos que el tratamiento de datos de control laboral sea a gran escala (Big Data, es decir, una gran cantidad de trabajadores afectados), será necesario realizar una Evaluación de Impacto, previo al tratamiento de los datos.

A efectos de cumplir con las obligaciones informativas, dispone de varias opciones:

La primera y quizá la más fácil es poner un cartel informativo junto al dispositivo de control, otra de las opciones podría ser informar directamente a los trabajadores, bien con la entrega de un documento informativo, bien informándoles vía correo electrónico, intranet u cualquier aplicación autorizada. Recordemos que, en caso de existir representantes de los trabajadores, se deberá informar a los mismos de manera formal y demostrable.

¿Tengo que incluir este tratamiento en el RAT?

Si es la primera vez que implanta el control horario, implica el tratamiento de datos personales, por consiguiente deberá modificar su Registro de Actividades de  Tratamiento (RAT) e incluir este tratamiento. Si ya lo tenía con anterioridad probablemente lo tenga incluido dentro de los tratamientos de su gestión laboral. Recuerde que no todos los tratamientos de datos que se encuentran dentro de su gestión laboral o de recursos humanos, tienen la misma base de legitimación.

Para mayor seguridad , contacte con su asesor en protección de datos, en su defecto estamos a su disposición para cualquier consulta.

 

Icons made by itim2101 from www.flaticon.com is licensed by CC 3.0 BY

Comments are closed.