Pasos para que tu registro horario cumpla con la normativa de protección de datos
Con motivo de la entrada en vigor de la normativa que obliga a registrar la jornada laboral de los trabajadores, planteamos las obligaciones que, en materia de protección de datos personales, deben tener en cuenta las empresas en función de los sistemas más utilizados:
- Registros en papel o Excel
Incluso en formatos en papel o Excel hay que informar de la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con dicho registro, puesta esta información es nueva y no la teníamos antes.
- Sistema de huella
En el caso de implantar un sistema de captación de huella digital de los trabajadores, habrá que valorar la tecnología utilizada, es decir:
-Si el sistema recoge y guarda la huella como tal, se considera un dato biométrico y, por tanto, dentro de las categorías especiales. En este caso, es obligatorio realizar una evaluación de impacto, previa al tratamiento, según el art. 35.1 RGPD.
-Si el sistema no recoge la huella como tal sino que se convierte en lo que se denomina “minucias”, es decir, ciertas características del dibujo de la huella que se guardan en el sistema pero que no son como tal la huella digital original, sino un patrón de ésta sin que sea posible reconstruir la imagen original de la huella dactilar. En este caso, la empresa no va a conservar ningún dato biométrico y, por tanto, no requiere realizar la Evaluación de Impacto.
En ambos casos, conlleva un nuevo tratamiento de datos de los trabajadores que hasta ahora no se contemplaba por parte de las empresas, por lo que, en el momento de la recogida de la huella, al ser un dato personal, hay que informarle del nuevo tratamiento y su finalidad.
- Apps para fichar
En este caso, hay que tener en cuenta que algunas apps permiten activar la geolocalización del dispositivo.
-Si la app se descarga en un teléfono móvil propiedad de la empresa, al activar la geolocalización, debemos tener en cuenta que la nueva Ley de Protección de Datos considera que hay interés legítimo de la empresa para usar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de sus funciones (artículo 20.3 del Estatuto de los trabajadores) pero siempre y cuando se informe previamente de su existencia y características. Por tanto, habrá que preparar una información concreta sobre el sistema que se va a utilizar y sus características y debemos poder demostrar que hemos informado al trabajador oportunamente.
-Si los trabajadores no disponen de teléfonos móviles de empresa sino que utilizan los suyos personales, no es posible activar la geolocalización pues vulnera su derecho a la protección de datos (Sentencia de la Audiencia Nacional que ya declaró este sistema contrario a la normativa de protección de datos por el Telepizza que obligaba al repartidor a aportar su móvil para geolocalizarlo).
Todos estos sistemas, y otros que pueden valer, implican necesariamente reflejar este tratamiento de datos nuevo dentro de su registro de actividades de tratamiento y aplicar a estos datos las correspondientes medidas de seguridad técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo.
Igualmente, el contrato con el proveedor del sistema requiere ajustarse a lo que exige la normativa para los encargados de tratamiento pues, en la mayoría de los casos, estos proveedores accederán a información de nuestros trabajadores.
Los registros del cumplimiento del control horario deberán conservarse 4 años. Pasado dicho plazo, sea cual sea el formato en el que se hayan conservado, deberán borrarse.
María Martín Pardo de Vera
Responsable de Consultoría y Desarrollo de Negocio
