RGPD y control horario, ¿cómo se deben proteger los datos personales de los trabajadores?

En este post explicamos cómo conciliar el manejo de datos personales con la finalidad de cumplir con las nuevas obligaciones de registro horario con los requerimientos del RGPD.

• ¿Qué datos personales recogemos en el control horario?
• ¿Qué condiciones nos impone el RGPD para el uso de dichos datos?

El pasado 12 de mayo entró en vigor la obligación del registro horario en las empresas. Muchas de ellas han apostado por llevarlo en papel y otras por sistemas biométricos o aplicaciones que permiten realizarlo desde el móvil. Este registro de jornada contiene, en muchas ocasiones, datos personales de los trabajadores que el RGPD nos obliga a proteger.

El control y registro de las jornadas para todos los empleados ha sembrado algunas dudas para su implantación. Lo que se pretende es garantizar el cumplimiento de la jornada laboral dentro de los límites establecidos y controlar el número de horas extras realizadas y no pagadas.

Datos personales y registro horario

• Depende del sistema implantado para la recogida de los datos del inicio y fin de la jornada laboral es posible que se incluyan datos personales de los trabajadores. Por ejemplo, ese puede ser el caso si se utiliza un sistema biométrico para registrar la jornada a través de la huella dactilar o una aplicación que incluye la localización para realizar el registro horario.
• Hay que tener en cuenta que la empresa debe conservar dichos registros durante cuatro años y deben estar a disposición de los propios trabajadores, el comité de empresa, en caso de haberlo, y de la Inspección de Trabajo y Seguridad Social.
• Se trata de datos personales porque implica identificar a una persona concreta y situarla en un lugar determinado, independientemente de cómo se lleve a cabo este registro. Las empresa tienen la legitimación necesaria para el tratamiento, al tener que cumplir con una obligación legal.
• Si se delega en una tercera empresa a la que se encomendara la realización de este registro, como podría ocurrir en el caso de una aplicación web, ésta sería considerada como la encargada del tratamiento y tendría que cumplir con sus obligaciones en protección de datos. En todo caso, tendrá que incluir este registro en su análisis de riesgos y la evaluación de impacto con el sistema elegido para la recogida de los datos.

RGPD, huella dactilar y geolocalización

En el caso de que la empresa opte por un sistema de registro que utilice la huella dactilar para recoger las entradas y salidas de sus empleados, hay que tener en cuenta que el RGPD ya incluyó los datos biométricos como una categoría de datos de especial protección. Esto necesariamente tiene una serie de consecuencias a la hora de llevar el registro horario:

• Deber de informar a los trabajadores. Como medida de control (artículo 20 del E.T.), no necesita el consentimiento del trabajador.
• Debemos realizar la evaluación de impacto sobre estos datos.
• Hay que realizar el registro de actividades de tratamiento.

Es importante informarse bien antes de implantarlo para saber si el aparato biométrico instalado en la empresa cumple o no con el RGPD, cómo se controla, dónde se almacenan las huellas o si estos datos pueden o no sufrir un incidente de seguridad.

Lo mismo podríamos decir de aplicaciones que registran la localización del empleado cuando marca la entrada o la salida. En este caso, tenemos que asegurarnos de que estas empresas, que, por lo general, operan en la nube, cumplen con todos los requisitos de protección de datos. En todo caso, la localización del empleado no debe socavar su derecho a la intimidad.

Principio de necesidad, idoneidad y proporcionalidad

• Tal y como hemos visto, las empresas necesitan recoger estos datos personales para cumplir una obligación legal. No se establece la obligación de hacerlo por un método concreto, así que cada compañía puede hacerlo con el que considere más adecuado. Pero surgen dudas respecto al principio de proporcionalidad.
• En este sentido, ¿es realmente necesario utilizar la huella dactilar para asegurar que se efectúa el registro horario? Es importante tener en cuenta que hay otros métodos, como el uso de una contraseña o una tarjeta personal, para realizar este registro, en lugar de tener que usar un dato biométrico.
• La huella dactilar es el único método que nos puede asegurar que el registro lo está realizando el propio empleado, pero para implantarlo quizás la empresa tendría que demostrar de forma fehaciente que el uso del PIN o de una tarjeta personal para dicho registro ha dado lugar a malas prácticas.
• Lo mismo podría ocurrir con la ubicación, que no es imprescindible para el registro de jornada. Es cierto que completa la información y nos ayuda a situar al empleado en un lugar, pero no es imprescindible si ha cumplido con sus obligaciones.

Por último, en el caso de utilizar elementos como memorias USB para recoger los datos de un centro de trabajo, es imprescindible que esta información esté cifrada. Si, por cualquier motivo, se pierde este dispositivo, algo mucho más común de lo que podría parecer, es necesario que su información no sea accesible.