La reforma del Estatuto de los Trabajadores (ET) introducida por el Real Decreto-ley 8/2019, de 8 de marzo, metió la obligación de que cada una de las organizaciones adopte un sistema para registrar la jornada de trabajo de sus empleados de forma personal.
El registro de jornada constituye un procedimiento específico de datos particulares. Pues identifican a un empleado en específico a lo largo de su actividad. Como tal procedimiento, se debería llevar a cabo con las exigencias establecidas en la vigente normativa de defensa de datos individuales. Cuidando la selección del sistema de protección de datos en el registro.
Este caso implica que las organizaciones no tienen la posibilidad de tomar a la ligera el sistema de elección de registro horario. Esto se debería a que un error en la selección del sistema de registro horario puede ocasionar una infracción continuada y grave de la normativa.
Es por esto que, la Agencia Española de Defensa de Datos incluyó en su guía, una secuencia de sugerencias de normas. Estas permanecen referidas, de manera expresa, al procedimiento de datos en el registro de jornada. Con el objeto de orientar a las organizaciones en el cumplimiento de la normativa de defensa de datos.
En las últimas fechas se han producido distintas sentencias del Tribunal supremo referidas a distintos aspectos relacionados con la protección de datos que modifican o al menos matizan los criterios de la AEPD en cuanto a la necesidad del consentimiento del usuario en distintas circunstancias, en especial en el ámbito del trabajo.
Recomendaciones para la protección de datos en el registro
Como inicio importante, la Agencia sugiere en su Guía que las organizaciones adopten el sistema menos invasivo viable en interacción a la privacidad de los empleados.
Por consiguiente, cumplan con el inicio de minimización de procedimiento de los datos referente a que se registran la menor proporción de datos del empleado. O sea, los imprescindibles, y se conservan solamente a lo largo del tiempo estrictamente primordial.
El Estatuto de trabajadores instituye la obligación de conservación de dichos registros a lo largo de 4 años. El sistema de registro que establezca la organización tendrá que asegurar que la conservación no superará dicho plazo, transcurrido el cual deberán ser eliminados.
Se tiene entonces que el sistema de registro escogido por la compañía debe, en principio, solicitar de consenso empresa-representantes de los trabajadores. No obstante, la base que legitima que la compañía haga esta clase de procesamiento de datos es el cumplimiento de la obligación.
Debido a lo cual, la implicación de dichos registros no hace falta el consentimiento de los empleados, aunque estos sí van a tener derecho a ser informados. Además, en su caso, a ejercer los derechos de ingreso, rectificación, contraposición y eliminación, con libertad de que el registro sea más o menos sofisticado.
Conjuntamente, el sistema escogido deberá asegurar la confidencialidad de los registros. Por consiguiente, los registros no tienen que permanecer en sitio visible donde cualquier persona logre verlos, ni siquiera si son sistemas manuales.
La compañía debería adoptar las medidas de estabilidad correctas para asegurar la confidencialidad de los registros.
Evitando la entrada de individuos no autorizadas, incluso las propias personas trabajadoras, si esa entrada posibilita revisar datos de otros compañeros. La compañía solamente puede ofrecer ingreso a aquellos registros a los individuos autorizados por ley.
Estas personas son trabajadores interesados, sus representantes, la Inspección del Trabajo y Estabilidad Social o los Tribunales.
La estabilidad de los datos recogidos
Como en cualquier procedimiento de datos, la legitimidad solamente alcanza lo primordial para consumar las finalidades para las que son recogidos los datos. Por consiguiente, la organización no va a poder utilizar los datos de aquel registro para finalidades diversas al control de la jornada de trabajo.
Es usual que muchas organizaciones habituadas a la movilidad de sus empleados hayan optado por sistemas de registro de jornada por medio de una App. Estos trabajadores descargan esta App en sus teléfonos inteligentes.
Esta App tiene la posibilidad de fundamentar su sistema de registro en la geolocalización del artefacto. Empero, en dichos casos, esto debería ser un puro requerimiento técnico referido únicamente al momento del registro, y no un fin en sí mismo para la organización.
De hecho, no debemos olvidar que la exclusiva finalidad de aquel registro es revisar en qué momento empieza y acaba la jornada. Y no verificar, sin embargo, dónde está el empleado en cada instante.
Por consiguiente, esta limitación es compatible con la probabilidad de un registro horario “a distancia” para trabajadores que no acudan físicamente al puesto de trabajo. Usando para ello, el ingreso remoto a una intranet corporativa, o App.
Sistemas de geolocalización
Aunque estos sistemas requieren del uso de sistemas de geolocalización, siempre que esta localización no sea utilizada para ubicar permanentemente a sus empleados.
El registro de jornada laboral constituye un procedimiento específico de datos individuales. Ya que identifican a un empleado a lo largo de su actividad laboral. Como tal procedimiento, debería llevar a cabo con las exigencias establecidas en la vigente normativa de defensa de datos particulares.
Se debe rememorar que el Estatuto de trabajadores no instituye cuáles son los sistemas concretos que tienen que escoger las organizaciones para hacer este registro.
Así como tampoco, las propiedades técnicas u organizativas que tienen que consumar. Siendo el exclusivo requerimiento que los mismos garanticen el registro de jornada de cada empleado de forma que quede debidamente documentado.
Esta independencia para la escogencia del sistema de registro no es absoluta para la organización. El derecho a la protección de datos no limita las posibilidades de una organización relacionadas con la escogencia del sistema de registro horario.
Empero, sí que el sistema escogido puede dañar a los derechos y libertades de los trabajadores referentes a la custodia de sus datos individuales. Y, por consiguiente, crea parámetros relevantes a la compañía.
Los sistemas de registro
Además, merece mención particular los sistemas de registro de “fichaje” o registro de jornada basados en el registro de huella dactilar u otros datos biométricos. Estos datos pueden ser reconocimiento de la cara o la huella dactilar, entre otros.
De acuerdo con el sistema usado para esta clase de registros, estaríamos frente a un procedimiento de categorías especiales de datos. Lo cual podría derivar en la obligación de que la organización deba hacer una evaluación de efecto en la protección de datos en el registro.
Al ser procedimientos que tienen la posibilidad de ser en especial invasivos para la privacidad del empleado. Por consiguiente, podrían perjudicar a sus derechos y libertades.
Es así como las empresas, en caso de utilizar sistemas de registro basados en datos biométricos, deberían optar por un sistema de autenticación. Siempre es preferible emplear todos los medios disponibles para establecer procesos confiables.
En el primer caso, el sistema en el que se registra la huella o el rostro del empleado posteriormente realiza una búsqueda de correspondencias uno a uno. El segundo compara los datos biométricos del empleado con la base de datos encriptada de los datos de los trabajadores, es un proceso de búsqueda de correspondencias uno-a-varios. Es un sistema complejo que sigue avanzando y al que pueden afectar las recientes sentencias a las que ya hemos hecho referencia.
Lo anterior atendiendo lo que señala la AEPD. Se establece allí que los datos biométricos únicamente tendrán la consideración de categoría especial de datos, cuando la identificación biométrica sea de uno-a- varios. Y no son considerados una categoría especial en el caso de autenticación biométrica uno-a-uno.
Por tanto, cuando se elige un sistema de registro de jornada biométrico es recomendable utilizar la autenticación menos invasiva, si bien dado que en atención al criterio de mínima invasión en la intimidad en relación con el objetivo perseguido por el registro. No hay que olvidar que el objetivo es proteger la salud del trabajador conforme a la Directiva 2003/88 de la Unión Europea como recoge la Sentencia C-55/19 de 14 de mayo de 2019 del TJUE.
Dictamen de la autoridad Catalana de protección de datos
Con relación al punto anterior, la autoridad Catalana de protección de datos emitió un dictamen relacionado con la utilización de datos biométricos. Allí señala que es necesario evaluar el efecto sobre la defensa de datos en situaciones concretas. Incluyendo el análisis y consideración de alternativas menos intrusivas y establecer las garantías adecuadas.
Argumenta que el uso de datos biométricos es eficaz, más no es el único mecanismo que se puede emplear para evitar la suplantación de identidad. De usar datos biométricos será necesario evaluar el impacto sobre la protección de datos. Con la finalidad de determinar la proporcionalidad y licitud de los mismos.
Hay que recordar, una vez más, que los datos biométricos son los únicos que garantizan la identificación univoca del trabajador.
¿Qué debemos hacer para continuar cumpliendo con la defensa de datos?
El cumplimiento de esta normativa involucra cambios en la protección de datos en el registro de la organización. Esto se debe a que ordena la construcción de un nuevo registro.
De esta forma, puesto que, en primera instancia, se necesita comprobar el Registro de Actividades de Tratamiento para verificar la protección que se realiza.
El control de la jornada de los empleados puede desarrollarse internamente, en la organización, o por medio de un distribuidor externo. En esta situación, en interacción a la custodia de datos, este abastecedor va a ser considerado el delegado del procedimiento. Por consiguiente, debería firmarse un nuevo contrato de un encargado de protección de datos que responda a los requisitos del RGPD.
Finalmente, sobre este nuevo registro debería desarrollarse un estudio de peligros. Si ya se dispone de uno, se debe modificar para integrar el registro de la jornada en los tratamientos de la compañía. Se deberá, también, ejercer las medidas de estabilidad que sean elementales y que den garantía de la protección de datos en el registro.
La protección de datos en el registro implica que las organizaciones no tienen la posibilidad de tomar a la ligera el sistema de elección de registro horario.
