En la actualidad, la tecnología está integrada incluso en las actividades más básicas. En los avances tecnológicos, se manejan exclusivamente datos, muchos de ellos, personales. La jornada laboral de los empleados es la actividad que les consume más tiempo durante el día. De allí radica la importancia de la protección de datos personales.
El flujo de información de los empleados en una empresa es muy elevado. Esto es tanto de los trabajadores activos, como de los solicitantes de empleo y de los ex-empleados. La ley obligatoria del registro diario de jornada laboral también está sujeto al cumplimiento de la normativa en protección de datos. La obligación afecta tanto a empresas como a trabajadores autónomos con empleados a su cargo.
La protección de datos personales es un derecho irrenunciable de todos los trabajadores. Lo regula la Ley Orgánica 3/2018. Esta ley incluye la Protección de Datos Personales y garantía de los derechos digitales (LOPD). En lo referente al tratamiento de datos personales en la oficina, la LOPD los desarrolla en los artículos que van del 85 al 91.
El Comité Europeo de Protección de Datos establece las garantías necesarias para legitimar el tratamiento de datos con la finalidad de controlar la jornada laboral. Deben observarse los principios Privacy by Design y Privacy by Default, los cuales garantizan la confidencialidad y privacidad de los datos. Se evita la reutilización u obtención de dicha información con otros fines.
Se debe informar sobre el responsable de la obtención y almacenamiento de los datos. Además de cómo se tratan los datos, con qué finalidad, cuál es la base legal y cómo puede el empleado obtener más información. Se le suma, tener el conocimiento sobre sus derechos en caso de que sean vulnerados.
Para la implantación del registro laboral y la protección de datos no es necesario contar con el consentimiento del empleado. En este caso, la ley se deriva por el cumplimiento de la norma, de acuerdo con el Reglamento General de Protección de Datos. No obstante, la empresa sí debe informar a los trabajadores de la existencia del registro y de la finalidad del tratamiento.
¿Cuáles son los datos personales de un trabajador?
Dentro de los tratamientos de datos en la empresa, se pueden obtener varios datos personales del trabajador:
- Registros que derivan del contrato de trabajo: identificativos, financieros y académicos.
- Tratamientos con base en la necesidad de control del desempeño: geolocalización, videovigilancia y análisis del desempeño.
- Datos que derivan de una obligación legal: control de la jornada laboral, gestión de compliance, plan de igualdad y prevención de riesgos laborales.
- Información registrada vinculada a la vigilancia de la salud y medidas sanitarias.
Obligaciones de los empleados para el cumplimiento de la protección de datos personales
Los trabajadores también tienen una serie de obligaciones en materia de protección de datos personales, entre las que están:
- Conocer la privacidad de todos los datos que manejan y su obligación de mantener el secreto de dicha información.
- Hacer uso de los datos únicamente para los fines para los cuales han sido recabados.
- No divulgar las contraseñas de que dispongan para acceder tanto a los sistemas informáticos como a los ficheros que contengan datos de carácter personal.
- Solicitar las autorizaciones necesarias para el tratamiento de dichos datos, cuando se refieran a salidas o entradas de soportes informáticos.
- No utilizar con fines privados los sistemas informáticos de la empresa, sin autorización del empresario.
¿Cómo se cumple con la Ley de Protección de Datos?
El cumplimiento de la ley de protección de datos implica cambios en la organización, ya que obliga a la creación de un nuevo registro. Es necesario revisar el registro de actividades de tratamiento de los datos. El objetivo es la incorporación de un proceso de protección de datos confiable.
Lo primero que debe hacerse es comunicar el inicio del tratamiento junto al contrato de trabajo. Se debe transmitir la información a los representantes de los trabajadores o en otros casos a través de carteles informativos (videovigilancia). Además, se pueden incorporar avisos legales de privacidad cuando se utilicen apps o internet para gestionar algunos aspectos de la vida laboral del empleado.
El control de la jornada laboral de los empleados puede realizarse internamente, en la empresa, o a través de un proveedor externo. En este caso, respecto a la protección de datos, este proveedor será considerado el encargado del tratamiento. Por lo tanto, debe firmarse un nuevo contrato de encargado que responda a los requisitos del Reglamento General de Protección de Datos.
Sobre este registro debe ejecutarse un análisis de riesgos. Si ya se dispone de uno, hay que modificarlo para incluir el registro de la jornada laboral. Esto es para los tratamientos de la empresa y así poder aplicar las medidas de seguridad que sean necesarias.
Otra práctica es obtener los servicios de un delegado de protección de datos. Este se encargará de controlar que toda la gestión de los datos personales esté bien hecha. Además, resolverá los conflictos que puedan surgir con empleados o con terceros sobre los tratamientos de datos realizados.
La protección de datos personales y el registro laboral
En el caso de plataformas de portal del empleado del registro laboral es necesario cumplir con lo que estipula la Agencia Española de Protección de Datos. Actualmente, la Ley Orgánica de Protección de Datos incluye recomendaciones sobre seguridad de sistemas. Se le suma la minimización en el tratamiento de datos, derecho a la información y gestión de los derechos de los trabajadores.
Lo mencionado forma parte de los derechos fundamentales a la protección de los datos. Remitiendo a leyes especiales cuando se trata de regular, aspectos concretos, como el mantenimiento de los datos de registro de la jornada laboral.
Se conoce que el no efectuar el registro de jornada laboral se puede volver una fuente de problemas y de incumplimiento legal. Tanto para organizaciones pequeñas como las empresas medianas, se debería tener algún tipo de gestión de la protección de datos personales.
La mejor manera de hacerlo es escalar la protección activa junto con las necesidades organizativas. Si se trata de una empresa pequeña, se puede empezar con soluciones de protección de datos sencillas y económicas. A medida que la empresa crezca, se tendrá que escalar su sistema de protección de datos porque el volumen de los tratamientos diferenciados se incrementará.
En la actualidad, gran parte de las organizaciones cuentan con el registro de jornada laboral y disponen de un sistema que facilita llevar ese registro. Las soluciones para llevar el control pueden ir desde simples registros manuales a sistemas técnicos. Algunos de ellos, por ejemplo, recaban datos biométricos, como la huella dactilar, para recoger los fichajes de los empleados.
La confidencialidad en la protección de datos del entorno laboral
La protección de datos personales y la confidencialidad pueden ser una parte agobiante de la gestión de la empresa. La seguridad de los datos no es algo con lo que se deba correr riesgos, especialmente si son esenciales para la supervivencia del negocio.
Esto se debe implementar inmediatamente si se trabaja con tecnología o servicios que contengan información de clientes sensible. Cualquier empleado que tenga acceso a esta información sensible debe firmar un acuerdo de confidencialidad de algún tipo. Esto debe hacerse con independencia de que tanto las leyes penales como las laborales castiguen la revelación de secretos por parte de empleados.
Con contratos de confidencialidad y formación adecuada, se evitará o minimizará el impacto en caso de producirse una fuga de información por parte de un empleado. Destaca especialmente en este ámbito el papel de los trabajadores.
Es usual, habitual y continuo que la información circule por toda la empresa, incluyendo una gran cantidad de datos de carácter personal. Por lo tanto, las empresas están reguladas por las obligaciones impuestas tanto por el RGPD como por la LOPD.
Una de estas obligaciones respecto a la protección de datos personales de los trabajadores es el Deber de Secreto. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal, están obligados al secreto profesional. Además, al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del registro o con el responsable del mismo.
Es por eso que la empresa deberá recoger el compromiso de confidencialidad y las políticas de privacidad. Incluyendo el manejo de material informático por parte de los usuarios en algún momento de la propia relación laboral:
- En el contrato de trabajo, como parte del clausulado general.
- En el momento de la adecuación a la normativa con algún tipo de documento.
Para resumir, la protección de datos personales es un requisito obligatorio para cumplir con el registro de jornada laboral. El Reglamento de Protección de Datos, establece una serie de obligaciones en relación con la protección de datos personales de empleados. Hace hincapié en la exactitud de los datos, el deber de confidencialidad y el tratamiento de las categorías especiales de datos.
La empresa debe informar a los empleados del tratamiento que se va a realizar de sus datos personales. Quién es el responsable o encargado del tratamiento y qué tipo de datos se van a recabar. Además, si se van a ceder a terceros, el plazo de conservación o los medios para ejercer derechos dentro del Reglamento de Protección de Datos.