Víctor Perramón – Socio Figueras Legal
PROTECCIÓ DE DADES EN LES RELACIONS LABORALS. Registre de jornada obligatori
La reforma de l’Estatut dels Treballadors (ET) introduïda pel Reial decret llei 8/2019, de 8 de març va introduir l’obligació que de TOTES les empreses adoptin un sistema per a registrar la jornada laboral dels seus empleats de manera individual. El registre de jornada laboral constitueix un tractament específic de dades personals perquè identifiquen a un empleat en concret durant la seva activitat laboral i, com a tal tractament, ha de complir amb les exigències establertes en la vigent normativa de protecció de dades personals.
Cal recordar que el ET no estableix com o quals han de ser els sistemes concrets que han de triar les empreses per a realitzar aquest registre, ni les característiques tècniques o organitzatives que han de complir, sent l’únic requeriment que els mateixos garanteixin el registre de jornada de cada empleat de manera que quedi degudament documentat i que siguin conservats durant 4 anys. Aquesta llibertat per a l’elecció del sistema de registre no és absoluta per a l’empresa perquè, encara que el dret a la protecció de dades no limita les opcions d’una empresa en relació amb l’elecció del sistema de registre horari, sí que el sistema triat pot afectar els drets i llibertats dels treballadors quant a la protecció de les seves dades personals i, per tant, genera límits importants a l’empresa.
Aquesta situació suposa que les empreses no poden prendre a la lleugera el sistema d’elecció de registre horari, perquè un error en l’elecció del sistema de registre horari i les seves prestacions pot provocar una infracció continuada i greu de la normativa de protecció de dades.
És per això que ens sembla molt encertat que, recentment, l’Agència Espanyola de protecció de dades (L’Agència) hagi inclòs, en la seva nova Guia sobre la protecció de dades en les relacions laborals, una sèrie de recomanacions i indicacions referides, de manera expressa, al tractament de dades en el registre de jornada amb l’objectiu d’orientar a les empreses en el compliment de la normativa de protecció de dades.
Com a principi fonamental, l’Agència recomana en la seva Guia que les empreses adoptin el sistema menys invasiu possible respecte a la privacitat dels empleats i que, per tant, compleixin amb el principi de minimització de tractament de les dades quant a que es registrin la menor quantitat de dades de l’empleat, és a dir els imprescindibles, i es conservin únicament durant el temps estrictament necessari. Sent que el ET estableix l’obligació de conservació d’aquests registres durant 4 anys, el sistema de registre que estableixi l’empresa haurà de garantir que la conservació no superarà aquest termini, transcorregut el qual hauran de ser eliminats.
Com bé recorda l’Agència, encara que l’elecció del sistema de registre triat per l’empresa pugui requerir d’un acord empresa-representants dels treballadors, la base que legitima que l’empresa realitzi aquest tipus de registres amb tractament de dades és el compliment de l’obligació establerta en el ET i, en conseqüència, per a l’establiment d’aquests registres no es requereix el consentiment dels empleats, encara que aquests sí que tindran dret a ser informats i, si escau, a exercitar els drets d’accés, rectificació, oposició i supressió, amb independència que el registre sigui més o menys sofisticat.
A més, el sistema triat ha de garantir la confidencialitat dels registres, per tant, els registres no han de quedar en lloc visible on qualsevol pugui veure’ls, ni tan sols si són sistemes manuals. L’empresa deu, per tant, adoptar les mesures de seguretat necessàries per a garantir la confidencialitat dels registres, evitant l’accés de persones no autoritzades, ni tan sol de les pròpies persones empleades si aquest accés permet comprovar dades d’altres companys. L’empresa únicament pot donar accés a aquests registres a les persones autoritzades per llei (persones treballadores interessades, els seus representants i les entitats o Autoritats que necessitin tals dades a l’efecte d’una recerca, com la Inspecció del Treball i Seguretat Social o els Tribunals).
Assenyala també L’Agència que, com en qualsevol tractament de dades, la legitimitat només arriba a lo necessari per a complir les finalitats per als quals són recollits les dades, per tant, l’empresa no podrà usar les dades d’aquest registre per a finalitats diferents al control de la jornada de treball, com comprovar la ubicació de l’empleat, per exemple. És habitual que moltes empreses habituades a la mobilitat dels seus empleats o al teletreball hagin optat per sistemes de registre de jornada a través d’una App que els empleats es descarreguen en el seu telèfon intel·ligent. Aquestes App poden basar el seu sistema de registre en la geolocalització de l’aparell, però, en aquests casos, això ha de ser un pur requeriment tècnic, i no una fi en si mateix per a l’empresa, de fet, aquesta informació ni hauria d’arribar a l’empresa, perquè no hem d’oblidar que l’única finalitat d’aquest registre és comprovar quan comença i quan finalitza la jornada laboral però no verificar on es troba l’empleat a cada moment. Per tant, aquesta limitació no és incompatible amb la possibilitat d’un registre horari “a distància” per a persones treballadores que no acudeixin físicament al lloc de treball (per exemple, teletreball, comercials, etc.) a través d’accés remot a una intranet corporativa, o d’App, encara que aquests sistemes requereixin de l’ús de sistemes de geolocalització, però sempre que aquesta geolocalització no sigui utilitzada per l’empresa per localitzar als seus treballadors.
També mereix menció especial els sistemes de registre de “fitxatge” o registre de jornada basats en el registre d’empremta dactilar o altres dades biomètriques, com el reconeixement facial. Segons el sistema utilitzat per a aquesta mena de registres, estaríem davant un tractament de categories especials de dades el que podria derivar en l’obligació que l’empresa hagi de realitzar una avaluació d’impacte en matèria de protecció de dades, en ser mètodes que poden ser especialment invasius per a la privacitat de l’empleat i, per tant, podrien afectar els seus drets i llibertats.
Per evitar-ho, l’empresa, en cas d’utilitzar sistemes de registre basats en dades biomètriques de l’empleat (empremta, reconeixement facial, per exemple), hauria d’optar per un sistema de verificació o autenticació biomètrica i no per un d’identificació biomètrica. En el primer cas es tracta d’un sistema en el qual es registra la petjada o el rostre de l’empleat, per a posteriorment cada vegada que hi ha un registre, el sistema realitza una cerca de correspondències un a un. En el segon cas, la identificació biomètrica, és un procés més complex que comparés les dades biomètriques del empleat (adquirits en el moment de la identificació) amb una sèrie de plantilles biomètriques emmagatzemades en una base de dades, per tant, és un procés de cerca de correspondències un-a-varis.
La pròpia AEPD amb caràcter general, ha assenyalat que les dades biomètriques únicament tindran la consideració de categoria especial de dades, en els supòsits en què se sotmetin a tractament tècnic dirigit a la identificació biomètrica (un-a-varis) i no en el cas de verificació/autenticació biomètrica (un-a-un), per tant, quan es triï un sistema de registre de jornada biomètric és recomanable utilitzar un sistema de verificació o autenticació al ser un sistema menys invasiu.
No dubti a consultar-nos sobre qualsevol d’aquests assumptes, estarem encantats d’ajudar-lo a assegurar el compliment de la normativa de protecció de dades en la seva organització.
info@figueras.legal