Víctor Perramón – Socio Figueras Legal
La reforma del Estatuto de los Trabajadores (ET) introducida por el Real Decreto-ley 8/2019, de 8 de marzo introdujo la obligación de que de TODAS las empresas adopten un sistema para registrar la jornada de trabajo de sus empleados de manera individual. El registro de jornada laboral constituye un tratamiento específico de datos personales porque identifican a un empleado en concreto durante su actividad laboral y, como tal tratamiento, debe cumplir con las exigencias establecidas en la vigente normativa de protección de datos personales.
Hay que recordar que el ET no establece cual o cuales son los sistemas concretos que deben elegir las empresas para realizar este registro, ni las características técnicas u organizativas que deben cumplir, siendo el único requerimiento que los mismos garanticen el registro de jornada de cada empleado de manera que quede debidamente documentado y que sean conservados durante 4 años. Esta libertad para la elección del sistema de registro no es absoluta para la empresa porque, aunque el derecho a la protección de datos no limita las opciones de una empresa en relación con la elección del sistema de registro horario, sí que el sistema elegido puede afectar a los derechos y libertades de los trabajadores en cuanto a la protección de sus datos personales y, por tanto, genera límites importantes a la empresa.
Esta situación supone que las empresas no pueden tomar a la ligera el sistema de elección de registro horario, porque un error en la elección del sistema de registro horario y sus prestaciones puede provocar una infracción continuada y grave de la normativa de protección de datos.
Es por ello por lo que nos parece muy acertado que, recientemente, la Agencia Española de protección de datos (La Agencia) haya incluido, en su nueva Guía sobre la protección de datos en las relaciones laborales, una serie de recomendaciones e indicaciones referidas, de manera expresa, al tratamiento de datos en el registro de jornada con el objetivo de orientar a las empresas en el cumplimiento de la normativa de protección de datos.
RECOMENDACIONES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Como principio fundamental, la Agencia recomienda en su Guía que las empresas adopten el sistema menos invasivo posible respecto a la privacidad de los empleados y que, por tanto, cumplan con el principio de minimización de tratamiento de los datos en cuanto a que se registren la menor cantidad de datos del empleado, es decir los imprescindibles, y se conserven únicamente durante el tiempo estrictamente necesario. Siendo que el ET establece la obligación de conservación de estos registros durante 4 años, el sistema de registro que establezca la empresa deberá garantizar que la conservación no superará dicho plazo, transcurrido el cual deberán ser eliminados.
Como bien recuerda la Agencia, aunque la elección del sistema de registro elegido por la empresa pueda requerir de acuerdo empresa-representantes de los trabajadores, la base que legitima que la empresa realice este tipo de tratamiento de datos es el cumplimiento de la obligación establecida en el ET, por lo que, en consecuencia, la implicación de estos registros no se requiere el consentimiento de los empleados, aunque éstos sí tendrán derecho a ser informados y, en su caso, a ejercitar los derechos de acceso, rectificación, oposición y supresión, con independencia de que el registro sea más o menos sofisticado.
Además, el sistema elegido deber garantizar la confidencialidad de los registros, por tanto, los registros no deben quedar en lugar visible donde cualquiera pueda verlos, ni siquiera si son sistemas manuales. La empresa debe, por tanto, adoptar las medidas de seguridad necesarias para garantizar la confidencialidad de los registros, evitando el acceso de personas no autorizadas, inclusive las propias personas trabajadoras si ese acceso permite comprobar datos de otros compañeros. La empresa únicamente puede dar acceso a esos registros a las personas autorizadas por ley (personas trabajadoras interesadas, sus representantes y las entidades o Autoridades que necesiten tales datos a efectos de una investigación, como la Inspección del Trabajo y Seguridad Social o los Tribunales).
LA FINALIDAD DE LOS DATOS RECOGIDOS
Señala también La Agencia que, como en cualquier tratamiento de datos, la legitimidad sólo alcanza lo necesario para cumplir las finalidades para los que son recogidos los datos, por tanto, la empresa no podrá usar los datos de ese registro para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación del empleado, por ejemplo. Es habitual que muchas empresas habituadas a la movilidad de sus empleados o al teletrabajo hayan optado por sistemas de registro de jornada a través de una App que los empleados se descargan en su smartphone. Estas App pueden basar su sistema de registro en la geolocalización del aparato, pero, en estos casos, esto debe ser un puro requerimiento técnico, y no un fin en sí mismo para la empresa, de hecho, esta información ni debería llegar a la empresa, porque no debemos olvidar que la única finalidad de ese registro es comprobar cuándo comienza y cuándo finaliza la jornada laboral pero no verificar dónde se encuentra el empleado en cada momento. Por tanto, esta limitación no es incompatible con la posibilidad de un registro horario “a distancia” para personas trabajadoras que no acudan físicamente al puesto de trabajo (por ejemplo, teletrabajo, comerciales, etc.) a través de acceso remoto a una intranet corporativa, o de App, aunque dichos sistemas requieran del uso de sistemas de geolocalización, siempre que esta geolocalización no sea utilizada por la empresa para localizar permanentemente a sus empleados.
LOS SISTEMAS DE REGISTRO
También merece mención especial los sistemas de registro de “fichaje” o registro de jornada basados en el registro de huella dactilar u otros datos biométricos, como el reconocimiento facial. Según el sistema utilizado para este tipo de registros, estaríamos ante un tratamiento de categorías especiales de datos lo que podría derivar en la obligación de que la empresa deba realizar una evaluación de impacto en materia de protección de datos, al ser métodos que pueden ser especialmente invasivos para la privacidad del empleado y, por tanto, podrían afectar a sus derechos y libertades.
Por evitarlo, la empresa, en caso de utilizar sistemas de registro basados en datos biométricos del empleado (huella, reconocimiento facial, por ejemplo), debería optar por un sistema de verificación o autenticación biométrica y no por uno de identificación biométrica. En el primer caso se trata de un sistema en el que se registra la huella o el rostro del empleado, para posteriormente cada vez que hay un registro, el sistema realiza una búsqueda de correspondencias uno a uno. En el segundo caso, la identificación biométrica, es un proceso más complejo que comparara los datos biométricos del empleado (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos, por tanto, es un proceso de búsqueda de correspondencias uno-a-varios.
La propia AEPD con carácter general, ha señalado que los datos biométricos únicamente tendrán la consideración de categoría especial de datos, en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a- varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno), por tanto, cuando se elija un sistema de registro de jornada biométrico es recomendable utilizar un sistema de verificación o autenticación al ser un sistema menos invasivo.
No dude en consultarnos sobre cualquiera de estos asuntos, estaremos encantados de ayudarle a asegurar el cumplimiento de la normativa de protección de datos en su organización. Más información en info@figueras.legal
