Nuevas obligaciones para las empresas en materia de protección de datos
El próximo 12 de mayo entra en vigor el RD 8/2019 obligando a las
empresas a garantizar el registro diario de jornada de cada persona
trabajadora, y guardarlo durante cuatro años a disposición de la inspección,
representantes laborales y trabajadores.
Para llevar a cabo el registro vamos a tratar los datos personales
de los trabajadores, y por lo tanto estamos obligados a cumplir con el
Reglamento Europeo 679/2016 RGPD como la Ley de Protección de Datos Española
3/2018 LOPDGDD.
¿Cómo afecta la protección de datos al registro diario de jornada?
Principales cambios y novedades:
- La Ley de Protección de Datos
y Garantía de los Derechos Digitales LOPDGDD 3/2018 introduce en su título
décimo novedades que afectan directamente a la puesta en marcha del registro de
jornada diario:- Derecho a la desconexión digital en
el ámbito laboral. Los trabajadores y los empleados públicos tendrán derecho a
la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal
el respeto de su tiempo de descanso, permisos y vacaciones, así como de su
intimidad personal y familiar.
- Derecho a la desconexión digital en
Las
modalidades de ejercicio de este derecho potenciarán el derecho a la
conciliación de la actividad laboral y la vida personal y familiar.
Como
empresa tendremos que elaborar una política interna dirigida a trabajadores en
la que definirán las modalidades de ejercicio del derecho a la desconexión y
las acciones de formación y de sensibilización del personal. En particular, se
preservará el derecho a la desconexión digital en los supuestos de realización
total o parcial del trabajo a distancia así como en el domicilio del empleado
vinculado al uso con fines laborales de herramientas tecnológicas.
Por lo
tanto los sistemas de control de registro diario que implantemos deberán de
garantizar la desconexión digital del trabajador una vez finalizado su horario
laboral, impidiendo comunicaciones con el trabajador fuera de su horario.
- Geolocalización. Los empleadores podrán tratar los datos
obtenidos a través de sistemas de geolocalización para el ejercicio de las
funciones de control de los trabajadores, pero habrán de informar de forma
expresa, clara e inequívoca a los trabajadores acerca de la existencia y
características de estos dispositivos. Igualmente deberán informarles acerca
del posible ejercicio de los derechos de acceso, rectificación, limitación del
tratamiento y supresión.
Muchos
de los sistemas implementados para el registro diario de jornada incluyen
opciones de geolocalización y control del trabajador, por lo que es necesario
que incluyan la desconexión de la geolocalización una vez haya finalizado la
jornada.
- Registro de actividades de tratamiento. Cada Responsable del Tratamiento
llevará un Registro de las actividades de tratamiento efectuadas bajo su
responsabilidad, por lo que el registro diario de jornada supone una nueva
obligación al respecto. Todos los registros constarán por escrito, inclusive en
formato electrónico, y estarán a disposición de la autoridad de control que lo
solicite.
- Consentimiento del trabajador. Informar al trabajador y formarle respecto al
registro diario de jornada y poder así tratar sus datos.
- Guardar la información de todos los registros diarios de jornada
durante 4 años. Debemos de garantizar que
guardamos la información aplicando las medidas técnicas y organizativas
adecuadas al tipo y volumen de datos según el RGPD y la LOPDGDD lo que incluye
o puede incluir el cifrado, encriptado, seudonimizacion o anonimizacion de los
datos.
Servidor seguro. Ya sea la empresa o un tercero quien guarda los
datos que debemos de hacerlo en servidores seguros que garanticen el
cumplimiento del RGPD.
- Datos especialmente protegidos.
Algunos sistemas de registro diario de jornada incluyen el uso de la huella
dactilar para llevar a cabo dicho registro, pero debemos de saber que el RGPD
considera a la huella dactilar un dato biométrico y por tanto se trata de un
dato especialmente protegido que requiere un tratamiento y unas medidas de
tratamiento superiores, incluyendo un riesgo mayor incluso posibles sanciones
superiores.
El tratamiento de datos biométricos de los trabajadores (huella
dactilar, reconocimiento facial) para el registro de jornada u otros obliga a
los siguientes requisitos:
- Realización de una evaluación
de impacto. - Una legitimación incluida y
válida por el RGPD. - Evaluación de impacto. Cualquier
tratamiento de datos personales que puede suponer un alto riesgo (con especial atención a las nuevas
tecnologías) para los derechos y libertades de los interesados, implica
la obligación de realizar una evaluación de impacto, que supone una valoración
extensiva del tratamiento y debe de incluir entre otros:- Una descripción del tratamiento
- Un análisis de riesgos y las medidas aplicadas para mitigar dichos
riesgos
- Juicio de ponderación. Un análisis de la necesidad y proporcionalidad del tratamiento en atención a la finalidad
perseguida y los derechos e intereses de los interesados
Herramientas externas y sistemas de control
de registro. Debemos de garantizar que cumplen con el RGPD y LOPDGDD y han
realizado una evaluación de impacto para testear su herramienta.
- Responsable y Encargado del tratamiento. Contrato de acceso a datos por cuenta de terceros. Al contratar
una herramienta o sistema de gestión para el control y generación del registro
diario de jornada debemos de firmar un contrato de acceso a datos entre la
empresa como Responsable y la herramienta como Encargada en la que nos
garantizan que cumplen con la normativa y aplican las medias técnicas y
organizativas adecuadas, entre otros.
El RGPD obliga a los Responsables a
contratar exclusivamente a Encargados que cumplen con el RGPD .
- Proporcionalidad. A la hora
de implementar un sistema para el registro diario de jornada nos tenemos que
hacer las siguientes preguntas:- ¿Resulta completamente imprescindible para el cumplimiento de la finalidad
perseguida?
- Se trata de una medida poco invasiva, proporcional
- ¿Resulta completamente imprescindible para el cumplimiento de la finalidad
En conclusión, cumplir con el Registro Diario Si, pero cumplir con
el RGPD y la LOPDGDD también. Antes de implementar cualquier sistema de
registro diario en nuestra empresa debemos de garantizar que este cumple con la
normativa de protección de datos, y es proporcional y no abusivo en el
tratamiento de los datos.
Debemos elegir una herramienta que cumpla con la normativa de
protección de datos ya que evitar sanciones del registro diario de 6.000€ con
una mala herramienta pueden provocar sanciones de protección de datos de hasta
20 millones de euros.
Actualmente existen el mercado App y sistemas de gestión como www.miregistrolaboral.es que
garantizan el registro diario de jornada sin requerir datos especialmente
protegidos y que son más prácticas en el día a día de los empelados al ser
sistemas que no son abusivo ni intrusivos.
Álvaro Aróstegui
Especialista en Protección de Datos
Deja una respuesta