fbpx

REGISTRO DIARIO DE JORNADA

28 de abril de 2019

Nuevas obligaciones para las empresas en materia de protección de datos

El próximo 12 de mayo entra en vigor el RD 8/2019 obligando a las
empresas a garantizar el registro diario de jornada de cada persona
trabajadora, y guardarlo durante cuatro años a disposición de la inspección,
representantes laborales y trabajadores.

Para llevar a cabo el registro vamos a tratar los datos personales
de los trabajadores, y por lo tanto estamos obligados a cumplir con el
Reglamento Europeo 679/2016 RGPD como la Ley de Protección de Datos Española
3/2018 LOPDGDD.

¿Cómo afecta la protección de datos al registro diario de jornada?
Principales cambios y novedades:

  • La Ley de Protección de Datos
    y Garantía de los Derechos Digitales LOPDGDD 3/2018 introduce en su título
    décimo novedades que afectan directamente a la puesta en marcha del registro de
    jornada diario:

    • Derecho a la desconexión digital en
      el ámbito laboral. Los trabajadores y los empleados públicos tendrán derecho a
      la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal
      el respeto de su tiempo de descanso, permisos y vacaciones, así como de su
      intimidad personal y familiar.

Las
modalidades de ejercicio de este derecho potenciarán el derecho a la
conciliación de la actividad laboral y la vida personal y familiar.

Como
empresa tendremos que elaborar una política interna dirigida a trabajadores en
la que definirán las modalidades de ejercicio del derecho a la desconexión y
las acciones de formación y de sensibilización del personal. En particular, se
preservará el derecho a la desconexión digital en los supuestos de realización
total o parcial del trabajo a distancia así como en el domicilio del empleado
vinculado al uso con fines laborales de herramientas tecnológicas.

Por lo
tanto los sistemas de control de registro diario que implantemos deberán de
garantizar la desconexión digital del trabajador una vez finalizado su horario
laboral, impidiendo comunicaciones con el trabajador fuera de su horario.

  • Geolocalización.  Los empleadores podrán tratar los datos
    obtenidos a través de sistemas de geolocalización para el ejercicio de las
    funciones de control de los trabajadores, pero habrán de informar de forma
    expresa, clara e inequívoca a los trabajadores acerca de la existencia y
    características de estos dispositivos. Igualmente deberán informarles acerca
    del posible ejercicio de los derechos de acceso, rectificación, limitación del
    tratamiento y supresión.

Muchos
de los sistemas implementados para el registro diario de jornada incluyen
opciones de geolocalización y control del trabajador, por lo que es necesario
que incluyan la desconexión de la geolocalización una vez haya finalizado la
jornada. 

  • Registro de actividades de tratamiento. Cada Responsable del Tratamiento
    llevará un Registro de las actividades de tratamiento efectuadas bajo su
    responsabilidad, por lo que el registro diario de jornada supone una nueva
    obligación al respecto. Todos los registros constarán por escrito, inclusive en
    formato electrónico, y estarán a disposición de la autoridad de control que lo
    solicite.

  • Consentimiento del trabajador.  Informar al trabajador y formarle respecto al
    registro diario de jornada y poder así tratar sus datos.

  • Guardar la información de todos los registros diarios de jornada
    durante 4 años.
    Debemos de garantizar que
    guardamos la información aplicando las medidas técnicas y organizativas
    adecuadas al tipo y volumen de datos según el RGPD y la LOPDGDD lo que incluye
    o puede incluir el cifrado, encriptado, seudonimizacion o anonimizacion de los
    datos.

Servidor seguro. Ya sea la empresa o un tercero quien guarda los
datos que debemos de hacerlo en servidores seguros que garanticen el
cumplimiento del RGPD.

  • Datos especialmente protegidos.
    Algunos sistemas de registro diario de jornada incluyen el uso de la huella
    dactilar para llevar a cabo dicho registro, pero debemos de saber que el RGPD
    considera a la huella dactilar un dato biométrico y por tanto se trata de un
    dato especialmente protegido que requiere un tratamiento y unas medidas de
    tratamiento superiores, incluyendo un riesgo mayor incluso posibles sanciones
    superiores.

El tratamiento de datos biométricos de los trabajadores (huella
dactilar, reconocimiento facial) para el registro de jornada u otros obliga a
los siguientes requisitos:

  • Realización de una evaluación
    de impacto.
  • Una legitimación incluida y
    válida por el RGPD.
  • Evaluación de impacto. Cualquier
    tratamiento de datos personales que puede suponer un alto riesgo (con especial atención a las nuevas
    tecnologías) para los derechos y libertades de los interesados, implica
    la obligación de realizar una evaluación de impacto, que supone una valoración
    extensiva del tratamiento y debe de incluir entre otros:

    • Una descripción del tratamiento
    • Un análisis de riesgos y las medidas aplicadas para mitigar dichos
      riesgos
    • Juicio de ponderación. Un análisis de la necesidad y proporcionalidad del tratamiento en atención a la finalidad
      perseguida y los derechos e intereses de los interesados

Herramientas externas y sistemas de control
de registro. Debemos de garantizar que cumplen con el RGPD y LOPDGDD y han
realizado una evaluación de impacto para testear su herramienta.

  • Responsable y Encargado del tratamiento. Contrato de acceso a datos por cuenta de terceros. Al contratar
    una herramienta o sistema de gestión para el control y generación del registro
    diario de jornada debemos de firmar un contrato de acceso a datos entre la
    empresa como Responsable y la herramienta como Encargada en la que nos
    garantizan que cumplen con la normativa y aplican las medias técnicas y
    organizativas adecuadas, entre otros.

El RGPD obliga a los Responsables a
contratar exclusivamente a Encargados que cumplen con el RGPD .

  • Proporcionalidad. A la hora
    de implementar un sistema para el registro diario de jornada nos tenemos que
    hacer las siguientes preguntas:

    • ¿Resulta completamente imprescindible para el cumplimiento de la finalidad
      perseguida?
    • Se trata de una medida poco invasiva, proporcional

En conclusión, cumplir con el Registro Diario Si, pero cumplir con
el RGPD y la LOPDGDD también. Antes de implementar cualquier sistema de
registro diario en nuestra empresa debemos de garantizar que este cumple con la
normativa de protección de datos, y es proporcional y no abusivo en el
tratamiento de los datos.

Debemos elegir una herramienta que cumpla con la normativa de
protección de datos ya que evitar sanciones del registro diario de 6.000€ con
una mala herramienta pueden provocar sanciones de protección de datos de hasta
20 millones de euros.

Actualmente existen el mercado App y sistemas de gestión como www.miregistrolaboral.es que
garantizan el registro diario de jornada sin requerir datos especialmente
protegidos y que son más prácticas en el día a día de los empelados al ser
sistemas que no son abusivo ni intrusivos.

Álvaro Aróstegui

Especialista en Protección de Datos

Deja una respuesta