UNA NUEVA NORMA.
Desde el domingo 12 de mayo de 2019 entra en vigor el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. Esta nueva norma ha afectado directamente a las empresas, ya que a partir de dicha fecha éstas han de llevar a cabo un registro horario (diario) de la jornada de sus trabajadores. El objetivo es la lucha contra la precariedad laboral, registrando la jornada real de cada empleado. Dicho registro ha de ser conservado durante 4 años como justificante ante una posible inspección.
¿PROTECCIÓN DE DATOS?
La puesta en práctica de un registro horario en las empresas implica que, según el método de control elegido, se puedan manejar datos personales de los trabajadores. En concreto, muchas entidades optan por la instalación de sistemas de huella dactilar, de identificación de iris, o de reconocimiento facial para el fichaje de entrada y salida, lo que supondría estar hablando de datos biométricos, de modo que entraría en juego el Reglamento (UE) 2016/679 de Protección de Datos Personales («RGPD»), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales («LOPDGDD»).
El RGPD define, en su artículo 4.14), a los datos biométricos como un dato personal obtenido: «a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos«. De hecho, se consideran como datos personales especialmente sensibles (protección reforzada), a los: «datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física» (considerandos 51 a 56, y artículo 9.1 RGPD).
El artículo 9.2 RGPD enumera una serie de excepciones en las que es posible llevar a cabo el tratamiento de datos especialmente sensibles, como los datos biométricos. Específicamente, nos interesan los dos primeros puntos (licitud), que hacen referencia al consentimiento explícito del trabajor, y a que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, autorizado por el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de la UE, de acuerdo a garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado; como en el caso del control laboral.
De este modo, los datos biométricos deberán atender a los principios del artículo 5 RGDP, especialmente a los de limitación de la finalidad (fines determinados, explícitos y legítimos), minimización (necesidad), y seguridad (garantías adecuadas). La recopilación de dichos datos biométricos en el ámbito laboral debe responder a un interés legítimo y ser un método proporcional y necesario en el contexto de la organización, tal como estableció la Recomendación CM/Rec(2015)5 del Consejo de Ministros relativa al tratamiento de datos personales en el entorno laboral.
Hemos de atender, también, al reciente listado que la Agencia Española de Protección de Datos acaba de publicar en relación a la obligatoriedad de Evaluaciones de Impacto del artículo 35.4 RGPD, en donde se incluyen los datos biométricos.
Esta nueva norma reviste una importante complejidad, dado que gran parte de los trabajos en la actualidad se realizan de forma no presencial, bien desde casa o con desplazamientos, por lo que ya se están generalizando aplicaciones de huella dactilar para un registro efectivo a distancia. En este sentido, la Audiencia Nacional dictó una sentencia el 4 de marzo de 2010, en donde consideraba que respecto a la huella dactilar no sería preciso contar con el consentimiento de los trabajadores, sin perjuicio del debido deber de informar por parte del empresario. La huella dactilar debe convertirse de forma alfranumérica para identificar a los trabajadores, no siendo posible generar bases de datos con la información dactilar de los trabajadores, ni con un destino o un plazo diferente al establecido legalmente.
En el caso del control horario, para la implementación del registro de jornada no se precisa el consentimiento del trabajador, siendo base suficiente de legitimación la propia norma laboral, en virtud del artículo 34.9 ET, que establece la obligación de las empresas de realizar dicho registro de la jornada con carácter individual de cada persona trabajadora. Así, y atendiendo a lo previsto en el artículo 6.1.c del RGPD, la legitimación del control horario se fundamenta en el cumplimiento de una obligación legal aplicable al responsable del tratamiento (aunque recordemos, esta obligación legal no excluye el deber de las empresas de informar a los trabajadores de la existencia del registro y de la finalidad de dicho tratamiento).
El artículo 4.8) del RGPD define al encargado del tratamiento como la «persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento«. En el contexto de que una empresa externa (proveedor) se encargue de la gestión (desarrollo, instalación, reparación, seguridad, etc) de los datos biométricos en el registro de diario de la jornada laboral, ésta deberá suscribir un contrato de encargado de tratamiento (artículo 28 RGPD) con la empresa responsable del tratamiento de los datos de los empleados que tiene en plantilla.
Con todo, destacar que el Comité de Empresa tiene derecho a ser informado de las diferentes decisiones que adopte la empresa y que afecten a la estructura de trabajo y a la relación contractual de los trabajadores. El Comité, con carácter previo, podrá emitir un informe en donde analice los tratamientos de datos, así como la implantación de medidas técnicas.
ESCENARIOS DE FUTURO.
Las empresas, para cumplir con el registro laboral y la normativa de protección de datos podrán utilizar distintos sistemas (manuales, analógicos o digitales). Eso sí, los controles adoptados deben ser adecuados al tipo de empresa del que se trate. El registro que se genere será prueba justificativa de la jornada de cada trabajador, y éste deberá estar a disposición tanto de los propios trabajadores (y sus representanes), como de la Inspección de Trabajo.
La Inspección de Trabajo comenzará a controlar la implementación del registro, levantando un acta de infracción grave en caso de aquellas que empresas que no hayan empezado a cumplir la norma (la multa puede oscilar entre 626 y 6.250 euros según los trabajadores afectados o el volumen de negocio de la compañía). Es más, el Sindicato de Inspectores de Trabajo y Seguridad Social (Ana Ercoreca), ya se ha pronunciado, advirtiendo que: «si se detecta un fraude en el pago y cotización del tiempo de trabajo, se levantará un acta de infracción grave y una de liquidación del periodo no ingresado a la Seguridad Social, con un recargo en función del tiempo de demora«.
Hay que ser cautos, actuando con responsabilidad. Poniendo el foco en la seguridad de los datos, dado que un mal uso de los mismos, o un mantenimiento ineficiente (que implique el hackeo) puede tener consecuencias muy graves. Recordemos que no en mucho tiempo podremos hacer todo tipo de gestiones con datos biométricos, por lo que una filtración de datos podría tener consecuencias perjudiciales para los intereses de un gran número de personas.
[Agencia Española de Protección de Datos]
- ¿Qué tipo de sistema pueden utilizar las empresas para el control horario?
- ¿Es necesario el consentimiento del trabajador para implantar un sistema de control horario?, ¿hay que informarle acerca de las medidas de control establecidas?
- En el caso de que se trabaje con proveedores, ¿cómo se establece esa relación para el control horario?
[Agencia Catalana de Protección de Datos]
- Dictamen en relación con la consulta formulada por un colegio profesional sobre la utilización de sistemas de control basados en la huella dactilar.
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD(Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).