Desde el pasado 13 de mayo resulta obligatorio en todas las empresas que los empleados fichen a la llegada y a la salida de su jornada de trabajo, en virtud del Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo que modifica entre otros textos normativos, el Estatuto de los Trabajadores, creando un nuevo apartado 9º en su artículo 34:
«La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo.
Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de jornada.
La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social».
Esta nueva obligación conlleva una serie de obligaciones en materia de protección de datos, que se resumen a continuación:
- Actividad de tratamiento independiente: La actividad de control de jornada horaria implica un tratamiento de datos personales realizado por la empresa (por el departamento o área de Recursos Humanos, generalmente o por la Dirección), porque implica el control y monitorización diaria de las horas trabajadas por los empleados en base al cumplimiento de la normativa en vigor.
- Plazo de conservación: Será obligatorio conservar estos datos por la empresa durante cuatro (4) años y durante este plazo deberán estar disponibles para los Representantes de los Trabajadores, los empleados, la Seguridad Social e Inspección de Trabajo.
- Destinatarios de los datos: Los datos podrán comunicarse si es requerido a los Representantes de los Trabajadores, Seguridad Social e Inspección de Trabajo.
- Acceso y/o puesta a disposición por los empleados: Cada empleado deberá tener acceso a sus propios datos, pero no a los de los demás trabajadores, por lo que deberá analizarse el sistema de acceso a los mismos y las medidas de seguridad implementados. Se deberán establecer, por tanto, medidas de seguridad para el acceso, archivo y para asegurar la integridad de esta información.
- Contratos de encargado de tratamiento: Adicionalmente, es necesario estudiar el programa/sistema de control horario empleado por la empresa desde la perspectiva de la protección de datos y de la seguridad de la información, porque muchos de estos contratos implican el posible acceso por el proveedor y/o prestador de servicios a los datos personales en él registrados con motivo de la instalación del sistema, su puesta en funcionamiento y/o el servicio de mantenimiento y/o de gestión de incidencias. En consecuencia, puede resultar necesario suscribir un acuerdo de encargado de tratamiento con dichos proveedores.
- Transferencias Internacionales: En caso de que el sistema de gestión/ software tenga sus servidores fuera del Espacio Económico Europeo, deberá analizarse si se producen transferencias internacionales de datos, revisar que las mismas sean seguras y que estén legitimadas, así como ser debidamente informadas a los empleados en caso de producirse.
- Sistema de fichaje: Por otro lado, conforme al criterio adoptado por la Inspección de Trabajo, la empresa es libre de decidir el tipo de sistema de registro siempre y cuando el mismo garantice la fiabilidad e invariabilidad de los datos y refleje, como mínimo, cada día, la hora de inicio y de finalización de la jornada. Adicionalmente, a los efectos de protección de datos, debe tenerse en cuenta que es menos intrusivo un servicio de fichaje por tarjeta que por huella dactilar, ya que ésta última constituye un dato biométrico, por hacer identificable de forma única a una persona física concreta, estando este tipo de datos especialmente protegido por el Reglamento Europeo de Protección de Datos.
- Medidas de seguridad: Por último, resultará recomendable que los datos utilizados por el sistema (horas de entrada y salida de cada trabajador) están pseudonimizados en el programa (que cada huella dactilar y/o tarjeta vaya vinculada a un código alfanumérico en lugar de al nombre y apellidos concretos de cada empleado y que el listado en el que se indique a qué trabajador concreto corresponde cada código se archive en un documento separado y con acceso restringido), para dificultar accesos no autorizados y preservar la confidencialidad de los datos personales.
¿CÓMO ACTUALIZAR LOS PROYECTOS DE ADAPTACIÓN AL RGPD?
Recomendamos por todo ello a las diferentes empresas, profesionales autónomos, asociaciones y/u organizaciones que consulten con sus Delegados de Protección de Datos (“DPO”) y/o con sus asesores legales de Protección de Datos la revisión de sus procesos de adaptación al Reglamento, para actualizar los mismos conforme a la novedad legislativa comentada. En concreto, esta obligación, probablemente obligue a revisar y actualizar los siguientes documentos:
- La información facilitada a los empleados sobre las finalidades del tratamiento de sus datos personales, por medio de la correspondiente cláusula informativa de protección de datos.
- El Registro de Actividades de Tratamiento, en caso de que no tuviera como campo independiente el del control de jornada,
- El Informe de Análisis de Riesgos sobre la privacidad y la consiguiente propuesta de medidas de seguridad.
- El Informe de análisis sobre la necesidad o no de realizar una Evaluación de Impacto.