Como ya os adelantamos en el artículo obligación de registro diario de la jornada de trabajo, desde el pasado 12 de mayo está en vigor esta obligación. En la tribuna de hoy vamos a profundizar en los sistemas que pueden utilizar las empresas para el control horario y sus implicaciones en la protección de datos, centrándonos en el uso de la huella dactilar.
Las empresas pueden habilitar el sistema de control horario que consideren más adecuado, desde la perspectiva del derecho fundamental a la protección de datos de carácter personal, tendrán la misma base de legitimación y no necesitarán el consentimiento de los trabajadores en el uso de sistemas digitales, analógicos o manuales que tengan como objetivo general la correspondiente prueba justificativa del registro diario de la jornada de trabajo, que deberá estar a disposición de los trabajadores, de la inspección de trabajo y los representantes legales de los trabajadores.
Base legitimadora del tratamiento
Como regla general no será necesario el consentimiento de los trabajadores para implantar el registro de la jornada laboral, la base legitimadora del tratamiento es la propia legislación laboral, es decir, el artículo 34.9 del Estatuto de los Trabajadores que recoge la obligación de las empresas de realizar el registro de la jornada laboral con carácter individual de cada trabajador y que, conforme a lo establecido en el artículo 6.1.c) del Reglamento General de Protección de Datos (RGPD), el tratamiento de datos personales de los trabajadores es necesario para el cumplimiento de una obligación aplicable al responsable del tratamiento.
El hecho de que el empresario esté legitimado para el tratamiento de los datos personales del trabajador no le exime del deber de informar a los trabajadores de la existencia del registro de la jornada y de la finalidad del tratamiento de los datos obtenidos de dicho registro.
Responsable del tratamiento
La empresa empleadora actuará como responsable del tratamiento de los datos obtenidos de sus trabajadores. En el supuesto en el que se trabaje con proveedores externos de sistemas de registro estos actuaran como encargados del tratamiento, con las obligaciones que recoge la normativa de protección de datos para ellos. Se deberá formalizar un contrato entre responsables y encargados del tratamiento entre ellos, con el contenido recogido en el artículo 28 del RGPD.
Huella digital y protección de datos
Son muchas las organizaciones que han implantado el uso de la huella dactilar como medida de control creyendo que están legitimadas para ello sin conocer las consecuencias de su implantación. La huella dactilar es un dato sensible cuyo mal uso ha de evitarse.
El artículo 9 del RGPD sobre el tratamiento de categorías especiales de datos personales incluye como datos especialmente protegidos los datos biométricos “1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”. Por tanto, y en base a los principios de proporcionalidad y minimización de los datos deberá valorarse si hay otros medios para conseguir el mismo fin menos lesivos.
Conviene tener en cuenta que realizar un tratamiento de categorías especiales de datos conlleva obligaciones parta el empresario en relación con las medidas técnicas y organizativas necesarias para garantizar y poder demostrar que el tratamiento es conforma al RGPD así como la obligación de realizar una evaluación de impacto de las operaciones de tratamiento de datos biométricos en la protección de datos personales.
Sistema de fichaje usando una función numérica a cada empleado fundada en un algoritmo de su huella digital
El tratamiento de la huella digital para el cumplimientos del control de la jornada laboral ha sido considerado indirectamente por la Audiencia Nacional en la sentencia de 4 de marzo de 2010, en este caso se consideró que no sería necesario contar con el consentimiento de los trabajadores, sin perjuicio del cumplimiento del derecho de información ineludible por parte del empresario.
La Audiencia Nacional estableció que los sistemas de control de la jornada no deben incorporar el dato de la huella digital si no sólo el relacionado con un identificador numérico, obtenido a partir de la misma, que se puede almacenar en tarjetas de proximidad de los empleados.
De este modo, en el momento de comienzo o fin de la jornada laboral el empleado deberá utilizar terminales en los que será necesaria tanto la lectura de la huella digital como la aproximación de la tarjeta. Es decir, el lector leerá el identificador numérico de la huella que debe corresponderse con el de la tarjeta, entendiéndose como iniciada o finalizada la jornada laboral como consecuencia de la coincidencia entre el identificador generado y el que consta en la huella.
Deja un comentario