Tras la entrada en vigor el pasado día 12 de mayo de 2019 de la obligación legal de realizar un control de la jornada laboral, han surgido muchas dudas sobre el tratamiento que se pueda realizar de los datos de los empleados para dar cumplimiento a la normativa de protección de datos, pues la propia Agencia Española de Protección de Datos ha solicitado a las empresas que los sistemas utilizados para realizar el control de la jornada laboral sean lo menos intrusivos posible.
La propia AEPD ha indicado que las empresas no tienen la obligación de solicitar el consentimiento de sus empleados para llevar ese control horario, pero sí deben informar a los empleados sobre ese tratamiento de sus datos personales y de la finalidad para la que van a utilizarse.
De conformidad con lo dispuesto en la normativa laboral sobre registro horario, las empresas tienen la obligación de conservar esos registros durante cuatro años y ponerlos a disposición de los propios trabajadores, de sus representantes sindicales y de la Inspección de trabajo.
Para dar cumplimiento a esa obligación legal la AEPD considera que es importante que las empresas apliquen el principio de minimización de datos, debiendo existir un equilibrio entre los derechos y las obligaciones de los interesados.
La legitimación de las empresas para tratar esos datos se basa en el propio contrato de trabajo y en la obligación establecida por ley.
En el supuesto de que el registro horario se lleve a través del uso de algún sistema que identifique a los trabajadores a través de sus datos biométricos (huella dactilar, reconocimiento laboral), estos tienen la consideración de datos especialmente protegidos para la normativa de protección de datos, por lo que es necesario cumplir los principios de legitimidad y minimización, debiendo aplicarse para proteger esos datos son:
- Cifrado de los datos
- Almacenar esos datos en sistemas no centralizados
Además, las empresas deben ser conscientes de que no pueden usar esos datos biométricos para otros fines distintos de aquellos para los que los han recogido.
En resumen, con carácter general y para la implementación del registro de jornada no se precisa el consentimiento del trabajador, siendo base suficiente de legitimación la propia norma laboral, que en el artículo 34.9 ET establece la obligación de las empresas de realizar dicho registro de la jornada con carácter individual de cada persona trabajadora y que, de acuerdo con lo previsto en el artículo 6.1.c del Reglamento europeo 2016/679 (RGPD), el tratamiento de datos personales de los trabajadores derivado de la implantación del registro de jornada es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. No obstante lo anterior, la existencia de una lícita condición para el tratamiento de los datos de los empleados sin necesidad del consentimiento de los trabajadores no excluye el deber de las empresas de informar a los trabajadores de la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con dicho registro.
Para más información:
info@grupodaboconsulting.com
952 70 29 78