El registro de jornada laboral y la protección de datos

Blog
registro de la jornada

El registro de jornada laboral y la protección de datos

El pasado día 12 entró en vigor la obligación aplicable a empresarios o autónomos que cuenten con trabajadores a su cargo, de cumplir con un registro de la jornada laboral de los trabajadores, obligación que deriva del Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que modifica el artículo 34 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante Estatuto de los Trabajadores).

Pero, ¿qué supone la llevanza de este registro en la práctica?

  • Este registro deberá incluir como mínimo el horario concreto de inicio y finalización de la jornada de cada trabajador, sin perjuicio de la flexibilidad horaria establecida.
  • También resulta de aplicación a trabajadores que realicen teletrabajo, o con movilidad geográfica.
  • La organización y la documentación del registro debe abordarse vía negociación colectiva o acuerdo de empresa. En su defecto, se establecerá por decisión unilateral del empresario previa consulta con la representación legal de los trabajadores.
  • El legislador no ha establecido una fórmula legal subsidiaria ante la falta de acuerdo.
  • En el supuesto de que no exista representación legal de los trabajadores, la ley no prevé la creación de una comisión ad hoc, por lo que debe quedar claro que la obligación de garantizar un registro horario corresponde al empleador.

¿Qué impacto tiene el registro de la jornada en materia de protección de datos?

Precisamente esta última cuestión, la forma en la que se llevará a cabo el registro la jornada, es una de las que más impacto tiene en la materia de protección de datos, pero no la única, ya que entran en juego distintos principios que rigen la materia de protección de datos en los que debemos centrar nuestra atención.

  1. Principio de información.
    Debemos cumplir en todo caso con el principio de información, conforme a lo establecido en el artículo 13 del RGPD, e informar al trabajador acerca de cómo van a ser tratados sus datos. Entre la información a facilitar, deberá indicarse que el registro horario deberá conservarse durante un plazo mínimo de 4 años, y este deberá estar a disposición de los representantes de los trabajadores y de la inspección de trabajo y seguridad social.
  2. Legitimación.
    Como en todo tratamiento de datos personales, es fundamental cumplir con lo establecido en el artículo 6 del Reglamento General de Protección de Datos (en adelante RGPD), y contar con una base jurídica que haga ese tratamiento de datos personales lícito.
    En consecuencia, resulta necesario analizar cuál es la base legitimadora que permite tratar los datos de los trabajadores para poder llevar el registro.
    Para ello, debemos prestar atención a que la finalidad del tratamiento de los datos de los trabajadores será, en este caso cumplir con la llevanza del registro de la jornada. Por ello, la Agencia Española de Protección de Datos (en adelante AEPD), ha manifestado que las entidades están legitimadas, por una parte, en base a la relación jurídico-laboral existente entre empleador y empleado (artículo 6.1.b RGPD), y por otra parte en el cumplimiento de la obligación legal establecida en el artículo 34 del Estatuto de los Trabajadores en relación con el artículo 20 de la misma norma.
    Esto implica que no resulte necesario recabar el consentimiento de los trabajadores para poder tratar sus datos con esta finalidad concreta.

¿Puedo llevar un registro de la jornada laboral mediante huella dactilar?

Para dar respuesta a esta pregunta, es necesario partir de la base de que los datos biométricos han pasado a ser considerados como una categoría especial de datos, conforme a lo establecido en el artículo 9.1. del RGPD, y por ello será necesario que concurra alguna de las excepciones previstas en el artículo 9.2 de la misma norma, que permiten levantar la prohibición general del tratamiento de estos tipos de datos establecida en el ya mencionado artículo 9.1.

La AEPD ya se pronunció al respecto en la sesión abierta celebrada en 2018, al indicar que el tratamiento de la huella dactilar para el control de acceso por los trabajadores podría considerarse una medida de control amparada en el artículo 20 del Estatuto de los Trabajadores, por lo que no resultaría necesario recabar el consentimiento del interesado.

En el mismo sentido, la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales LOPGDD, sí que ha previsto y ha regulado las condiciones y garantías con las que puede hacerse el control de los trabajadores por parte del empresario con respecto a la utilización de los dispositivos digitales puestos a su disposición por parte del empresario (sistemas de videovigilancia o de sistemas de geolocalización), pero tampoco contiene ninguna referencia a la posibilidad de utilización de datos biométricos en sistemas de control en el ámbito laboral, como sería el caso del control horario.

En todo caso, la inclusión de los datos biométricos, entre ellos los de la huella dactilar, entre las categorías especiales de datos previstas por el RGPD, supone la necesidad de aplicar el principio de minimización para implementar esta medida, es decir, deberá limitarse a los supuestos en que se considere realmente necesaria para que el control sea eficaz.

Partimos de la premisa de que los datos biométricos solo pueden usarse de manera adecuada, pertinente y no excesiva, lo que conlleva una evaluación de la necesidad y de la proporcionalidad del tratamiento, realizando una Evaluación de Impacto sobre la protección de datos.

En definitiva, el sistema podría implementarse siempre que el mismo cumpliera las garantías suficientes de seguridad, cumpliendo en todo caso los principios de información y minimización que rigen en materia de protección de datos, habiendo documentado previamente la correspondiente evaluación de impacto sobre la protección de datos.