Analizamos la incidencia de la nueva norma y de las medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo en el ámbito de la Protección de Datos personales de los trabajadores.
Una de las novedades laborales que más revuelo ha causado en los últimos tiempos es la publicación en el Boletín Oficial del Estado del Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.
Esta norma, supone un paquete de medidas entre las cuales destaca la obligación de establecer el registro de la jornada de trabajo con el fin de garantizar el cumplimiento de los límites en materia de jornada, crear un marco de seguridad jurídica tanto para las personas trabajadoras como para las empresas y posibilitar el control por parte de la Inspección de Trabajo y Seguridad Social.
¿Qué incidencia tiene esta normativa en lo que a protección de datos se refiere?
Pues la tiene, y mucha. La consecuencia de llevar a cabo un registro de control de horarios de esta naturaleza supone:
Creación de un fichero dedicado a este registro.
- Añadir a nuestro registro de actividades de tratamiento (aquel en el que enumeramos los tratamientos de datos personales que se llevan a cabo en nuestra organización: clientes, publicaciones comerciales, curriculums, videovigilancia…) un fichero dedicado a este registro. Del mismo modo que con el resto de “ficheros”, deberemos documentar en relación al registro de la jornada de trabajo:
- ¿Quién es el responsable del tratamiento? Aquí nos deberemos identificar con nuestros datos de contacto como entidad responsable.
- ¿A que finalidad obedece el tratamiento de los datos personales relativos al comienzo y final de la jornada laboral? Obviamente deberemos indicar que obedece a la elaboración de un registro que nos permita llevar un control del comienzo y final de la jornada laboral.
- ¿Cuál es la legitimación dentro de las que la normativa de protección de datos nos facilita para poder llevar a cabo este tratamiento de datos? Sería la obligación legal que supone el real decreto ley. ¡Pero ojo! Si utilizáramos un dispositivo de huella dactilar la cosa podría cambiar al tratarse de un dato de categoría especial tiene otras posibilidades de legitimación.
- ¿Pueden ser cedidos los datos personales objeto de tratamiento en este fichero a terceros?Las cesiones al igual que el propio tratamiento deberán también tener su legitimación, tal y como marca el real decreto ley será obligación legal su cesión, por ejemplo, a la Inspección de trabajo o Seguridad Social.
- ¿Cuál es el plazo de conservación de los datos personales que forman parte de este fichero? Tal y como dispone el texto aprobado será por un plazo de 4 años, y deberá ser borrados, eliminados, una vez expirado dicho plazo.
- ¿Cuáles son los datos personales en sentido estricto que utilizamos para llevar a cabo este tratamiento? Aquí deberemos señalar que datos personales utilizamos para hacer el registro: nombre, apellidos, puesto, firma… hay que tener en cuenta que deben ser los mínimos estrictamente necesarios para llevar a cabo el tratamiento.
Cuando contratemos el servicio de fichaje y control a un proveedor:
2. En caso de que sea un proveedor con quien contratemos la prestación de este servicio de fichaje y control, al tratar datos personales relativos a nuestros empleados, se deberá elaborar un contrato de encargado de tratamiento conforme a los requisitos que marca la normativa de protección de datos. Nos deben garantizar un tratamiento de estos datos conforme a lo que indica la normativa.
Información a los trabajadores:
3. Existe un deber de informar a los empleados de este nuevo tratamiento, el deber de informar incluye:
- Del mismo modo que en el registro de actividades de tratamiento, se deberá designar quien es el responsable del tratamiento, a que finalidad obedece el tratamiento, cual es la legitimación del mismo, o si existen cesiones a terceros.
- Se deberá informar al empleado de cuales son los derechos que le asisten de acuerdo con la normativa de protección de datos, nos referimos a los tradicionales: Derechos de acceso, rectificación, supresión, limitación del tratamiento, oposición y portabilidad.
La importancia de establecer protocolos:
4. Al ser necesario que el registro esté a disposición de las personas trabajadoras, como de las empresas y posibilitar el control por parte de la Inspección de trabajo y Seguridad Social, será necesario que exista un protocolo que posibilite facilitar una copia del cuadro mensual de horas para atender a la solicitud que proceda.
Almacenamiento de la información:
5. Del mismo modo, al ser necesario el almacenamiento y conservación durante un plazo de 4 años será necesario que exista un sistema de almacenamiento que nos permita tener esta información disponible durante el plazo que hemos determinado.
Si un trabajador finaliza la relación con la empresa:
6. Cuando se produzca la baja de un empleado no debemos borrar los datos relativos a su registro, si no que debemos establecer un protocolo que nos permita bloquearlos hasta que se cumpla el periodo de 4 años que indica la normativa (entonces si podremos borrarlos).
Medidas de seguridad indispensables:
7. Habrá que establecer las medidas de seguridad necesarias para proteger la confidencialidad (no se revele información a terceros), la disponibilidad (no se pierda en caso de incidencia) y la integridad (no se altere su veracidad) de los datos que tratamos en esté fichero.
Los sistemas de control que pueden ser utilizados son de diferente tipología :
- Fichaje a través de tarjeta: datos incorporados a tarjeta magnética.
- Fichaje a través de terminal biométrico: huella dactilar.
- Aplicaciones activadas desde escritorio: al comenzar sesión en nuestro terminal de trabajo.
- Sistemas de plantillas que requieren la firma del empleado: hoja de firmas tradicional.
- Otros.

Sea cual sea el sistema de control que decidas utilizar es importante tomar conciencia del tratamiento de datos personales que se lleva a cabo a la hora de establecer el registro, además de las especiales características que pueden tener elegir un sistema u otro (no es lo mismo recabar la firma del empleado en una plantilla que utilizar un dato de categoría especial como puede ser la huella dactilar, dato biométrico) y su impacto en lo que a protección de datos se refiere.
¿Necesitas más información sobre este tema? Escríbenos a info@ceconsulting.es o llámanos al 983 275 002.