El tratamiento de datos del registro de la jornada laboral

Uno de los trending topic de los últimos meses es el registro de la jornada laboral de los trabajadores. El Real Decreto-ley 8/2019 de 8 de marzo de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo ha supuesto – y supone- un quebradero de cabeza para las empresas obligadas a llevar a cabo este registro.

Pero para muchas otras ha supuesto la apertura de un nicho de negocio considerable ya que la proliferación de soluciones técnicas destinadas a ayudar a las empresas en esta tarea no hace más que crecer.

Podemos encontrar desde el simple registro en soporte papel para detallar las horas de trabajo o dispositivos más o menos complejos para la introducción de un código único en un programa de registro hasta controles biométricos mediante la huella dactilar, por ejemplo.

A estas alturas todos deberíamos tener claro que el registro de la jornada laboral supone un tratamiento de datos de carácter personal y que, como tal, debe cumplir con unos requisitos. Entre ellos y de forma especial, con el principio de legitimación.

A modo de repaso, el principio de legitimación supone que para llevar a cabo el tratamiento de datos debo encontrarme al menos en uno de los supuestos habilitantes que se detallan en el art. 6.1 del RGPD, a saber:

·         El consentimiento del interesado, prestado de forma explícita, libre y voluntaria mediante una acción claramente afirmativa o una declaración.

·         La ejecución de un contrato o precontrato que une a las partes.

·         El cumplimiento de una obligación legal.

·         El interés público que existe en que el Responsable del Tratamiento lleve a cabo un determinado tratamiento (aquí por ejemplo la AEPD encaja los sistemas de videovigilancia con fines de seguridad).

·         El interés vital del afectado.

·         El interés legítimo del Responsable del Tratamiento, que le obliga a ponderar entre los derechos del interesado y su interés real y específico para llevar a cabo una actividad.

Lo primero que debemos descartar es una base de legitimación basada en el consentimiento, ya que en el ámbito laboral se entiende que este no va a ser libre y voluntario, dado que el trabajador se encuentra sometido a un ‘’miedo’’ que invalida aquel.

Parece que en el ámbito laboral podríamos justificar el tratamiento de datos derivado de una relación de trabajo en el cumplimiento de las obligaciones nacidas de un contrato laboral. Incluso, en algunos casos, en la existencia de un interés legal.

Pero ¿qué ocurre cuando además queremos recopilar la huella dactilar del trabajador para un control horario? Ocurre primero que recopilamos un dato de categoría especial y, por lo tanto, debemos aplicar un cuidado especial.

Para tratar datos de categorías especiales debemos atender a lo dispuesto en el artículo 9 del RGPD. En su primer apartado el artículo 9 nos dice que quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

Entonces ¿qué hacemos? Pues acudir al apartado segundo del artículo 9. En este apartado se señala que sí podremos tratar datos de categorías especiales cuando:

  1. el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados;

Casi, pero no. Ya sabemos que en el ámbito laboral el consentimiento no es buen compañero de viaje.

  1. El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

Parece que este supuesto encaja mucho mejor. Desde luego, sobre todo cuando el RDL 8/2019 modifica el artículo 34.9 del Estatuto de los Trabajadores, añadiendo la obligación de llevar a cabo el registro de la jornada laboral y perdemos de vista la falta de rango de ley del propio RDL. Dicho esto, este apartado b) menciona otra fuente con rango de ley y no es otra que el Convenio Colectivo.

No se vayan todavía, aún hay más.

¿Qué nos dice la Agencia Española de Protección de Datos? Pues que, aparte de legitimar bien el tratamiento de los datos, tengamos cuidado con los principios de minimización y proporcionalidad de los datos. Esto es, por ejemplo, no recabar más datos de los estrictamente necesarios para lograr la finalidad perseguida.

¿Es imprescindible la huella dactilar para llevar a cabo un registro horario? Desde luego que no. ¿Es imprescindible disponer de los datos de geolocalización de un trabajador en movilidad para conocer su horario? Desde luego que no tampoco. ¿Entonces los puedo tratar o no? Pues depende.

En cualquier caso, vamos a tener que hacer el esfuerzo de leer alguna de las opiniones del extinto Grupo de Trabajo del artículo 29, hoy Comité Europeo de Autoridades de Protección de Datos.  Por ejemplo, la opinión 3/2012 que nos detalla algunas de las garantías que se deben aplicar a este tipo de tratamientos, como por ejemplo no almacenar la huella en la base de datos del aplicativo o sistema sino incorporar el datos biométrico a un soporte cifrado en poder del trabajador.

Resulta también que hay una figura de la que se habla en el RGPD que tiene mucha relación con el concepto de privacidad desde el diseño y el de proactividad en esto de la protección de datos: la Evaluación de Impacto de la Privacidad (EIPD). El propio RGPD nos lo dice en el artículo 35, al señalar que Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.

Esta EIDP es la que nos ayudará a determinar si el tratamiento de datos de la huella dactilar o del posicionamiento y geolocalización del trabajador es adecuado o no, o si nos estamos metiendo en un jardín bonito del que nos puede costar salir.

Una EIPD que, para dar por buena la recogida de la huella dactilar como método para el registro de la jornada de trabajo, va a tener que sudar la gota gorda.

Deja un comentario