Pese a llevar en vigor más de dos años, la ley de control horario sigue suscitando muchas dudas, entre ellas, cómo gestionar los datos personales de los trabajadores y cuáles son los límites en el uso de estos datos con la finalidad de cumplir con la ley de protección de datos o RGPD. En este artículo hablamos de las obligaciones y consentimientos que deben tener en cuenta tanto el empleador como el trabajador para cumplir con el Reglamento General de Protección de Datos y cuáles son los datos más sensibles.
Y es que, tanto los datos almacenados en los dispositivos de control como los generados por los mismos, son datos personales y como tal, su uso debe ajustarse a la ley.
¿Qué debemos tener en cuenta para cumplir con la protección de datos a la hora de fichar?
Es necesario informar al trabajador
Al igual que cuando debemos elegir qué sistema de fichaje será el que registre el horario de nuestros trabajadores, debemos informar al equipo de qué datos se recogerán en el sistema de fichajes elegido y para qué se van a usar (en este caso, para el control y cumplimiento de la jornada laboral). Según la ley, no es necesario contar con el consentimiento del trabajador -aunque sí es recomendable informar, negociar y llegar a una solución conjunta- ya que el empleador puede apelar al cumplimiento de la obligación legal del registro de datos personales, tal y como explica el artículo 6.1 c) de la RGPD:
"El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño".
Datos biométricos: especialmente sensibles según el RGPD
En el caso de algunas máquinas de fichar con sistemas biométricos, como es el fichaje con huella o el ocular, el registro y uso de estos datos son especialmente sensibles según la RGPD. Esta ley apunta que entran dentro de “categorías especiales de datos” y su tratamiento está prohibido con la excepción (según el artículo 9.2 del RGPD) de::
-Contar con el consentimiento expreso del titular de los datos
-Cuando “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social”.
Si quieres evitar el uso de este tipo de datos especialmente sensibles, existen otros sistemas de fichaje que son igualmente válidos y cumplen con todas las directrices que marca la ley, como es el fichaje con el móvil o las apps (aunque a continuación veremos qué datos son sensibles en el uso de estas apps)
Localización del usuario
Otro de los datos personales que debes tener en cuenta si registras el horario con un sistema de fichaje, especialmente al hacerlo fuera de la oficina o con dispositivos móviles (como el caso de ordenadores portátiles o móviles) es el uso de la geolocalización.
A diferencia de los datos biométricos, estos datos de geolocalización no son considerados sensibles, aunque sí debemos informar al trabajador de su uso y finalidad, sin necesidad de contar con un consentimiento explícito.
En el caso de utilizar aparatos electrónicos personales, y que estos registren la geolocalización, sí debemos contar con un consentimiento explícito del trabajador.
Con Checkea, por ejemplo, no registras la geolocalización del usuario, por lo que no debes preocuparte por la gestión de este tipo de datos más sensibles.
Cuidado con los datos de terceros
Si tu empresa cuenta con subcontratas o contratos de terceros, y estas personas contratadas fichan en tus instalaciones, debes informarles del uso de estos datos personales y su finalidad.
Principio de minimización: registra solo lo esencial
El Reglamento General de Protección de Datos incluye, en el artículo 5.1 un principio conocido como “minimización” según el cual los datos personales que se registren deben ser solamente aquellos estrictamente necesarios.
Además, estos datos deberán suprimirse cuando hayan dejado de ser necesarios: en el caso del registro horario, pasados los 4 años como mínimo que indica la ley.