La nueva norma de obligatoriedad del registro del horario laboral por parte de cada trabajador ha traído consigo muchas preocupaciones. Entre ellas, se está poniendo en alza el miedo a la desprotección frente a la gestión de datos personales. ¿Eres una empresa y temes estar infringiendo la LOPD? Quédate a leer, te contamos cómo cumplir con el registro de horario laboral sin violar la protección de datos.
La entrada en vigor del Real Decreto 8/2019 de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo obliga a dejar constancia del inicio y finalización de la jornada de trabajo, bajo multas que pueden suponer entre los 600 y los 6.200 euros. Desde el 12 de mayo, muchas empresas se han visto forzadas a instaurar sistemas que permitan este registro, olvidando, en muchas ocasiones por la premura, la adaptación a la normativa vigente en cuanto a privacidad.
Índice de contenidos
¿Qué supone el registro horario laboral en materia de protección de datos?
A la hora de fichar, es preciso incluir una serie de datos del trabajador, como es obvio. Sin embargo, ha surgido el debate acerca de dónde están los límites sobre lo que se puede o no publicar. Por ello, se hace necesaria una evaluación previa de la información que es precisa para acreditar al trabajador y con qué finalidad se va a emplear dicha información. Por ejemplo, en un caso de registro manual, sería excesivo incluir una fotografía, el nombre, la dirección y el documento de identificación de cada persona.
El objetivo principal de todas las empresas es realizar un control lo menos intrusivo y legal posible. Por esta razón, y como indica la AEPD, una empresa no tiene por qué pedir el consentimiento a un empleado para controlar su jornada laboral, pero sí está obligada a informar sobre el tratamiento de esos datos que va a recopilar y sobre sus fines.
En este sentido, antes de actuar y decantarse por un sistema de registro u otro todas las compañías deberían realizar una Evaluación de Impacto sobre Protección de Datos (EIPD). El Reglamento UE 2016/679, General de Protección de Datos del Parlamento Europeo y del Consejo, de 27 de abril (en adelante RGPD), incluye en uno de sus apartados la obligatoriedad de todas las entidades que manejen datos de realizar evaluaciones de impacto previas al tratamiento de los datos cuando sean sensibles de entrañar algún tipo de riesgo para la intimidad de las personas, especialmente en el aspecto tecnológico.
¿Qué es una Evaluación de Impacto sobre Protección de datos?
La Evaluación de Impacto es una actuación que debe realizar el responsable del tratamiento amparado bajo asesoramiento legal, de forma previa a dicho tratamiento, para poder identificar, evaluar y gestionar los riesgos a los que están sometidos sus actividades de tratamiento con la finalidad de garantizar los derechos y libertades de las personas físicas. Esta evaluación previa, permite establecer las medidas de control adecuadas.
Corresponde al responsable del tratamiento realizar una EIPD asesorado por el Delegado de Protección de Datos (DPO), quien le asesore en esta materia, lo que, en palabras de la propia Agencia Española de Protección de Datos (AEPD), supone “un valor añadido en el desarrollo de una Evaluación de Impacto en la Privacidad aportando garantías para los derechos y libertades de los interesados”.
La evaluación de impacto debe incluir:
- La descripción de la actividad de tratamiento prevista
- La evaluación de la necesidad del tratamiento respecto a su finalidad.
- Una correcta evaluación de los riesgos.
- Las medidas de seguridad para afrontar los riesgos y mecanismos que garanticen la protección de datos personales.
También te puede interesar:
⭐ Evaluación de impacto en la privacidad
⭐ Registro horario laboral: cómo hacerlo legalmente
¿En qué casos debe realizarse una EIPD?
El RGPD contempla una serie de situaciones que son más propensas a un incorrecto tratamiento de los datos y en las que recomienda encarecidamente la realización de una EIPD:
- Tratamientos que impliquen la valoración de un sujeto con relación a múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), su personalidad o sus hábitos.
- Tratamientos que impliquen la toma de decisiones automatizadas, incluyendo cualquier decisión que impida el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
- Tratamientos que impliquen monitorización, geolocalización o control del trabajador de forma sistemática, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público.
- Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
- Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar a una persona física.
- Tratamientos que impliquen el uso de datos genéticos.
- Tratamientos que impliquen el uso de datos a gran escala.
- Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
- Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
- Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
- Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.
Etapas de una EIPD
- Descripción del ciclo de vida de los datos: identificación de los datos tratados, intervinientes, terceros, sistemas implicados y elementos relevantes.
- Análisis de la necesidad y proporcionalidad del tratamiento que se pretende llevar a cabo.
- Identificación de amenazas y riesgos en los tratamientos de datos.
- Evaluación y tratamiento de los riesgos y su probabilidad de que aparezcan.
- Plan de acción y conclusiones, incluyendo donde se documente el resultado obtenido junto con las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas.
Como has podido comprobar, el registro de horario laboral puede compatibilizarse perfectamente con la protección de la privacidad de los datos, siempre y cuando un experto Delegado de Protección de Datos realice una adecuada Evaluación de Impacto para prevenir cualquier amenaza.
¿Te ha parecido útil este post? Dejánoslo en comentarios.
Puedes estar al día de nuestras novedades siguiéndonos en nuestras redes sociales: LinkedIn, Twitter y Facebook.
Y si te ha resultado de utilidad este artículo, no te olvides de dejarnos tu valoración y compartirlo.