CONTROL DE JORNADA LABORAL A PARTIR DEL 12 DE MAYO: IMPLICACIONES A NIVEL DE PROTECCIÓN DE DATOS

Volvemos a recordar que la obligación del control de la jornada laboral lleva también aparejadas obligaciones en materia de protección de datos (RGPD y LOPDGDD).

Real Decreto Ley 8/2019 de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.

Artículo 10. Registro de jornada

Se modifica el artículo 34 de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre , añadiendo un nuevo apartado 9, con la siguiente redacción:

9- La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo.

Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de jornada.

La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.

El registro de jornada establecido en este apartado 9 del artículo 34, será de aplicación a los dos meses de su publicación en el BOE: el 12 de mayo de 2019


Implicaciones a nivel de protección de datos:

  1. Tener en cuenta el derecho a la protección de datos personales de los empleados como uno de los criterios a la hora de escoger la herramienta de sistema de control, que es uno de los principios básicos del RGPD (privacidad desde el diseño).
  2. Prever la creación de la actividad del tratamiento concreta en el Registro de Actividades del Tratamiento o incorporarla a las actividades del tratamiento ya previstas en el mismo, estableciendo las finalidades de ese tratamiento y el periodo de conservación de los datos.
  3. Informar a los empleados de la aplicación de tales medidas para obtener la legitimación al tratamiento de los datos.
  4. Suscribir contrato de encargo del tratamiento con el proveedor externo (si la herramienta de control electrónica la desarrolla y mantiene éste).

Además, si este control de jornada laboral se lleva a cabo por medios electrónicos y contempla la recogida de  (o/y):

  1. la huella dactilar; o “distancia entre cinco puntos” de ésta
  2. reconocimiento facial;
  3. reconocimiento de voz;
  4. datos de geolocalización;
  5. uso de aplicación móvil o cualquier otro sistema de control de jornada realizado por redes de telecomunicaciones u online.

además del análisis de riesgos hay que efectuar una Evaluación de Impacto previa, que deberá incluir el análisis, valoración y evaluación de la necesidad y la proporcionalidad del tratamiento de algunos o varios de estos datos con respecto a la finalidad de llevar el control horario y/o de acceso. Y también el análisis, valoración y evaluación de los riesgos para los derechos y libertades de los interesados por la naturaleza, alcance, contexto o fines del tratamiento, y establecer las medidas de seguridad necesarias.

Esta Evaluación de impacto previa no es una medida de seguridad al uso, sino más bien un mecanismo para evaluar los riesgos y el impacto que un tratamiento de datos tiene sobre los derechos y libertades de los interesados y que, en función de este análisis, el responsable del tratamiento debe implementar unas medidas de Seguridad determinadas u otras, con el fin de mitigar, eliminar o aceptar cada riesgo concreto.

¿ Y después del 25 de mayo de 2018… qué?

Pasó, como pasa todo.

El 25 de mayo de 2018 pasó, causando a su paso un gran revuelo social, mediático y empresarial. Fue como un tsunami. Logró que hablar de privacidad, de proteger tus derechos, de conocerlos, de denunciar, del nuevo reglamento… fuera algo usual y cotidiano en prensa, radio, televisión, redes sociales y en charlas de amigos no necesariamente relacionados con el derecho.

Hoy, a poco más de un mes de cumplirse el primer aniversario de que fuera de plena aplicación “…el Reglamento Europeo de protección de datos” (como de un modo familiar se le conocía) lo que cabe preguntarse es:

¿ Y después del 25 de mayo de 2018… qué ?

Porque la adecuación de las empresas al nuevo marco reglamentario europeo no era, ni es, una opción.

Pero a diferencia de un tsunami , que llega normalmente por sorpresa (casi sin avisar y sin darnos margen de reacción) arrasa y se va, el Reglamento (UE) 2016/679 llegó en 2016 precedido de muchos pequeños oleajes y, además, nos concedió una prórroga de dos años, para que sus efectos no pillaran por sorpresa a empresas y profesionales..

Todos sabemos ya lo que pasó: poca gente movió ficha, y a finales de abril-primeros de mayo todo fueron prisas para tratar de adecuarse al nuevo marco reglamentario, aderezadas con las dudas en su interpretación y aplicación, que la Agencia Española de Protección de Datos, l’Autoritat Catalana de Protecció de Dades y la Agencia Vasca de Protección de Datos se han ido esforzando en mitigar, con la publicación de distintas Guías, Prácticas, Listados de cumplimiento.

El Reglamento 2016/679 ha llegado para quedarse sin dejar, inicialmente al menos, ningún panorama desolador como no podía ser de otro modo en una normativa que lo que pretende es garantizar derechos. Pero, como los tsunami, sus efectos pueden llegar a ser devastadores para las empresas y/o profesionales que no hayan tomado las medidas oportunas para adecuarse a él.

Y con el Reglamento siendo ya de plena aplicación, en diciembre 2018 se publicó en España “la nueva LOPD”, que ahora recibe la extensión de “GDD” (garantía de los derechos digitales) y que lo que ha hecho ha sido adecuar nuestra LOPD al nuevo Reglamento Europeo. Es la LOPDGDD (Ley orgánica de protección de datos y garantía de los derechos digitales).

Delegado de protección de datos, consentimiento, derecho a la portabilidad y a la limitación del tratamiento, responsable de tratamiento, evaluación de impacto, análisis de riesgos. brechas de seguridad, responsabilidad proactiva, protecció de datos desde el diseño y por defecto… son algunos de los términos con los que debemos ya familiarizarnos e incorporarlos a nuestro día a día: en las empresas, no hay “uno que se encarga de lo de la protección de datos”. Es misión de toda empresa el hacer llegar a todos sus empleados la cultura de la privacidad.

Pronto llegará el nuevo 25 de mayo… ¿en qué situación se encuentra tu empresa?.