Estas últimas semanas, los medios de comunicación se han hecho eco de la obligación aplicable a empresarios o autónomos que cuenten con trabajadores a su cargo, de cumplir con un registro de la jornada laboral de los trabajadores, obligación que deriva del Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que modifica el artículo 34 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante Estatuto de los Trabajadores), y que será aplicable a partir del día 12 de mayo.
Pero, ¿qué supone la llevanza de este registro en la práctica?
- Este registro deberá incluir como mínimo el horario concreto de inicio y finalización de la jornada de cada trabajador, sin perjuicio de la flexibilidad horaria establecida. Además, se ha manifestado, que no será suficiente la realización de un cuadrante, pues no se consideran un registro de jornada a efectos de cumplir lo establecido en el Estatuto de los Trabajadores.
- También resulta de aplicación a trabajadores que realicen teletrabajo, o con movilidad geográfica.
- La organización y la documentación del registro debe abordarse vía negociación colectiva o acuerdo de empresa. En su defecto, se establecerá por decisión unilateral del empresario previa consulta con la representación legal de los trabajadores.
- El legislador no ha establecido una fórmula legal subsidiaria ante la falta de acuerdo.
- En el supuesto de que no exista representación legal de los trabajadores, la ley no prevé la creación de una comisión ad hoc, por lo que debe quedar claro que la obligación de garantizar un registro horario corresponde al empleador.
¿Qué impacto tiene este registro en materia de protección de datos?
Precisamente esta última cuestión, la forma en la que se llevará a cabo el registro, es una de las que más impacto tiene en la materia de protección de datos, pero no la única, ya que entran en juego distintos principios que rigen la materia de protección de datos en los que debemos centrar nuestra atención.
1. Principio de información. Debemos cumplir en todo caso con el principio de información, conforme a lo establecido en el artículo 13 del RGPD, e informar al trabajador acerca de cómo van a ser tratados sus datos.
Entre la información a facilitar, deberá indicarse que el registro horario deberá conservarse durante un plazo mínimo de 4 años, y este deberá estar a disposición de los representantes de los trabajadores y de la inspección de trabajo y seguridad social.
2. Legitimación. Como en todo tratamiento de datos personales, y así lo hemos comentado en nuestro blog, es fundamental cumplir con lo establecido en el artículo 6 del Reglamento General de Protección de Datos (en adelante RGPD), y contar con una base jurídica que haga ese tratamiento de datos personales lícito.
En consecuencia, resulta necesario analizar cuál es la base legitimadora que permite tratar los datos de los trabajadores para poder llevar el registro.
Para ello, debemos prestar atención a que la finalidad del tratamiento de los datos de los trabajadores, será en este caso cumplir con la llevanza del registro de su jornada. Por ello, la Agencia Española de Protección de Datos (en adelante AEPD), ha manifestado que las entidades están legitimadas por una parte, en base a la relación jurídico-laboral existente entre empleador y empleado (artículo 6.1.b RGPD), y por otra parte en el cumplimiento de la obligación legal establecida en el artículo 34 del Estatuto de los Trabajadores en relación con el artículo 20 de la misma norma.
Esto implica que no resulte necesario recabar el consentimiento de los trabajadores para poder tratar sus datos con esta finalidad concreta.
A este respecto, nos gustaría tratar una pregunta recurrente en las últimas semanas por parte de nuestros clientes, ¿puedo llevar un registro de jornada laboral mediante huella dactilar?
Para dar respuesta a esta pregunta, es necesario partir de la base de que los datos biométricos han pasado a ser considerados como una categoría especial de datos, conforme a lo establecido en el artículo 9.1. del RGPD, y por ello será necesario que concurra alguna de las excepciones previstas en el artículo 9.2 de la misma norma, que permiten levantar la prohibición general del tratamiento de estos tipos de datos establecida en el ya mencionado artículo 9.1.
Sin embargo, a la hora de valorar cuál es la excepción aplicable a este caso concreto, debemos exponer los criterios mantenidos por una parte por la propia AEPD, y por otra, la Autoridad Catalana de Protección de Datos, si bien es cierto que habitualmente aplican los mismos criterios jurídicos, en este supuesto se han mantenido hasta el momento en posiciones diferenciadas.
— La AEPD ya se pronunció al respecto en la sesión abierta celebrada en 2018, al indicar que el tratamiento de la huella dactilar para el control de acceso por los trabajadores podría considerarse una medida de control amparada en el artículo 20 del Estatuto de los Trabajadores, por lo que no resultaría necesario recabar el consentimiento del interesado.
Este mismo criterio ha sido reiterado por parte de la Directora de la AEPD hace unos días, en su intervención en el encuentro sobre registro horario del 23 de Abril, en la sede de la Confederación Española de Organizaciones Empresariales (puedes verla aquí).
Por ello, a criterio de la AEPD, sería la ya comentada en este artículo, con independencia de que pueda llegar a tratarse una categoría especial de datos o no.
— Por el contrario, para la Autoridad Catalana de Protección de Datos, y así lo ha manifestado en este Dictamen, no resulta suficiente ampararse en el artículo 20.3 del Estatuto de los Trabajadores como base legitimadora, toda vez que, si bien es cierto que este artículo prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores, no se refiere en ningún momento a una autorización para la utilización de categorías especiales de datos o, en concreto, de datos biométricos, con esta finalidad.
En el mismo sentido, la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, sí que ha previsto y ha regulado las condiciones y garantías con las que puede hacerse el control de los trabajadores por parte del empresario con respecto a la utilización de los dispositivos digitales puestos a su disposición por parte del empresario (sistemas de videovigilancia o de sistemas de geolocalización), pero tampoco contiene ninguna referencia a la posibilidad de utilización de datos biométricos en sistemas de control en el ámbito laboral, como sería el caso del control horario.
Nos llama la atención que, si bien es cierto que en consecuencia entendemos que la base jurídica en este caso ha de ser el consentimiento explícito, la autoridad catalana no llegue a especificarlo en su Dictamen.
En todo caso, ambas autoridades coinciden a la hora de determinar que, la inclusión de los datos biométricos, entre ellos los de la huella dactilar, entre las categorías especiales de datos previstas por el RGPD, supone la necesidad de aplicar el principio de minimización para implementar esta medida, es decir, deberá limitarse a los supuestos en que se considere realmente necesaria para que el control sea eficaz.
Partimos de la premisa de que los datos biométricos sólo pueden usarse de manera adecuada, pertinente y no excesiva, lo que conlleva una evaluación de la necesidad y de la proporcionalidad del tratamiento.
Por ello, aplicando el criterio fijado por la AEPD en varios Informes jurídicos y resoluciones (Informe 0065/2015, Resolución R/00900/2018), y así lo hemos comentado en otras publicaciones de este blog (por ejemplo aquí), para comprobar si una medida supera el juicio de proporcionalidad, hay que constatar que cumple los siguientes requisitos o principios:
— Idoneidad: si tal medida es susceptible de conseguir el objetivo propuesto y si es probable que el sistema sea eficaz para responder a la necesidad en cuestión. Por ejemplo, si los datos almacenados en la base de datos del servidor se guardaran en una tarjeta, resultaría menos excesivo ya que estarían en poder del propio interesado.
— Necesidad: si no existe otro método más moderado para conseguir la finalidad propuesta con la misma eficacia.
— Proporcionalidad: se ha de evaluar si hay un medio menos invasivo de la intimidad para alcanzar el fin que se desea como, por ejemplo, algún método que no almacene datos para fines de autenticación o el uso de tarjetas inteligentes que porten los interesados de forma que el sistema únicamente almacene la información referida al uso o no uso de accesos, sin que en ningún momento se refleje el algoritmo de la huella.
Así, para dar cumplimiento a este juicio de proporcionalidad, será necesario realizar una evaluación de impacto sobre la protección de datos a la vista de las circunstancias concretas en las que se lleve a cabo el tratamiento, máxime si atendemos al listado de tratamientos en los que es obligatorio realizar una evaluación de impacto, que la AEPD ha hecho público (ver apartados 2 y 5 del listado).
En definitiva, el sistema podría implementarse siempre que el mismo cumpliera las garantías suficientes de seguridad, cumpliendo en todo caso los principios de información y minimización que rigen en materia de protección de datos, habiendo documentado previamente la correspondiente evaluación de impacto sobre la protección de datos.