Les implicacions en la gestió de la privacitat del control de presència a les empreses.
Avui, 12 de març, es publica al BOE la reforma de l’Estatut dels Treballadors que recull l’obligació, per part de les empreses, de controlar l’horari laboral dels seus treballadors.
Aquest control de les hores treballades s’ha de complir de manera que els treballadors puguin conèixer mes a mes quantes hores efectives s’han realitzat, tant ordinàries com extraordinàries; s’haurà d’informar si és el cas, d’aquestes últimes al representant dels treballadors, si n’hi ha; i es regula l’obligació de mantenir aquests registres durant un temps concret, entre altres mesures.
Però com l’objecte del bloc no és parlar de legislació laboral sinó sobre privacitat, comentarem avui el què suposa el fitxat de la jornada laboral o el control dels treballadors en matèria de protecció de dades.
Al marge de ser ara una obligació, el control horari, ha estat sempre objecte de debat a l’existir certa polèmica sobre la forma de fitxar i controlar l’accés dels treballadors i sobre si la informació que es requeria per a això era suficient o excessiva.
També ha existit polèmica sobre la desproporció en l’ús de dades personals en targetes d’identificació dels treballadors. Per exemple, l’Agència Espanyola de Protecció de Dades, va estimar l’any 2006 que la inclusió del nom i el DNI en una targeta identificativa venia avalada per la necessitat d’identificar a un usuari concret i estava justificada.
Però no obstant això, podem trobar altres escenaris en els quals la inclusió de dades del treballador pot suposar una desproporció clara entre la fi que es busca i els mitjans utilitzats per a tal fi. Per exemple, incloure en un full de fitxat, nom complet, DNI i fotografia del treballador, pot suposar excedir la utilització lògica de les dades personals d’aquest, ja que per a la funció de control horari, l’ús de tantes dades, és excessiu.
Si s’ha d’ implantar algun tipus de control horari caldrà preguntar prèviament si la informació que s’atorga al treballador i les finalitats estan plenament acreditades. Caldrà doncs valorar els següents punts:
- S’ha analitzat si l’aplicació d’aquestes mesures està plenament justificada i està equilibrada amb la fi buscada? Si en comptes d’usar un sistema de control biomètric, es pot exercir la mateixa funció amb un altre tipus de sistema menys intrusiu, l’empresa haurà decantar-se per aquest últim.
- Les dades utilitzades, són pertinents, necessàries i no excessives? S’ha d’analitzar quina informació del treballador s’ha de gestionar per poder dur a terme l’obligació legal.
- Es garanteix la seguretat durant tot el cicle del tractament d’aquestes dades personals que preveu la normativa en matèria de protecció de dades? S’han d’establir les mesures de seguretat suficients i els controls per garantir la privacitat i la seguretat de les dades que es facin servir, posant en marxa els requisits que a aquest fi determina la normativa.
- Si el control es durà a terme a través de patrons biomètrics: empremta, iris, retina, etc., i al tractar-se de dades biomètriques i com a tals, de categories especials de dades tal com recull l’article 9 del RGPD, s’ha realitzat una avaluació d’impacte prèvia a la implantació?
Per tant, es demostra un cop més l’impacte que la gestió de la privacitat té dins de les empreses, en intervenir en totes les àrees de negoci, des de la gestió de clients fins al control de l’horari laboral dels treballadors.
