Control, horario y privacidad

Las implicaciones en la gestión de la privacidad del control de presencia en las empresas.

Hoy, 12 de marzo, se publica en el BOE la reforma del Estatuto de los Trabajadores que recoge la obligación, por parte de las empresas, de controlar el horario laboral de sus trabajadores.

Este control de las horas trabajadas se tiene que cumplir de forma que los trabajadores puedan conocer mes a mes cuántas horas efectivas se han realizado, tanto ordinarias como extraordinarias (se tendrá que informar de estas últimas si es el caso al representante de los trabajadores, si las hay), y se regula la obligación de mantener estos registros durante un tiempo concreto, entre otras medidas.

Pero como el objetivo de esta entrada no es hablar de la legislación laboral sino de la privacidad, hoy comentaremos qué supone el fichaje de la jornada laboral o los controles de los trabajadores en materia de protección de datos.

Al margen de ser ahora una obligación, el control horario siempre ha sido sujeto de debate al existir cierta polémica sobre la forma de fichar y controlar el acceso de los trabajadores y sobre si la información que se requería para eso era suficiente, insuficiente o excesiva.

También ha existido polémica sobre la desproporción en el uso de datos personales en tarjetas de identificación de los trabajadores. Por ejemplo, la Agencia Española de Protección de Datos, estimó el año 2006 que la inclusión del nombre y DNI en una tarjeta identificativa venía avalada por la necesidad de identificar a un usuario concreto y estaba justificada.

Pero sin embargo, podemos encontrar otras situaciones en los que la inclusión de los datos del trabajador puede suponer una desproporción clara entre el fin que se busca y los medios usados para tal fin. Por ejemplo, incluir en una hoja de fichaje el nombre completo, DNI y foto del trabajador puede suponer exceder la utilización lógica de los datos personales de este, ya que para la función del control horario el uso de tantos datos resulta ser excesivo.

Si se debe implantar algún tipo de control horario hará falta preguntar previamente si la información que se otorga al trabajador y las finalidades están plenamente acreditadas. Hará falta pues valorar los siguientes puntos:

• ¿Se ha analizado si la aplicación de estas medidas está plenamente justificada y está equilibrada con el fin buscado? Si en vez de usar un sistema de control biométrico, se puede ejercer la misma función con otro tipo de sistema menos intrusivo, la empresa deberá decantarse por este último.
• ¿Los datos utilizados son pertinentes, necesarios y no excesivos? Se debe analizar qué información del trabajador se debe gestionar para poder llevar a cabo la obligación legal.
• ¿Se garantiza la seguridad durante todo el ciclo del tratamiento de estos datos personales previstos en la normativa en materia de protección de datos? Se establecerán las medidas de seguridad suficientes y los controles para garantizar la privacidad y la seguridad de los datos que se utilicen, poniendo en marcha los requisitos que a tal fin determina la normativa.
• Si el control se llevará a cabo a través de patrones biométricos: huella, iris, retina, etc., y al tratarse de datos biométricos y como tales, de categorías especiales de datos tal y como recoge el artículo 9 del RGPD, ¿se ha realizado una evaluación de impacto previa a la implantación?

Por lo tanto, se demuestra una vez más el impacto que la gestión de la privacidad tiene dentro de las empresas, al intervenir en todas las áreas de negocio, desde la gestión de clientes hasta el control del horario laboral de los trabajadores.