En la búsqueda de un sistema riguroso y fiable para realizar el control horario de los empleados y el registro de jornada laboral preceptivo, el empresario ha de tener en cuenta un requisito del que se está hablando menos pero que es igualmente necesario: ejecutar esta tarea atendiendo a la protección de datos en el ámbito laboral.
Ya hace más de un año que se aplica en nuestro país el Reglamento General de Protección de Datos europeo (RGPD), que junto con la Ley española de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDPGDD) constituye la normativa a cumplir en este terreno.
Es el momento de recordar los derechos que la ley reconoce al empleado respecto de sus datos personales:
- El empleado debe dar su consentimiento expreso y libre para que sus datos sean utilizados. No se le puede obligar a facilitar su teléfono o correo electrónico particulares.
- Debe ser informado sobre el tratamiento de sus datos.
- Tiene derecho a recibir una copia de los mismos.
- A que se corrijan o completen los inexactos o desactualizados.
- A que se supriman cuando hayan dejado de ser necesarios, tratarlos sea ilícito o el trabajador revoque su consentimiento.
- A solicitar que se transmitan directamente a otro empleador.
En general, el empresario puede tratar los datos personales del empleado cuando sea necesario para ejecutar el contrato de trabajo, para registrar su jornada de trabajo, para los reconocimientos médicos y también puede ceder el censo para elecciones sindicales, pero en ningún caso conservará los datos más tiempo del necesario para la finalidad que justifica su tratamiento.
Si la empresa quiere tratar datos biométricos del trabajador como la huella dactilar o el reconocimiento facial en sistemas de registro horario necesita su consentimiento salvo que acredite la inexistencia de un sistema menos invasivo. También se le debe informar antes de usar datos que provengan del control de accesos de la empresa como medio de registrar su jornada.
La propia imagen también es un dato biométrico, por lo que la empresa necesita la autorización del trabajador para publicarla en su página web institucional o en vídeos promocionales. Y en cuanto a las redes sociales del empleado, el empresario podrá usar esos datos si existe un fin legítimo y además la información está publicada en abierto. Si el trabajador ha restringido el acceso a su red social, no será legítimo tratar esos datos.
La empresa tampoco puede ceder datos del empleado sin su consentimiento para listas de ofertas o promociones comerciales, pero sí para formalizar un plan de pensiones de empresa.
Dos interesantes apuntes más para concluir esta puesta al día sobre cómo garantizar la intimidad de los empleados a través de sus datos personales: Incluirlos en su carta de despido no es contrario a la ley cuando se necesite para acreditar el incumplimiento que se le atribuye tal como exige el Estatuto de los Trabajadores. Y en cuanto a la salud del trabajador, su empleador no podrá acceder a los resultados finales de sus reconocimientos médicos, sino sólo conocer si es apto o no para el puesto.
Nueva herramienta de la AEPD orientativa para encargados de tratar datos.
Ante cada nuevo reto, la empresa no está sola, y ya que el Reglamento europeo exige a los responsables del tratamiento de datos personales tanto realizar un análisis de riesgos para tomar medidas que los corrijan como evaluar el impacto del tratamiento en caso de alto riesgo para los derechos y libertades, la Agencia Española de Protección de Datos ha presentado una herramienta gratuita que permite avanzar en ambas cosas.
Pensada para empresas con tratamientos de alto riesgo (datos de salud o tratamientos masivos) pero usable para todas las que tratan datos biométricos, Gestiona EIPD guía a los responsables de datos para gestionarlos adecuadamente. Incluye los requisitos normativos aplicables y sugiere medidas para reducir los riesgos del tratamiento. No compromete a nada ya que la AEPD no recopila los resultados, y realizar ese test no supone directamente cumplir con el Reglamento sino que es orientativo. Funciona como un cuestionario cuyos datos se almacenan de manera local en el navegador donde se cumplimente, y su utilidad va a depender del rigor del encargado de protección de datos al responder todas las preguntas.
Esta nueva herramienta se suma a otras previas de la AEPD enfocadas a empresas con tratamientos más sencillos o de datos con menor protección, como Facilita o Análisis de riesgos.
Además de su labor asesora, el uso de Gestiona EIPD concienciará a las empresas para cumplir la normativa de protección de datos personales en la todavía reciente implantación obligatoria del registro de la jornada laboral.