El registro de la jornada laboral: la perspectiva de Protección de Datos Personales

AUTOR: Isabel García García

FECHA: 23.05.2019

Como sabemos, el pasado día 12 de mayo de 2019 entró en vigor la nueva obligación de todas las empresas de establecer un registro diario de la jornada de trabajo de sus empleados (Decreto-ley 8/2019, de 8 de marzo). A raíz de esta obligación, las empresas deberán implantar un sistema que permita el registro de la entrada y salida de sus trabajadores. Cuando un sistema permite registrar las horas de entrada y de salida de un empleado concreto, dichos datos claramente identifican de forma individual a una persona específica, por lo que hablamos de un nuevo tratamiento de los datos personales de los trabajadores.

Independientemente de que el registro se realice incluyendo el nombre y apellidos del trabajador o bien se identifique a cada trabajador con un número (por ejemplo, un código de empleado), en el momento en que dicho número es único para cada uno de ellos- pues de lo contrario no se podría relacionar las horas de entrada y salida con cada persona concreta- ello constituye un dato de carácter personal en el sentido del artículo 4 apartado 1) del RGPD: “se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo, (…) un número de identificación”.

Es más, este registro puede ser desde manual hasta biométrico. Sin embargo, en este último caso, nos encontramos ante el tratamiento de un dato adicional que pertenece a las categorías especiales de datos del artículo 9 del RGPD, cuyo tratamiento, en principio, está prohibido, salvo que concurra alguna de las excepciones establecidas en la normativa.

Todo ello ha suscitado, y con razón, una avalancha de dudas y consultas por parte de las empresas relativas al encuadre de esta nueva obligación en la normativa de protección de datos personales y las condiciones bajo las que debe realizarse este registro.

La Agencia Española de Protección de Datos (AEPD) ya se ha pronunciado al respecto y ha publicado tres nuevas preguntas y respuestas en sus FAQs con el objetivo de ayudar a las empresas en la implementación del sistema de registro de la jornada laboral, cuyas principales líneas exponemos a continuación:

¿Qué tipo de sistema pueden utilizar las empresas para el control del horario?
En principio, las empresas pueden utilizar cualquier sistema para el control de la jornada laboral de los empleados. Eso sí, se incide en que debe ser “el menos intrusivo posible”, lo que da a entender que se prefieren los sistemas manuales a aquellos que involucran tecnologías biométricas.

¿Se debe pedir el consentimiento de los trabajadores para la implantación de estos sistemas e informarles sobre la nueva medida de control?

El registro de la jornada laboral de los trabajadores no precisa el consentimiento de éstos. Este tratamiento de sus datos se encuentra legitimado bajo la letra c) del artículo 6.1 del RGPD; esto es, la necesidad del tratamiento para cumplir con una obligación legal a la que la empresa se encuentra sujeta.

Ahora bien, la existencia de una base jurídica que legitime este tratamiento de datos no exime de la obligación de informar a los interesados sobre dicho tratamiento de conformidad con los artículos 12 y ss. del RGPD. De este modo, todas las empresas deberán informar a sus trabajadores sobre esta nueva medida de control mediante la puesta a disposición de un texto de información que contenga todos los extremos que prescribe el artículo 13 del RGPD.

¿Qué debo hacer si el registro lo gestiona un proveedor que tendrá acceso a dichos datos?

El proveedor del sistema de registro de la jornada que tenga acceso a los datos y, por tanto, los trate, se constituye como un encargado del tratamiento de dichos datos por cuenta de la empresa, siendo ésta la responsable de los mismos.