Control horario y protección de datos de los empleados
3 de junio de 2019
Control horario y protección de datos de los empleados
Legitimación y proporcionalidad del medio utilizado.
La nueva normativa relativa al control horario de los trabajadores ya es de obligado cumplimiento para todas las empresas. Pero ¿cómo afecta en la aplicación de la normativa de protección de datos?
Lo primero que consideramos necesario valorar en este sentido es la legitimación para el tratamiento de los datos de carácter personal obtenidos del control de la jornada laboral. El Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, incide en que siempre es necesario contar con una base legitimadora para el tratamiento. Estas bases legitimadoras serán las que permitan el tratamiento de datos, siendo el consentimiento del interesado una de ellas.
Pero, en el caso del control horario por parte de los empresarios, ¿sería el consentimiento del empleado la base legitimadora para el tratamiento de sus datos? En mi opinión, esta no sería la base indicada para el tratamiento de este tipo de datos, ya que el consentimiento se debe facilitar de manera expresa y libre. Es esta condición de libre la que nos indica que difícilmente un trabajador presta su consentimiento al empleador de manera libre, dada la posición de dominancia del empresario. Además, se puede dar la circunstancia de que el empleado no consienta al tratamiento y por tanto, en tal caso, el empleador no podrá tratar los datos para dicha finalidad. Así, debemos acudir a otra base legitimadora y esta no es más que el cumplimiento de las obligaciones legales del responsable, es decir, el cumplimiento de las obligaciones de la empresa respecto al estatuto de los trabajadores.
Volviendo a la nueva normativa del control horario, esta se limita a indicar que es obligatorio controlar el horario de los trabajadores, sin indicar los medios por los cuales debe realizarse dicho control. En este sentido, son muchas las empresas que se decantan por sistemas de control seguros como el control mediante huella dactilar o el control mediante otros dispositivos de reconocimiento (iris, facial, etc.), mientras que otras optan por controles más rudimentarios como las tarjetas de fichaje.
En este sentido, las empresas que pretenden implantar sistemas que sean seguros para poder realizar un control efectivo de las horas extraordinarias, se pueden encontrar con la problemática de que el medio utilizado para dicho control puede considerarse desproporcionado para el fin que se persigue.
Y es que la normativa de protección de datos indica en sus principios generales que los datos deben ser tratados de manera proporcionada, utilizando medios lo menos intrusivos posibles. Además, el RGPD considera que los datos biométricos son datos que deben considerarse como categorías especiales de datos.
Esta categoría especial de datos requiere un tratamiento con unas medidas concretas mucho más estricta que el tratamiento de otro tipo de datos. El RGPD establece que dicho tratamiento de datos está prohibido salvo las excepciones indicadas en su artículo 9.2. La primera excepción es que el responsable cuente con el consentimiento expreso del titular de los datos, pero ya hemos visto con anterioridad que el consentimiento no es la base legitimadora adecuada para este tratamiento. Sin embargo, la segunda excepción (9.2.b) establece que sí es posible su tratamiento cuando “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social”.
¿Podríamos, por tanto, interpretar que el empresario puede tratar datos biométricos de los empleados para el control laboral en cumplimiento de estas obligaciones?
En mi opinión, conviene realizar un análisis de los medios utilizados para el fin perseguido, por lo que establecer de manera categórica que el empresario sí puede hacer uso de esta tipología de datos para el control horario resulta algo excesivo.
Sin embargo, realizando una evaluación de impacto sobre este tratamiento de datos con esta finalidad y siendo los responsables capaces de argumentar que la medida utilizada para el control está proporcionada, dado que es la medida más adecuada para evitar los fraudes por parte de los empleados en el registro de su jornada laboral, considero que sí podría justificarse su utilización. Para ello, en la evaluación de impacto a realizar, debería tenerse en cuenta que el uso de otros medios provoca fraudes en la gestión y por tanto no son medios adecuados para la finalidad perseguida. También que, obviamente, los datos biométricos son tratados exclusivamente para dicha finalidad, almacenándose de forma segura y asegurando la confidencialidad de los mismos, así como la supresión de estos una vez finalizada la relación contractual laboral.