Contenido del artículo
ToggleClaves para tratar los datos de tus empleados y adaptarse a los requerimientos RGPD
El pasado 12 de mayo entró en vigor la normativa sobre el registro de horario en las empresas y mientras todas ellas estaban preocupadas en cómo adaptarse a la gran novedad, se olvidaban en cómo cumplirla sin saltarse los requerimientos del RGPD.
Ebook Control Horario
Datos personales y registro horario
- Depende del sistema implantado para la recogida de los datos del inicio y fin de la jornada laboral. Es posible, que se incluyan datos personales de los trabajadores. Por ejemplo, ese puede ser el caso si se utiliza un sistema biométrico para registrar la jornada a través de la huella dactilar o una aplicación que incluye la localización para realizar el registro horario.
- La empresa debe conservar dichos registros durante 4 años y tienen que estar a disposición de los propios trabajadores, el comité de empresa, en caso de haberlo, y de la Inspección de Trabajo.
- Se trata de datos personales porque implica identificar a una persona concreta y situarla en un lugar determinado, independientemente de cómo se lleve a cabo este registro. La empresa tienen la legitimización necesaria para el tratamiento, al tener que cumplir con una obligación legal.
- Si se delega en una tercera empresa a la que se encomendara la realización de este registro, como podría ocurrir en el caso de una aplicación web, ésta sería considerada como la encargada del tratamiento y tendría que cumplir con sus obligaciones en protección de datos. En todo caso, tendrá que incluir este registro en su análisis de riesgos y la evalución de impacto con el sistema elegido para la recogida de los datos.
RGPD, huella dactilar y geolocalización
Si la empresa decide optar por un sistema de registro que utilice la huella para el registro de las entradas y salidas de sus empleados, hay que tener en cuenta que el RGPD ya incluyó los datos biométricos como una categoría de datos de especial protección. Esto necesariamente tiene una serie de consecuencias a la hora de llevar el registro horario:
- Debe informar a los trabajadores. Como medida de control, (artículo 20 del E.T.), no necesita consentimiento del trabajador.
- Realizar una evaluación de impacto sobre estos datos.
- Realizar un registro de actividades de tratamiento.
Antes de implantar cualquier sistema, es muy importante, saber si el aparato biométrico instalado en la empresa cumple o no con el RGPD, cómo se controla, dónde se almacenan las huellas o si estos datos pueden sufrir un incidente de seguridad.
Lo mismo pasaría en las aplicaciones que registran la localización del empleado cuando marca la entrada o la salida. En este caso, hay que asegurarse de que estas empresas, operan que operan en la nube, cumplen con todos los requisitos de protección de datos.
Principio de necesidad, idoneidad y proporcionalidad
- Las empresas necesitan recoger estos datos personales para cumplir una obligación legal. No se establece la obligación de hacerlo por un método concreto, así que cada empresa puede hacerlo con el que considere más adecuado. Aunque surgen dudas respecto al principio de proporcionalidad.
- ¿Es necesario utilizar la huella dactilar para asegurar que se realiza el registro? No, hay otros métodos, como el uso de una contraseña o una tarjeta personal.
- La huella dactilar es el único método que nos puede asegurar que el registro lo está realizando el propio empleado, pero para implantarlo quizás la empresa tendría que demostrar de forma fehaciente que el uso del PIN o de una tarjeta personal para dicho registro ha dado lugar a malas prácticas.
- La misma situación ocurre con la ubicación que no es imprescindible para el registro de jornada. Es verdad, que una completa información nos ayudará a situar al empleado en un lugar, pero no es imprescindible si ha cumplido con sus obligaciones.
No queremos olvidarnos, en aquellos casos en donde se utilizan elementos como memorias USB para recoger los datos de un centro de trabajo, es imprescindible que esta información esté cifrada. Si, por cualquier motivo, se pierde este dispositivo, algo que puede suceder, es necesario que su información no sea accesible.
Fuente: www.sage.com