El pasado 12 de marzo se publicó en el BOE el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo (Real Decreto). Este Real Decreto, en su artículo 10 modificó la Ley del Estatuto de los Trabajadores para establecer una obligación de registro de la jornada laboral. Dicho precepto entró en aplicación el pasado 12 de mayo. Adicionalmente, el Real Decreto modifica la Ley sobre Infracciones y Sanciones en el Orden Social para tipificar como infracciones graves las derivadas de incumplimientos relativos al registro.
No olvidemos que la mayoría de las empresas de nuestro país han invertido numerosos recursos en los últimos dos años para adaptar los tratamientos de datos que efectúan de sus empleados así como sus procedimientos internos a los requisitos establecidos por el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Datos Personales, en adelante, "RGPD").
Por ello, la pregunta que muchas empresas se están haciendo desde el 12 de mayo, después de haber superado en mayor o menor grado y con mayor o menor éxito la implementación del RGPD, es: ¿qué tenemos que hacer ahora con el registro diario de jornada? ¿Hay que volver a modificar clausulas o procesos?
Desafortunadamente la respuesta es sí. Sí que hay que hacer modificaciones. La implantación del nuevo registro es un nuevo tratamiento de datos personales y por tanto como cualquier otro nuevo tratamiento conlleva la necesidad de realizar una serie de acciones para seguir cumpliendo con el RGPD:
Las empresas deberán informar a los empleados de que sus datos van a ser tratados con la finalidad de realizar un registro de jornada. Para ello, se deberán modificar las políticas de privacidad de empleados y en el caso de que el tratamiento de los datos se encuentre regulado en los contratos de trabajo, deberán modificarse las cláusulas correspondientes.
No obstante, para evitar tener que modificar contratos en vigor se puede utilizar otro medio para notificar a la plantilla existente de este nuevo tratamiento y modificar las cláusulas contractuales solo de cara a futuro para nuevos empleados. En todo caso, las empresas pueden informar a los empleados de la manera que menos costes les suponga o más fácil sea de llevar a la práctica.
No es necesario el consentimiento de los empleados. Con independencia de los problemas que plantea la validez del consentimiento de los empleados, en este caso el tratamiento derivado de la implantación del registro está amparado por el cumplimiento de la obligación legal que establece el Real Decreto, lo que supone que es suficiente con la mera información de la existencia del mismo indicado anteriormente.
El registro debe incluir el horario concreto de inicio y finalización de la jornada de cada empleado por el mecanismo que cada empresa acuerde con los representantes de los trabajadores o en su defecto, el que decida el empresario, y que puede ser desde manual hasta biométrico. En todo caso, debe limitarse a los datos estrictamente necesarios para poder llevar el control de la jornada y cumplir así con el principio de minimización de datos del RGPD.
En el caso de usar datos biométricos (como el registro de huella o pupila), será necesario, como ha mencionado la Agencia Española de Protección de Datos, establecer determinadas garantías como podrían ser la autorización del cifrado o el almacenamiento de los datos biométricos en un dispositivo personal, no en un almacenamiento centralizado o en el sistema.
Las políticas de retención de datos deberán modificarse para incluir este nuevo tratamiento. El Real Decreto establece que la empresa conservará los registros a que se refiere este precepto durante 4 años y permanecerán a disposición de los trabajadores, sus representantes legales y de la Inspección de Trabajo y Seguridad Social. Transcurrido este plazo, los datos deberán suprimirse para no contravenir el RGPD.
Es muy importante asegurarse de que toda la información contenida en el registro se encuentra reflejada en todos los procedimientos internos creados al amparo del RGPD. Las empresas deberán asegurarse de que la información del registro es capturada por el procedimiento establecido, por ejemplo, para el ejercicio de derechos de los empleados, en políticas de seguridad y control de acceso, y en el registro de actividades de tratamiento.
¿Y cuál es el riesgo en caso de incumplimiento? En el supuesto de que haya un incumplimiento de la normativa de protección de datos, las empresas se podrían enfrentar a una sanción económica que, como ya sabemos, desde la entrada en vigor del RGPD, podría alcanzar unas cuantías muy elevadas en función del tipo y grado de infracción.
Entidades
