El pasado mes de marzo el Gobierno aprobó el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. Una de las modificaciones introducidas afectó al artículo 34 del Texto Refundido de la Ley del Estatuto de los Trabajadores, modificando el apartado 4 y añadiendo un nuevo apartado 9, en que se establece la obligación para las empresas de la llevanza de un registro diario de la jornada de trabajo, que debe incluir el inicio y finalización de la jornada de trabajo.
Esta nueva obligación, de aplicación desde el pasado día 12 de mayo de 2019 en empresas y trabajadores autónomos con empleados a su cargo, tiene una afectación en su sistema de gestión de la privacidad, con la necesidad de una revisión del Registro de Actividades de Tratamiento para la incorporación de este nuevo tratamiento.
En este punto nos podremos encontrar con que el Registro de la Jornada Laboral como tratamiento para dar cumplimiento al RDL 8/2019 se efectúe a través de simples registros llevados de forma manual, o que la empresa decida implantar un sistema técnico que recabe datos biométricos para recoger los fichajes de los empleados. En este supuesto, sería obligación afrontar una Evaluación de Impacto (EIPD/DPIA) respecto del tratamiento, dado que estaríamos ante un tratamiento de datos especiales, y la recogida del consentimiento expreso de los trabajadores.
Para la implantación de este tipo de sistemas, no es necesario contar con el consentimiento del empleado, puesto que la legitimación viene dada por el cumplimiento de la norma laboral (el mencionado artículo 34.9 ET), de acuerdo con lo previsto por el artículo 6.1.c del RGPD. Lo cual no significa que la empresa no deba informar a los trabajadores de la existencia del registro y la finalidad del tratamiento. Y aunque no debería ser necesario a estas alturas ya, nunca está de más recordar que debe respetarse escrupulosamente el principio de minimización de los datos recogido por el artículo 5 RGPD, que obliga al Responsable del Tratamiento a recabar únicamente aquellos datos que precisa para el fin.
Cuando la empresa decida contar con un proveedor externo para el control de la jornada laboral de sus empleados, en el plano de la protección de datos éste será considerado Encargado del Tratamiento y debe, por tanto, firmarse un contrato de encargado que responda a los requisitos del artículo 28 RGPD.
El plazo de conservación de los datos para esta nueva actividad de tratamiento se establece en 4 años, transcurrido el cual el Responsable deberá proceder a la correcta eliminación de forma segura de aquellos registros cuya obligación de conservación y custodia haya expirado. Debemos establecer un mecanismo que nos permita bloquear los datos de empleados que causen baja en la empresa hasta el vencimiento de este plazo, puesto que es obligación tener a disposición de los propios trabajadores, sus representantes legales y la Inspección de Trabajo y Seguridad Social estos registros si somos requeridos para ello.
Por otro lado, no debemos olvidar realizar un análisis de riesgos o modificar el que ya tenemos elaborado sobre nuestros tratamientos para incluir el registro de la jornada laboral, y aplicar en consecuencia las medidas de seguridad oportunas al mismo.
Todo lo dicho, claro está, salvo mejor opinión.
Editado el 16.05.2019. Mi agradecimiento por sus comentarios a Ramón Villot y Pablo Aguilera.