Más allá de la novedad que supone la obligación de registrar la jornada de trabajo desde el pasado 12 de mayo y las numerosas dudas que han surgido en torno a su alcance, un aspecto estrechamente conectado y que no conviene desconocer es el necesario respeto al derecho a la protección de datos. No en vano tanto los datos almacenados en los dispositivos de control como los generados por los mismos constituyen datos personales en la acepción del artículo 4 del Reglamento 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -en adelante RGPD-.
De conformidad con ello, sea a través de las hojas de firma de toda la vida o de sistemas de control más sofisticados, basados en la huella digital o un software de reconocimiento facial, la recogida y almacenamiento de datos relativos al cumplimiento de la jornada tiene que someterse a las condiciones y garantías que establecen el RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales –en adelante LOPDP-.Al igual que habrá que atender a esas mismas normas cuando el dispositivo permita además ubicar al trabajador durante la jornada de trabajo. Piénsese en los supuestos en que la falta de proximidad puede propiciar cierta relajación en el cumplimiento del horario, como, por ejemplo, los trabajadores móviles o a distancia.
Partiendo de lo anterior, lo primero que hay que señalar es que para realizar este tratamiento en principio no será necesario el consentimiento del trabajador. Antes del RD-Ley 8/2019 el contrato de trabajo constituía ya un fundamento jurídico suficiente, en la medida en que el empresario quisiera verificar el cumplimiento de la jornada-art. 6.1.b) RGPD-. Pero ahora cabe apelar también al cumplimiento de la obligación legal –art. 6.1.c) RGPD-. Dos bases de legitimación distintas que, no obstante, a menudo se entrecruzan, toda vez que el registro puede servir para dar cumplimiento a lo dispuesto en el art. 34.9 ET y a la vez verificar eventuales incumplimientos de la jornada laboral por parte del trabajador –art. 20.3 ET-.
Dicho esto, una consideración especial merece el registro de la jornada de los trabajadores de una empresa contratista, cuando para ello se utilicen los dispositivos de control de acceso de la empresa principal. Porque esta posibilidad, que aparece en la Guía del Ministerio sobre el Registro de Jornada, comporta la intervención de un tercero en la ecuación, aspecto que no conviene pasar por alto. Desde el punto de vista del principio de finalidad no parece haber mayor problema en que la información resultante de los tornos de entrada sirva también para registrar la jornada de determinados trabajadores, dado que el art. 5.1.b) RGPD no se opone a que los datos sean recogidos para distintos fines, siempre y cuando, eso sí, se haya informado al trabajador. Ahora bien, cuál es el título que legitima al empresario principal para registrar y comunicar esos datos. No puede apelar a lo dispuesto en el art. 34.9 ET, dado que no es el destinatario de esa obligación legal. Y tampoco puede ampararse en el cumplimiento del contrato de trabajo, pues no es parte. Razón por la cual, hay que barajar otras alternativas. Primero, el empresario principal podría solicitar el consentimiento al trabajador -art. 6.1.a) RGPD-. Un título de legitimación que, aunque se considere excepcional en el ámbito laboral, en este caso estaría plenamente justificado, toda vez que la comunicación de esos datos al empresario contratista va dirigida a facilitar el cumplimiento de una obligación laboral. Segundo, cabría apelar al interés legítimo de un tercero, el empresario contratista, algo que en este caso parece fuera de toda discusión, desde el momento en que se pretende satisfacer el cumplimiento de una obligación legal y que el tratamiento va dirigido a velar por los derechos del interesado –art. 6.1.f) RGPD-.
Una segunda exigencia nace del principio de “minimización”, según el cual los datos que se registren serán los estrictamente necesarios –art. 5.1.b) RGPD-. Partiendo de lo anterior, a afectos de registro de jornada, la huella digital debería sustituirse por un algoritmo numérico, dado que así no hará falta almacenar un dato biométrico. Al igual que tampoco debería almacenarse la imagen del iris, pues, como es sabido, puede revelar el consumo de estupefacientes o el padecimiento de enfermedades. Por el contrario, sí parece justificado que, junto a la hora de entrada y salida, figure el motivo de la ausencia o retraso, toda vez que no cabe establecer una equivalencia absoluta entre presencia o ausencia del centro de trabajo y trabajo efectivo o tiempo de no trabajo. Es precisamente esa información añadida la que permitirá en muchos casos satisfacer el fin declarado. De ahí que en el registro puedan figurar motivos tales como “pausa del bocadillo”, almuerzo, baja por enfermedad, reconocimiento médico, reunión sindical o del comité de empresa, dado que, como se ha dicho, dependiendo del motivo de la ausencia, se computa o no a efectos de los límites de jornada y, desde otra perspectiva, la ausencia se reputa justificada o no, a efectos de sanción o de la extinción del contrato. En cambio, no deberían constar la concreta dolencia o enfermedad que motiva la ausencia o el retraso ni la afiliación sindical del trabajador, pues esos datos no son estrictamente necesarios para ninguno de los fines declarados. Máxime si se tiene en cuenta que son lo que anteriormente se denominaban “datos sensibles” y ahora el RGPD configura como categorías especiales de datos.
Pero además, el trabajador tiene que ser informado con carácter previo de la existencia del registro de jornada. Es decir, no basta con negociar y, en su caso, acordar con los representantes de los trabajadores el procedimiento de llevanza del registro horario, sino que en el momento de implementarse la medida el empleador tendrá que informar a los propios empleados en los términos estrictos que impone la normativa de protección de datos personales. El trabajador tiene derecho a saber, por ejemplo, si los datos que obtiene la empresa en los controles de acceso al centro de trabajo o en determinadas áreas reservadas de éste se conservan únicamente por motivos de seguridad o también sirven para controlar su jornada de trabajo, así como durante cuánto tiempo se va a conservar esa información. Del mismo modo que si el dispositivo permite geolocalizar al trabajador tiene que conocerlo previamente –art. 90 LOPD-. Por otra parte, si quien recaba los datos es la empresa principal, el deber de información es doble. Tendrán que informar al trabajador, tanto el empresario principal, en los términos del art. 13 RGPD, como el empresario contratista, de acuerdo con lo dispuesto en el art. 14 RGPD, dado que los datos no se han obtenido del trabajador.
Finalmente, los datos resultantes de ese registro de jornada tendrán que suprimirse una vez que hayan dejado de ser necesarios para la finalidad para la que se recabaron. A priori cabría pensar que ese momento coincide con la finalización de la relación laboral, sin embargo, el propio art. 34.9 ET ha venido a establecer el plazo de conservación de esos datos, en concreto cuatro años. Por consiguiente, el trabajador puede solicitar que se supriman incluso antes de que se extinga el contrato de trabajo, si se ha superado dicho plazo. Mientras que el empleador puede apelar al art. 17.3.b) RGPD para mantener en su registro esos concretos datos después de finalizada la relación laboral, si aun no han transcurrido los cuatro años. Por su parte, el empresario principal, cuando sea además el encargado de recabar los datos de los trabajadores de la empresa contratista, tendrá que suprimir esos registros a partir del momento en que finaliza la contrata, salvo, claro está, que hubiera otra previsión legal que imponga la conservación de los datos, como, por ejemplo, razones de seguridad en infraestructuras críticas, en cuyo caso habrá que estar a la normativa legal aplicable.
Para concluir, estamos ante una derivada más del deber de registrar la jornada de trabajo, por lo que en principio debería formar parte del proceso de negociación o consulta que el art.38.9 del Estatuto de los Trabajadores impone en materia de llevanza del registro. Máxime si se tiene en cuenta que el art. 91 LOPDP realiza un llamamiento a la negociación colectiva para establecer garantías adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación