Como consecuencia de la nueva normativa relativa al control horario de los trabajadores, surge la duda de cómo afecta esta nueva regulación a la protección de los datos de carácter personal de los empleados.
Para realizar cualquier tratamiento de datos de carácter personal es necesario contar con una base de legitimación que permita la ejecución del mismo, tal y como establece el Reglamento General de Protección de Datos (en adelante, “RGPD”) y la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (en adelante, “LOPDGDD”).
En este supuesto, en principio, la base legitimadora del tratamiento podría ser más de una, por un lado, podría hacerse referencia al consentimiento del empleado y, por otro, a las obligaciones legales de la compañía. Pero si estas bases de legitimación se analizan detenidamente, se puede observar que la configuración del consentimiento no permite hacer alusión a la misma, ya que el consentimiento, según el RGPD, debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca. En este caso, el adjetivo “libre” entra en colisión con la posición que tiene el empleado frente al empleador, por lo que la base de legitimación que justifica el tratamiento de datos de carácter personal en el registro de la jornada laboral es el cumplimiento de las obligaciones legales del empresario. Además, si el trabajador se negase a que sus datos fuesen objeto del tratamiento solamente podría llevarse a cabo a través de la última base de legitimación mencionada.
Tal y como analizamos en el post anterior sobre el registro de jornada, la nueva normativa solo hace referencia a la necesidad de establecer el control horario de los trabajadores, pero no especifica los medios a través de los cuales debe llevarse a cabo el mismo. El hecho de dejar un amplio margen de discrecionalidad implica que las empresas puedan optar por diversos métodos de control horario, entre los que quizás destacan, por ser más fiables o seguros, aquellos que utilizan el reconocimiento facial o la huella dactilar, pero también son bastante usuales los que utilizan tarjetas para fichar.
En los métodos de control podemos encontrar la principal problemática en relación con la protección de los datos, ya que, por ejemplo, habrá algunos que usen datos biométricos, considerados por el RGPD como una categoría especial de datos. El RGPD, concretamente en su artículo 9, establece la prohibición de tratar este tipo de datos, salvo en determinadas excepciones recogidas en el apartado 2 de dicho artículo.
La segunda excepción justificaría la utilización de datos de categoría especial en el control horario de una empresa, ya que enuncia lo siguiente:“el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así́ lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.
Ello, siempre que se demuestre que la medida es proporcional al fin perseguido y necesaria para evitar las simulaciones de los empleados en el registro de su jornada, garantizando que dichos datos de categoría especial son tratados con una única finalidad, el control horario, y que se conservan y se suprimen siguiendo los procedimientos establecidos, guardando una diligente confidencialidad de los mismos durante todo el proceso.
Otra cuestión más particular, que también suscita debate en este sector de actuación, es el hecho de si las empresas pueden establecer como obligación que los trabajadores deban instalar una “app” para controlar su jornada de trabajo. Aplicaciones que, en algunos casos, el trabajador debe instalarlas en su móvil personal.
Aquí podemos traer a colación el llamado Bring Your Own Device (en adelante, “BYOD”), es decir, el uso por parte de los trabajadores de los dispositivos personales para un fin profesional o mixto.
Este fenómeno afecta directamente al derecho a la desconexión digital, a la protección de datos, a la intimidad, etc. En la legislación española no se determina la necesidad u obligación del trabajador de tener un dispositivo para uso meramente profesional, pero se ha intentado limitar este fenómeno mediante la introducción en el catálogo de derechos digitales del ya citado derecho a la desconexión digital.
En esta línea es interesante mencionar la sentencia de la Audiencia Nacional que no permitió queTelepizzaobligara a sus trabajadores que ostentaban la categoría de repartidor, a instalar un sistema de geolocalización en su móvil personal para utilizarlo durante la jornada de trabajo.
En tal sentido, declararon nulas las cláusulas de los contratos que exigían la aportación del teléfono móvil del trabajador en beneficio de la empresa.
La argumentación de la sentencia expone que este proyecto denominado “ProyectoTracker” suponía un manifiesto abuso de derecho empresarial, no respetaba el derecho a la privacidad de los trabajadores por cuanto que no superaba el juicio de proporcionalidad y, finalmente, suponía la creación de un régimen disciplinario al margen del convenio colectivo aplicable.