Hace una semanas, comentamos el cambio que suponía la LOPDGDD en relación a la desconexión laboral, y ahora tenemos entre manos el cambio normativo que introduce el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, en relación al control de la jornada laboral, y que por ende supone actualizar la documentación de protección de datos en los puntos que pasamos a comentar.
Contexto normativo
Este Real Decreto-Ley, viene a regular el registro de la jornada laboral, como medida para combatir la precariedad en el trabajo, ya que la realización de más horas de las pactadas en el contrato supone dos afectaciones: el salario y la dificultad de conciliar la vida personal. Asimismo, la creación de este registro asegura la conformidad de la normativa española con el ordenamiento europeo.
Exactamente este cambio normativo viene establecido en el artículo 10 del citado RDL, que modifica el texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre, a los efectos de garantizar el cumplimiento de los límites en materia de jornada, de crear un marco de seguridad jurídica tanto para las personas trabajadoras como para las empresas y de posibilitar el control por parte de la Inspección de Trabajo y Seguridad Social.
Principio de proactividad en acción
Para dar cumplimiento al principio de proactividad contemplado en el RGPD en su artículo 5, debemos llevar a cabo los cambios mencionados en relación al tratamiento de datos relacionado con el control de la jornada laboral, y ello comporta:
– Respecto al tratamiento de datos: Si es un nuevo tratamiento de datos habrá que crear un Registro de Actividad de Tratamiento nuevo, que registre este tratamiento o, si es un tratamiento ya existente, modificar los que ya teníamos de RRHH y añadir el control horario de los empleados.
En el caso de que se decida poner un control de acceso a través de huella dactilar, recordar que esta tipología de datos está dentro de la categoría de especialmente sensible y que por tanto recomendamos crear un nuevo tratamiento a parte del de empleados e informar al trabajador de dicho control de acceso mediante uso de dato biométrico.
– Respecto al análisis de riesgos: tendremos que modificar o hacer un análisis de riesgos sobre este tratamiento, y en consecuencia aplicar las medidas de seguridad correspondientes para salvaguardar estos datos.
– Modificación de los usuarios autorizados: Deberemos identificar quién tendrá acceso a esos datos, ya que sólo deberá hacerse por personal autorizado.
– Firma del contrato de encargado de tratamiento: Firmar con la empresa prestadora de este servicio (si lo hay) el contrato de ET. Por ejemplo, en el caso de acceso con huella dactilar, si éste se presta a través de un software de un tercero tendremos que firmar el contrato de prestación de servicio de encargado de tratamiento correspondiente.
– Cumplimiento del deber de información: Informar previamente a los empleados de este nuevo tratamiento, de cómo podrán ejercer sus derechos y tener en cuenta que, en los casos en los que el Software elegido sea una App y puedan aparecer datos de geolocalización (por ejemplo), también se deberá informar a los empleados de ello.
– Protocolización del procedimiento: Establecer un protocolo sencillo para facilitar al empleado una copia del cuadro mensual de las horas realizadas junto a su nómina, por ejemplo.
– Protocolo de conservación/supresión: El sistema de archivo de estos datos (si es automatizado o manual) debe tener algún sistema para que, una vez estos datos ya no sean necesarios y haya pasado el tiempo legalmente establecido (4 años, según lo que dice esta normativa), puedan suprimirse. Durante estos 4 años, deben estar a disposición de los organismos que lo soliciten, tal y como marca la modificación del artículo 34 del texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, añadiendo un nuevo apartado, el 9 con la siguiente redacción:
“…La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.”
Establecer un protocolo a seguir al producirse la baja del empleado que permita bloquear estos datos hasta que dicho plazo de vencimiento, de 4 años, llegue.
Aún tenemos tiempo de actualizarnos, dado que el cambio normativo entrará en vigor a partir del 12 de mayo. ¿Hablamos?