¿Vulnera la normativa de protección de datos utilizar un sistema de fichaje usando en la aplicación de una función numérica a cada empleado fundada en un algoritmo generado por su huella digital?
El tratamiento de la huella digital para el control de cumplimiento de la jornada laboral ha sido indirectamente considerada por la Audiencia Nacional en sentencia de 4 de marzo de 2010, considerando que en este caso no sería preciso contar con el consentimiento de los trabajadores, sin perjuicio del ineludible cumplimiento por parte del empresario del derecho de información.
En el presente caso, se indica que los sistemas no incorporarán el dato de la huella digital sino únicamente el relacionado con un identificador numérico obtenido a partir de la misma que se almacena en las tarjetas de proximidad de los empleados.
De este modo, en el momento de acceso al edificio se utilizarán por el empleado terminales en los que será necesario tanto la aproximación de la tarjeta como la lectura de la huella digital. Es decir, el lector generará el identificador numérico de la huella que habrá de corresponderse con el de la tarjeta, entendiéndose que se ha producido el acceso al puesto de trabajo como consecuencia de la coincidencia entre el identificador generado y el que consta en la huella.
¿Qué tipo de sistema pueden utilizar las empresas para el control horario?
La empresa podrá habilitar el sistema que considere más adecuado y por tanto, desde la perspectiva del derecho fundamental de la protección de datos, tendrían la misma base de legitimación y no precisarían el tratamiento consensuado con los trabajadores los sistemas manuales, analógicos o digitales al efecto de generar la correspondiente prueba justificativa del registro diario de la jornada de cada trabajador, que deberá estar a disposición tanto de los propios trabajadores como de la Inspección de Trabajo y los Representantes Legales de los Trabajadores y deberá almacenarse por un periodo de 4 años
¿Es necesario el consentimiento del trabajador para implantar un sistema de control horario? ¿Hay que informarle acerca de las medidas de control establecidas?
Con carácter general y para la implementación del registro de jornada no se precisa el consentimiento del trabajador, siendo base suficiente de legitimación la propia norma laboral, que en el artículo 34.9 ET establece la obligación de las empresas de realizar dicho registro de la jornada con carácter individual de cada persona trabajadora y que, de acuerdo con lo previsto en el artículo 6.1.c del Reglamento europeo 2016/679 (RGPD), el tratamiento de datos personales de los trabajadores derivado de la implantación del registro de jornada es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. No obstante lo anterior, la existencia de una lícita condición para el tratamiento de los datos de los empleados sin necesidad del consentimiento de los trabajadores no excluye el deber de las empresas de informar a los trabajadores de la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con dicho registro.
En el caso de que se trabaje con proveedores, ¿Cómo se establece esa relación para el control horario?
Las empresas que sean empleadores, con relación a sus trabajadores, actuarán como responsables del tratamiento de los datos obtenidos mientras que, en su caso, los proveedores externos de los sistemas de registro actuarán como entidades encargados del tratamiento, con las obligaciones que respectivamente para entidades responsables o entidades encargadas dispone la normativa de protección de datos. Para ello se deberá suscribir el correspondiente contrato de encargo con el contenido que contempla el art. 28 RG
Si quieres saber más puedes consultar la web de preguntas frecuentes de ámbito laboral de la AEPD.