Story Transcript
Sr. Don ……………………………… Jefe de Personal. Dpto. RRHH
RESOLUCIÓN DE CONSULTA
PLANTEAMIENTO DE LA CONSULTA
XXXXXXXXXXXXXXXXXX S.L., a los efectos de un mayor control de la asistencia y puntualidad de sus trabajadores, desea implanter un sistema de control horario basado en la huella digital de los trabajadores. Se me plantea por parte de la empresa si es correcto, de acuerdo con la normativa vigente en materia de protección de datos de carácter personal, la implantación de ese sistema de control horarios; si se necesita del consentimiento de los trabajadores para el tratamiento de la huella y las consecuencias que su implantación desde la perspectiva de la LOPD.
RESPUESTA
La finalidad del sistema propuesto es el control del cumplimiento por parte de los trabajadores de la empresa de su horario de trabajo.
De acuerdo con lo previsto en el artículo 20.3 del Estatuto de los Trabajadores,
www.privacidadlogica.com
El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.
Por tanto, el establecimiento de un sistema de control del cumplimiento horario de la jornada de trabajo estará dentro del ámbito de aplicación del precepto trascrito.
El que dicho control se lleve a cabo mediante la captación de un dato biométrico como es la huella digital, que tiene la consideración de dato de carácter personal, está legitimado por el propio Tribunal Supremo, que en relación con un sistema de control horario basado en la lectura biométrica de la mano por un escáner implantado por la Comunidad Autónoma de Cantabria, en sentencia de fecha 2 de julio de 2007 dictada por la sección 7ª de la Sala Tercera, considera que es un tratamiento del dato adecuado, pertinente y no excesivo para la finalidad perseguida con su implantación:
La captación por infrarrojos de una imagen tridimensional de la mano que acaba convertida en un registro de nueve bytes válido para, mediante tratamiento informático que lo relaciona con otros datos, identificar a los empleados públicos del Gobierno de Cantabria y así controlar el cumplimiento del horario de trabajo, no responde al patrón de las intromisiones ilegítimas en la esfera de la intimidad, tanto por la parte del cuerpo utilizada, como por las condiciones en que se usa.
Desde luego, la finalidad perseguida mediante su utilización es plenamente legítima: el control del cumplimiento del horario de trabajo al que vienen obligados los empleados públicos. Y, en tanto esa obligación es inherente a la relación que une a estos con la Administración Autonómica, no es necesario obtener previamente su consentimiento ya que el artículo 6.2 de la Ley Orgánica 15/1999 EDL 1999/63731 lo excluye en estos casos. Además, no parece que la toma, en las condiciones expuestas, de una imagen de la mano incumpla las exigencias de su artículo 4.1 EDL 1999/63731 . Por el contrario, puede considerarse adecuada, pertinente y no excesiva.
www.privacidadlogica.com
A mayor abundamiento, decir que esta sentencia es recogida como parte de la fundamentación de resoluciones e informes jurídicos de la Agencia Española de Protección de Datos que versan sobre sistemas de control horario basados en datos biométricos.
Los párrafos trascritos de la sentencia citada resuelven ya otra de las cuestiones planteadas: no se necesita del consentimiento de los trabajadores para el tratamiento de su huella por el sistema de control horario. Así, la propia Agencia Española de Protección de Datos en su informe sobre tratamiento de la huella digital afirma que no será necesario ese consentimiento por cuanto el tratamiento para una finalidad legítima se da en el curso de una relación laboral, supuesto recogido en el artículo 6.2 LOPD como una de las excepciones a la necesidad de contar con el consentimiento del trabajador.
En cuanto a la posibilidad de que las huellas sean tratadas sin consentimiento del interesado, y teniendo en cuenta que el tratamiento trae su origen, precisamente de la necesidad de asegurar el debido cumplimiento de las obligaciones derivadas de la relación estatutaria que vincula al funcionario con la Administración, será posible el tratamiento inconsentido, ya que el artículo 6.2 de la LOPD prevé que no será preciso el consentimiento cuando los datos “se refieran a las partes de un contrato o precontrato de una relación laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”.
Por tanto, la negativa del trabajador al tratamiento de su huella digital por el sistema de control horario que desea establecer la empresa podrá ser calificada como injustificada, acarreando las consecuencias previstas en en la legislación laboral, de lo que deberá ser oportunamente advertido.
Ahora bien, como hemos dicho, la huella digital es un dato personal de carácter biométrico, su tratamiento está sometido al cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, lo que obliga a realizar ciertas actuaciones PREVIAS a la implantación del sistema, que paso a enunciar a continuación.
www.privacidadlogica.com
1.- Declaración de un nuevo fichero de datos de carácter personal o inclusión del tratamiento en uno preexistente con modificación de la estructura del mismo.
En su momento, cuando se crearon y notificaron los ficheros de datos de carácter personal de la empresa, en el denominado RECURSOS HUMANOS se establecieron como finalidades del mismo las siguientes:
RECURSOS HUMANOS. GESTION NOMINAS. FORMACION. UNIFORMES. PREVENCION RIESGOS LABORALES. CUMPLIMIENTO OBLIGACIONES FISCALES, SOCIALES Y PREVISTAS EN ESTATUTO TRABAJADORES. INFORMES ESTADISTICOS PARA GESTION. HISTORICO LABORAL. CURRICULA EMPLEADOS. CONTROL HORARIO.
Por tanto, estando incluida la finalidad pretendida con el nuevo sistema entre las declaradas ante la Agencia Española de Protección de Datos no es necesario crear y notificar un nuevo fichero.
Además, en el detalle de las categorías de datos de carácter personal contenidos en el fichero, en el apartado “datos identificativos” se marcó firma/huella, por lo que tampoco será necesario modificar en este sentido el fichero.
2.- Reflejo del nuevo sistema en el documento de seguridad de la empresa.
De acuerdo con el apartado 7º del artículo 88 del Reglamento de Desarrollo de la LOPD 7. El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se
www.privacidadlogica.com
entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
Por tanto, deberá incluirse en el documento de seguridad de la empresa este nuevo tratamiento, recogiendo en el mismo todos los aspectos previstos en la LOPD y en su norma de desarrollo, para lo que será necesario la celebración de reunión (presencial o virtual) con el abogado de la empresa y responsables del sistema.
Con independencia de la concreción que se haga en la referida reunión, adelantar que el nivel de medidas de seguridad que se deberán aplicar al proceso son las correspondientes al nivel básico, con independencia de que el fichero de RECURSOS HUMANOS, con carácter general, esté declarado como de nivel alto, dado que se permite aplicar, dentro de un mismo fichero, medidas de seguridad de nivel inferior a procesos o tratamientos segregados.
3.- Debe informarse a los trabajadores de la intención de implantar este sistema, su funcionamiento, la fecha de comienzo de su uso, cuando se va a recoger la huella para incluirla en el sistema y las consecuencias jurídicas derivadas del mismo para los trabajadores, con el contenido y forma al efecto previsto en la legislación laboral vigente, lo que deberá establecer el asesor jurídico en material laboral de la empresa.
Cabe no olvidar que la normativa laboral, además de la información personalizada a los trabajadores de la que deberá quedar la adecuada constancia, exige comunicación a los representantes de los trabajadores, en tanto que el artículo 64.1 ET dispone que “El comité de empresa tendrá derecho a ser informado y consultado por el empresario sobre aquellas cuestiones que puedan afectar a los trabajadores…” y en el punto 5 que “ El comité de empresa tendrá derecho a emitir informe, con carácter previo a la ejecución por parte del empresario de las decisiones adoptadas por éste, sobre las siguientes cuestiones: f) La implantación y revisión de sistemas de organización y control del trabajo, estudios de tiempos, establecimiento de sistemas de primas e incentivos y valoración de puestos de trabajo.”
www.privacidadlogica.com
Muy importante recalcar que esta obligación se debe cumplir con CARÁCTER PREVIO a la instalación del sistema y de forma que resulte trazable, es decir, que permita la constatación de su cumplimiento.
4.- Amén de la información que deba facilitarse a los trabajadores conforme a la legislación laboral, y también con CARÁCTER PREVIO a la puesta en funcionamiento del sistema, debe darse cumplimiento también, de forma trazable, a la obligación informativa específica prevista en el artículo 5.1 de la LOPD, que obliga a participar al interesado, en este caso el trabajador, y a sus representantes legales, las siguientes cuestiones:
Artículo 5. Derecho de información en la recogida de datos
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
MUY IMPORTANTE: debe tenerse en cuenta que esta obligación debe observarse no solo frente a los trabajadores actualmente en plantilla, sino también frente a los que se contrate en el futuro, por lo que deberá preverse la incorporación de la cláusula informativa a los contratos de trabajo o bien firmarse como documento anejo al mismo.
www.privacidadlogica.com
Entendemos que lo práctico será unificar documento informativo que contenga los puntos 3 y 4, pudiendo realizarse su redacción la reunión propuesta, si bien como punto de partida, y desde el punto de vista de la LOPD, la redacción podría tener la siguiente estructura, teniendo en cuenta las adaptaciones que sean necesarias para nuevas contrataciones:
INFORMACIÓN SOBRE SISTEMA DE CONTROL HORARIO BASADO EN HUELLA DIGITAL
En cumplimiento de lo previsto en los artículos … de (normativa laboral) y 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, la empresa, XXXXXXXXXXXXX S.L. pone en su conocimiento los siguientes extremos:
Al amparo del apartado 3º del artículo 20 del Estatuto de los trabajadores, es intención de la empresa implantar un sistema de control horario basado en la captación de la huella digital del trabajador para el control empresarial del cumplimiento horario de la jornada laboral por parte de los trabajadores de esta empresa. El funcionamiento de dicho sistema es el siguiente (breve descripción técnica e inclusión de los momentos en los que el trabajador deberá pasar el control de huella) Incluir cuando y cómo se van a recoger las huellas. Incluir las consecuencias desde el punto de vista laboral de los incumplimientos de la jornada laboral detectados por el sistema. El sistema estará operativo a partir del día…, inclusive, siendo obligatorio por tanto desde ese momento para todo trabajador de la empresa someterse al mismo. De acuerdo con la sentencia de fecha 2 de julio de 2007 dictada por la sección 7ª de la Sala Tercera se le informa que la empresa no necesita recabar el consentimiento individualizado de cada trabajador para recoger y tratar su huella digital para la finalidad descrita, siendo por tanto obligatorio para el trabajador facilitar. En caso de negativa ello supondrá ….. Los datos personales recabados por el sistema de control horario se incorporarán al fichero de datos de carácter personal que con la denominación RECURSOS HUMANOS tiene
www.privacidadlogica.com
debidamente inscrito la empresa en el Registro General de datos personales de la Agencia Española de Datos Personales con el código ……………, del que es responsable XXXXXXXXXXXXXX S.L., titular del CIF… y con domicilio social en ………….., en el que podrá ejercitar los derechos que se le reconocen en la citada Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, dirigiéndose al departamento de recursos humanos.
…………., … de …. de 201..
Obra registrada en Safe Creative, Registro de Propiedad Intelectual
www.privacidadlogica.com