CONTROL DE CUMPLIMIENTO DE HORARIO DEL TRABAJADOR. IMPLICACIONES LEGALES EN RELACIÓN CON LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES VS EL CONTROL DE LA ACTIVIDAD POR PARTE DEL EMPRESARIO
Acaba de entrar en vigor el Real Decreto Ley 8/2019 de 8 de marzo por el cual se exige a todas las empresas que lleven a cabo un control efectivo de las horas de trabajo llevadas a cabo por sus trabajadores y ha vuelto a reavivarse el debate de las implicaciones que esto puede suponer en varios frentes:
Por una parte, se entiende que el fundamento de esta norma radica en evitar que se realicen horas de trabajo que no sean abonadas, cotizadas, declaradas, etc, por parte del empresario. Se trata de hacer aflorar también, al menos en parte, la bolsa de horas extraordinarias que se estima que se trabajan y no se cotizan, y en algunos casos, ni se abonan.
Hasta aquí todo correcto. ¿Ahora bien, de qué manera se tendría que llevar a cabo? Según la propia norma e instrucciones de Inspección de Trabajo, puede seguir siendo válida la hoja de Excel donde cada trabajador va anotando las horas realizadas, ahora bien, tanto la hora de entrada, como la de salida, pausas que se realicen en cada caso, han de cumplimentares de manera efectiva por el trabajador. No sirven pues las plantillas de Excel donde se indica a cada trabajador su horario y éste simplemente firma ratificando que ese ha sido el horario efectivo de trabajo.
A partir de aquí han surgido un sinfín de aplicaciones , herramientas, utilidades y hardware dispuesto a “ayudar” al empresario en esta noble misión de reflejar de manera correcta el horario efectivo de trabajo desempeñado por cada trabajador a lo largo de la jornada:
Se han puesto en circulación aplicaciones sencillas que no son sino una plantilla de Excel mejor elaborada que permita al trabajador integrar su horario; también se han desarrollado aplicaciones móviles que se pueden instalar en el móvil de empresa del trabajador de manera que éste tenga siempre a mano la aplicación; también se han puesto en el mercado dispositivos que no sólo permiten llevar a cabo esta tarea, sino que también enlazan con el programa de gestión de nóminas y calculan automáticamente las horas trabajadas, cotizadas, salario devengado, etc.
Todo esto en un plano tecnológico más o menos “standard”
Pero también nos encontramos con aplicaciones que no sólo permiten esta tarea, sino que también geolocalizan al trabajador, de la misma forma que también se han popularizado sistemas de control de horario mediante “huella dactilar”.
¿Todas son buenas? ¿El planteamiento de “cuánto más avanzada tecnológicamente más efectiva será” nos va a servir como criterio?
La respuesta es NO
¿QUÉ OCURRE PARA QUE NO TODOS LOS SISTEMAS SEAN ADECUADOS?
- Por un lado, nos encontramos con que el art 24.1 del ET no es un derecho “absoluto” a ejercer por parte del empresario. Es evidente que el empresario ha de ejercer una labor de control de la actividad empresarial, y eso implica también que se tenga que involucrar en la tarea de controlar que los horarios establecidos por contrato se llevan a cabo de manera efectiva. Ahora bien, como en muchos otros aspectos de la normativa laboral, se ha de “ponderar”
- Por otro lado, hemos de tener en cuenta que muchos de los sistemas que han salido al mercado podrían ser considerados como “especialmente invasivos” si nos atenemos a la normativa de protección de datos personales.
- Por último, ¿qué medidas o prevenciones se han de observar? ¿Se le tiene que pedir permiso al trabajador para implantar estos sistemas? ¿Basta con informarles del objetivo de la medida?
En materia laboral podemos afirmar que la obligación de tener que cumplimentar y firmar las horas de trabajo que se realizan no es una cuestión que pertenezca al ámbito de la capacidad de control de la actividad por parte del empresario, ya que, aunque de facto sea una manera de hacerlo, viene impuesta por normativa y es algo que todo empresario ha de observar.
Ahora bien, también parece razonable pensar que no es lo mismo establecer un sistema de control horario donde el empresario facilite los medios al trabajador que un sistema donde sea el propio trabajador el que tenga que poner a disposición de la empresa sus propios medios para que se lleve a cabo. Nos estamos refiriendo, por ejemplo, a los sistemas que establezcan el control horario a través de aplicaciones móviles que se integran en un teléfono móvil: ¿Hasta qué punto el trabajador ha de poner a su disposición su propio terminal móvil?
Desde luego, si no aparece reflejado en la normativa ni convenio de referencia, en algunos sectores se podría discutir la medida, máxime si no proviene del acuerdo empresa-trabajador y además, que pudiera reflejar algún tipo de compensación, dado que el trabajador está ahorrando a la empresa la tarea y el desembolso de tener que facilitarle un móvil de empresa.
Por otra parte, en ocasiones, las aplicaciones pueden ir provistas de sistemas de geolocalización, lo que permitiría conocer la ubicación del trabajador además del control horario.
Existen algunos sectores donde es más habitual que la empresa facilite un terminal al trabajador (logística, reparto, representantes, comerciales, etc) pero en muchos otros ámbitos (la mayoría) no tendría sentido (trabajadores en fábricas de producción, administración, etc).
En este punto, podrá ser habitual observar cómo el empresario lleva a cabo diferentes métodos o implanta diferentes sistemas de control horario en función de las características de su empresa, dándose el caso de que combine un sistema de fichaje en el móvil del trabajador con geolocalización para trabajadores que han de salir del centro de trabajo junto con un sistema de control físico en el centro de trabajo para aquel colectivo de trabajadores que desempeñe sus funciones dentro del centro, por ejemplo, un control por huella dactilar. De esa forma, el comercial de la empresa fichará con huella cuando tenga que acudir al centro de trabajo y cumplimentará sus horas de trabajo efectivo desde la aplicación móvil cuando se encuentre trabajando fuera del centro.
¿Sería esta opción posible?
La respuesta a la pregunta tampoco puede ser un Sí o un No rotundo, ya que, ante todas estas opciones, el empresario debe llevar a cabo un estudio acerca de qué tipo de sistema es el más adecuado para su empresa o negocio.
La normativa, no sólo laboral, sino la que regula el tratamiento de datos personales nos va a obligar a llevar a cabo ese estudio:
Por una parte, en materia de protección de datos hemos de observar un principio, denominado “privacy by design” (privacidad desde el diseño) por el cual, debemos llevar a cabo un estudio sobre las implicaciones que todo nuevo proceso, línea de negocio, servicio, etc que vayamos a introducir en nuestra empresa pueda tener sobre la privacidad, en este caso, sobre la privacidad de los datos personales que tratamos de los trabajadores de la empresa.
En materia de protección de datos personales, el tratamiento que supone el cumplimiento del control horario por parte de los trabajadores constituiría un tratamiento de datos personales, que habrá de ser regulado y tratado por la empresa junto con el resto de tratamientos que pueda estar llevando a cabo (tratamiento de datos para la gestión de recursos humanos, clientes, videovigilancia, comunicaciones comerciales, etc).
Además, se articula como un principio básico el de procurar que los tratamientos de datos sean lo menos invasivos posibles para la privacidad de los interesados (usuarios, trabajadores, clientes, pacientes, etc).
Como tratamiento de datos, tendremos que documentar con qué base jurídica lo vamos a tratar, qué tipo de datos se van a ver afectados, si se van a comunicar o facilitar a terceros, qué medidas de seguridad se van a implementar para garantizar la integridad, disponibilidad y confidencialidad de los mismos, etc
Además, se tendrá que llevar a cabo un análisis de los riesgos que puedan sufrir, teniendo en cuenta diferentes factores como por ejemplo:
- Cantidad de personas que puedan verse afectadas
- Si el sistema puede implicar la monitorización de la actividad del trabajador
- Si el sistema implica el uso de técnicas de geolocalización
- Si el sistema emplea tecnología que trate datos biométricos (huella dactilar, control facial, iris del ojo, etc)
- Si el sistema implica que terceros ajenos a la empresa traten esos datos personales (si la empresa que implanta el sistema tiene acceso a los datos de las huellas de los trabajadores es diferente a que la empresa que implanta el sistema de huella dactilar utiliza un sistema por el cual asigna un código a la huella y sólo almacena el código, sin que se traten los datos de las huellas en un único instante, el necesario para generar el código inicial).
Si el nivel de las respuestas así nos lo indica, será necesario llevar a cabo un estudio más detallado donde no sólo se identifiquen los riesgos a los que se exponen los datos objeto de tratamiento, sino que también se aporten medidas de control que mitiguen o limiten estos riesgos, hasta dejarlos en un nivel tolerable para la empresa una vez se han puesto en práctica y evaluado su eficacia.
¿Cómo se traduce todo esto?
Simplificando la cuestión, lo que se debe plantear el empresario es lo siguiente:
- Qué opciones de control horario tengo a disposición y son asumibles técnica y económicamente por la empresa
- Entre las opciones anteriores, cuáles resultan menos invasivas, tanto a nivel laboral (control de la actividad del empresario) como a nivel de protección de datos personales.
- ¿He de contar con el consentimiento de los trabajadores? ¿Les he de informar?
El primer punto es básico: La empresa lo primero que va a valorar son los costes de las diferentes opciones y cómo se pueden implementar en la empresa.
Una vez se ha llevado a cabo este primer análisis, es posible que existan varias opciones, por lo que la empresa tendrá que realizar el estudio desde el punto de vista de privacidad y desde el punto de vista de la normativa laboral acerca de cuál puede resultar menos invasivo.
Cuando la empresa ha cumplido los dos primeros pasos se le va a plantear la duda acerca de si ha de contar con el consentimiento de los trabajadores para implantar el sistema o no:
La normativa de protección de datos separa claramente los supuestos en los cuales es necesario contar con el consentimiento del interesado para tratar sus datos personales y cuándo es necesario informarle:
En todos los casos siempre será necesario facilitar la información necesaria acerca de cómo se van a tratar sus datos personales, durante cuánto tiempo, si se van a facilitar los datos a terceros, cuáles son sus derechos en materia de privacidad, etc.
Sin embargo, no siempre es necesario contar con el consentimiento para poder tratarlos:
Ej: En el proceso de contratación laboral: Si no llevamos a cabo el tratamiento de datos del trabajador no podremos darle de alta en la seguridad social, abonarle la nómina, presentar el contrato en el SEPE, etc.. En estos casos, el tratamiento es necesario para el cumplimiento de un contrato entre las partes y para poder dar cumplimiento a las obligaciones legales derivadas de dicho contrato.
Porque en el caso contrario, si el trabajador nos tuviera que dar el consentimiento para ello y no nos lo diera….no se le podría contratar! De la misma forma, mientras el trabajador desempeña su trabajo bajo el contrato en cuestión, no podría revocar el consentimiento, porque implicaría la imposibilidad de poder seguir llevándolo a cabo.
Entendemos que en el mismo sentido opera el tratamiento de datos para el cumplimiento de la normativa de control horario: En un principio no es necesario el consentimiento del trabajador para tratar los datos, ya que existe una normativa que nos obliga a ello y además, porque, aún en el caso de que no existiera esta norma, en gran medida, podría estar amparado por la capacidad de control de la actividad por parte del empresario.
Ahora bien, hemos de tener en cuenta que, si el tratamiento implica que sea el propio trabajador el que ponga a disposición de su empresa sus propios medios (teléfono móvil) y no estuviera contemplado por su convenio de referencia, se tenga que contar con el consentimiento o acuerdo de los trabajadores para poder llevarlo a cabo, incluso contemplando una compensación por su aportación.
Esto nos lleva a otro aspecto a tener en cuenta: La LO 03/2018 de 5 de diciembre, de protección de datos personales y garantías digitales, establece un nuevo derecho que puede entrar en conflicto con el método o sistema que se quiera aplicar, en especial en estos casos donde es el trabajador el que aporta su propio terminal: El derecho de desconexión:
El derecho de desconexión es aquel por el cual el trabajador tendría derecho a no recibir instrucciones, mensajes, emails, etc fuera de su horario de trabajo, de manera que pueda “desconectar” de manera efectiva cuando finaliza su jornada laboral. Si bien no se ha desarrollado en detalle el contenido y alcance de este derecho, su mero reconocimiento provoca que se deba tener en cuenta a la hora de implantar un sistema de control horario que pueda implicar su vulneración.
Si integramos una aplicación en el propio terminal del trabajador tendremos que ser cuidadosos en cuanto a la manera en que trabaja (de qué manera se ha de cumplimentar, si es un sistema que va a emitir notificaciones push al trabajador a modo de recordatorios y estos se pueden hacer fuera del horario de trabajo, para que rellene datos que ha puesto, por ejemplo,….).
En conclusión:
Para poder aplicar de manera correcta la disposición que obliga a la empresa a llevar a cabo un control de las horas trabajadas por sus empleados, se ha de tener en cuenta que el sistema a emplear sea respetuoso con la normativa laboral y con la normativa en materia de protección de datos.
El hecho de que la empresa cumpla con la normativa de control horario implicará un nuevo tratamiento de datos por parte de la misma, de manera que tendrá que actualizar la documentación relativa protección de datos personales, analizar los riesgos a los que se ve expuesto, optando por la vía menos invasiva y en caso de optar por una vía que suponga riesgos para los derechos de los interesados, llevar a cabo una evaluación de impacto que consiga implementar medidas que mitiguen el riesgo o lo reduzcan a un nivel aceptable (dando cumplimiento además al principio de privacidad desde el diseño).
Por último, indicar que el sistema a emplear también habrá de ser respetuoso con el derecho de desconexión digital del trabajador.
Por Álvaro Orts Ferrer
Abogado ICAV | DPD externo