Las implicaciones en relación a la protección de datos con el nuevo registro horario en las empresas son varias. En este artículo veremos todos los pasos para cumplir con la actual legislación de protección de datos.
1. En primer lugar tenemos en el registro de actividades de tratamiento marcar efectivamente que uno de los fines de los datos de los trabajadores es el control horario. también tendremos que identificar la causa legitimadora, es decir buscar el por qué podemos tratar este tipo de datos.
2.-En segundo lugar tendremos que informar al trabajador mediante las cláusulas informándole que sus datos van a ser tratados para el control horario.
3.- Si hemos optado por un sistema de huella biométrica en este sentido tendremos que obtener el consentimiento expreso del trabajador ya que el nuevo reglamento general de protección de datos considera los datos biométricos como datos especiales que necesitan un refuerzo a la hora de poder tratar sus datos; y este refuerzo no es otro que obtener consentimiento expreso por parte de los trabajadores. Es decir que no sólo hay que informar. En cambio si utilizamos otros medios o menos invasivos ya pueden llegar a ser por ejemplo tarjetas o un registro físico o alguna aplicación informática en este sentido simplemente con el derecho de información sería suficiente.
4.- En relación a las medidas de seguridad si optamos por las huellas biométricas tendremos implementar unas medidas de seguridad más robustas para proteger esos datos; en este sentido haría falta que el acceso a ese Registro solo puedan acceder las personas que estén autorizadas por la dirección de la empresa por ejemplo el responsable de protección de datos o el responsable de recursos humanos.
El acceso a ese registro deberá estar protegido mediante usuario contraseña que dicha contraseña sea cambiada cada año como mínimo y que esos datos estén almacenados en un sistema de cifrado. Y registro solo puede realizarlo las personas que estén autorizadas por la dirección de la empresa por ejemplo el responsable de protección de datos o el responsable de recursos humanos. El acceso a ese registro deberá estar protegido mediante usuario y contraseña y que dicha contraseña sea cambiada al menos cada año como mínimo y que esos datos estén almacenados en un sistema de cifrado.
5.- Además para las empresas que opten por la huella biométrica tendrán que realizar el correspondiente PIA esto es, analizar la probabilidad de que determinadas amenazas puedan ocurrir y qué impacto tendrían esas amenazas en la organización.
Por ejemplo: Qué impacto puede ser que tuviera si entra un determinado virus en ese registro de huellas y qué impacto tendría en la organización. En este sentido y siguiendo el ejemplo, tendríamos que calcular la probabilidad de que un virus entras donde tuviésemos guardado el registro horario de los trabajadores en base a los controles de seguridad que tenemos en nuestra empresa (a mas controles menos probabilidad de que ocurra) y si ocurre, qué impacto tendría en nuestra empresa. El impacto lo podemos medir en el daño a la imagen por ejemplo si saliésemos en un periódico de tirada nacional o si la causa de este virus la empresa estuviera mucho tiempo paralizada y por tanto lo entenderemos como un impacto.
6.-Si optamos por la huella biométrica igualmente tendríamos que realizar un informe justificado jurídicamente de por qué hemos optado por la implantación de ese sistema de reconocimiento de la huella biométrica puesto que existen varias resoluciones de la Agencia Española de Protección de datos en la que siempre y cuando puedas conseguir el objetivo de control horario por medios menos invasivos siempre hay que optar por esa posibilidad. Es muy sonado la sanción impuesta a un gimnasio por implantar el sistema de huella biométrica a todos los usuarios.
7.- Como sabemos la vida útil del dato alcanza:
- Desde que la obtenemos es decir desde que el trabajador registra un día cualquiera su horario
- Pasando por el mantenimiento de ese dato: dentro del mantenimiento tenemos las medidas de seguridad que hemos descrito anteriormente, el no utilizar esos datos para otros fines diferentes
- y por último la hora de cancelar datos son los tres momentos más importantes a la hora de tratar los datos en este caso según la legislación los datos tenemos que mantenerlos cuatro años es en ese momento donde podremos cancelarlos ya que la administración no debería no puede pedirnos esta información y por tanto mantenerlos estaríamos vulnerando la norma.
8.- Otra implicación es que si hemos instalado un sistema o un programa, o aplicación que nos lleve este registro de horario tendremos que firmar un contrato de acceso a datos o de encargado de tratamiento con esa empresa que nos está prestando ese servicio ya que es una empresa externa a la nuestra que puede llegar a ver datos de carácter Personal, es decir datos de los trabajadores y por tanto se exige determinadas cláusulas en esos contratos: por ejemplo la obligación de no divulgar información, la obligación de implementar unas medidas de seguridad La obligación de si pierden esos datos comunicárnoslo en la mayor brevedad posible.
Si necesita implantar su empresa a la Ley de proteccion de datos consulte pinchando en este enlace
