¿Qué tipo de sistema pueden utilizar las empresas para el control horario?
La empresa podrá habilitar el sistema que considere más adecuado y por tanto, desde la perspectiva del derecho fundamental de la protección de datos, tendrían la misma base de legitimación y no precisarían el tratamiento consensuado con los trabajadores los sistemas manuales, analógicos o digitales al efecto de generar la correspondiente prueba justificativa del registro diario de la jornada de cada trabajador, que deberá estar a disposición tanto de los propios trabajadores como de la Inspección de Trabajo y los Representantes Legales de los Trabajadores y deberá almacenarse por un periodo de 4 años.
¿Es necesario el consentimiento del trabajador para implantar un sistema de control horario? ¿Hay que informarle acerca de las medidas de control establecidas?
Con carácter general y para la implementación del registro de jornada no se precisa el consentimiento del trabajador, siendo base suficiente de legitimación la propia norma laboral, que en el artículo 34.9 ET establece la obligación de las empresas de realizar dicho registro de la jornada con carácter individual de cada persona trabajadora y que, de acuerdo con lo previsto en el artículo 6.1.c del Reglamento europeo 2016/679 (RGPD), el tratamiento de datos personales de los trabajadores derivado de la implantación del registro de jornada es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. No obstante lo anterior, la existencia de una lícita condición para el tratamiento de los datos de los empleados sin necesidad del consentimiento de los trabajadores no excluye el deber de las empresas de informar a los trabajadores de la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con dicho registro.
En el caso de que se trabaje con proveedores, ¿Cómo se establece esa relación para el control horario?
Las empresas que sean empleadores, con relación a sus trabajadores, actuarán como responsables del tratamiento de los datos obtenidos mientras que, en su caso, los proveedores externos de los sistemas de registro actuarán como entidades encargados del tratamiento, con las obligaciones que respectivamente para entidades responsables o entidades encargadas dispone la normativa de protección de datos. Para ello se deberá suscribir el correspondiente contrato de encargo con el contenido que contempla el art. 28 RGPD.