Registro de jornada laboral, digitalización y privacidad: un equilibrio imprescindible

Por Lola Carranza, directora del Área de Derecho Digital y Negocios Tecnológicos de Montero Aramburu & Gómez-Villares Atencia

 

El Real Decreto-ley 8/2019 introdujo un cambio paradigmático en las relaciones laborales: la obligatoriedad para las empresas de garantizar el registro diario de la jornada laboral. Ahora, el Ministerio de Trabajo y Economía Social pretende dar un paso más con la aprobación inminente de un nuevo Real Decreto que obligará a llevar a cabo dicho registro exclusivamente en formato digital, permitiendo la trazabilidad de la documentación y el acceso en tiempo real por parte de la Inspección de Trabajo y Seguridad Social.

En un país donde, según el informe Observatorio TeamSystem: Radiografía y diagnóstico de pymes, autónomos y asesorías elaborado por Ipsos, el 35 % de los autónomos y PYMEs sigue registrando la jornada laboral en formato analógico, la transición hacia una digitalización absoluta se antoja compleja. A partir de la entrada en vigor del nuevo Real Decreto, el registro de jornada evolucionará hacia sistemas digitales que incorporen sellos de tiempo, autoría y mecanismos que garanticen la inmutabilidad de los datos.

Si bien es cierto que la digitalización del sistema puede suponer una oportunidad de eficiencia para las empresas, así como una garantía adicional para los trabajadores en materia de fiabilidad y transparencia, su puesta en marcha puede conllevar importantes implicaciones en materia de privacidad y protección de datos que debemos considerar, ya que este nuevo marco normativo plantea importantes riesgos de incumplimiento de los principios recogidos en el Reglamento General de Protección de Datos (RGPD). Principios que no son abstractos, sino que operan como auténticos límites jurídicos al tratamiento de datos.

En primer lugar, el principio de licitud, lealtad y transparencia podría verse tensionado si la empresa responsable no garantiza una información clara, comprensible y accesible a las personas trabajadoras sobre el alcance real de la finalidad del tratamiento, los accesos previstos y los usos permitidos, aun legitimándose el tratamiento en el cumplimiento de una obligación legal.

Especialmente crítico resulta el principio de limitación de la finalidad. Los datos del registro de jornada se recaban con una finalidad concreta, acreditar el tiempo de trabajo efectivo en cumplimiento de una obligación legal. Sin embargo, el nivel de detalle exigido –horarios, pausas, conciliación, modalidad de trabajo– facilita usos secundarios como la evaluación del rendimiento, la elaboración de perfiles de conducta laboral o la adopción de decisiones automatizadas –usando incluso sistemas de IA con las implicaciones jurídico-éticas que ello pudiera conllevar– y disciplinarias. La reutilización de estos datos para fines distintos de la finalidad inicial e informada carecería de base jurídica suficiente y supondría una infracción.

El principio de minimización de datos también se encuentra en una posición especialmente vulnerable. El nuevo Real Decreto regula el contenido mínimo de la información que deberá incluirse en el sistema de registro de jornada, dejando absoluta libertad a se pueda incluir y, por ende, tratar otras categorías de datos que requieran otra base de legitimación e incluso derivar en un tratamiento excesivo. Asimismo, la implementación de tecnologías biométricas o de geolocalización, aun cuando se presenten como herramientas de fiabilidad, pueden resultar desproporcionadas y contraria a la doctrina reiterada de la Agencia Española de Protección de Datos. En todo caso, en estos supuestos, será necesaria la realización de una Evaluación de Impacto de Protección de Datos en la que se supere el triple juicio de idoneidad, necesidad y proporcionalidad estricta, también previsto por la doctrina del Tribunal Constitucional.

El nuevo texto establece que las empresas deben asegurar la conservación de los asientos realizados durante cuatro años por lo que exceder del mismo podría suponer una vulneración del principio de limitación del plazo de conservación.

El principio de integridad y confidencialidad adquiere especial relevancia a la luz del acceso directo –incluso en tiempo real– previsto para personas trabajadoras, representantes legales y Ministerio de Trabajo y Economía Social. Aunque el Real Decreto excluye expresamente el acceso por parte de los representantes legales a determinados datos (DNI, estado civil o domicilio), esta indeterminación normativa puede dar lugar a accesos excesivos, vulneraciones de confidencialidad y fallos de seguridad incompatibles con las exigencias del RGPD. A ello, se suma el que, en casi la totalidad de los supuestos, el sistema para cumplir con esta norma será titularidad de un tercer proveedor que tendrá la consideración de encargado de tratamiento de datos, debiendo la empresa obligada al cumplimiento, en calidad de responsable de tratamiento, suscribir el correspondiente contrato de encargo de tratamiento y exigir a este tercero todas las obligaciones y garantías que establece la normativa vigente, tanto si este proveedor se encuentra en la UE o en terceros países, y ello constituya una transferencia internacional de datos.

Por último, no se puede obviar un elemento estructural frecuentemente ignorado, como es la brecha de competencias digitales, especialmente en pequeñas y medianas empresas y en sectores con menor grado de digitalización. La eliminación inmediata del registro en papel presupone un nivel de alfabetización digital que no es uniforme. Desde una perspectiva de protección de datos, esta carencia puede afectar al principio de exactitud de los datos y al ejercicio efectivo de derechos por la persona trabajadora.

En definitiva, la digitalización es una oportunidad si incorpora garantías para que el legítimo control del tiempo de trabajo no derive en una erosión estructural del derecho fundamental a la privacidad en el ámbito laboral.