Desde la publicación del Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral, las empresas deben contar con un registro de jornada donde se recoja el horario de inicio y fin de la jornada laboral de cada trabajador, el cual deberá ser conservado durante cuatro años garantizando su preservación, fiabilidad e invariabilidad.

Con el avance de las nuevas tecnologías son cada vez más variados los sistemas de registro horario existentes y, si bien es cierto que desde la perspectiva del derecho a la protección de datos no se limitan las opciones que pueden utilizarse, es recomendable que se adopte el sistema menos invasivo posible, siendo requisito que se recojan únicamente los datos personales imprescindibles (principio de minimización), que no se utilicen con finalidades distintas al control horario (principio de limitación de la finalidad) y que no sean de acceso público ni estén situados en un lugar visible.

En lo que respecta al tratamiento de tales datos, la base jurídica es la obligación legal de llevar un registro de jornada, y no el consentimiento de la persona trabajadora, por lo que los datos de dicho registro de jornada no podrán utilizarse para finalidades distintas. Así, por ejemplo, comprobar la ubicación del empelado mediante geolocalización o recabar sus datos biométricos no entrarían dentro de dicha finalidad, por lo que se necesitaría una base jurídica específica. No obstante, quedaría a juicio de la autoridad competente considerar lícito el tratamiento de este tipo de datos en base al consentimiento del interesado, siempre que dicha voluntad sea previa, libre, específica, informada e inequívoca.

Por otro lado, en función del sistema de control utilizado y los datos recabados, la empresa deberá adecuar las medidas de seguridad y realizar una evaluación de impacto en los casos que sea preceptiva. También deberá respetar la confidencialidad de los datos y su publicidad estará limitada a las personas autorizadas por ley (trabajadores interesados, representantes y entidades o autoridades públicas que necesiten tales datos a efectos de una investigación). Por esta razón, en los supuestos de registro horario a distancia se deberá garantizar el derecho a la intimidad y a la protección de datos de los empleados de acuerdo con los principios de idoneidad, necesidad y proporcionalidad de los medios utilizados, por lo que, en función del sistema, la empresa deberá cumplir con exigencias diferentes en materia de protección de datos.

Es por todo lo anterior que la Agencia Española de Protección de Datos está haciendo hincapié en que el control de la jornada laboral sea el menos intrusivo posible, se aplique el principio de minimización y se ponderen las obligaciones y los derechos de los afectados, debiendo informar en todo momento a las personas trabajadoras de la existencia del registro y de la finalidad del tratamiento de sus datos.