Uso legal de sistemas de control horario con geolocalización

El trabajo a distancia y el derecho a la protección de datos
20 octubre, 2020

En las organizaciones, especialmente en aquellas en las que se hace uso del trabajo a distancia, se está imponiendo el uso de sistemas informatizados para el control horario de la jornada laboral que incluyen geolocalización.

Estos sistemas se suelen utilizar por los empleados, tanto desde ordenadores portátiles como desde teléfonos móviles.

La problemática de estos sistemas gira, especialmente, en torno a la geolocalización de los trabajadores, debido a la posible vulneración de su privacidad e intimidad.

Por ello, en el presente artículo se exponen los aspectos legales que se deben tener en cuenta para que, en caso de que se implemente un sistema de estas características, se haga cumpliendo los requisitos obligatorios.

NORMATIVA LABORAL Y DE PROTECCIÓN DE DATOS APLICABLE

  1. Estatuto de los Trabajadores

Artículo 20.3. Dirección y control de la actividad laboral.

El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.

Artículo 20 bis. Derechos de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión.

Los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales.

Artículo 34.9. Jornada.

La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo.

Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de jornada.

La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.

Artículo 64. Derechos de información y consulta y competencias

1. El comité de empresa tendrá derecho a ser informado y consultado por el empresario sobre aquellas cuestiones que puedan afectar a los trabajadores, así como sobre la situación de la empresa y la evolución del empleo en la misma, en los términos previstos en este artículo.

Se entiende por información la transmisión de datos por el empresario al comité de empresa, a fin de que este tenga conocimiento de una cuestión determinada y pueda proceder a su examen. Por consulta se entiende el intercambio de opiniones y la apertura de un diálogo entre el empresario y el comité de empresa sobre una cuestión determinada, incluyendo, en su caso, la emisión de informe previo por parte del mismo.

En la definición o aplicación de los procedimientos de información y consulta, el empresario y el comité de empresa actuarán con espíritu de cooperación, en cumplimiento de sus derechos y obligaciones recíprocas, teniendo en cuenta tanto los intereses de la empresa como los de los trabajadores.

5. El comité de empresa tendrá derecho a ser informado y consultado sobre la situación y estructura del empleo en la empresa o en el centro de trabajo, así como a ser informado trimestralmente sobre la evolución probable del mismo, incluyendo la consulta cuando se prevean cambios al respecto.

Asimismo, tendrá derecho a ser informado y consultado sobre todas las decisiones de la empresa que pudieran provocar cambios relevantes en cuanto a la organización del trabajo y a los contratos de trabajo en la empresa. Igualmente tendrá derecho a ser informado y consultado sobre la adopción de eventuales medidas preventivas, especialmente en caso de riesgo para el empleo.

El comité de empresa tendrá derecho a emitir informe, con carácter previo a la ejecución por parte del empresario de las decisiones adoptadas por este, sobre las siguientes cuestiones:

a) Las reestructuraciones de plantilla y ceses totales o parciales, definitivos o temporales, de aquella.

b) Las reducciones de jornada.

c) El traslado total o parcial de las instalaciones.

d) Los procesos de fusión, absorción o modificación del estatus jurídico de la empresa que impliquen cualquier incidencia que pueda afectar al volumen de empleo.

e) Los planes de formación profesional en la empresa.

f) La implantación y revisión de sistemas de organización y control del trabajo, estudios de tiempos, establecimiento de sistemas de primas e incentivos y valoración de puestos de trabajo.

2. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)

Artículo 4.1)

«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Los datos relativos a la localización fueron ya definidos en el artículo 2 de la Directiva 2002/58/CE como «cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público«.

3. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

Artículo 90. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

1. Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo.

2. Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

JURISPRUDENCIA RELEVANTE SOBRE EL USO DE SISTEMAS DE GEOLOCALIZACIÓN

  • Sentencia 03058/17 del Tribunal Superior de Justicia de Asturias. Sala de lo Social.

Esta sentencia aclara la necesidad de que los sistemas de geolocalización de los trabajadores se ciñan al horario de sus jornada laboral y no afecten a su vida privada.

  • Sentencia 00013/2019 de la Audiencia Nacional. Sala de lo Social.

Esta sentencia refuerza la obligación de cumplir la normativa de protección de datos y establece la imposibilidad de exigir al personal que aporte sus dispositivos personales para la instalación en ellos de sistemas que impliquen su geolocalización.

  • Sentencia 163/2021 del Tribunal Supremo. Sala de lo Social.

Esta sentencia desestima el recurso interpuesto por la demandada ante la Sentencia 00013/2019 de la Audiencia Nacional, antes indicada.

REQUISITOS PARA LA CORRECTA IMPLANTACIÓN DE SISTEMAS DE CONTROL HORARIO CON GEOLOCALIZACIÓN

  1. Privacidad desde el diseño

Antes de la implantación del sistema se deberá tener en cuenta este principio, cuyo objetivo último, tal como expresa la Guía de Privacidad desde el Diseño de la Agencia Española de Protección de Datos, «es que la protección de datos esté presente desde las primeras fases de desarrollo y no sea una capa añadida a un producto o sistema

El artículo 25 del RGPD establece lo siguiente:

«1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.»

  1. Análisis de Riesgos

Se deberá llevar a cabo un Análisis de Riesgos en materia de protección de datos sobre el sistema que se quiera utilizar para determinar las medidas de seguridad técnicas y organizativas que deban aplicarse.

  1. Registro de actividad de tratamiento y ciclo de vida

Si ya existe el tratamiento de datos de Recursos Humanos debidamente registrado por la empresa, deberá añadirse el dato «geolocalización» en el apartado «categorías de datos».

  1. Triple juicio (proporcionalidad)

Se deberá realizar el siguiente triple juicio para determinar si el uso del sistema es proporcionado teniendo en cuenta sus características y las finalidades perseguidas:

  • Idoneidad

¿Sirve el sistema para lograr los fines perseguidos? Hay que tener en cuenta que los objetivos del uso de estos sistemas que incluyen geolocalización suelen ser, fundamentalmente, el control del cumplimiento de las obligaciones del trabajador (artículo 20.3 del Estatuto de los Trabajadores) y el análisis para realizar mejoras en la gestión del trabajo desempeñado por estos empleados.

  • Necesidad

¿Hay alguna otra forma de lograr los fines perseguidos con la misma eficacia? En este punto, debemos destacar que actualmente, debido a la pandemia, se está imponiendo el trabajo a distancia en muchos puestos, ya sea por obligación legal o por decisión empresarial y acuerdos con los trabajadores.

  • Proporcionalidad en sentido estricto

¿Las características y usos del sistema no causan perjuicios considerables al trabajador? Es decir, ¿se recaban los datos personales estrictamente necesarios? ¿Se respeta la intimidad del personal evitando la geolocalización fuera de la jornada laboral? ¿Se obliga al empleado a usar su propio dispositivo o se le facilita uno corporativo?

  1. Legitimación

Se deberá concretar la base legal que legitime el tratamiento de datos personales derivado del uso del software.

De acuerdo con el artículo 6.1 del RGPD, «El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.»

Puesto que tanto el artículo 20.3 del Estatuto de los Trabajadores como el artículo 90 de la LOPDGDD amparan el posible uso de sistemas de geolocalización, en principio no será necesario el consentimiento del trabajador afectado.

La base legal aplicable en este caso sería, muy probablemente, la del artículo 6.1 b) del RGPD, al existir una relación contractual entre las partes.

  1. Información

Se deberá informar al personal afectado sobre dicho sistema, sobre su funcionamiento y sobre el tratamiento de datos personales que se realizará como consecuencia del uso del mismo. Para ello, se elaborará un documento que deberá contener información completa y comprensible sobre el sistema, sus características y finalidades.

Mamen Fernández
Mamen Fernández
Abogada TIC & Compliance