Obligación laboral sí, carta blanca no
La empresa debe garantizar el registro diario de jornada, pero esa obligación convive con la normativa de protección de datos. La guía de la AEPD sobre protección de datos en las relaciones laborales recuerda que, al implantar un sistema de registro horario, es recomendable adoptar el medio menos invasivo posible. También subraya que la base jurídica de este tratamiento es la obligación legal, no el consentimiento de las personas trabajadoras.
Este matiz es importante: si el tratamiento se apoya en una obligación legal, la empresa debe limitar los datos a lo necesario para cumplir esa finalidad. La propia guía añade que los datos del registro no pueden utilizarse para fines distintos del control de la jornada de trabajo, en aplicación del principio de limitación de finalidad.
Qué implica eso en el día a día
- Elegir un sistema proporcionado al contexto real de la empresa.
- Informar correctamente a la plantilla sobre el tratamiento.
- Restringir accesos para que la información no quede expuesta indebidamente.
- Configurar proveedores externos como encargados del tratamiento cuando corresponda.
La guía también insiste en que las herramientas de registro remoto, como aplicaciones o accesos por intranet, deben garantizar adecuadamente la intimidad y la protección de datos de las personas trabajadoras conforme a criterios de idoneidad, necesidad y proporcionalidad.
Registro, conservación y acceso con criterio
Desde una perspectiva práctica, no solo importa conservar los datos; importa cómo se consultan, quién los ve y para qué se usan. Si el sistema expone horarios de toda la plantilla a terceros no autorizados o mezcla el registro con finalidades ajenas al control horario, el problema ya no es laboral sino también de privacidad.
FicharNet encaja bien en este terreno cuando se configura con roles, accesos limitados y trazabilidad suficiente, evitando que una obligación de control horario se convierta en un tratamiento excesivo o desordenado.