Impacte de la protecció de dades en el control horari del treballador amb l’empremta dactilar

Des del 12 de maig de 2019 ja es troba en vigor el Real Decret Llei 8/2019, de 8 de març, de mesures urgents de protecció social i de lluita contra la precarietat laboral a la jornada de treball. La norma que ha modificat l’article 34 de l’Estatut dels Treballadors ha establert l’obligatorietat d’enregistrar l’inici i finalització de la jornada de treball.

L’enregistrament de les hores de treball es pot realitzar de diferents formes, ja siguin manuals, digitals o tecnològiques. Una de les formes que es proposen és el fitxatge mitjançant l’empremta dactilar del treballador.

L’empremta dactilar, com preveu l’article 4.14 del Reglament General de Protecció de Dades (RGPD), és una dada personal obtinguda a partir d’un tractament tècnic específic, referent a les característiques físiques, fisiològiques o conductuals d’una persona física que permeten o confirmen la identificació única de l’esmentada persona. L’empremta dactilar és una categoria especial de dada personal. En aquest sentit, el tractament d’aquesta dada personal requereix no només la concurrència d’una de les bases jurídiques establertes a l’article 6 del RGPD sinó que, a més, haurà de concórrer alguna de les excepcions establertes a l’article 9.2 del RGPD. Pel que respecta a l’article 6 del RGPD, les bases jurídiques són les previstes al punt 1 lletra c) consistent en el tractament necessari pel compliment d’una obligació legal aplicable al responsable del tractament, concretament l’obligació d’enregistrar la jornada de treball del treballador. Amb relació a les excepcions previstes a l’article 9.2 del RGPD, encaixa la circumstància establerta a la lletra b) de l’esmentat punt 2 de l’article del RGPD que estableix que el tractament és necessari pel compliment d’obligacions i l’exercici de drets específics del responsable del tractament o del interessat en l’àmbit del Dret Laboral, en la mesura en que així ho autoritza el Dret de la Unió o dels Estats Membres. En consonància, no cal el consentiment del treballador per a la utilització de l’empremta dactilar del mateix per la finalitat de control horari. No obstant, sí que aplica  l’obligatorietat de facilitar al treballador la informació prevista a l’article 13 del RGPD pel que respecta al tractament d’aquesta dada personal.

Per tal d’aplicar l’empremta dactilar com control horari cal preveure l’aplicació del principi de minimització de dades previst a l’article 5.1 lletra c) del RGPD. L’esmentat principi estableix que les dades han de ser adequades, pertinents i limitades al tractament necessari en relació als fins pels quals són tractades.

L’Agència Espanyola de Protecció de Dades ha assenyalat a les seves preguntes freqüents (FAQS), de forma prèvia a l’entrada en vigor del control horari i considerant la sentència de 4 de març de 2010 de l’Audiència Nacional, que el sistema que s’utilitzi no incorpori la dada de l’empremta dactilar, sinó únicament el relacionat amb un identificador numèric obtingut a partir de la mateixa que s’emmagatzema en les targetes de proximitat dels empleats. L’Agència, en consonància amb l’esmentada sentència, aclareix que el lector generarà l’identificador número de l’empremta que ha de correspondre amb el de la targeta, entenent-se que s’ha produït l’accés al lloc de treball com a  conseqüència de la coincidència entre l’identificador generat i el que consta a l’empremta.

A diferència de l’Agència Espanyola de Protecció de Dades, l’Autoritat Catalana de Protecció de Dades va resoldre, de forma prèvia a l’entrada en vigor del control horari, al dictamen CNS 63/2018 que l’ús de l’empremta dactilar pel control horari exigeix la realització d’una avaluació d’impacte referent a la protecció de dades per aplicació del principi de minimització. En aquest sentit, a l’esmentat dictamen l’Autoritat va assenyalar que la protecció de dades des del disseny establerta a l’article 25.1 del RGPD i el principi de minimització (article 5.1 lletra c) del RGPD) obliguen a escollir la tecnologia que resulti menys intrusiva. En aquest sentit, el principi de minimització de dades comporta que si es pot aconseguir la finalitat sense tractar dades de categories especials, ha de prevaldre aquesta opció front la que utilitza la dada de categoria especial.

Es fa notar que la Commission Nationale de l’informatique et des libertés (CNIL), autoritat de control de protecció de dades francesa, i Garante per la protezione dei dati personali, l’autoritat de control italiana, no han admès la utilització de les dades biomètriques com a sistema generalitzat de control horari dels treballadors per part de l’empresari.

Si l’empresa o entitat es troba dins l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades, per aplicació de l’article 3 de la Llei 32/2010, de l’1 d’octubre, haurà de realitzar l’avaluació d’impacte per utilitzar l’empremta dactilar del treballador pel control horari per tal d’avaluar tant la legitimitat del tractament i la seva proporcionalitat, com la determinació dels riscos existents i les mesures per mitigar-los.

Facebooktwittergoogle_pluslinkedinmail

Principals novetats de la Llei de Secrets Empresarials

El passat 13 de març va entrar en vigor la Llei 1/2019, de 20 de febrer, de Secrets Empresarials (“LSE”) que transposa la Directiva (UE) 2016/943 del Parlament Europeu i del Consell, de 8 de juny de 2016, relativa a la protecció dels coneixements tècnics i la informació empresarial no divulgats (secrets comercials) contra la seva obtenció, utilització i revelació il·lícites.

La LSE defineix per secret qualsevol informació o coneixement amb valor empresarial, incloent el tecnològic, científic, industrial, comercial, organitzatiu o financer, que no sigui generalment conegut per les persones pertanyents als cercles en els que normalment s’utilitzi aquest tipus d’informació, ni fàcilment accessibles per aquestes persones i que el seu titular hagi realitzat mesures raonables per tal de mantenir-ho en secret. (more…)

Facebooktwittergoogle_pluslinkedinmail

Barcelona, destí d’una atenció integrada social i sanitària

El Departament de Salut de la Generalitat i l’Ajuntament de Barcelona varen realitzar una prova pilot entre els mesos d’octubre de 2017 i abril de 2018 per tal de poder intercanviar dades socials i sanitàries a fi de millorar l’atenció integrada dels usuaris. Per exemple, una persona gran que requereix dels serveis d’atenció social i per això necessita d’un informe mèdic, no caldrà que vagi al seu Centre d’Atenció Primària (CAP) per buscar l’informe mèdic, sinó que, amb el seu previ consentiment informat, el professional de Serveis Socials pot accedir en temps real a l’informe mèdic. (more…)

Facebooktwittergoogle_pluslinkedinmail

Nou any, nou domini públic i nous codis electrònics

Amb l’entrada del nou any 2019 comença un nou període en el qual determinades obres que estaven subjectes a la protecció dels drets d’explotació d’autor passen a formar part del domini públic, el que significa que qualsevol podrà fer ús d’aquestes obres sempre i quan es respecti la paternitat i integritat de les mateixes. 

La normativa sobre Propietat Intel·lectual atorga al creador d’una obra els drets d’explotació d’aquesta obra durant la vida de l’autor i, per norma general, durant 70 anys després de la vida de l’autor a favor dels seus hereus. Durant aquest temps, l’autor i, en el seu cas, els hereus gaudeixen dels drets d’explotació de l’obra. El termini dels 70 anys comença a computar el dia 1 de gener de l’any següent a la mort de l’autor o la seva declaració de mort. Per tant, cada 1 de gener hi ha obres que poden començar el seu període de domini públic per a tothom.   (more…)

Facebooktwittergoogle_pluslinkedinmail

La CNIL publica la llista de tractaments de Dades Personals per als quals es requereix l’anàlisi d’una avaluació d’impacte

L’article 35.1 del Reglament General de Protecció de Dades estableix l’obligatorietat pel responsable del tractament de realitzar una avaluació d’impacte quan sigui probable que el tipus de tractament de dades personals comporti un alt risc pels drets i llibertats de les persones físiques, ja sigui per la utilització de noves tecnologies, per la naturalesa, abast, context o fins del tractament. L’apartat 4 del mateix article preveu que l’autoritat de control establirà i publicarà una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte referent a la protecció de dades. Les  autoritats de control que operen en el nostre territori, Agencia Española de Protección de Datos i Autoritat Catalana de Protecció de Dades, a la data del present article, no han publicat cap llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte. (more…)

Facebooktwittergoogle_pluslinkedinmail

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies