Los cambios legislativos en México que están relacionados con tecnologías han sido constantes en los últimos meses, de primera instancia se pueden percibir como cambios aislados, sin embargo, la relación que guardan todos estos cambios sin duda está en la identidad digital, con esto en mente es relevante analizar un cambio en materia laboral que se encuentra en las propuestas para los siguientes años respecto al registro electrónico(reloj checador) de entrada y salida del personal que será de forma obligatoria y regulada.
Hasta el momento el reloj checador era un mecanismo que ayudaba entre otras cosas al cálculo de los incidentes de nomina y en algunos casos se presentaba como un medio de prueba en los juicios y conciliaciones laborales según la parte que se viera beneficiada. Ahora con la obligatoriedad es importante que se definan las reglas operativas que ayuden a esclarecer los conceptos de fiabilidad, integridad, atribución y ulterior consulta que se prevén para los mensajes de datos como medio de prueba.
Con la afirmación anterior, habrá dudas porque hablar de mensaje de datos si solo es un reloj checador y la respuesta es simple, con el registro electrónico o digital cada uno de los registros se convierte en un mensaje de datos por definición y con ello se deben cuidar los procesos que permitan el procesamiento de información sin importar si se conciben como datos personales o no.
En este sentido, el impacto hacia las organizaciones viene en diferentes rubros y es por ello que contar con una guía práctica de lo que se debe evaluar en la adquisición y/o implementación de un reloj checador es fundamental para el cumplimiento regulatorio, de ahí que a continuación se presentan un conjunto de buenas prácticas que pueden servir como lista de verificación para un mejor cumplimiento.
- Controles administrativos
- Se debe actualizar el aviso de privacidad de los empleados en donde se describan los datos que se utilizarán para el registro y aclarar la finalidad de tratamiento. Al entrar en vigor los cambios en la propuesta y con una buena reglamentación se puede justificar el uso de la información pero más vale tener todo listo. En el caso de que se utilicen biométricos es indispensable que se realice el consentimiento explícito y por escrito, puede ser por medios físicos o electrónicos.
- El tratamiento de los datos por esta plataforma debe estar alineados al aviso de privacidad y debe cumplir con el ejercicio de derechos ARCO
- Crear un proceso repetible, medible y auditable de altas, bajas y cambios sobre los catálogos del sistema incluidos las áreas, personas, horarios, turnos, usuarios y cualquier otra tipología que tenga el sistema. Para ello es recomendable mantener la documentación de cada proceso por ejemplo registro de trabajador, cambio de horario, entre otros.
- Si se utilizarán biométricos como medio de identificación de los empleados, es importante que se verifique que se cuente con un plan de mantenimiento de los dispositivos de toma de minucias biométricas al menos una vez por año, también es importante establecer de forma documentada las exclusiones, ya sean por accidentes o por condiciones físicas de los trabajadores.
- El registro de entradas y salidas debe contemplar mecanismos multicanal para abarcar todos los escenarios, en este sentido si la empresa tiene teletrabajo, el sistema debe permitir el registro a través de medios que permitan mantener el mismo estándar de identificación y trazabilidad, para ello el sistema no debe depender de un tipo de hardware.
- Se deben planear auditorías constantes para validar el debido registro de los trabajadores, así como de la configuración y los cambios.
- Las políticas deben asegurar que los trabajadores capturen de forma inequívoca sus entradas y salidas bajo los términos de su contratación.
- Deben existir politicas y procedimientos encaminados a dirimir controversias por errores en la captura o por incidentes fuera del alcance de las partes.
- Se debe contar con un plan de continuidad para el registro de personal en caso de que la plataforma falle.
- Se debe contar con una política de retención de información que cumplan con los estandares operativos, administrativos, fiscales y legales correspondientes.
- Controles técnicos
- La plataforma tecnológica debe contar con mecanismos de administración de horas laborales y no solo de turnos, esto significa que debe ser capaz de asignar horarios individualizados para cada persona.
- La plataforma debe contar con una bitácora de registro de operaciones privilegiadas, esto significa que debe tener logs que aseguren que los administradores de la plataforma dejen traza sobre cada una de las operaciones que se realizan en la plataforma, tales como configuraciones, cambios en los catálogos, inclusión de nuevos dispositivos de toma de registro, entre otros.
- La plataforma debe contar con marcas de tiempo y husos horarios regulados, para ello se debe contar con la configuración a través de protocolos como NTP y en los casos que así se requiera será necesario implementar un servicio de marca de tiempo bajo el estándar RFC 3161.
- La plataforma debe contar con mecanismos de interoperabilidad y portabilidad de la información de tal manera que los registros no sean dependientes de una marca en particular, de algún dispositivo o tecnología específica.
- La plataforma debe asegurar que los registros de entradas y salidas no beneficien de forma inadecuada a ninguna de las partes, en este sentido el sistema debe ser capaz de identificar y reportar comportamientos anómalos y fraudulentos.
- La plataforma debe contar con mecanismos para dirimir controversias por errores o procesos autorizados de tal manera que permita cambios trazables y auditables.
- La plataforma debe contar con un respaldo de información y configuraciones, es sugerible que se tenga un respaldo en linea y otro fuera de linea, estos respaldos deben ser probados al menos una vez por año.
- La plataforma debe contar con un almacenamiento de información inmutable e inalterable, de tal manera que cada uno de los registros no sea modificable por medio de usuarios privilegiados.
- La plataforma debe permitir la exportación de información en formatos genéricos, que sean presentables en juicio como prueba o para procesos de auditoria de terceros o autoridades, para ello se debe contar con un procedimiento que integre toda la evidencia de fiabilidad, integridad, atribución y ulterior consulta. Para esto ultimo se puede integrar el proceso de conservación de mensaje de datos de la NOM 151 SCFI.
- La plataforma no solo debe registrar la entrada/salida, sino también servir como evidencia de que se respeta el derecho a la desconexión digital y debe contar con mecanismos para registro de vacaciones y otros elementos que limiten el registro fuera de horarios de forma individualizada
- Si el registro multicanal (móvil) incluye geolocalización, esta solo se activará en el momento del registro para no vulnerar la privacidad del empleado fuera de su jornada.
- Controles de identidad
- Se debe establecer y documentar los procesos de identificación de cada trabajador y definir los factores de autenticación de los registros de entradas y salidas, estos últimos pueden ser una clave, un dispositivo como una tarjeta o un biométrico.
- Es importante con base en las nuevas tendencias legislativas tomar como referencia la CURP como elemento de identificación.
- Es necesario que se identifique a cada uno de los trabajadores de forma inequivoca y a través de componentes de la identidad que permita la atribución de cada uno de los registros. Para ello la plataforma y los procesos deben estar alineados en los tipos de datos a recolectar y procesar en cada etapa
- Es importante mapear la información del sistema de registro de entradas y salidas con otros sistemas dentro de la empresa como los sistemas de nomina para minimizar el procesamiento de información no necesaria.
- El trabajador debe poder corroborar su identidad en la plataforma, asi como convalidar sus registros de entradas y salida, a través de procesos de control que permitan validar la información capturada en la plataforma.
- Se debe tener un control de los usuarios privilegiados, asi como controles de acceso restringidos.
En esta perspectiva, estas practicas no solo estan orientadas al cumplimiento laboral, sino que en la integración legislativa es imperante cubrir todos los ejes coyunturales que puedan generar un riesgo para la operación de las organizaciones, de ahi que la base de implementación de un reloj checador ya no es solo comprar un “aparato” y ponerlo en la pared sino conlleva un conjunto de toma de decisiones, políticas, procedimientos y actividades en toda la organización.
