Guía sobre protección de datos y relaciones laborales

* Aquí podrás descargarte la infografía que hemos preparado para ti.

Guia protección de datos y relaciones laborales

La Agencia Española de Protección de Datos (AEPD) publicó el pasado 18 de mayo, la guía ‘Protección de datos y relaciones laborales’ con el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación. Esta guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales.

La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control.

El documento comienza recogiendo las bases que legitiman el tratamiento de datos personales;

  • la base jurídica principal es la ejecución del contrato de trabajo, porque el consentimiento del afectado no es válido cuando se proporciona en un contexto de «desequilibro claro entre el interesado y el responsable del tratamiento.
  • En segundo lugar, el tratamiento de datos también es lícito «para el cumplimiento de una obligación legal aplicable al responsable del tratamiento» (art. 6.1.c) RGPD). Esta base jurídica permite el tratamiento de datos cuando sea necesario para cumplir las exigencias impuestas por la ley (por ejemplo, cotización a la Seguridad Social, obligaciones tributarias, registro de jornada, información y consulta con los representantes de las personas trabajadoras, etc.) o por un convenio colectivo.
  • En tercer lugar, también es base jurídica para el tratamiento de datos la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que, sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales (art. 6.1.f) RGPD).

Sigue con la información que es necesario facilitar en cuanto al tratamiento de datos personales. El responsable del tratamiento, normalmente el empleador, debe informar a las personas trabajadoras, de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre el tratamiento de datos que está llevando a cabo (arts. 13 y 14 del RGPD).

Y continúa los derechos de protección de datos aplicados al entorno laboral:

Derecho de acceso (art.15 RGPD). Con independencia de la información proporcionada, la persona trabajadora tiene derecho a la confirmación de que se está produciendo un tratamiento de datos y, en caso de que así sea, derecho a conocer cómo se está produciendo

ese tratamiento con un contenido similar al del derecho de información.

Derecho de rectificación (art. 16 RGPD). Las personas trabajadoras pueden exigir la rectificación de los datos inexactos que estén siendo objeto de tratamiento, así como que se completen aquellos que sean incompletos.

Derecho de supresión (art. 17 RGPD). Las personas trabajadoras pueden exigir la supresión de los datos personales objeto de tratamiento en las situaciones siguientes:

◤ Cuando los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.

◤ Cuando la base jurídica para el tratamiento de datos sea el consentimiento y la persona trabajadora lo haya retirado.

◤ Cuando el tratamiento de datos sea ilícito.

◤ En el caso de que la persona trabajadora se oponga al tratamiento de datos que no sean necesarios para el cumplimiento y ejecución del contrato de trabajo.

◤ Cuando los datos personales debieran ser suprimidos en cumplimiento de una obligación legal. Por exigencia legal, cuando se proceda a la rectificación o supresión de los datos personales, éstos deben bloquearse

Por exigencia legal, cuando se proceda a la rectificación o supresión de los datos personales, éstos deben bloquearse.

El final de la relación laboral conlleva la desaparición de la base jurídica que justificaba el tratamiento de datos.

Derecho a la limitación del tratamiento (art. 18 RGPD). La limitación del tratamiento consiste en “el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro” (art. 4.3 del RGPD) Es un derecho de las personas trabajadoras que se puede ejercer frente al empleador, en las situaciones siguientes:

Inexactitud de los datos personales puesta de manifiesto por la persona trabajadora, produciéndose la limitación del tratamiento durante un plazo que permita al responsable la pertinente verificación.

Ilicitud del tratamiento por parte del empleador con petición de la persona trabajadora de limitación de uso y no de supresión de los datos.

Cuando los datos personales ya no son necesarios para los fines del tratamiento, pero existe interés de la persona trabajadora en su conservación para la formulación, el ejercicio o la defensa de reclamaciones.

Oposición al tratamiento de datos por parte de la persona trabajadora mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del afectado.

Las personas trabajadoras tienen derecho a ser informadas acerca de cualquier rectificación o supresión de datos personales o limitación del tratamiento, así como del levantamiento de la limitación.

Derecho a la portabilidad de los datos (art. 20 RGPD).

la persona trabajadora tiene derecho a recibir los datos personales que, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento.

Derecho de oposición (art. 21 RGPD). Cuando la base jurídica del tratamiento de las personas trabajadoras sea la satisfacción de intereses legítimos perseguidos por la propia empresa o por un tercero o una misión realizada en interés público, aquellas podrán       ejercer el derecho de oposición ante la empresa que estará obligada a dejar de tratar los datos, salvo que acredite motivos legítimos que prevalezcan.

Derecho a no ser objeto de decisiones individuales automatizadas (art. 22 RGPD). Este derecho pretende garantizar que el afectado no sea objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de forma similar.

Aborda también el principio de minimización que exige que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (art. 5 del RGPD). Además, El RGPD y la LOPDGDD incluyen el deber de seguridad junto con el deber de secreto dentro de los principios de la protección de datos.

Por tanto, el empleador tiene derecho a conocer los datos personales necesarios para el normal desarrollo de la relación laboral, entre ellos, y a título meramente ejemplificativo y no limitativo, los siguientes:

◤ Nombre y apellidos de la persona trabajadora

◤ Sexo

◤ Número de DNI, número de identificación de extranjero y número de afiliación a la Seguridad Social

◤ Nacionalidad

◤ Discapacidad

◤ Fecha de nacimiento

Todos esos datos pueden tener repercusión directa en el cumplimiento de las obligaciones empresariales, por ejemplo, en materia de actos de encuadramiento afiliación, alta y cotización de la Seguridad Social para la comprobación de que la persona trabajadora cumple los requisitos pertinentes para celebrar el contrato entre otros.

Sin embargo, otros datos personales no resultan imprescindibles para la ejecución del contrato de trabajo, como, por ejemplo, el nombre de usuario en las redes sociales o en servicios de mensajería o portales de internet.

El RGPD y la LOPDGDD incluyen el deber de seguridad junto con el deber de secreto dentro de los principios de la protección de datos.

En concreto, el art. 5 de la LOPDGDD establece:

  1. Los responsables y encargados del tratamiento y todas las personas que intervengan en cualquier fase del tratamiento estarán sujetas al deber de confidencialidad.
  2. La obligación general de confidencialidad será complementaria de los deberes de secreto profesional.
  3. Las obligaciones de confidencialidad y de secreto profesional se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o el encargado del tratamiento.

Ambos deberes resultan necesarios y constituyen una garantía para el derecho fundamental a la protección de datos.

Las medidas de seguridad deben garantizar, además de la confidencialidad, la disponibilidad de los datos, y con ella su recuperación ante cualquier evento, y su integridad, protegiéndolos frente a cualquier manipulación no autorizada.

Para el adecuado cumplimiento de estos dos deberes resulta ineludible disponer de políticas de gestión de personal en los que se definan de modo muy claro los perfiles funcionales de cada puesto, y de procedimientos de formación del personal.

Por todo ello es muy recomendable:

  1. a) Diseñar las funciones y responsabilidades de la plantilla de personal en función de su relación con el tratamiento de datos personales.
  2. b) Formar adecuadamente a las personas trabajadoras teniendo en cuenta su distinto grado de responsabilidad y garantizando que conozcan sus deberes de seguridad y secreto. La formación debe contribuir a crear una cultura de compromiso con la protección de datos.
  3. c) Advertir y formar, incluso a aquellas personas trabajadoras que no teniendo una relación directa con los sistemas de información y los tratamientos de datos personales puedan poner en peligro el secreto o la seguridad de los datos (por ejemplo, el personal de limpieza).
  4. d) Valorar la conveniencia de designar a un delegado de protección de datos (por ejemplo, empresa, o grupo empresarial), con un experto formado en la materia que pueda asesorar al en el cumplimiento de la normativa y el principio de responsabilidad proactiva de los responsables del tratamiento

En el apartado de selección de personal y redes sociales, la Agencia detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y para ello será necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Por otro lado, la Agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles.

En cuanto a los sistemas internos de denuncias o whistleblowing, la Agencia considera que la información tanto a los denunciantes como a los potenciales denunciados reviste un carácter primordial. La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.

En lo referente al registro de jornada obligatorio, la Agencia recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible. Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo, pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica.

La guía también incorpora una novedad relevante sobre el derecho del comité de empresa a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo. Esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías de la normativa de protección de datos.

Otro de los aspectos que aborda el documento es la difusión de las ayudas concedidas por acción social, especificando que las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público. En el caso de que las ayudas se vinculen con categorías especiales de datos (por ejemplo, ayudas por hijos con discapacidad) la publicidad de la concesión de la ayuda no ha de permitir la identificación del afectado.

La guía ‘Protección de datos y relaciones laborales’ también aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género y determina que sus datos personales y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. Así, recoge que deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas. Además, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales, pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora.

La Agencia también aborda en la guía la tecnología wearable. La AEPD indica que monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, está, por lo general, prohibida, a menos que esté establecida por ley o reglamentariamente, dado que no se enmarca en la vigilancia de la salud propia de la prevención de riesgos laborales, supone el tratamiento de una categoría especial de datos (salud) sin una base jurídica, no cuenta con una finalidad legítima y vulnera el principio de proporcionalidad, dado que conlleva una monitorización permanente y permitiría al empleador acceder a datos de salud específicos, y no exclusivamente a la valoración sobre la aptitud para desempeñar el trabajo.