Scroll to top
© 2017, Norebro theme by Colabr.io
en es

Nota informativa | Análisis de la Guía de la AEPD sobre «Protección de datos y relaciones laborales»

El pasado 18 de mayo, la Agencia Española de Protección de Datos (“AEPD”) publicó una nueva guía sobre “Protección de datos y relaciones laborales”, cuyo objetivo es servir de herramienta práctica y consultiva para facilitar a las organizaciones públicas y empresas privadas el cumplimiento de la normativa actual, en materia de protección de datos.

Esta Guía establece una serie de pautas y recomendaciones para los encargados y responsables del tratamiento de datos personales en el entorno laboral.

Si lo prefieres puedes descargar el PDF con la nota informativa aquí

 

Nota informativa | Protección de datos y relaciones laborales

 

Esta Guía tiene como objetivo es servir de herramienta práctica y consultiva, para facilitar el cumplimiento de la normativa actual de protección de datos a las organizaciones públicas y empresas privadas (responsables o encargadas del tratamiento de datos).

Aunque dicha guía no es de carácter vinculante, establece una serie de pautas y recomendaciones que deberán ser tenidas por los diferentes actores que traten datos de carácter personal en entornos laborales.

En una primera instancia, la guía aborda aspectos de carácter general respectivos a la protección de datos en el ámbito laboral y, posteriormente, divide en secciones específicas las distintas fases de las relaciones de carácter laboral. En particular, divide dichas secciones en las siguientes fases:

  • Selección y contratación
  • Desarrollo de la relación laboral
  • Control de la actividad laboral
  • Representación unitaria y sindical de las personas trabajadoras
  • Vigilancia de la salud

A continuación, respecto a los apartados específicos anteriormente enunciados, nos detendremos a examinar aquellos que resultan relevantes al suponer, o bien una novedad regulada en el nuevo marco normativo, o bien por su aplicabilidad práctica.

Selección de personal y Redes Sociales

Durante la fase previa a la contratación, la AEPD establece que una serie de cautelas en el tratamiento de los datos de carácter personal de los candidatos en procesos de selección, entre ellas las siguientes:

  • En primer lugar, viene a indicar que la base jurídica es la del art. 6.1.b) del RGPD y, por tanto, para tratar dichos datos no es necesario la obtención del consentimiento del candidato.
  • Por otra parte, recomienda entregar impresos de modelos de currículos tipo en el que se incluyan cláusulas informativas en las cuales se definan los datos a tratar, las medidas de seguridad, entre otras cuestiones.
  • Asimismo, cuando la selección se realiza mediante anuncio o convocatoria pública, se establece que deberían incluirse en ella la información del art. 13 del RGPD.
  • Cuando el currículo lo presenta directamente el candidato sin habérselo solicitado, deben fijarse procedimientos que supongan una confirmación de que se han conocido las condiciones del tratamiento.
  • Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de datos, por lo que sería necesario su consentimiento para un futuro tratamiento.

En relación con el uso de las redes sociales, la AEPD establece, en primer lugar, que las personas candidatas no están obligadas a permitir que el empleador indague en sus redes sociales.

Además, especifica que, aunque el perfil en redes sociales sea de acceso público, el empleador solo podrá tratar los datos obtenidos por esta vía cuando cuente con una base jurídica válida, informe a la persona afectada y demuestre la necesidad y pertinencia de dicho tratamiento para desempeñar el trabajo.

Del mismo modo, la AEPD destaca que la empresa no está legitimada para solicitar «amistad» en las redes sociales a las personas candidatas, ni solicitar el acceso a la información compartida en redes sociales.

Sistemas internos de denuncias o ‘whistleblowing’

La AEPD establece que resulta primordial informar previamente tanto a los denunciantes como a potenciales denunciados acerca de la existencia de sistemas de denuncias internos.

Por otra parte, establece que el acceso a estos datos debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento, o al encargado del tratamiento. Así, únicamente el personal con funciones de gestión y control de recursos humanos podrá acceder a dichos datos en caso de procedimientos disciplinarios.

Los datos en cuestión deberán suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias, sin que se aplique la obligación de bloqueo, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica.

Registro de jornada laboral y salarios

De conformidad con lo dispuesto en el art. 34.9 del ET, en su redacción dada por el RD-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, todas las empresas deben contar con un registro de jornada laboral.

La base jurídica que legitima dicho tratamiento se encuentra en la obligación legal de incluir el horario laboral concreto de inicio a fin de cada persona trabajadora.

La AEPD recomienda adoptar el sistema de registro de trabajo menos invasivo posible y que este no sea de acceso público ni este situado en un lugar visible para cualquier persona trabajadora, clientes o proveedores. Además, establece el deber de que dicho registro se encuentre incluido en el Registro de Actividades de Tratamiento (art. 30 RGPD).

Dichos datos únicamente podrán utilizarse para finalidades relacionadas con el control de la jornada de trabajo, por lo que no será posible comprobar la ubicación del empleado mediante sistemas de geolocalización, puesto que la finalidad del tratamiento no es otra que la de comprobar cuándo el trabajador comienza y finaliza su jornada laboral y no el lugar donde desarrolla la misma.

Por otro lado, respecto a la obligación legal de que todo empleador a llevar un registro de salario (art.28 del ET), la AEPD, entre otras cuestiones, indica que dicho registro no justifica el tratamiento de datos personales y la norma que lo regula no es base jurídica para ello, pues en dicho registro no ha de constar el salario de cada persona, sino los «valores medios».

A este respecto, se establece que en dicho registro los datos deben figurar de forma disociada y, por tanto, no deben constar datos personales ni contener información que permita identificar a una persona.

Concesión y gestión de solicitudes de suspensión, excedencias y modificaciones de jornadas

El tratamiento de datos personales de los empleados por parte de la empresa es necesario para la concesión y gestión de solicitudes relativas a la suspensión del contrato (suspensión y excedencias, arts. 45 a 47 del ET), permisos (art.37 del ET) y modificaciones de jornada (art. 34.8 del ET), que tienen como finalidad articular de derechos de conciliación de la vida laboral, personal y familiar.

La base jurídica de dichos tratamientos vendrá legitimada por resultar un tratamiento necesario para la ejecución de un contrato en el que la persona trabajadora es parte en relación con el cumplimiento de una obligación legal aplicable al responsable del tratamiento (arts. 6.1.b) y c) del RGPD).

En cuanto al tratamiento de categorías especiales de datos, la circunstancia que exceptúa la prohibición general de su tratamiento es la prevista en el artículo 9.2.b) del RGPD. Los convenios colectivos podrán establecer garantías específicas para el respeto de los derechos fundamentales y de los intereses de los afectados.

Protección de la privacidad de las víctimas de acoso en el trabajo y de mujeres supervivientes a la violencia de género

La AEPD determina que los datos personales de las víctimas de acoso laboral, así como de mujeres supervivientes a la violencia de género, concretamente su identidad tiene, con carácter general, la consideración de categorías especiales de datos personales que exigen una protección reforzada.

Con el objetivo de preservar la identidad de dichas personas, la Agencia indica que será necesario asignar un código identificativo o de referencia tanto a la persona supuestamente acosada como a la acosadora, así como a las víctimas de violencia de género, cuyos datos podrán ser tratados cuando resulte necesario para el cumplimiento de obligaciones legales.

Finalmente, a diferencia de las situaciones de acoso, las mujeres víctima de género a la violencia de género, pueden ejercitar el derecho de supresión en cualquier momento.

Control empresarial

La implantación de tecnologías en los centros de trabajo, tales como, controles biométricos, huella dactilar, geolocalización, videovigilancia, entre otros, puede incrementar el grado de afectación de los derechos de los empleados. Para ello, será necesario realizar un test de proporcionalidad, en el cual se evalúe la idoneidad, necesidad y proporcionalidad.

En relación con los controles de acceso, la empresa no necesita el consentimiento de los trabajadores para implementar dicha medida, puesto que la base jurídica del tratamiento del tratamiento de datos puede ser el contrato de trabajo (art. 20.3 del ET), cuando la finalidad consiste en el control de las personas trabajadoras, pero también podría ser el interés legítimo del empleador, por ejemplo, si el propósito fuera la protección de los bienes empresariales.

Por otro lado, la AEPD establece que la videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros que sean menos invasivos a la privacidad. Dicho tratamiento no requiere consentimiento, puesto que la base jurídica para el control de las personas trabajadoras mediante dichos medios es el contrato de trabajo y las facultades legales de control concedidas al empleador.

La empresa debe informar con carácter previo, de forma explicita, clara y concisa, acerca de utilización de este tipo de medidas, quedando prohibida la instalación de cámaras en lugares de descanso o esparcimiento.

Finalmente, en relación con sistemas de geolocalización (art.90 LOPDGDD), la base jurídica, no es el consentimiento, sino el contrato de trabajo y las facultades de control atribuidas legalmente a los empleadores.

Representación unitaria y sindical de las personas trabajadoras

Respecto al derecho de información de los representantes legales de los empleados, se establece como novedad el derecho del comité de empresa a ser informado por los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo (aprobado por el RD-ley 9/2021, que modifica el Estatuto de los Trabajadores).

Vigilancia de la Salud

Con respecto a la vigilancia de la salud, la AEPD establece que la base jurídica de dicho tratamiento, no es el consentimiento, sino la ejecución contrato de trabajo (art. 6.1.b RGPD) y el cumplimiento de las obligaciones legales (art. 6.1.c RGPD) en materia de prevención.

Por último, conviene tener en cuenta que el empleador no se encuentra legitimado para conocer el diagnostico médico, sino para conocer si es «apto» o «no apto» para desempeñar el puesto de trabajo.

Uso de la tecnología weareble

La monitorización de los datos de salud a través de dispositivos inteligentes, no se enmarca en la vigilancia de la salud, ni tampoco supone un tratamiento con base jurídica ni finalidad legítima.

Dicho tratamiento, con carácter general, se encuentra prohibido, a menos se encuentre establecido por ley o reglamentariamente.

Tal y como hemos manifestado con anterioridad, aunque la guía no sea de carácter vinculante, en caso de tratamiento de datos de carácter personal en entornos laborales, conviene adaptarse a las recomendaciones realizadas por la AEPD, así como aplicar medidas que resulten necesarias para cumplir con las obligaciones en materia de protección de datos en este ámbito.

Descarga el PDF aquí.

 

 

Estefania - Metricson Artículo escrito por:

Estefanía Asensio – Abogada especialista en Propiedad Intelectual e Industrial y nuevas tecnologías

estefania.asensio@metricson.com

 

 

 

Metricson es una firma de servicios legales especializada en negocios tecnológicos e innovadores. Somos especialistas en protección de datos, privacidad y derecho tecnológico y ayudamos a empresas de todo el mundo a desarrollar y proteger su actividad con las máximas garantías legales.

Si quieres más información o quieres saber más acerca de nuestros servicios, no dudes en ponerte en contacto con nosotros aquí

Related posts

Post a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *