La Agencia Española de Protección de Datos (AEPD) ha publicado una guía sobre protección de datos en las relaciones laborales para facilitar el cumplimiento de la legislación, con un gran detalle de tratamientos y ejemplos. Este documento ha sido elaborado con la participación del Ministerio del Trabajo y Economía Social, así como de la patronal y las organizaciones sindicales. El organismo recuerda que se trata de una “orientación de carácter práctico, no vinculante”.
La guía está dividida en apartados donde se desarrolla cómo debería producirse el tratamiento de datos por parte de los departamentos de Recursos Humanos de las empresas, la prevención de riesgos laborales, los controles empresariales, las relaciones con los sindicatos (en cuanto a comunicación de datos, tablones, censos, etc.), los deberes de los trabajadores que accedan a datos personales y las transferencias internacionales de datos.
El consentimiento no es una base legítima para tratar los datos de los trabajadores
El documento comienza incluyendo una explicación de las bases que legitiman el tratamiento de datos personales. El organismo aclara que la única base jurídica legítima para el tratamiento de datos es la ejecución de un contrato de trabajo, aunque subraya que también es lícito para cumplir con las exigencias impuestas por la ley o por un convenio colectivo. Así, por ejemplo, una empresa podrá pedir a las personas trabajadoras que acrediten que tienen el permiso de conducir en caso de necesitarlo para el puesto, pero el responsable del tratamiento no está legitimado para utilizar los datos de contacto con el fin de enviar información comercial o publicitaria al “contacto”.
Asimismo, la AEPD es firme al considerar que, en una posición de desequilibrio como lo es la que existe entre la empresa y la persona trabajadora, “es muy poco probable que el consentimiento constituya una base jurídica para el tratamiento de datos en el trabajo, a no ser que los trabajadores puedan negarse sin consecuencias adversas”.
Derechos de información y protección de los datos personales
En relación con la información que es necesario facilitar y los derechos de protección de datos aplicados al entorno laboral, la guía no establece grandes novedades. Así, por un lado, el responsable del tratamiento deberá “informar a las personas trabajadoras, de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre el tratamiento de datos que está llevando a cabo”. Por otro lado, el final de la relación laboral conllevará la desaparición de la base jurídica que justificaba el tratamiento de datos, aunque tal y como indica la guía, el período de bloqueo dependerá de la “prescripción de las acciones para la exigencia de responsabilidades derivadas del tratamiento” que, en el caso de las obligaciones tributarias es de cuatro años.
Deberes de secreto y seguridad
En los últimos meses, la AEPD ha sancionado a varias empresas por tirar documentos con datos de sus trabajadores a la basura.
En esta guía, la agencia recoge los deberes de secreto y seguridad, es decir, que los datos personales sólo sean conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos, indicando cuáles son los límites al tratamiento de datos en los procesos de selección y contratación de personal.
Comienzo de la relación laboral
El primer tratamiento de datos personales se producirá normalmente durante el proceso de selección para un puesto de trabajo, que no exige consentimiento (artículo
6.1.b RGPD). La guía aconseja disponer de impresos tipo para la formalización del currículo de las personas candidatas, además de ello “permite no sólo informar adecuadamente, sino también definir con precisión el tipo de datos a tratar, establecer las medidas de seguridad, etc”. Además, el tratamiento de datos con otros fines que no sean el proceso de reclutamiento exigirá otra base jurídica, por lo que no se pueden utilizar los datos de contacto del currículum con fines comerciales o publicitarios.
El empleador no puede consultar las redes sociales de las personas empleadas o candidatas
En cuanto a las redes sociales, “las personas candidatas y las personas trabajadoras no están obligadas a permitir la indagación del empleador en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato”. El documento aclara que aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, “el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida”. Para ello será necesario informar a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Además, el organismo niega que la empresa esté legitimada para solicitar “amistad” a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles.
La empresa no puede instalar un sistema de videovigilancia sin informar previamente
En lo referente al desarrollo de la relación laboral, la agencia considera que esta puede estar sujeta a cambios sobrevenidos, tanto desde el punto de vista de la persona trabajadora como desde la perspectiva del empleador. Así, si la empresa instala un nuevo sistema de control de presencia basado en el uso de dispositivos de videovigilancia, será necesario informar a las personas trabajadoras en todos aquellos casos en los que se produzcan cambios que afecten al tratamiento de los datos personales.
No obstante, los datos de las personas trabajadoras han de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, no siendo lícito el “tratamiento de datos superfluos o excesivos, especialmente cuando por esa vía el empleador pudiera conocer otra información adicional de forma no justificada”.
Sistemas internos de denuncias o whistleblowing
La LOPDGDD admite sistemas de denuncias anónimas aunque puntualiza que en el caso de que la denuncia no sea anónima, “la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado”. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.
Deber de registrar la jornada, no la localización del empleado
La Agencia recomienda que se adopte el sistema de registro de jornada menos invasivo posible, sin que sea de acceso público ni visible para todos. Asimismo, establece que los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad del registro es comprobar cuándo comienza y finaliza su tiempo de trabajo pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica.
Datos acerca de ayudas, acoso en el trabajo y violencia de género
La guía recuerda la prohibición de las empresas a publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público.
La agencia también aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes de violencia de género, otorgando, con carácter general, la categoría especial de datos personales y, en todo caso, considerándolos datos sensibles que exigen una protección reforzada.
Así, en ambos casos sólo procederá la comunicación de aquellos datos personales que sean necesarios para desarrollar el cometido que tienen atribuido y en la medida en que resulte imprescindible para el ejercicio de sus funciones.
Extinción de la relación laboral
El derecho a la protección de datos incide también en el momento de extinción de la relación laboral. Así, por ejemplo, el pasado abril la AEPD multó con 900 euros a una peluquería por facilitar a otra empresa la carta de despido y el documento de liquidación de un antiguo trabajador.
En la guía, la agencia hace hincapié en que la empresa deberá implementar las medidas de seguridad necesarias para que las cartas de despido no sean accesibles a terceros no legitimados; bloquear los datos si no existe interés legítimo para continuar con su tratamiento; así como recabar el consentimiento de la persona trabajadora si se prevé contactar con ella en el futuro.