El pasado mes de mayo la Agencia Española de Protección de Datos (AEPD) publicó una Guía sobre protección de datos en las relaciones laborales para facilitar el cumplimiento de la legislación, elaborada con la participación del Ministerio del Trabajo y Economía Social, así como de la patronal y las organizaciones sindicales que pretende dar una serie de orientaciones a los responsables del tratamiento de datos personales y a las personas o entidades encargadas de éste.
La guía se divide en seis apartados:
- Aspectos generales
- Selección y contratación
- Desarrollo de la relación laboral
- Control de la actividad laboral
- Representación unitaria y sindical de las personas trabajadoras
- Vigilancia de la salud
A continuación, vamos a hacer un resumen de algunos de los puntos más importantes.
- Como norma general deberán usarse los datos del trabajador para ejecutar y hacer cumplir con lo dispuesto en el contrato de trabajo y para exigir responsabilidades derivadas del mismo. El consentimiento del afectado podrá no considerarse una base jurídica válida en tanto que la AEPD entiende que puede existir un “contexto de «desequilibro claro entre el interesado y el responsable del tratamiento». La posición de desequilibrio entre la empresa y la persona trabajadora exige extremar las cautelas y, en particular, el respeto a los principios de proporcionalidad y de limitación de la finalidad”.
- Se presume licito el tratamiento de los datos de contacto y, en su caso, los relativos a la función o puesto desempeñado por el trabajador (por ejemplo, para poner en contacto al trabajador con otra organización), siempre que se cumplan una serie de requisitos:
- Que el tratamiento se refiera únicamente a datos necesarios para su localización profesional, como el nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, el teléfono y el número de fax profesionales.
- Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la organización en la que el trabajador afectado preste sus servicios (relaciones «business to business», B2B).
- En el supuesto de que la base jurídica del tratamiento sea el consentimiento expreso, éste debe ser en todo caso inequívoco, de modo que requiere una manifestación del afectado o una clara acción afirmativa por parte del trabajador. Asimismo, debe ser libre y específico, no siendo lícita la sustitución del consentimiento individual por un consentimiento indirecto y plural mediante la negociación colectiva.
- El final de la relación laboral conlleva la desaparición de la base jurídica que justificaba el tratamiento de datos. Si bien, cuando se supriman tales datos, éstos deben mantenerse bloqueados durante el plazo de prescripción de las distintas responsabilidades que hayan podido derivarse del tratamiento. Hay que tener en cuenta que cuando el plazo de prescripción no exista (sic), o cuando sea inferior a un año, debemos acudir a los plazos de prescripción de las infracciones de Ley Orgánica de Protección de datos (“LOPDGDD”) que en el caso de las muy graves es de tres años (art. 78), sin perjuicio de que pudieran derivarse otras obligaciones o responsabilidades, por ejemplo, en el marco de procedimientos administrativos o judiciales.
- Durante el proceso de selección, deben tenerse en cuenta una serie de cautelas:
- Deberá incluirse la información en materia de protección de datos en el anuncio o convocatoria pública.
- Si el CV es presentado directamente por el candidato/a sin que se le haya solicitado, deben fijarse procedimientos de información que supongan algún acuse o confirmación de que se ha proporcionado la información de protección de datos.
- La empresa es responsable de la custodia de la documentación entregada que contenga datos personales.
- Únicamente cabe solicitar datos relevantes para el desempeño del puesto de trabajo y no información indiscriminada.
- Las valoraciones subjetivas tomadas en el proceso de selección son consideradas datos personales
- La indagación en los perfiles de redes sociales de las personas candidatas a un empleo sólo se justifica si están relacionados con fines profesionales. El tratamiento de los datos obtenidos por esta vía únicamente será posible cuando se demuestre que dicho tratamiento es necesario y pertinente para desempeñar el trabajo, en cuyo caso, la debe informarse previamente sobre ese tratamiento al candidato/a.
- La empresa no puede solicitar «amistad» a personas candidatas para acceder a los contenidos de sus perfiles. Tampoco está legitimada para solicitar información que el candidato/a o trabajador/a comparta con otras personas a través de las redes sociales.
- En la entrevista de trabajo, a los candidatos/as no se les debe someter a preguntas familiares y personales ajenas al trabajo a desempeñar, ya que supondría una conducta discriminatoria.
- El tratamiento de datos obtenidos mediante la realización de test psicotécnicos, de personalidad o pruebas psicológicas exigen el consentimiento del afectado/a. Éste, además, podrá acceder a los resultados y conocer los criterios de selección utilizados. Los datos obtenidos de estas pruebas constituyen datos de salud y, por tanto, especialmente sensibles.
- Concluido el proceso de selección, si el candidato no es contratado, como norma general será necesario su consentimiento para un futuro tratamiento de sus datos. En caso contrario, se deberá destruir el CV y bloquear los datos personales.
- En aquellos casos en que las agencias de colocación y empresas de selección contacten con las personas candidatas antes de disponer de ofertas de empleo concretas, y por tanto sin un contrato como encargadas del tratamiento previamente celebrado con otra empresa, serán consideradas responsables del tratamiento de los datos de la persona candidata.
- Podrá exigirse que los trabajadores porten tarjetas identificativas, siempre que se den los siguientes elementos:
- Se trate de actividades de cara al público o por razones de seguridad;
- Que la información incluida sea la mínima imprescindible.
- En las nóminas no debe figurar información superflua o adicional, diferente a la relación de ingresos y deducciones derivadas del contrato de trabajo. En particular, no debe incluirse la mención a la afiliación sindical en el recibo de salarios, siendo recomendable que el eventual descuento de la cuota sindical se identificase de manera que no permitiera a terceros conocer esa información.
- Los datos de categorías especiales (salud, orientación sexual, raza, opiniones políticas, religión, afiliación sindical o los datos biométricos dirigidos a identificar a una persona, etc.) sólo podrán tratarse en las siguientes circunstancias:
- Que se disponga del consentimiento del afectado, salvo que una norma expresamente prohíba el tratamiento aun con consentimiento.
- Que sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito del Derecho laboral y de la seguridad y protección social.
- Que sea necesario para proteger intereses vitales del interesado.
- Que se traten datos que el interesado ha hecho manifiestamente públicos.
- Que sea necesario para el ejercicio del derecho de defensa o para el ejercicio de la función judicial.
- Que sea necesario para fines de medicina preventiva o laboral, para la evaluación de la capacidad laboral del trabajador, diagnóstico médico o situaciones análogas. Si bien, la publicación de estos datos no ha de permitir la identificación del interesado.
- Si se tratan datos biométricos como, por ejemplo, la huella dactilar, para el fichaje, se utilizarán por la persona trabajadora terminales en los que será necesario tanto la aproximación de la tarjeta como la lectura de la huella.
- La empresa no puede instalar un sistema de videovigilancia sin informar previamente. Así, si la empresa instala un nuevo sistema de control de presencia basado en el uso de dispositivos de videovigilancia, será necesario informar a las personas trabajadoras en todos aquellos casos en los que se produzcan cambios que afecten al tratamiento de los datos personales.
- Sistemas internos de denuncias o whistleblowing: La LOPDGDD admite sistemas de denuncias anónimas aunque puntualiza que en el caso de que la denuncia no sea anónima, “la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado”. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo. El acceso a los datos debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento, o al encargado del tratamiento, que eventualmente se designe a tal efecto.
- Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante. En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses.
- Deber de registrar la jornada, pero no la localización del empleado. Se recomienda la adopción del sistema de registro de jornada menos invasivo posible, sin que sea de acceso público ni visible para todos. De igual forma, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación.
- Se recuerda la prohibición de las empresas de publicar el listado de ayudas adjudicadas y denegadas a las personas empleadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público. Asimismo, se aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes de violencia de género, otorgando, con carácter general, la categoría especial de datos personales y, en todo caso, considerándolos datos sensibles que exigen una protección reforzada. Así, en ambos casos sólo procederá la comunicación de aquellos datos personales que sean necesarios para desarrollar el cometido que tienen atribuido y en la medida en que resulte imprescindible para el ejercicio de sus funciones.
- El registro de salarios de igualdad retributiva de hombres y mujeres es una obligación legal, por lo que no requiere de consentimiento de los trabajadores. Pero ello no justifica el tratamiento de datos personales, por lo que, en dichos registros, han de constar los valores medios de los salarios, complementos salariales y percepciones extrasalariales de la plantilla.
- Un grupo de empresas no constituye una persona jurídica, cada empresa tiene su personalidad jurídica y puede ser considerada responsable del tratamiento, a pesar de que el RGPD admita la designación de un delegado de protección de datos (DPO) único para todas ellas. Para que pueda realizarse una cesión de datos entre empresas del mismo grupo es necesario acreditar un interés legítimo (que puede consistir en la centralización de las actividades administrativas). Cuando el grupo de empresas sea el empleador único, dicha comunicación de datos podrá ampararse en la ejecución del contrato.
Puede ampliar información consultando la Guía sobre protección de datos en las relaciones laborales para facilitar el cumplimiento de la legislación aquí: https://www.aepd.es/es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf.