Logo de la Universdad de Valencia Logo Cátedra en Economía Colaborativa y Transformación Digital UV Logo del portal

Guía de la AEPD para la protección de datos en las relaciones laborales

  • 3 septiembre de 2021
La protección de datos en las relaciones laborales

La Agencia Española de Protección de Datos es la autoridad española de control encargada de promover y sensibilizar sobre la comprensión de riesgos, normas y garantías en relación con el tratamiento de datos. Aquí presentamos un breve resumen de la guía que se publicó sobre la protección de datos en las relaciones laborales, que pretende proporcionar una orientación práctica para facilitar a los responsables del tratamiento el cumplimiento de la legislación. Asimismo, también podéis encontrar el libro de Adrián Todolí y Miguel Rodríguez-Piñero sobre la temática “Vigilancia i Control en el Derecho del Trabajo Digital”.

ASPECTOS GENERALES

 

¿A qué nos referimos al hablar de “tratamiento”?

Hablamos de “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no…”. No considerándose tratamiento de datos sometido al RGPD ni a la LOPDGDD el realizado en el ejercicio de actividades exclusivamente personales o domésticas.

¿Qué entiende la ley por dato?

El Artículo 4 del RGPD indica que es «toda información relativa a una persona física identificada o identificable» (el nombre completo, año de nacimiento, los datos de localización o cualquier tipo de información relacionada con la persona). Existen otro tipo de datos que, aunque tengan relación con la persona, su tratamiento queda prohibido siempre que no sea necesario para cumplir ciertas obligaciones o ejercer derechos específicos del responsable del tratamiento, se conocen como categorías especiales de datos y vienen regulados en el Artículo 9 del RGPD.

La base jurídica

A la hora de tratar datos personales se necesita una base jurídica, en las relaciones laborales esa base es la ejecución del contrato de trabajo. No obstante, el hecho de que exista un desequilibrio entre empresa y trabajador hace que el consentimiento de la persona afectada no se consolide como base jurídica suficiente para el tratamiento de datos en el trabajo. En opinión del GT ART 29, los empresarios deberán basarse en otro fundamento jurídico, debiendo respetarse los principios de proporcionalidad y de limitación.

¿Cómo deben ser los datos?

La propia ley exige que los datos personales sean adecuados, pertinentes y limitados a lo necesario para el fin para que se tratan. Por tanto, el nombre, DNI o la existencia de discapacidad o no, sí son necesarios para el establecimiento de la relación contractual pero el nombre de usuario en redes sociales no es imprescindible, necesitándose de una base jurídica distinta que autorice el tratamiento de ese dato. Para cada caso se deberá determinar qué datos son o no necesarios, estableciendo así que basé jurídica se alega para el tratamiento (consentimiento, contrato o el interés legítimo). “En determinados casos, el empleador puede acreditar un interés legítimo que justifique la necesidad de recoger la dirección de correo electrónico y el número de teléfono particulares de la persona trabajadora, sin que puedan utilizarse posteriormente para fines distintos de aquéllos que motivaron dicha recogida”.

También será licito el tratamiento cuando sea necesario para cumplir con una obligación legal o para satisfacer intereses legítimos. Este último caso ha de tratarse con cautela, pues se deberá ponderar el efecto que pueda tener ese tratamiento sobre los derechos y libertades fundamentales del interesado, aplicándose el principio de proporcionalidad y llevándose a cabo de la manera menos intrusiva posible.

Informar a la persona afectada

Mantener informado al afectado sobre el tratamiento de sus datos es una obligación y debe hacerse con un lenguaje claro, conciso y sencillo, de fácil acceso. Puede incluirse una cláusula en el contrato de trabajo, o bien anexar un documento al mismo en el que se informe del tratamiento.

Señala la AEPD que, si se desea obtener el consentimiento para el tratamiento de datos distintos no necesarios para el cumplimiento del contrato de trabajo, no debe aprovecharse la firma del contrato como autorización del interesado. En cambio, debe anexarse otro documento en el que se solicite el consentimiento a la persona en cuestión, ya que no está comprendido dentro de la relación laboral.

Los derechos una vez iniciada la relación contractual

La Ley da la posibilidad de ejercer los derechos tanto de acceso, pudiendo obtener una copia de los datos personales objeto de tratamiento; de rectificación de los datos inexactos o incompletos; de supresión de aquellos que no sean necesarios (por ejemplo, si finaliza la relación laboral) o sobre los que no exista consentimiento para su tratamiento bien porque se ha retirado o porque es ilícito; así como cuando los datos debieran estar ya suprimidos. En el caso de que se solicite la rectificación o supresión deberán bloquearse los datos, de forma que no podrán ser manipulados ni alterados, tan solo puestos a disposición en el caso de que la autoridad lo requiera. Existen otros derechos como son el de la limitación al tratamiento o la portabilidad de los datos, pero el más destacado y quizá el que mayor relevancia tenga hoy en día es el de no ser objeto de decisiones automatizadas.

¿Qué son las decisiones automatizadas?

Hacen referencia a la elaboración de perfiles, utilización de inteligencia artificial en las decisiones y demás usos y aplicaciones tecnológicas. Lo que se pretende garantizar es que nunca se someterá la elección al criterio único de la tecnología, siempre existirá el derecho del afectado a la intervención humana.

El deber de seguridad y secreto

La norma incluye este deber dentro de los principios de la protección de datos. “El secreto y la confidencialidad aseguran que los datos personales solo sean conocidos por el afectado y por aquellos usuarios de la organización cuyo perfil les atribuye competencia para usar, consultar, modificar o incluir los datos en los sistemas de información”.

La AEPD recomienda formar a las personas que traten con datos para que conozcan los deberes de seguridad y secreto, así como a aquellas que no teniendo una relación directa con el tratamiento puedan poner en peligro el secreto o la seguridad de los datos (por ejemplo, el personal de limpieza).

La transferencia internacional de datos

El RGPD ha simplificado el régimen de transferencias internacionales, por lo que no se requiere notificación a la AEPD “salvo cuando, dada su singularidad, las transferencias son realizadas por un responsable del tratamiento por motivos legítimos e imperiosos” así mismo,  no se requiere la autorización de la AEPD salvo que “ las garantías aportadas para la transferencia se recojan en un contrato que no se ajuste al clausulado tipo aprobado por la Comisión Europea, o adoptado por una autoridad de control y aprobado también por la Comisión Europea, o cuando las garantías se incluyan en acuerdos administrativos para transferencias entre autoridades u organismos públicos”.

 

SELECCIÓN Y CONTRATACIÓN DE PERSONAL

 

A la hora de seleccionar a los mejores candidatos, el RGPD otorga la posibilidad de que se traten datos personales sin el consentimiento del interesado, siempre y cuando sean datos necesarios para llevar a cabo medidas precontractuales o contractuales. Si hubiese datos que se recabasen para otra finalidad, la base jurídica necesaria debería ser distinta.

La empresa puede emplear formularios tipo en los que defina qué datos va a tratar y cuál es la finalidad del tratamiento, cumpliendo así con la obligación que tiene de informar a los interesados. En el caso de publicar anuncios en portales de empleo, estos deben contener información específica sobre el tratamiento.

En ocasiones, la solicitud de datos se extiende más allá de lo necesario.  Por ello, se recuerda en el informe que únicamente podrán solicitarse datos relevantes, cumpliendo así con el principio de minimización de datos.

Los mecanismos para solicitar información

Dichos mecanismos son diversos (consentimiento, interés legítimo, realización de contrato…) y pueden ser combinados en función de las circunstancias. Si se deseara comprobar que la persona en cuestión tiene la experiencia que dice tener, podría (en base al interés legítimo) solicitársele al candidato la vida laboral (pero únicamente del periodo en cuestión, ya que seguiría rigiendo el principio de minimización de datos).

Las redes sociales

Respecto al uso de las redes sociales, la AEPD señala que “La indagación en los perfiles de redes sociales de las personas candidatas a un empleo sólo se justifica si están relacionados con fines profesionales”, debiendo ser informada la persona afectada. El Grupo de Trabajo del Artículo 29 recoge cuestiones interesantes ad hoc sobre el uso de las redes sociales y los procesos de selección de personas en el Dictamen 2/2017 sobre el tratamiento de datos en el trabajo.

El proceso de contratación

Este proceso viene marcado por otro tipo de acciones, preguntas, pruebas y decisiones empresariales para determinar quién entrará a formar parte de la corporación. A la hora de preguntar, no podrán solicitarse datos personales en los procesos de selección, esto provocaría una vulneración del derecho que toda persona tiene a no ser discriminada pudiendo acarrear sanciones administrativas muy graves para la empresa.

¿Y si colaboran dos empresas para encontrar el candidato idóneo?

Actualmente la utilización de ETT’s o Consultoras para poder identificar el mejor talento está a la orden del día. En esos casos, recuerda la AEPD que las empresas de selección actuarán como encargadas del tratamiento y la base jurídica utilizada será la realización de medidas precontractuales. Ahora bien, en el momento que desaparece la necesidad de los datos, estos deberán destruirse y, por tanto, bloquearse o devolverse al responsable del tratamiento (empresa usuaria), según se haya pactado. Puede que deban ser conservados si hay alguna previsión legal que lo exija o si se ha pedido consentimiento al afectado. Así mismo, las ETT’s son empleadoras directas por tanto responsables del tratamiento. Para poder tratar los datos, será necesario siempre el consentimiento del candidato, aunque se trate de empresas que formen un mismo grupo empresarial.

La automatización

En el primer capítulo se comentó el derecho que cualquier persona tiene a no someterse con carácter general a decisiones automatizadas teniendo derecho a que, mediante solicitud previa, pueda intervenir un humano. En los procesos de selección, debido al gran volumen de currículums, recuerda el Grupo de Trabajo del Artículo 29 que sería admisible su utilización para cribarlos. No obstante, no es admisible que las decisiones tomadas por un algoritmo puedan resultar discriminatorias, de ahí la importancia de conocer en base a qué toma o no una decisión el algoritmo empleado. Antes del uso de cualquier algoritmo deberá llevarse a cabo un estudio de evaluación del impacto, detallado en el Artículo 35 del RGPD.

Los datos especiales

También se habló en el primer capítulo de la existencia de datos catalogados como especialmente sensibles, datos especiales. La AEPD pone el foco en dos supuestos: el reconocimiento médico (en el caso de que tenga por finalidad la medicina preventiva o laboral, así como la evaluación de la capacidad laboral del trabajador, no requeriría de consentimiento previo para tratar esos datos) y las pruebas psicológicas, para las cuales sería necesario el consentimiento.

Las pruebas psicológicas pueden suponer una vulneración de la intimidad, por lo que es necesario un análisis de proporcionalidad previo. Además, el candidato tendrá derecho a conocer los resultados de su test, así como los criterios en los que se ha basado la empresa para realizar la selección.

Algo que va filtrando por diversas redes es la utilización de tests genéticos, ADN emocional y denominaciones poco precisas que para la AEPD no son admisibles ya que no tienen base jurídica, no pueden ser proporcionales y permiten indagar tanto en la vida privada del candidato que vulneran su intimidad siendo incompatibles con el principio de minimización de datos.

¿Y si no contratan al candidato?

Se debe recabar el consentimiento para poder almacenar los datos en los archivos de la empresa, ya que la base jurídica empleada para el tratamiento desaparece. Si no puede recabarse el consentimiento del interesado, los datos deben destruirse.

 

DESARROLLO DE LA RELACIÓN LABORAL

 

Las relaciones laborales no son estáticas, los cambios que pueden producirse durante el transcurso de los años son muchos y muy variados, es por ello que es necesario informar sobre cualquier cambio que afecte al tratamiento de datos.

Sin embargo, lo que permanece siempre es la idea de que únicamente deberán recabarse los datos necesarios para el cumplimiento y ejecución del contrato, debiendo ser adecuados, pertinentes y limitados a lo necesario para los fines que son tratados.

La AEPD pone varios ejemplos que ilustran hasta qué punto muchas actuaciones pueden ser ilícitas. Un ejemplo sería el caso de la solicitud al trabajador de su correo o teléfono privado porque el trabajo exige disponibilidad. Una solución más moderada sería facilitarle un teléfono de empresa. Otro ejemplo sería la solicitud de datos fiscales, de la declaración de IRPF… El fin puede ser legítimo si se quiere comprobar, por ejemplo, la competencia desleal. Sin embargo, pueden conocerse datos sensibles sin el consentimiento de la persona.

Algunos principios del tratamiento de datos

El principio de minimización de datos ha de ponerse en relación con la limitación de la finalidad. Debe justificarse la finalidad para la cual se recogen los datos, no pudiendo ser tratados con otra finalidad distinta a la que se recogieron.

El principio de proporcionalidad implica un filtro por el que deben pasar las ordenes empresariales. De esta manera se impide, por ejemplo, que el empresario exija a los empleados tener un perfil en redes sociales creado por él, a pesar de que pueda justificarse su creación por la actividad que desempeña. En la misma línea van las tarjetas identificativas: se puede exigir a los empleados que la lleven siempre que sea una actividad cara al público, siendo la información que en ella se recoja la mínima imprescindible. Además, en el caso de que se integre una fotografía, deberá limitarse la finalidad de tratamiento de esta.

Productividad y nóminas

Durante la actividad laboral, la productividad del trabajador puede condicionar el abono o no de un complemento. Ese rendimiento se suele publicar para que todos conozcan porqué sí o no les corresponde dicha cuantía. A la hora de publicar esta información la base jurídica es clara: satisfacer los intereses legítimos. Sin embargo, previamente debe realizarse una ponderación de los intereses del empleador y los derechos de los afectados. Ahora bien, la publicación debe ser discriminada (únicamente deben tener acceso las personas interesadas garantizándose que no habrá perjuicio para los afectados). Para ello deberán evitarse datos identificativos utilizando códigos que solo conozcan las personas autorizadas.

En lo referente a las nómicas, la información que han de recoger estas no ha de ser superflua o adicional, por ejemplo, “no debería incluirse la mención a la afiliación sindical en el recibo de salarios”.

Datos personales especiales

El tratamiento de estos datos es lícito siempre y cuando medie el consentimiento del afectado y su tratamiento no derive en un acto discriminatorio. También podrán tratarse este tipo de datos: cuando sea necesario para cumplir con las obligaciones y “el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del derecho laboral y de la seguridad y protección social”, para proteger intereses vitales y en el caso de que los datos los haya hecho públicos el propio interesado entre otras cuestiones.

Ninguna empresa podrá exigir a la persona interesada la comunicación de datos relativos a la afiliación sindical, ideología política, creencias religiosas o la orientación sexual. No obstante, en determinadas situaciones las creencias deben ser tenidas en cuenta a la hora de “valorar la procedencia e improcedencia de los despidos”.

Podría considerarse que los datos biométricos (aquellos datos personales que se obtienen de un tratamiento específico de datos relativos a las características de un individuo y que permiten identificarlo de manera única y directa) son datos especiales. No obstante, el RGPD no los califica de esa manera a no ser que se utilicen para identificar de manera unívoca a una persona física. Como siempre, la ley plantea excepciones: no estará prohibido el tratamiento de este tipo de datos cuando sea necesario para el cumplimiento de obligaciones legales del responsable del tratamiento, siempre que se establezcan garantías al interesado.

En los tratamientos de este tipo de datos debe garantizarse la información al interesado. Además, a la hora de diseñar el tratamiento debe implementarse ya una protección previa. En el caso de almacenar los datos, deberán hacerlo siempre con una plantilla cifrada para garantizar que una persona solo pueda ser identificada en los sistemas biométricos que cuenten con una base jurídica para esta operación. El informe añade más condicionantes a la hora de tratar este tipo de datos, como la imposibilidad de reutilizar los datos para otra finalidad distinta o la posibilidad de revocar el vínculo de identidad.

Whistleblowing

La creación de buzones por parte de las empresas es algo cada vez más extendido. El objetivo es que los trabajadores puedan identificar a aquellas personas que atenten contra la ley o el convenio colectivo. La base jurídica de este tipo de sistema es el interés público. Este sistema no escapa a la aplicación del RGPD, por lo que deberá informarse a los denunciantes y potenciales denunciados de la existencia de dicho sistema, bien en el contrato de trabajo, bien de manera individual o colectiva, así como mediante el uso de circulares informativas.

La LOPDDDG admite sistemas de denuncias anónimos. En el caso de que la denuncia no sea anónima se garantiza la confidencialidad del denunciante. En cualquier caso, a la hora de utilizar este tipo de sistemas debe realizarse un juicio de proporcionalidad, además de respetarse el principio de limitación de la finalidad de los datos para no poder utilizar esa información con fines distintos para los que se recabó.

Se debe garantizar el derecho de acceso, rectificación y supresión. Además, los denunciados poseen derecho de oposición y deben poder conocer en el menor tiempo posible, después de llevarse a cabo una investigación preliminar, los hechos por los que se le acusa. En cambio, no tienen derecho a conocer la identidad del denunciante. Asimismo, la conservación de los datos debe limitarse al tiempo necesario de la investigación, pudiendo conservarse por tiempo superior en el caso de que se adopten medidas contra el denunciado.

Registro de jornada

Por ley, las empresas deben contar con un registro de jornada en el que quede constancia de la hora de inicio y fin de cada persona trabajadora. Esos registros deben conservarse por un plazo de 4 años y permanecer a disposición de los interesados, sus representantes legales y la ITSS.

El sistema elegido por la empresa para recoger la información deberá ser el menos invasivo posible. La base legal que fundamenta estas acciones es el cumplimiento de la legalidad vigente, por lo que el consentimiento no es necesario. Uno de los problemas que puede tener el registro horario es la posible utilización de esa información para determinar dónde está o no está, sobre todo en aquellos trabajadores itinerantes. Nunca podrá utilizarse el registro para una finalidad distinta al control de la jornada de trabajo. En función de la configuración del registro horario, la empresa deberá cumplir con exigencias diferentes en materia de protección de datos.

Registro salarial

El registro de salarios es obligatorio por ley. Sin embargo, no ha de constar el salario de cada persona trabajadora, tan solo un valor medio de los salarios, complementos, percepciones salariales y extrasalariales desagregados por sexo y grupo profesional. En ese registro, los datos que deberán aparecer estarán disociados para evitar poder identificar a una persona en concreto.

Ante estas circunstancias no se contempla que los interesados tengan derechos ya que no hay un tratamiento de datos personales. No obstante, en el caso de que el dato disociado corresponda a una categoría en la que hay un número reducido de personas sí podría relacionarse con alguien en concreto. Si se da esta circunstancia, el registro deberá contar con la seguridad suficiente basada en el análisis de riesgos según el RGPD, el empleador deberá informar al interesado en cuestión y los representantes de los trabajadores deberán respetar la confidencialidad.

Concesión de ayudas a la acción social

Cuando una persona trabajadora solicita una ayuda de acción social este hecho implica un tratamiento de datos vinculado a cargas familiares y a rentas, la base jurídica para ello es el propio contrato de trabajo.

A la hora de publicitar la concesión de las ayudas existen dos casos bien diferenciados:

  • Procesos que no sean de concurrencia competitiva y por tanto sin número máximo de solicitudes a aceptar por la empresa. En este caso la notificación deberá ser individualizada.
  • Procesos de concurrencia competitiva cuando haya un límite de ayudas en función de unos requisitos. En este caso los solicitantes sí tendrán derecho a conocer el listado de adjudicaciones, pero nunca datos superfluos o no imprescindibles.

Si la ayuda estuviese relacionada con datos especiales la concesión de la ayuda no debe permitir que se pueda identificar al afectado.

Derecho de conciliación y corresponsabilidad

El tratamiento de datos por parte de la empresa en casos de excedencias, incapacidad temporal, permisos que tengan como finalidad articular derechos de conciliación entre la vida personal y familiar implican necesariamente un tratamiento de datos personales de un tercero (es que es necesario conocer los datos de los sujetos causantes del ejercicio de los derechos por la persona trabajadora). La solicitud debe acompañarse de elementos suficientes que permitan ponderar la idoneidad del disfrute, por ejemplo, adaptar la jornada laboral a las necesidades de los hijos menores de 12 años. La base jurídica que sustenta este tratamiento es la propia ejecución del contrato. Deberá garantizarse siempre el uso del menor número de datos posible, los estrictamente necesarios para ponderar el ejercicio del derecho.

Contratación de seguros y pensiones

Es frecuente que las empresas pongan a disposición de sus empleados planes de pensiones y seguros de vida. Para ello hay que tener en cuenta que la base del tratamiento de datos dependerá de la motivación de la contratación de ese seguro, si es un pacto entre empleado y empleador o si deriva de algún convenio colectivo (en el primer caso es necesario el consentimiento, en el segundo no).

Al estar frente al tratamiento de datos, la empresa debe comunicar los datos de identificación y contacto de la persona a la empresa encargada de realizar el plan de pensiones, debiendo informar al interesado sobre la recogida de los datos. Para este caso, la información puede darse bien en el contrato, bien de manera específica dirigiéndose a las personas en cuestión.  En el caso de que afecte a familiares o personas relacionadas con el trabajador, la empresa está legitimada al tratamiento de esos datos, teniendo en cuenta que debe minimizar los mismos y garantizar la limitación de la finalidad. Deberá cederse a la aseguradora únicamente los datos de los asegurados o partícipes informando previamente de ello a los mismos.

Cesión de datos a otras empresas

En el caso concreto de los grupos de empresa, cada empresa tiene personalidad jurídica propia y puede ser considerada como responsable del tratamiento de datos, siempre y cuando decida sobre los fines y medios del tratamiento. Cuando se produzca comunicación de datos entre distintas empresas del grupo se exigirá acreditar un interés legítimo bien del responsable o bien del tercero a quien se comunican los datos.

La base jurídica dentro de los grupos de empresa podría ser el cumplimiento del contrato en caso de que el grupo o varias de sus empresas ocupen la posición de empleador único en la relación laboral. Si se tratase de grupos jerarquizados, cuando la empresa matriz tome decisiones puede ser necesario que disponga de la información pertinente para ello.

El informe señala que una buena práctica sería la creación de un procedimiento interno para que los afectados pudiesen ejercer sus derechos de acceso, rectificación, supresión y oposición.

Para empresas que encubran supuestos de fraude o cesión ilegal no se aplicarán los criterios anteriormente señalados.

Si se tratase de una transmisión de empresa, la comunicación de datos no requiere el consentimiento ya que hay una subrogación empresarial. Por tanto, el nuevo empleador tiene derecho a conocer los datos imprescindibles de las personas para ejecutar y mantener los contratos. A pesar de esto, los interesados tienen derecho a ser informados.

Para la subcontratación deben distinguirse dos supuestos, tal y como señala el informe de la AEPD. Por un lado, el momento previo a la contratación o subcontratación y, por otro, el momento posterior respecto a la responsabilidad solidaria y subsidiaria.

El informe recoge lo siguiente: “En relación con la responsabilidad solidaria de las obligaciones de naturaleza salarial y de las contraídas con la Seguridad Social, existiría una legitimación para la comunicación de datos de las personas trabajadoras entre las distintas empresas que forman la cadena de contratación que deriva del cumplimiento de una obligación legal prevista en el artículo 42 del ET. Este precepto impone a la empresa principal una responsabilidad solidaria por las deudas salariales y de Seguridad Social contraídas por las empresas contratistas y subcontratistas durante la vigencia de la contrata. Por su parte, el art. 168 del texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre (TRLGSS), impone una responsabilidad subsidiaria en materia de prestaciones de Seguridad Social. Para hacer frente a esas responsabilidades es necesario conocer esas deudas y, por tanto, la comunicación de los datos correspondientes no requiere el consentimiento de la persona trabajadora”.

Debe considerarse que, en todo caso, la comunicación de datos debe respetar siempre el principio de minimización de datos, por lo que el acceso por parte del contratista debería limitarse a los datos relacionados de las personas trabajadoras y no a cualquiera.

Acceso al empleo o promoción profesional

El TJUE reconoció en 2012 el derecho que los trabajadores tienen a conocer la información pertinente para reclamar en el caso de considerar que han sido discriminados en el acceso al empleo o en la promoción profesional.

La información que puede proporcionarse al interesado vendrá limitada a los datos estrictamente necesarios para formular la reclamación: Nombre, Fotografía y dirección. Dependiendo de la finalidad de la reclamación la persona interesada podría acceder a datos personales como la edad, país de nacimiento, etc.

Víctimas de acoso en el trabajo y violencia de género

Los datos relativos a violencia de género y acoso en el trabajo pertenecen a las categorías especiales de datos y necesitan una protección reforzada.

Los procedimientos de sanción hacia los acosadores no requieren del consentimiento del acosado, la base jurídica es la propia ley. La empresa debe prevenir e identificar el acoso y erradicarlo, es su responsabilidad, debiendo colaborar con las autoridades e iniciando las actuaciones disciplinarias pertinentes.

Al tratarse de supuestos de especial sensibilidad, la empresa deberá garantizar la confidencialidad de la identidad de la víctima asignándole un código identificativo también para la persona acosadora. Para declarar, la víctima debe prestar su consentimiento, una vez concluido el procedimiento sancionador, los datos deben ser bloqueados durante el periodo de prescripción de la sanción o hasta que puedan ser utilizados en un procedimiento judicial.

La empresa debe informar a ambos sobre el tratamiento de sus datos, así como de los derechos que sobre ellos tienen. No obstante, el derecho de supresión no puede ser ejercido si la empresa decide sancionar al acosador.

En el supuesto que la víctima haya recibido asistencia sanitaria, los datos médicos solo podrán ser utilizados con una finalidad vinculada al acoso, por ejemplo, como prueba judicial.

Es recomendable que se elaboren protocolos de actuación frente a este tipo de situaciones.

El informe señala que para casos de violencia de género las actuaciones se podrán llevar a cabo de manera análoga a los supuestos de acoso laboral, con la diferencia que sí puede ejercerse el derecho a la supresión por parte de la víctima.

Extinción de la relación laboral

Cuando finaliza la relación laboral la carta de despido puede contener datos relevantes. La ley exige que contenga los datos que motivan el despido. No obstante, no podrán constar datos que el empleador no esté legitimado a conocer, debido a la existencia de datos personales en la carta deben implantarse medidas de seguridad necesarias para que terceros no legitimados no puedan acceder.

Una vez finalizada la relación laboral deben bloquearse los datos. Cabe la posibilidad de que, aunque finalizada la relación laboral, sea admisible el tratamiento de datos (por ejemplo, si el empleador muestra interés legítimo ante un caso de competencia post contractual). En el caso que deseara guardar los datos para contactos futuros debería recabar el consentimiento del interesado, informándole de esta circunstancia.

Empresas de recolocación

Cuando se efectúa un despido colectivo que afecta a más de 50 personas, la empresa debe ofrecer una recolocación externa a través de empresas autorizadas. La comunicación de datos entre estas empresas no exige el consentimiento del interesado, ya que la base jurídica es el cumplimiento de una obligación legal. Lo que ha de tenerse en cuenta es el cumplimiento del principio de minimización de datos. Además, debe informarse al interesado sobre la existencia de dicho tratamiento.

 

CONTROL DE LA ACTIVIDAD LABORAL

 

El poder de control y dirección de la persona empresaria viene establecido por ley, por lo que la necesidad de consentimiento no existe, es el propio cumplimiento de la norma lo que ejerce de base jurídica para el desarrollo de la práctica empresarial. Ahora bien, el conjunto de medidas que se lleven a cabo deben pasar un test de proporcionalidad en el que debe valorarse si la medida es idónea, necesaria y proporcional. En el caso de superarse, podría adoptarse la medida de control siempre y cuando se respetara el RGPD, informando a las personas afectadas sobre la finalidad del tratamiento de sus datos, recabando los estrictamente necesarios y no pudiendo emplearlos para fines distintos a los que motivaron la medida.

En cualquier caso, la AEPD recuerda que la protección debería tener más peso que la detección, pues mediante esta última hay riesgo de vulneración de derechos fundamentales.

Control de acceso a las instalaciones

Para realizar este control no se requiere el consentimiento, siempre que se respeten los derechos fundamentales. La base jurídica que sustenta esta acción puede ser doble: por un lado, el contrato de trabajo (puede realizarse un control sobre las personas trabajadoras para garantizar el cumplimiento de los horarios); y por otro, la legitimidad para proteger las instalaciones.

No obstante, debe evitarse el uso de sistemas especialmente invasivos, así como la utilización de datos biométricos que permitan una identificación cifrada de la persona, conservándose esa información únicamente por las personas trabajadoras, velando por la custodia de dicha información y llevando a cabo una evaluación previa del impacto.

Videovigilancia

La imagen es un dato personal, ya que permite la identificación de una persona. Las cámaras, cuya finalidad es garantizar la seguridad, controlar el trabajo, monitorear a una persona enferma, acceder a zonas restringidas, etc., suponen un tratamiento de datos personales.

La base jurídica para controlar a las personas trabajadoras está basada en el poder de control empresarial. No obstante, que no se requiera el consentimiento no significa que no se deba llevar a cabo con el menor impacto posible en la privacidad de las personas afectadas. Debe informarse a las personas afectadas y a sus representantes sobre la implementación de la medida.

Ahora bien, El TEDH, en una sentencia del año 2019 (López Ribalda II), señalaba que, si ha existido información sobre la instalación de las cámaras, a pesar de que no se haya informado de manera directa a la persona implicada, y concurre una sospecha fehaciente de incumplimiento de las obligaciones de la persona trabajadora, no se considerarán nulas las pruebas obtenidas para imponer una sanción, pero la empresa sí podrá ser considerada responsable por infringir la ley de protección de datos.

Si las cámaras utilizadas son de simulación, no habría tratamiento de imágenes y, por lo tanto, tampoco necesidad de información.

La conservación de las imágenes no podrá extenderse más allá de un mes desde su captación, salvo que hubieran de ser conservadas para acreditar actos que atenten contra las instalaciones, bienes personales, personas trabajadoras…

Así mismo, la grabación de sonidos queda prohibida por ley, salvo que se acrediten riesgos (en ese caso se hará respetando la proporcionalidad y las garantías aplicadas a la videovigilancia).

Geolocalización

La LOPDDG permite la geolocalización para controlar al personal siempre que se informe a los afectados de manera clara e inequívoca, garantizando la minimización de datos y la limitación de la finalidad para la cual van a ser tratados. No obstante, independientemente de que la base jurídica sea el desarrollo de la propia relación laboral y la facultad de control empresarial, debe realizarse previamente un análisis de proporcionalidad y las personas afectadas deben poder ejercer los derechos que el RGPD les concede.

La geolocalización puede afectar tanto a personas como a objetos de la organización (coches, maquinaria, etc.). El uso de estas herramientas sobre los vehículos permite, de manera indirecta, acceder a otro tipo de información que va más allá que el simple control de la ubicación del vehículo (por ejemplo, la velocidad a la que circula la persona que conduce). Por ello, debe realizarse una evaluación del impacto previa garantizando que el uso de los datos se tratará para un fin específico, informando las personas afectadas del uso de esta medida.

A la hora de implementarla, no puede imponerse a la persona trabajadora. La AN en su sentencia 136/2019 declaró que es contrario al derecho de la protección de datos imponer una cláusula en el contrato que exija comunicar a la persona empresaria una dirección de correo y disponer de un móvil con conexión a internet para instalar una aplicación de geolocalización que permita a los clientes hacer un seguimiento de los pedidos durante el reparto.

Control por enfermedad, accidente o falta de asistencia

La empresa está legitimada a llevar a cabo controles médicos a las personas trabajadoras que faltan al trabajo por enfermedad o accidente con el objetivo de prevenir el absentismo.

Estas medidas se sustentan en el desarrollo de la propia relación contractual, por lo que no se requiere el consentimiento de la persona afectada. Ahora bien, la empresa no está legitimada para conocer los detalles del reconocimiento, únicamente podrá conocer la conclusión final, es decir, si está o no en condiciones de incorporarse al empleo.

En ningún caso, señala la AEPD, pueden incorporarse los datos de salud a un fichero para detectar el absentismo, esa medida resulta desproporcionada. Lo que sí puede hacer la empresa es elaborar estadísticas sobre el índice de absentismo y sus causas. Los representantes de las personas trabajadoras tienen derecho de acceso a esos estudios, así como los delegados de prevención. Dichas estadísticas no han de contener datos personales sino datos disociados.

Las empresas pueden contratar a un prestador de servicios externo que debe cumplir con las obligaciones de encargado de tratamiento de datos y además informar a la persona trabajadora de la finalidad del control.

Detectives privados

El uso de esta figura para garantizar el control por parte de la persona empresaria debe superar el test de proporcionalidad. Al ser un derecho de la persona empresaria, no es necesario el consentimiento. Sin embargo, debe garantizarse que la vida íntima de la persona investigada queda al margen, quedando prohibida la utilización de medios que atenten contra el honor y la intimidad personal y familiar, así como a la propia imagen o al secreto de las comunicaciones y protección de datos.

En el informe de la investigación se hará constar información relacionada con la finalidad de esta, pudiendo conservarse al menos tres años toda la información aportada (sonidos, grabaciones…) sin perjuicio del bloqueo de datos. Los datos solo podrán ponerse a disposición del cliente y, en su caso, de los órganos judiciales y policiales para una investigación o procedimiento sancionador.

 

REPRESENTACIÓN UNITARIA Y SINDICAL DE LAS PERSONAS TRABAJADORAS

 

Los representantes de las personas trabajadoras tienen derecho a tratar los datos de las personas trabajadoras sin su consentimiento. Sin embargo, existen ciertos límites marcados por la LOLS, el ET y el RGPD, así como por Sentencias varias.

La necesidad

Tan solo podrán conocer los datos estrictamente necesarios para el desempeño de sus funciones, es decir, datos relativos al puesto de trabajo. De esta manera se garantiza el cumplimiento del principio de minimización de datos. El informe de la AEPD recuerda, citando al TS y al TC, que, tanto a la hora de elaborar un contrato de trabajo como al realizar un despido, no puede comunicarse a las personas representantes información innecesaria sobre las personas trabajadoras implicadas (nº teléfono, DNI, estado civil…).

Un ejemplo claro de tratamiento de datos por parte de los representantes de las personas trabajadoras es el acceso a una copia del contrato de trabajo, que tan solo puede contener la información necesaria. En el caso de que las personas representantes accedan a información de las personas trabajadoras deberán guardar secreto y tendrán prohibido emplearla para fines distintos de los que motivaron el tratamiento.

La finalidad

La finalidad del tratamiento ha de ser una, no pudiendo utilizarse los datos con finalidades distintas a la que motivó el tratamiento de datos. Como responsables del tratamiento, las personas representantes deberán cumplir con las medidas de seguridad, debiendo notificar quiebras de seguridad a la autoridad de control y, en según qué casos, a las personas afectadas.

En determinados casos, los convenios colectivos podrían ser base jurídica suficiente para la cesión lícita de datos personales a los representantes de las personas trabajadoras.

El derecho de informar

Cuando se produzca el tratamiento de datos debe informarse a las personas interesadas, garantizando la confidencialidad de los datos tratados.

Los representantes de los trabajadores tienen derecho a disponer de un tablón de anuncios para comunicarse con las personas trabajadoras. Esta práctica obliga a tener en cuenta una serie de aspectos con el fin de aplicar adecuadamente las normas, garantizando así los derechos de las personas interesadas. Se debe tener en cuenta que el tablón no podrá ubicarse en una zona de acceso libre, ya que tan solo pueden tener acceso a la información las personas interesadas. En el caso de que el tablón sea online deberá accederse mediante usuario y contraseña con el objetivo de impedir el acceso a personal no autorizado.

La cuota sindical

El tratamiento de datos personales relacionados con la afiliación sindical está prohibido. Sin embargo, el RGPD permite que, mediante el consentimiento de la persona interesada, el sindicato proceda a comunicar a la empresa el dato de afiliación para que se le descuente de la nómina la cuota sindical. La LOLS es clara, siempre debe hacerse mediante el consentimiento de la persona interesada.

Las comunicaciones

Las personas representantes, amparadas en el derecho fundamental a la libertad sindical, tienen derecho a utilizar la infraestructura de la empresa para enviar correos electrónicos, pero deben tenerse en cuenta distintas consideraciones al respecto.

Pueden utilizarse procedimientos automatizados sin necesidad de realizar una cesión de datos personales, por ejemplo, utilizando una dirección corporativa en la que se adjunte la información del RGPD, permitiendo al usuario darse de baja de las comunicaciones. En el momento de celebrarse elecciones sindicales, el sindicato queda legitimado para remitir información electoral.

El acoso y la violencia de género

Las personas representantes únicamente podrán conocer la identidad de las mujeres supervivientes cuando sea imprescindible para sus labores de representación. En los supuestos de acoso conocer la identidad de la víctima puede resultar imprescindible y más fácil de demostrar.

Consultas para la toma de decisiones

En ocasiones se realizan consultas a las personas representantes con el fin de tomar determinadas decisiones sobre las personas trabajadoras. La información que en ellos se trate puede incluir datos personales como la edad, antigüedad, productividad… Debe garantizarse siempre la confidencialidad de los datos, así como el consentimiento de las personas afectadas en caso de que se graben las negociaciones.

 

VIGILANCIA DE LA SALUD

 

El contrato de trabajo y el cumplimiento de las obligaciones legales establecidas en el ET y en la LPRL constituyen la base jurídica para el tratamiento de los datos personales en materia de prevención de riesgos. Debe tenerse en cuenta que una de las obligaciones principales de la persona empresaria es la vigilancia de la salud de la persona trabajadora, pero los reconocimientos médicos son voluntarios (con excepciones), por lo que debe prestarse el consentimiento de la persona afectada. Tanto si el reconocimiento es voluntario como si no, deben garantizarse una serie de obligaciones legales para con la persona interesada.

Debe informársele del conjunto de prácticas que se llevarán a cabo, así como la finalidad de las mismas. Además, las actuaciones siempre deben ir regidas por el principio de proporcionalidad, obteniéndose los datos necesarios para la correcta ejecución del contrato y no otros. Como hemos dicho previamente, el empleador no está legitimado para conocer el diagnóstico médico, tan solo si la persona trabajadora es o no apto para desempeñar el trabajo. A pesar de ello, y para cumplir con sus obligaciones, el empleador puede acceder a los datos médicos (siempre a los estrictamente necesarios) para cumplir con sus obligaciones (por ejemplo, adaptar las pantallas de los ordenadores).

El delegado de prevención

Esta figura permite acceder a determinados datos personales. Ahora bien, en el caso de que la vigilancia de la salud recaiga sobre facultativos externos, los médicos de empresa no tienen derecho a acceder a dichos datos, pues se estaría produciendo un tratamiento de datos sin consentimiento. Cualquier actuación deberá llevarse a cabo garantizando la confidencialidad.

Los dispositivos inteligentes

Los dispositivos inteligentes (wearables) están prohibidos, ya que no garantizan una vigilancia exclusiva de la salud, no existe base jurídica imponible y vulneran claramente el principio de proporcionalidad. Hay que recordar que el consentimiento no es una base jurídica válida que justifique una cesión de datos médicos, tampoco lo es el convenio colectivo.

Cambio de servicio de prevención

En el caso de producirse un cambio de servicio de prevención, los datos deben comunicarse de un servicio de prevención a otro, sin mediar el empleador. La persona trabajadora debe ser informada. Por lo que respecta a las historias clínicas, la Ley 41/2002 determina que cualquier personal autorizado que acceda a la historia queda sujeto al deber de secreto, no pudiendo acceder el personal administrativo a todos los datos, tan solo a aquellos relacionados con sus propias funciones.

Lista de enlaces: