càtedres institucionalsUniversitat de València Logo del portal

Guia de l'AEPD per a la protecció de dades en les relacions laborals

  • 3 de setembre de 2021
La protecció de dades en les relacions laborals

L'Agència Espanyola de Protecció de Dades és l'autoritat espanyola de control encarregada de promoure i sensibilitzar sobre la comprensió de riscos, normes i garanties en relació amb el tractament de dades. Ací presentem un breu resum de la guia que es va publicar sobre la protecció de dades en les relacions laborals, que pretén proporcionar una orientació pràctica per a facilitar als responsables del tractament el compliment de la legislació. A més, també podeu trobar el llibre d'Adrián Todolí i Miguel Rodríguez-Piñero sobre la temàtica “Vigilància i Control en el Dret del Treball Digital”.

ASPECTES GENERALS

 

A què ens referim en parlar de “tractament”?

Parlem de “qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja siga per procediments automatitzats o no…”. No considerant-se tractament de dades sotmés al RGPD ni a la LOPDGDD el realitzat en l'exercici d'activitats exclusivament personals o domèstiques.

Què entén la llei per dada?

L'Article 4 del RGPD indica que és «tota informació relativa a una persona física identificada o identificable» (el nom complet, any de naixement, les dades de localització o qualsevol tipus d'informació relacionada amb la persona). Existeixen un altre tipus de dades que, encara que tinguen relació amb la persona, el seu tractament queda prohibit sempre que no siga necessari per a complir unes certes obligacions o exercir drets específics del responsable del tractament, es coneixen com a categories especials de dades i venen regulats en l'Article 9 del RGPD.

La base jurídica

A l'hora de tractar dades personals es necessita una base jurídica, en les relacions laborals aqueixa base és l'execució del contracte de treball. No obstant això, el fet que existisca un desequilibri entre empresa i treballador fa que el consentiment de la persona afectada no es consolide com a base jurídica suficient per al tractament de dades en el treball. En opinió del GT ART 29, els empresaris hauran de basar-se en un altre fonament jurídic, havent de respectar-se els principis de proporcionalitat i de limitació.

Com han de ser les dades?

La pròpia llei exigeix que les dades personals siguen adequats, pertinents i limitats al necessari per al fi perquè es tracten. Per tant, el nom, DNI o l'existència de discapacitat o no, sí que són necessaris per a l'establiment de la relació contractual però el nom d'usuari en xarxes socials no és imprescindible, necessitant-se d'una base jurídica diferent que autoritze el tractament d'aqueixa dada. Per a cada cas s'haurà de determinar quines dades són o no necessaris, establint així que vaig basar jurídica s'al·lega per al tractament (consentiment, contracte o l'interés legítim). “En determinats casos, l'ocupador pot acreditar un interés legítim que justifique la necessitat de recollir l'adreça de correu electrònic i el número de telèfon particulars de la persona treballadora, sense que puguen utilitzar-se posteriorment per a fins diferents d'aquells que van motivar aquesta recollida”.

També serà lícit el tractament quan siga necessari per a complir amb una obligació legal o per a satisfer interessos legítims. Aquest últim cas ha de tractar-se amb cautela, perquè s'haurà de ponderar l'efecte que puga tindre aqueix tractament sobre els drets i llibertats fonamentals de l'interessat, aplicant-se el principi de proporcionalitat i duent-se a terme de la manera menys intrusiva possible.

Informar la persona afectada

Mantindre informat a l'afectat sobre el tractament de les seues dades és una obligació i ha de fer-se amb un llenguatge clar, concís i senzill, de fàcil accés. Pot incloure's una clàusula en el contracte de treball, o bé annexar un document al mateix en el qual s'informe del tractament.

Assenyala l'AEPD que, si es desitja obtindre el consentiment per al tractament de dades diferents no necessàries per al compliment del contracte de treball, no ha d'aprofitar-se la signatura del contracte com a autorització de l'interessat. En canvi, ha d'annexar-se un altre document en el qual se sol·licite el consentiment a la persona en qüestió, ja que no està comprés dins de la relació laboral.

Els drets una vegada iniciada la relació contractual

La Llei dona la possibilitat d'exercir els drets tant d'accés, podent obtindre una còpia de les dades personals objecte de tractament; de rectificació de les dades inexactes o incompletes; de supressió d'aquells que no siguen necessaris (per exemple, si finalitza la relació laboral) o sobre els quals no existisca consentiment per al seu tractament bé perquè s'ha retirat o perquè és il·lícit; així com quan les dades hagueren d'estar ja suprimits. En el cas que se sol·licite la rectificació o supressió hauran de bloquejar-se les dades, de manera que no podran ser manipulats ni alterats, tan sols posats a disposició en el cas que l'autoritat el requerisca. Existeixen altres drets com són el de la limitació al tractament o la portabilitat de les dades, però el més destacat i potser el que major rellevància té hui dia és el de no ser objecte de decisions automatitzades.

Què són les decisions automatitzades?

Fan referència a l'elaboració de perfils, utilització d'intel·ligència artificial en les decisions i altres usos i aplicacions tecnològiques. El que es pretén garantir és que mai se sotmetrà l'elecció al criteri únic de la tecnologia, sempre existirà el dret de l'afectat a la intervenció humana.

El deure de seguretat i secret

La norma inclou aquest deure dins dels principis de la protecció de dades. “El secret i la confidencialitat asseguren que les dades personals només siguen coneguts per l'afectat i per aquells usuaris de l'organització el perfil de la qual els atribueix competència per a usar, consultar, modificar o incloure les dades en els sistemes d'informació”.

L'AEPD recomana formar a les persones que tracten amb dades perquè coneguen els deures de seguretat i secret, així com a aquelles que no tenint una relació directa amb el tractament puguen posar en perill el secret o la seguretat de les dades (per exemple, el personal de neteja).

La transferència internacional de dades

El RGPD ha simplificat el règim de transferències internacionals, per la qual cosa no es requereix notificació a l'AEPD “excepte quan, donada la seua singularitat, les transferències són realitzades per un responsable del tractament per motius legítims i imperiosos” així mateix,  no es requereix l'autorització de l'AEPD llevat que “ les garanties aportades per a la transferència es recullen en un contracte que no s'ajuste a la clàusula tipus aprovada per la Comissió Europea, o adoptat per una autoritat de control i aprovat també per la Comissió Europea, o quan les garanties s'incloguen en acords administratius per a transferències entre autoritats o organismes públics”.

 

SELECCIÓ I CONTRACTACIÓ DE PERSONAL

 

A l'hora de seleccionar als millors candidats, el RGPD atorga la possibilitat de què es tracten dades personals sense el consentiment de l'interessat, sempre que siguen dades necessàries per a dur a terme mesures precontractuals o contractuals. Si hi haguera dades que es recaptaren per a una altra finalitat, la base jurídica necessària hauria de ser diferent.

L'empresa pot emprar formularis tipus en els quals definisca quines dades tractarà i quina és la finalitat del tractament, complint així amb l'obligació que té d'informar els interessats. En el cas de publicar anuncis en portals d'ocupació, aquests han de contindre informació específica sobre el tractament.

A vegades, la sol·licitud de dades s'estén més enllà del necessari.  Per això, es recorda en l'informe que únicament podran sol·licitar-se dades rellevants, complint així amb el principi de minimització de dades.

Els mecanismes per a sol·licitar informació

Aquests mecanismes són diversos (consentiment, interés legítim, realització de contracte…) i poden ser combinats en funció de les circumstàncies. Si es desitjara comprovar que la persona en qüestió té l'experiència que diu tindre, podria (sobre la base de l'interés legítim) sol·licitar-se-li al candidat la vida laboral (però únicament del període en qüestió, ja que continuaria regint el principi de minimització de dades).

Les xarxes socials

Respecte a l'ús de les xarxes socials, l'AEPD assenyala que “La indagació en els perfils de xarxes socials de les persones candidates a una ocupació només es justifica si estan relacionats amb finalitats professionals”, havent de ser informada la persona afectada. El Grup de Treball de l'Article 29 recull qüestions interessants ad hoc sobre l'ús de les xarxes socials i els processos de selecció de persones en el Dictamen 2/2017 sobre el tractament de dades en el treball.

El procés de contractació

Aquest procés ve marcat per una altra mena d'accions, preguntes, proves i decisions empresarials per a determinar qui entrarà a formar part de la corporació. A l'hora de preguntar, no podran sol·licitar-se dades personals en els processos de selecció, això provocaria una vulneració del dret que tota persona té a no ser discriminada podent implicar sancions administratives molt greus per a l'empresa.

I si col·laboren dues empreses per a trobar el candidat idoni?

Actualment la utilització de ETT’s o Consultores per a poder identificar el millor talent està a l'ordre del dia. En aqueixos casos, recorda l'AEPD que les empreses de selecció actuaran com a encarregades del tractament i la base jurídica utilitzada serà la realització de mesures precontractuals. Ara bé, en el moment que desapareix la necessitat de les dades, aquests hauran de destruir-se i, per tant, bloquejar-se o retornar-se al responsable del tractament (empresa usuària), segons s'haja pactat. Pot ser que hagen de ser conservats si hi ha alguna previsió legal que ho exigisca o si s'ha demanat consentiment a l'afectat. Així mateix, les ETT’s són ocupadores directes per tant responsables del tractament. Per a poder tractar les dades, serà necessari sempre el consentiment del candidat, encara que es tracte d'empreses que formen un mateix grup empresarial.

L'automatització

En el primer capítol es va comentar el dret que qualsevol persona té a no sotmetre's amb caràcter general a decisions automatitzades tenint dret al fet que, mitjançant sol·licitud prèvia, puga intervindre un humà. En els processos de selecció, a causa del gran volum de currículums, recorda el Grup de Treball de l'Article 29 que seria admissible la seua utilització per a garbellar-los. No obstant això, no és admissible que les decisions preses per un algorisme puguen resultar discriminatòries, d'ací la importància de conéixer sobre la base de quina presa o no una decisió l'algorisme emprat. Abans de l'ús de qualsevol algorisme haurà de dur-se a terme un estudi d'avaluació de l'impacte, detallat en l'Article 35 del RGPD.

Les dades especials

També es va parlar en el primer capítol de l'existència de dades catalogades com especialment sensibles, dades especials. L'AEPD posa el focus en dos supòsits: el reconeixement mèdic (en el cas que tinga per finalitat la medicina preventiva o laboral, així com l'avaluació de la capacitat laboral del treballador, no requeriria de consentiment previ per a tractar aqueixes dades) i les proves psicològiques, per a les quals seria necessari el consentiment.

Les proves psicològiques poden suposar una vulneració de la intimitat, per la qual cosa és necessari una anàlisi de proporcionalitat previ. A més, el candidat tindrà dret a conéixer els resultats del seu test, així com els criteris en els quals s'ha basat l'empresa per a realitzar la selecció.

Alguna cosa que va filtrant per diverses xarxes és la utilització de tests genètics, ADN emocional i denominacions poc precises que per a l'AEPD no són admissibles ja que no tenen base jurídica, no poden ser proporcionals i permeten indagar tant en la vida privada del candidat que vulneren la seua intimitat sent incompatibles amb el principi de minimització de dades.

I si no contracten la persona candidata?

S'ha de recaptar el consentiment per a poder emmagatzemar les dades en els arxius de l'empresa, ja que la base jurídica emprada per al tractament desapareix. Si no pot recaptar-se el consentiment de l'interessat, les dades han de destruir-se.

 

DESENVOLUPAMENT DE LA RELACIÓ LABORAL

 

Les relacions laborals no són estàtiques, els canvis que poden produir-se durant el transcurs dels anys són molts i molt variats, és per això que és necessari informar sobre qualsevol canvi que afecte el tractament de dades.

No obstant això, el que roman sempre és la idea que únicament hauran de recaptar-se les dades necessàries per al compliment i execució del contracte, havent de ser adequats, pertinents i limitats al necessari per als fins que són tractats.

L'AEPD posa diversos exemples que il·lustren fins a quin punt moltes actuacions poden ser il·lícites. Un exemple seria el cas de la sol·licitud al treballador del seu correu o telèfon privat perquè el treball exigeix disponibilitat. Una solució més moderada seria facilitar-li un telèfon d'empresa. Un altre exemple seria la sol·licitud de dades fiscals, de la declaració d'IRPF… La fi pot ser legítim si es vol comprovar, per exemple, la competència deslleial. No obstant això, poden conéixer-se dades sensibles sense el consentiment de la persona.

Alguns principis del tractament de dades

El principi de minimització de dades ha de posar-se en relació amb la limitació de la finalitat. Ha de justificar-se la finalitat per a la qual es recullen les dades, no podent ser tractats amb una altra finalitat diferent a la que es van recollir.

El principi de proporcionalitat implica un filtre pel qual han de passar les ordenes empresarials. D'aquesta manera s'impedeix, per exemple, que l'empresari exigisca als empleats tindre un perfil en xarxes socials creat per ell, a pesar que puga justificar-se la seua creació per l'activitat que exerceix. En la mateixa línia van les targetes identificatives: es pot exigir als empleats que la porten sempre que siga una activitat cara al públic, sent la informació que en ella es reculla la mínima imprescindible. A més, en el cas que s'integre una fotografia, haurà de limitar-se la finalitat de tractament d'aquesta.

Productivitat i nòmines

Durant l'activitat laboral, la productivitat del treballador pot condicionar l'abonament o no d'un complement. Aqueix rendiment se sol publicar perquè tots coneguen perquè sí o no els correspon aquesta quantia. A l'hora de publicar aquesta informació la base jurídica és clara: satisfer els interessos legítims. No obstant això, prèviament ha de realitzar-se una ponderació dels interessos de l'ocupador i els drets dels afectats. Ara bé, la publicació ha de ser discriminada (únicament han de tindre accés les persones interessades garantint-se que no hi haurà perjudici per als afectats). Per a això hauran d'evitar-se dades identificatives utilitzant codis que només coneguen les persones autoritzades.

En allò referent a les nòmines, la informació que han de recollir aquestes no ha de ser supèrflua o addicional, per exemple, “no hauria d'incloure's l'esment a l'afiliació sindical en el rebut de salaris”.

Dades personals especials

El tractament d'aquestes dades és lícit sempre que medie el consentiment de l'afectat i el seu tractament no derive en un acte discriminatori. També podran tractar-se aquest tipus de dades: quan siga necessari per a complir amb les obligacions i “l'exercici de drets específics del responsable del tractament o de l'interessat en l'àmbit del dret laboral i de la seguretat i protecció social”, per a protegir interessos vitals i en el cas que les dades els haja fets públics el propi interessat entre altres qüestions.

Cap empresa podrà exigir a la persona interessada la comunicació de dades relatives a l'afiliació sindical, ideologia política, creences religioses o l'orientació sexual. No obstant això, en determinades situacions les creences han de ser tingudes en compte a l'hora de “valorar la procedència i improcedència dels acomiadaments”.

Podria considerar-se que les dades biomètriques (aquelles dades personals que s'obtenen d'un tractament específic de dades relatives a les característiques d'un individu i que permeten identificar-lo de manera única i directa) són dades especials. No obstant això, el RGPD no els qualifica d'aqueixa manera llevat que s'utilitzen per a identificar de manera unívoca a una persona física. Com sempre, la llei planteja excepcions: no estarà prohibit el tractament d'aquesta mena de dades quan siga necessari per al compliment d'obligacions legals del responsable del tractament, sempre que s'establisquen garanties a l'interessat.

En els tractaments d'aquesta mena de dades ha de garantir-se la informació a l'interessat. A més, a l'hora de dissenyar el tractament ha d'implementar-se ja una protecció prèvia. En el cas d'emmagatzemar les dades, hauran de fer-lo sempre amb una plantilla xifrada per a garantir que una persona només puga ser identificada en els sistemes biomètrics que compten amb una base jurídica per a aquesta operació. L'informe afig més condicionants a l'hora de tractar aquest tipus de dades, com la impossibilitat de reutilitzar les dades per a una altra finalitat diferent o la possibilitat de revocar el vincle d'identitat.

Whistleblowing

La creació de bústies per part de les empreses és una cosa cada vegada més estesa. L'objectiu és que els treballadors puguen identificar a aquelles persones que atempten contra la llei o el conveni col·lectiu. La base jurídica d'aquesta mena de sistema és l'interés públic. Aquest sistema no escapa a l'aplicació del RGPD, per la qual cosa haurà d'informar-se als denunciants i potencials denunciats de l'existència d'aquest sistema, bé en el contracte de treball, bé de manera individual o col·lectiva, així com mitjançant l'ús de circulars informatives.

La LOPDDDG admet sistemes de denúncies anònims. En el cas que la denúncia no siga anònima es garanteix la confidencialitat del denunciant. En qualsevol cas, a l'hora d'utilitzar aquest tipus de sistemes ha de realitzar-se un judici de proporcionalitat, a més de respectar-se el principi de limitació de la finalitat de les dades per a no poder utilitzar aqueixa informació amb finalitats diferents per als quals es va recaptar.

S'ha de garantir el dret d'accés, rectificació i supressió. A més, els denunciats posseeixen dret d'oposició i han de poder conéixer en el menor temps possible, després en cas que es dugui a terme una investigació preliminar, els fets pels quals se l'acusa. En canvi, no tenen dret a conéixer la identitat del denunciant. Així mateix, la conservació de les dades ha de limitar-se al temps necessari de la investigació, podent conservar-se per temps superior en el cas que s'adopten mesures contra el denunciat.

Registre de jornada

Per llei, les empreses han de comptar amb un registre de jornada en el qual quede constància de l'hora d'inici i fi de cada persona treballadora. Aqueixos registres han de conservar-se per un termini de 4 anys i romandre a la disposició dels interessats, els seus representants legals i la ITSS.

El sistema triat per l'empresa per a recollir la informació haurà de ser el menys invasiu possible. La base legal que fonamenta aquestes accions és el compliment de la legalitat vigent, per la qual cosa el consentiment no és necessari. Un dels problemes que pot tindre el registre horari és la possible utilització d'aqueixa informació per a determinar on està o no està, sobretot en aquells treballadors itinerants. Mai podrà utilitzar-se el registre per a una finalitat diferent al control de la jornada de treball. En funció de la configuració del registre horari, l'empresa haurà de complir amb exigències diferents en matèria de protecció de dades.

Registre salarial

El registre de salaris és obligatori per llei. No obstant això, no ha de constar el salari de cada persona treballadora, tan sols un valor mitjà dels salaris, complements, percepcions salarials i extrasalarials desagregats per sexe i grup professional. En aqueix registre, les dades que hauran d'aparéixer estaran dissociats per a evitar poder identificar a una persona en concret.

Davant aquestes circumstàncies no es contempla que els interessats tinguen drets ja que no hi ha un tractament de dades personals. No obstant això, en el cas que la dada dissociada corresponga a una categoria en la qual hi ha un nombre reduït de persones sí que podria relacionar-se amb algú en concret. Si es dona aquesta circumstància, el registre haurà de comptar amb la seguretat suficient basada en l'anàlisi de riscos segons el RGPD, l'ocupador haurà d'informar l'interessat en qüestió i els representants dels treballadors hauran de respectar la confidencialitat.

Concessió d'ajudes a l'acció social

Quan una persona treballadora sol·licita una ajuda d'acció social aquest fet implica un tractament de dades vinculat a càrregues familiars i a rendes, la base jurídica per a això és el propi contracte de treball.

A l'hora de publicitar la concessió de les ajudes existeixen dos casos ben diferenciats:

Processos que no siguen de concurrència competitiva i per tant sense nombre màxim de sol·licituds a acceptar per l'empresa. En aquest cas la notificació haurà de ser individualitzada.

Processos de concurrència competitiva quan hi haja un límit d'ajudes en funció d'uns requisits. En aquest cas els sol·licitants sí que tindran dret a conéixer el llistat d'adjudicacions, però mai dades supèrflues o no imprescindibles.

Si l'ajuda estiguera relacionada amb dades especials la concessió de l'ajuda no ha de permetre que es puga identificar a l'afectat.

Dret de conciliació i corresponsabilitat

El tractament de dades per part de l'empresa en casos d'excedències, incapacitat temporal, permisos que tinguen com a finalitat articular drets de conciliació entre la vida personal i familiar impliquen necessàriament un tractament de dades personals d'un tercer (és que és necessari conéixer les dades dels subjectes causants de l'exercici dels drets per la persona treballadora). La sol·licitud ha d'acompanyar-se d'elements suficients que permeten ponderar la idoneïtat del gaudi, per exemple, adaptar la jornada laboral a les necessitats dels fills menors de 12 anys. La base jurídica que sustenta aquest tractament és la pròpia execució del contracte. Haurà de garantir-se sempre l'ús del menor nombre de dades possible, els estrictament necessaris per a ponderar l'exercici del dret.

Contractació d'assegurances i pensions

És freqüent que les empreses posen a la disposició dels seus emprats plans de pensions i assegurances de vida. Per a això cal tindre en compte que la base del tractament de dades dependrà de la motivació de la contractació d'aqueixa assegurança, si és un pacte entre empleat i ocupador o si deriva d'algun conveni col·lectiu (en el primer cas és necessari el consentiment, en el segon no).

En estar enfront del tractament de dades, l'empresa ha de comunicar les dades d'identificació i contacte de la persona a l'empresa encarregada de realitzar el pla de pensions, havent d'informar l'interessat sobre la recollida de les dades. Per a aquest cas, la informació pot donar-se bé en el contracte, bé de manera específica dirigint-se a les persones en qüestió.  En el cas que afecte familiars o persones relacionades amb el treballador, l'empresa està legitimada al tractament d'aqueixes dades, tenint en compte que ha de minimitzar els mateixos i garantir la limitació de la finalitat. Haurà de cedir-se a l'asseguradora únicament les dades dels assegurats o partícips informant prèviament d'això a aquests.

Cessió de dades a altres empreses

En el cas concret dels grups d'empresa, cada empresa té personalitat jurídica pròpia i pot ser considerada com a responsable del tractament de dades, sempre que decidisca sobre els fins i mitjans del tractament. Quan es produïsca comunicació de dades entre diferents empreses del grup s'exigirà acreditar un interés legítim bé del responsable o bé del tercer a qui es comuniquen les dades.

La base jurídica dins dels grups d'empresa podria ser el compliment del contracte en cas que el grup o diverses de les seues empreses ocupen la posició d'ocupador únic en la relació laboral. Si es tractara de grups jerarquitzats, quan l'empresa matriu prenga decisions pot ser necessari que dispose de la informació pertinent per a això.

L'informe assenyala que una bona pràctica seria la creació d'un procediment intern perquè els afectats pogueren exercir els seus drets d'accés, rectificació, supressió i oposició.

Per a empreses que encobrisquen suposats de frau o cessió il·legal no s'aplicaran els criteris anteriorment assenyalats.

Si es tractara d'una transmissió d'empresa, la comunicació de dades no requereix el consentiment ja que hi ha una subrogació empresarial. Per tant, el nou ocupador té dret a conéixer les dades imprescindibles de les persones per a executar i mantindre els contractes. Malgrat això, els interessats tenen dret a ser informats.

Per a la subcontractació han de distingir-se dos supòsits, tal com assenyala l'informe de l'AEPD. D'una banda, el moment previ a la contractació o subcontractació i, per un altre, el moment posterior respecte a la responsabilitat solidària i subsidiària.

L'informe recull el següent: “En relació amb la responsabilitat solidària de les obligacions de naturalesa salarial i de les contretes amb la Seguretat Social, existiria una legitimació per a la comunicació de dades de les persones treballadores entre les diferents empreses que formen la cadena de contractació que deriva del compliment d'una obligació legal prevista en l'article 42 del ET. Aquest precepte imposa a l'empresa principal una responsabilitat solidària pels deutes salarials i de Seguretat Social contretes per les empreses contractistes i subcontractistes durant la vigència de la contracta. Per part seua, l'art. 168 del text refós de la Llei General de la Seguretat Social, aprovat per Reial decret legislatiu 8/2015, de 30 d'octubre (TRLGSS), imposa una responsabilitat subsidiària en matèria de prestacions de Seguretat Social. Per a fer front a aqueixes responsabilitats és necessari conéixer aqueixos deutes i, per tant, la comunicació de les dades corresponents no requereix el consentiment de la persona treballadora”.

Ha de considerar-se que, en tot cas, la comunicació de dades ha de respectar sempre el principi de minimització de dades, per la qual cosa l'accés per part del contractista hauria de limitar-se a les dades relacionades de les persones treballadores i no a qualsevol.

Accés a l'ocupació o promoció professional

El TJUE va reconéixer en 2012 el dret que els treballadors tenen a conéixer la informació pertinent per a reclamar en el cas de considerar que han sigut discriminats en l'accés a l'ocupació o en la promoció professional.

La informació que pot proporcionar-se a l'interessat vindrà limitada a les dades estrictament necessàries per a formular la reclamació: Nom, Fotografia i direcció. Depenent de la finalitat de la reclamació la persona interessada podria accedir a dades personals com l'edat, país de naixement, etc.

Víctimes d'assetjament en el treball i violència de gènere

Les dades relatives a violència de gènere i assetjament en el treball pertanyen a les categories especials de dades i necessiten una protecció reforçada.

Els procediments de sanció cap als assetjadors no requereixen del consentiment de l'assetjat, la base jurídica és la pròpia llei. L'empresa ha de previndre i identificar l'assetjament i erradicar-lo, és la seua responsabilitat, havent de col·laborar amb les autoritats i iniciant les actuacions disciplinàries pertinents.

En tractar-se de supòsits d'especial sensibilitat, l'empresa haurà de garantir la confidencialitat de la identitat de la víctima assignant-li un codi identificatiu també per a la persona assetjadora. Per a declarar, la víctima ha de prestar el seu consentiment, una vegada conclòs el procediment sancionador, les dades han de ser bloquejats durant el període de prescripció de la sanció o fins que puguen ser utilitzats en un procediment judicial.

L'empresa ha d'informar a tots dos sobre el tractament de les seues dades, així com dels drets que sobre ells tenen. No obstant això, el dret de supressió no pot ser exercit si l'empresa decideix sancionar a l'assetjador.

En el supòsit que la víctima haja rebut assistència sanitària, les dades mèdiques només podran ser utilitzats amb una finalitat vinculada a l'assetjament, per exemple, com a prova judicial.

És recomanable que s'elaboren protocols d'actuació enfront d'aquesta mena de situacions.

L'informe assenyala que per a casos de violència de gènere les actuacions es podran dur a terme de manera anàloga als supòsits d'assetjament laboral, amb la diferència que sí que pot exercir-se el dret a la supressió per part de la víctima.

Extinció de la relació laboral

Quan finalitza la relació laboral la carta d'acomiadament pot contindre dades rellevants. La llei exigeix que continga les dades que motiven l'acomiadament. No obstant això, no podran constar dades que l'ocupador no estiga legitimat a conéixer, a causa de l'existència de dades personals en la carta han d'implantar-se mesures de seguretat necessàries perquè tercers no legitimats no puguen accedir.

Una vegada finalitzada la relació laboral han de bloquejar-se les dades. Hi ha la possibilitat que, encara que finalitzada la relació laboral, siga admissible el tractament de dades (per exemple, si l'ocupador mostra interés legítim davant un cas de competència post contractual). En el cas que desitjara guardar les dades per a contactes futurs hauria de recaptar el consentiment de l'interessat, informant-lo d'aquesta circumstància.

Empreses de recol·locació

Quan s'efectua un acomiadament col·lectiu que afecta més de 50 persones, l'empresa ha d'oferir una recol·locació externa a través d'empreses autoritzades. La comunicació de dades entre aquestes empreses no exigeix el consentiment de l'interessat, ja que la base jurídica és el compliment d'una obligació legal. El que ha de tindre's en compte és el compliment del principi de minimització de dades. A més, ha d'informar-se a l'interessat sobre l'existència d'aquest tractament.

 

CONTROL DE L'ACTIVITAT LABORAL

 

El poder de control i direcció de la persona empresària ve establit per llei, per la qual cosa la necessitat de consentiment no existeix, és el propi compliment de la norma el que exerceix de base jurídica per al desenvolupament de la pràctica empresarial. Ara bé, el conjunt de mesures que es duguen a terme han de passar un test de proporcionalitat en el qual ha de valorar-se si la mesura és idònia, necessària i proporcional. En el cas de superar-se, podria adoptar-se la mesura de control sempre que es respecte el RGPD, informant les persones afectades sobre la finalitat del tractament de les seues dades, recaptant els estrictament necessaris i no podent emprar-los per a fins diferents als que van motivar la mesura.

En qualsevol cas, l'AEPD recorda que la protecció hauria de tindre més pes que la detecció, perquè mitjançant aquesta última hi ha risc de vulneració de drets fonamentals.

Control d'accés a les instal·lacions

Per a realitzar aquest control no es requereix el consentiment, sempre que es respecten els drets fonamentals. La base jurídica que sustenta aquesta acció pot ser doble: d'una banda, el contracte de treball (pot realitzar-se un control sobre les persones treballadores per a garantir el compliment dels horaris); i per un altre, la legitimitat per a protegir les instal·lacions.

No obstant això, ha d'evitar-se l'ús de sistemes especialment invasius, així com la utilització de dades biomètriques que permeten una identificació xifrada de la persona, conservant-se aqueixa informació únicament per les persones treballadores, vetlant per la custòdia d'aquesta informació i duent a terme una avaluació prèvia de l'impacte.

Videovigilància

La imatge és una dada personal, ja que permet la identificació d'una persona. Les cambres, la finalitat de les quals és garantir la seguretat, controlar el treball, monitorar a una persona malalta, accedir a zones restringides, etc., suposen un tractament de dades personals.

La base jurídica per a controlar a les persones treballadores està basada en el poder de control empresarial. No obstant això, que no es requerisca el consentiment no significa que no s'haja de dur a terme amb el menor impacte possible en la privacitat de les persones afectades. Ha d'informar-se a les persones afectades i als seus representants sobre la implementació de la mesura.

Ara bé, El TEDH, en una sentència de l'any 2019 (López Ribalda II), assenyalava que, si ha existit informació sobre la instal·lació de les cambres, a pesar que no s'haja informat de manera directa a la persona implicada, i concorre una sospita fefaent d'incompliment de les obligacions de la persona treballadora, no es consideraran nul·les les proves obtingudes per a imposar una sanció, però l'empresa sí que podrà ser considerada responsable per infringir la llei de protecció de dades.

Si les cambres utilitzades són de simulació, no hi hauria tractament d'imatges i, per tant, tampoc necessitat d'informació.

La conservació de les imatges no podrà estendre's més enllà d'un mes des de la seua captació, llevat que hagueren de ser conservades per a acreditar actes que atempten contra les instal·lacions, béns personals, persones treballadores…

Així mateix, l'enregistrament de sons queda prohibida per llei, llevat que s'acrediten riscos (en aqueix cas es farà respectant la proporcionalitat i les garanties aplicades a la videovigilància).

Geolocalització

La LOPDDG permet la geolocalització per a controlar al personal sempre que s'informe els afectats de manera clara i inequívoca, garantint la minimització de dades i la limitació de la finalitat per a la qual seran tractats. No obstant això, independentment que la base jurídica siga el desenvolupament de la pròpia relació laboral i la facultat de control empresarial, ha de realitzar-se prèviament una anàlisi de proporcionalitat i les persones afectades han de poder exercir els drets que el RGPD els concedeix.

La geolocalització pot afectar tant persones com a objectes de l'organització (cotxes, maquinària, etc.). L'ús d'aquestes eines sobre els vehicles permet, de manera indirecta, accedir a una altra mena d'informació que va més enllà que el simple control de la ubicació del vehicle (per exemple, la velocitat a la qual circula la persona que condueix). Per això, ha de realitzar-se una avaluació de l'impacte prèvia garantint que l'ús de les dades es tractarà per a un fi específic, informant les persones afectades de l'ús d'aquesta mesura.

A l'hora d'implementar-la, no pot imposar-se a la persona treballadora. La AN en la seua sentència 136/2019 va declarar que és contrari al dret de la protecció de dades imposar una clàusula en el contracte que exigisca comunicar a la persona empresària una adreça de correu i disposar d'un mòbil amb connexió a internet per a instal·lar una aplicació de geolocalització que permeta als clients fer un seguiment de les comandes durant el repartiment.

Control per malaltia, accident o falta d'assistència

L'empresa està legitimada a dur a terme controls mèdics a les persones treballadores que falten al treball per malaltia o accident amb l'objectiu de previndre l'absentisme.

Aquestes mesures se sustenten en el desenvolupament de la pròpia relació contractual, per la qual cosa no es requereix el consentiment de la persona afectada. Ara bé, l'empresa no està legitimada per a conéixer els detalls del reconeixement, únicament podrà conéixer la conclusió final, és a dir, si està o no en condicions d'incorporar-se a l'ocupació.

En cap cas, assenyala l'AEPD, poden incorporar-se les dades de salut a un fitxer per a detectar l'absentisme, aqueixa mesura resulta desproporcionada. El que sí que pot fer l'empresa és elaborar estadístiques sobre l'índex d'absentisme i les seues causes. Els representants de les persones treballadores tenen dret d'accés a aqueixos estudis, així com els delegats de prevenció. Aquestes estadístiques no han de contindre dades personals sinó dades dissociades.

Les empreses poden contractar un prestador de serveis extern que ha de complir amb les obligacions d'encarregat de tractament de dades i a més informar la persona treballadora de la finalitat del control.

Detectius privats

L'ús d'aquesta figura per a garantir el control per part de la persona empresària ha de superar el test de proporcionalitat. A l'ésser un dret de la persona empresària, no és necessari el consentiment. No obstant això, ha de garantir-se que la vida íntima de la persona investigada queda al marge, quedant prohibida la utilització de mitjans que atempten contra l'honor i la intimitat personal i familiar, així com a la pròpia imatge o al secret de les comunicacions i protecció de dades.

En l'informe de la investigació es farà constar informació relacionada amb la finalitat d'aquesta, podent conservar-se almenys tres anys tota la informació aportada (sons, enregistraments…) sense perjudici del bloqueig de dades. Les dades només podran posar-se a la disposició del client i, en el seu cas, dels òrgans judicials i policials per a una investigació o procediment sancionador.

 

REPRESENTACIÓ UNITÀRIA I SINDICAL DE LES PERSONES TREBALLADORES

 

Els representants de les persones treballadores tenen dret a tractar les dades de les persones treballadores sense el seu consentiment. No obstant això, existeixen uns certs límits marcats per la LOLS, el ET i el RGPD, així com per Sentències vàries.

La necessitat

Tan sols podran conéixer les dades estrictament necessàries per a l'acompliment de les seues funcions, és a dir, dades relatives al lloc de treball. D'aquesta manera es garanteix el compliment del principi de minimització de dades. L'informe de l'AEPD recorda, citant al TS i al TC, que, tant a l'hora d'elaborar un contracte de treball com en realitzar un acomiadament, no pot comunicar-se a les persones representants informació innecessària sobre les persones treballadores implicades (núm. telèfon, DNI, estat civil…).

Un exemple clar de tractament de dades per part dels representants de les persones treballadores és l'accés a una còpia del contracte de treball, que tan sols pot contindre la informació necessària. En el cas que les persones representants accedisquen a informació de les persones treballadores hauran de guardar secret i tindran prohibit emprar-la per a fins diferents dels que van motivar el tractament.

La finalitat

La finalitat del tractament ha de ser una, no podent utilitzar-se les dades amb finalitats diferents a la que va motivar el tractament de dades. Com a responsables del tractament, les persones representants hauran de complir amb les mesures de seguretat, havent de notificar fallides de seguretat a l'autoritat de control i, en segons quins casos, a les persones afectades.

En determinats casos, els convenis col·lectius podrien ser base jurídica suficient per a la cessió lícita de dades personals als representants de les persones treballadores.

El dret d'informar

Quan es produïsca el tractament de dades ha d'informar-se a les persones interessades, garantint la confidencialitat de les dades tractades.

Els representants dels treballadors tenen dret a disposar d'un tauler d'anuncis per a comunicar-se amb les persones treballadores. Aquesta pràctica obliga a tindre en compte una sèrie d'aspectes amb la finalitat d'aplicar adequadament les normes, garantint així els drets de les persones interessades. S'ha de tindre en compte que el tauló no podrà situar-se en una zona d'accés lliure, ja que tan sols poden tindre accés a la informació les persones interessades. En el cas que el tauló siga en línia haurà d'accedir-se mitjançant usuari i contrasenya amb l'objectiu d'impedir l'accés a personal no autoritzat.

La quota sindical

El tractament de dades personals relacionades amb l'afiliació sindical està prohibit. No obstant això, el RGPD permet que, mitjançant el consentiment de la persona interessada, el sindicat procedisca a comunicar a l'empresa la dada d'afiliació perquè se li descompte de la nòmina la quota sindical. La LOLS és clara, sempre ha de fer-se mitjançant el consentiment de la persona interessada.

Les comunicacions

Les persones representants, emparades en el dret fonamental a la llibertat sindical, tenen dret a utilitzar la infraestructura de l'empresa per a enviar correus electrònics, però han de tindre's en compte diferents consideracions sobre aquest tema.

Poden utilitzar-se procediments automatitzats sense necessitat de realitzar una cessió de dades personals, per exemple, utilitzant una direcció corporativa en la qual s'adjunte la informació del RGPD, permetent a l'usuari donar-se de baixa de les comunicacions. En el moment de celebrar-se eleccions sindicals, el sindicat queda legitimat per a remetre informació electoral.

L'assetjament i la violència de gènere

Les persones representants únicament podran conéixer la identitat de les dones supervivents quan siga imprescindible per a la feina de casa de representació. En els supòsits d'assetjament conéixer la identitat de la víctima pot resultar imprescindible i més fàcil de demostrar.

Consultes per a la presa de decisions

A vegades es realitzen consultes a les persones representants amb la finalitat de prendre determinades decisions sobre les persones treballadores. La informació que en ells es tracte pot incloure dades personals com l'edat, antiguitat, productivitat… Ha de garantir-se sempre la confidencialitat de les dades, així com el consentiment de les persones afectades en cas que es graven les negociacions.

 

VIGILÀNCIA DE LA SALUT

 

El contracte de treball i el compliment de les obligacions legals establides en el ET i en la LPRL constitueixen la base jurídica per al tractament de les dades personals en matèria de prevenció de riscos. Ha de tindre's en compte que una de les obligacions principals de la persona empresària és la vigilància de la salut de la persona treballadora, però els reconeixements mèdics són voluntaris (amb excepcions), per la qual cosa ha de prestar-se el consentiment de la persona afectada. Tant si el reconeixement és voluntari com si no, han de garantir-se una sèrie d'obligacions legals envers la persona interessada.

Ha d'informar-se-li del conjunt de pràctiques que es duran a terme, així com la finalitat d'aquestes. A més, les actuacions sempre han d'anar regides pel principi de proporcionalitat, obtenint-se les dades necessàries per a la correcta execució del contracte i no uns altres. Com hem dit prèviament, l'ocupador no està legitimat per a conéixer el diagnòstic mèdic, tan sols si la persona treballadora és o no apte per a exercir el treball. Malgrat això, i per a complir amb les seues obligacions, l'ocupador pot accedir a les dades mèdiques (sempre als estrictament necessaris) per a complir amb les seues obligacions (per exemple, adaptar les pantalles dels ordinadors).

El delegat de prevenció

Aquesta figura permet accedir a determinades dades personals. Ara bé, en el cas que la vigilància de la salut recaiga sobre facultatius externs, els metges d'empresa no tenen dret a accedir a aquestes dades, perquè s'estaria produint un tractament de dades sense consentiment. Qualsevol actuació haurà de dur-se a terme garantint la confidencialitat.

Els dispositius intel·ligents

Els dispositius intel·ligents (wearables) estan prohibits, ja que no garanteixen una vigilància exclusiva de la salut, no existeix base jurídica imposable i vulneren clarament el principi de proporcionalitat. Cal recordar que el consentiment no és una base jurídica vàlida que justifique una cessió de dades mèdiques, tampoc ho és el conveni col·lectiu.

Canvi de servei de prevenció

En el cas de produir-se un canvi de servei de prevenció, les dades han de comunicar-se d'un servei de prevenció a un altre, sense mediar l'ocupador. La persona treballadora ha de ser informada. Pel que respecta a les històries clíniques, la Llei 41/2002 determina que qualsevol personal autoritzat que accedisca a la història queda subjecte al deure de secret, no podent accedir el personal administratiu a totes les dades, tan sols a aquells relacionats amb les seues pròpies funcions.

Llista d'enllaços: