Protección de Datos para empleados y trabajadores

Todas las empresas que manejan datos de carácter personal, incluidos los relacionados con el ámbito laboral, están obligadas a cumplir con la normativa en materia de protección de datos. En esta guía de protección de datos para empleados analizamos cómo debe realizarse el tratamiento de datos de empleados, si es posible realizar un seguimiento del trabajador a través de sistemas de geolocalización, videovigilancia, si la empresa puede tener acceso al correo de los empleados, y mucho más.

En este artículo hablamos de:

Aplicación del RGPD y LOPDGDD en el ámbito laboral
¿Qué obligaciones tiene las empresas en materia de protección de datos de los trabajadores?
Sanciones por vulnerar la protección de datos de los trabajadores
¿Tienen obligaciones los empleados con la empresa en materia de protección de datos?
¿Necesitas gestionar mejor los datos de tus trabajadores? Atico34 te puede ayudar
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

Aplicación del RGPD y LOPDGDD en el ámbito laboral

Las empresas están obligadas a aplicar los principios del RGPD y la LOPDGDD, una exigencia que en lo concerniente a la protección de datos personales de los empleados no se limita al tiempo que dure la relación contractual, sino que se debe aplicar desde las fases previas a la contratación (selección de personal, gestión de currículum, tratamiento de perfiles, etc.) y extenderse hasta incluso después de que la relación laboral haya terminado.

Aplicar la normativa de protección de datos en las relaciones laborales implica cumplir con una serie de obligaciones en relativas a la protección de datos de los trabajadores, con especial énfasis en la exactitud de los datos, el deber de confidencialidad, el consentimiento del interesado (atendiendo, además a las particulares que entrañan para este las posiciones de empleador y empleados) o el tratamiento de las categorías especiales de datos.

Así mismo, no nos podemos olvidar que la LOPDGDD no solo profundiza sobre algunos aspectos apuntados en la norma europea, sino que también incluye algunos derechos de los trabajadores relacionados con el ámbito digital y con el objetivo de actualizar la ley a las necesidades actuales. Como ejemplo está la inclusión del derecho a la desconexión digital de los trabajadores.

¿Qué obligaciones tiene las empresas en materia de protección de datos de los trabajadores?

La protección de datos en el ámbito laboral requiere cumplir una serie de obligaciones en diferentes fases de dicha relación, incluso antes de que se formalice la relación contractual, puesto que ya en el proceso de selección de personal, se tratan datos personales.

Así mismo, y con carácter previo a cualquier tratamiento de datos personales de los empleados, la primera obligación en materia de protección de datos para la empresa es determinar los tratamientos que va a realizar y llevar a cabo los correspondientes análisis de riesgos en protección de datos y, si procede, la evaluación de impacto.

Previas a la relación laboral

Las obligaciones del empleador o empresa respecto a los datos personales del trabajador comienzan incluso antes de que se haga efectiva la relación laboral.

Procesos de selección: La guía publicada por la AEPD para la protección de datos en el ámbito laboral, recomienda disponer de modelos de impresos tipo para la formalización del currículum de los candidatos, así como un procedimiento estándar para la formalización y entrega de los impresos. De esa forma no solo se recogen los datos mínimos necesarios para el proceso de selección, sino que también se informa a los interesados del tratamiento de sus datos y se definen de forma precia los tipos de datos a tratar, las medidas de seguridad a adoptar, etc.
Tratamiento de CV: Asimismo, las empresas deben cumplir ciertos requisitos a la hora de tratar los currículum de los trabajadores:
- Informar sobre las actividades de tratamiento.
- Obtener consentimiento expreso e inequívoco para el tratamiento de los datos.
- Si el candidato ha entregado el CV a través de la página web, el usuario ha de confirmar que ha leído la política de privacidad para cumplir con el deber de informar y obtener consentimiento explícito.
- En caso de que el candidato haya enviado el currículum a través del correo electrónico, también será necesario cumplir con el deber de informar y la obtención de consentimiento. Para ello, se podrá solicitar una comunicación al correo electrónico de la empresa, supeditando así el tratamiento al acuse de recibo.

Estos tratamientos de datos deberán incluirse en el registro de actividades de tratamiento.

Protección de datos de trabajadores mientras dura la relación laboral

Por su parte, la empresa también tiene obligaciones respecto al tratamiento de datos personales de un trabajador mientras dure la relación contractual.

Obligaciones proteccion datos ambito laboral

Obligaciones en materia de protección para empleados

Información a empleados

La empresa debe informar del tratamiento de datos a los empleados. Quién es el responsable y encargado del tratamiento, qué tipo de datos se van a recabar, si se van a ceder a terceros, el plazo de conservación o los medios para ejercer sus derechos RGPD.

Uno de los medios adecuados para informar al trabajador sobre los tratamientos directamente relacionados con la prestación laboral a través del propio contrato de trabajo.

Por otra parte, también se ha de informar al trabajador sobre cualquier cambio en el tratamiento de sus datos personales, por ejemplo, la aparición de nuevas finalidades o la cesión de datos a terceros. Para ello se puede recurrir a circulares informativas que deben ser fácilmente accesibles para todos los trabajadores.

Aunque el trabajador, con motivo de la relación contractual, tiene la obligación de facilitar datos personales a la empresa, estos datos deben limitarse a aquellos que tengan el entorno y la relación laboral. Por ejemplo, tanto la AEPD como el Tribunal Supremo han señalado que el empleado no está obligado a facilitar al empleador su correo electrónico o número de teléfono personal.

Consentimiento para el tratamiento de datos de empleados

Dada la relación de desequilibrio que existe en las relaciones laborales entre empleador y trabajadores, el consentimiento para el trato de datos personales de un empleado en una empresa no puede ser la base legitimadora, ya que, por ejemplo, el trabajador no puede negarse a dar sus datos personales para formalizar el contrato de trabajo.

Por ello, la base legitimadora en la protección de datos de trabajadores es la ejecución del contrato (art. 6.1.b del RGPD), pudiéndolo ser también cumplir con las exigencias impuestas por una ley o por el convenio colectivo de aplicación (art. 6.1.c del RGPD).

No obstante, que el consentimiento para el tratamiento de datos personales de empleados no sea necesario dentro de la relación laboral, no implica que el empleador pueda usar los datos personales de sus empleados con otras finalidades diferentes o ajenas la relación laboral.

Aplicar la protección de datos personales de empleados requiere cumplir con el principio de finalidad, es decir, los datos personales de los trabajadores no pueden usarse con otros fines, como, por ejemplo, enviar información comercial, o solicitar la dirección de correo personal del empleado.

Videovigilancia

El Estatuto de los Trabajadores señala que el empresario tiene derecho a aplicar las medidas necesarias para garantizar el control y la seguridad en el lugar de trabajo. Esto incluye la colocación de cámaras de seguridad.

La videovigilancia en el trabajo ha de cumplir una serie de requisitos:

Respetar el principio de proporcionalidad, esto es, que las medidas aplicadas sean proporcionales al fin perseguido.
Se debe informar a los trabajadores de la instalación de cámaras de seguridad.
No se podrán grabar espacios públicos.
Se ha de respetar la intimidad de los trabajadores, y no se podrá grabar en vestuarios, aseos o áreas de descanso.

Cabe destacar que la instalación de cámaras de seguridad con grabación de audio NO está permitida, ya que se considera que vulnera el principio de proporcionalidad.

Derechos de los empleados sobre sus datos personales

Los empleados pueden ejercer sus derechos en la protección de datos personales, es de decir, los denominados derechos ARSULIPO. La empresa debe facilitar a los empleados el ejercicio de estos derechos siempre que lo soliciten, a través de un sistema remoto, directo y seguro, como puede ser habilitar una dirección de correo electrónico específica para ello.

Estos derechos son:

Derecho de acceso
Derecho de rectificación
Derecho de supresión
Derecho de limitación al tratamiento
Derecho de portabilidad
Derecho de oposición

La empresa, en su calidad de responsable del tratamiento de datos de los empleados, deberá responder siempre las solicitudes de derecho que reciba, para lo que dispone, con carácter general, de un plazo de 30 días. Si niega el ejercicio del derecho, deberá justificarlo y motivarlo debidamente.

Cláusula de Confidencialidad

El acuerdo de confidencialidad y no divulgación de la información se establece generalmente durante la firma del contrato. En él se establecen las obligaciones del trabajador respecto al deber de secreto y la confidencialidad de la información que obtiene al trabajar en la empresa. El empleado se compromete a no divulgar la información de la empresa a terceros, incluso una vez extinta la relación contractual.

Cesión de datos

La empresa debe informar al trabajador sobre la cesión de datos a terceros. Por ejemplo, a un encargado del tratamiento de datos o a entidades encargadas de la gestión del negocio. Los empleados tienen derecho a saber a quién se ceden sus datos, con qué finalidad y durante cuánto tiempo.

Geolocalización de trabajadores

Para poder geolocalizar a sus trabajadores, las empresas debe cumplir con una serie de condiciones:

Informar a los trabajadores sobre el uso de dispositivos de geolocalización. Ojo, solo es necesario informar, pero en este caso no será necesario obtener consentimiento.
Adecuarse al criterio de necesidad. es decir, los dispositivos de geolocalización han de ser usados para el cumplimiento de una finalidad legítima y proporcionada. Por ejemplo, para el control de las flotas en empresas de transporte, o para garantizar la seguridad de los desplazamientos.

Control horario

Desde 2019 existe la obligación de fichar en el trabajo. Es decir, no es solo que las empresas puedan llevar un control horario de los trabajadores, sino que están obligadas a hacerlo. Además, deben guardar los registros durante un período de cuatro años.

Este registro de la jornada laboral debe cumplir con la normativa de protección de datos para los trabajadores, de manera que se debe optar, siempre que sea posible, por el método menos invasivo en la privacidad de los empleados. Además, el control horario de la jornada laboral no puede emplearse para geolocalizar a los trabajadores que desempeñen su actividad de manera itinerante.

Cabe señalar que, actualmente, el uso de sistemas biométricos para el control horario está técnicamente prohibido (ya que existen medios alternativos menos invasivos y con un nivel de riesgo menor para la protección de datos personales de empleados).

Desconexión digital

El artículo 88 de la LOPDGDD se refiere al nuevo derecho a la desconexión digital de los trabajadores. Los empleados tienen derecho a no ser molestados fuera de su jornada laboral, con el objeto de que se respete su tiempo de descanso, permisos o vacaciones, y de preservar la intimidad personal y familiar.

Nóminas

Los datos contenidos en las nóminas pueden servir para identificar a un trabajador, por lo que dichas nóminas tendrán consideración de datos de carácter personal. Puedes encontrar más información en nuestro artículo sobre protección de datos en nóminas.

Gestión de los Datos de Ex-trabajadores

La protección de datos de trabajadores se extiende incluso una vez que haya finalizado la relación contractual entre empresa y empleado. Es decir, la empresa también debe observar y cumplir las siguientes obligaciones para la protección de datos de trabajadores despedidos:

Conservación de los datos personales de los trabajadores: Los datos personales solo serán almacenados durante el tiempo necesario para cumplir con el fin para el que fueron recabados. No obstante, los datos se podrán guardar para el ejercicio de reclamaciones o para dar cumplimiento a alguna obligación jurídica.
Acceso a datos de la empresa por parte de ex-empleados: Una vez que finaliza la relación contractual, la empresa debe eliminar al usuario de sus servicios y cuentas corporativas. Parece una obviedad, pero muchos robos de información se producen por no quitar a los ex-empleados de las cuentas corporativas.

Sanciones por vulnerar la protección de datos de los trabajadores

Las sanciones a empresas por no cumplir la ley de protección de datos de empleados varía en función de la gravedad de la infracción:

Infracciones leves: hasta 40.000 euros de multa.
Infracciones graves: sanciones entre 40.001 y 300.000 euros.
Infracciones muy graves: desde 300.001 a 20 millones de euros, o el 4% de la facturación del último ejercicio.

¿Tienen obligaciones los empleados con la empresa en materia de protección de datos?

Los empleados de la empresa también tienen ciertas obligaciones relacionadas con los datos personales que manejan:

Mantener el secreto y cumplir con la cláusula de confidencialidad.
No usar los datos con finalidades distintas para las que fueron recabados.
Proteger y no difundir información privada de la empresa como contraseñas o credenciales de acceso.
Solicitar la autorización para el tratamiento de datos referidos a entradas o salidas de los ficheros.
No emplear los equipos informáticos de la empresa para fines privados.

¿Necesitas gestionar mejor los datos de tus trabajadores? Atico34 te puede ayudar

¿Buscas ayuda para el tratamiento de datos personales en el ámbito laboral? En Grupo Atico34 estamos aquí para ayudarte.

Somos la consultoría de protección de datos líder en España. Nos avalan más de 12 años de experiencia ofreciendo servicios a negocios y empresas de todos los tamaños y sectores.

Contamos con los mejores expertos en protección de datos para empleados. Nuestros profesionales cualificados te aseguran un servicio personalizado y asesoramiento continuo.

Entre otros servicios, nuestro equipo de expertos te ayudará a elaborar todos los documentos necesarios para cumplir con la normativa de protección de datos para trabajadores:

Cláusula de información.
Compromiso de confidencialidad.
Control de recursos informáticos.
Consentimiento para publicación / grabación de imágenes.
Geolocalización.
Uso de datos biométricos.
Videovigilancia.

Además, te ofrecemos una gran relación calidad/precio y facilidades de pago. Ponte en nuestras manos y descubre por qué Atico34 es la consultoría de protección de datos que estabas buscando.