Conoce Atico34 - Solicita presupuesto
LaboralLOPDGDD & RGPD

Datos de los trabajadores en la empresa y cómo tratarlos

Las empresas tratan datos de sus trabajadores a lo largo de todo el desarrollo de la relación laboral, incluso antes de esta, en el proceso de selección se pueden solicitar una serie de datos personales a los candidatos. Los datos de los trabajadores de una empresa deben tratarse y gestionarse de acuerdo a la normativa de protección de datos. En este artículo explicamos cómo deben gestionarse los datos de empleados en las empresas.

¿Qué datos de los trabajadores maneja una empresa?

Las empresas manejan diferentes datos de los trabajadores antes, durante y al finalizar la relación laboral y contractual que se establece entre las primeras y los segundos, puesto que el tratamiento de esos datos personales es necesario tanto para el desarrollo de la actividad laboral como para que la empresa cumpla con varias de sus obligaciones legales (como, por ejemplo, dar de alta a los trabajadores en la Seguridad Social o tramitar sus nóminas).

Así, entre los datos de empleados que maneja una empresa podemos señalar:

  • Datos identificativos
  • Datos de contacto
  • Datos bancarios
  • Datos académicos
  • Datos laborales (relacionados con la cualificación profesional y la experiencia laboral)
  • Datos de geolocalización
  • Imágenes de los trabajadores (en caso de la existencia de sistemas de videovigilancia)
  • Datos biométricos
  • Certificado de antecedentes penales (para los puestos donde una Ley permite la su solicitud)

tarifas proteccion datos

¿Qué datos puede pedir la empresa a sus empleados?

Como norma general, las empresas solo pueden pedir aquellos datos personales de sus empleados, y de sus candidatos en procesos de selección, que sean pertinentes y los mínimos necesarios para poder cumplir con una finalidad determinada.

Así, las empresas pueden pedir los datos de empleados que hemos enumerado en el punto anterior, aunque algunos de ellos pueden estar limitados por otras leyes o normas (como es el caso del certificado de antecedentes penales), para poder formalizar el contrato de trabajo y cumplir con las obligaciones legales respecto a diferentes Administraciones (como, por ejemplo, la ya citada Seguridad Social o Hacienda), así como para poder realizar las gestiones administrativas correspondientes, como la elaboración de nóminas (recordamos que la nómina es confidencial), el registro de la jornada laboral, el control de la actividad laboral, llevar a cabo la promoción interna de la empresa, tramitar el despido, etc.

En estos casos, los trabajadores tienen la obligación de facilitar datos personales a la empresa, aunque cabe recordar que las empresas no pueden pedir más datos personales de aquellos que sean necesarios y pertinentes para cumplir con determinada finalidad; por ejemplo, para la elaboración de una ficha de personal se pueden solicitar datos identificativos, el puesto que se ocupa dentro de la empresa y los años de antigüedad, pero no sería lícito solicitar la dirección de correo electrónico particular.

Cabe recordar que las empresas no podrán solicitar datos de categorías especiales (art. 9 del RGPD), salvo que los interesados den su consentimiento expreso y concurra alguna de las circunstancias recogidas en el apartado 2 del artículo 9 del RGPD.

¿Qué tratamientos de datos de trabajadores realizan las empresas?

En el desarrollo de su actividad, así como en el desarrollo de la relación laboral entre empresa y empleados, esta puede llevar a cabo diferentes tratamientos de datos personales, los cuales son necesarios tanto para cumplir con sus obligaciones legales y ante las Administraciones, como para llevar a cabo la gestión de sus recursos humanos.

A continuación detallamos los diferentes tratamientos de datos personales de un empleado en una empresa.

Ficha de empleado

Para poder llevar una mejor gestión de la relación de trabajadores de una empresa, el departamento de recursos humanos puede crear fichas de empleados, no solo para recoger sus datos, sino también para poder agilizar diferentes procesos relacionados con la gestión de los trabajadores, como puede ser cumplimentar determinada documentación para enviarla a diferentes entidades o Administraciones, o para realizar gestiones internas.

Además, esta ficha con los datos del empleado se puede conectar con otros documentos e información relativa a este (como las nóminas, los partes baja y alta, justificantes de ausencia, vacaciones, etc.).

Como es evidente, esta ficha de empleado contiene varios datos personales del trabajador, que la empresa tiene legitimidad para tratar, como son:

  • Nombre y apellidos
  • Fecha de nacimiento
  • DNI o NIE
  • Domicilio
  • Método de contacto (en caso de ser un teléfono o email personal, será necesario recabar el consentimiento del empleado para ello)
  • Número de la Seguridad Social
  • Puesto de trabajo
  • Tipo de contrato laboral
  • Formación académica
  • Formación complementaria

Cómo veremos más adelante, a estas fichas de empleados, que se guardan en una base de datos y se gestionan, normalmente, a través de un software, solo deben acceder aquellas personas autorizadas para ello, como es el personal de recursos humanos. Para ello deberán aplicarse las medidas de seguridad necesarias (como un control de acceso mediante usuario y contraseña o el cifrado de la base de datos).

Control horario

Fichar en las empresas es obligatorio en España para poder llevar el control horario de la jornada laboral. Esto implica un tratamiento de datos personales de los trabajadores, en el que, como mínimo, se tratan nombre y apellidos, además, los registros de la jornada laboral deben guardarse durante cuatro años.

Esto implica que las empresas, como responsables del tratamiento, deben, por un lado, usar métodos para el control horario lo menos invasivos posible en la privacidad de los trabajadores (por ejemplo, se desaconseja usar métodos basados en datos biométricos, como la huella dactilar o el reconocimiento facial) y, por otro lado, garantizar la confidencialidad de los registros de jornada laboral.

Geolocalización de empleados

En el caso de trabajadores que realicen sus funciones laborales fuera del centro de trabajo y la empresa emplee dispositivos de geolocalización, es necesario que se informe de los mismos, así como de la finalidad de la medida.

Los datos de geolocalización, que son también datos de un empleado de una empresa, se pueden tratar por parte de esta, siempre y cuando se haya informado sobre esta medida, además, solo se podrá geolocalizar a los empleados dentro de su jornada laboral. Así mismo, el registro de estos datos debe estar protegido contra accesos no autorizados.

Reconocimientos y justificantes médicos

Las empresas no están legitimadas para tratar datos relativos a la salud, por lo que respecto a los reconocimientos médicos, solo pueden ser informados de si el trabajador es apto o no para desempeñar su actividad laboral.

En cuanto a los justificantes médicos, estos no se consideran datos relativos a la salud. Aunque tampoco pueden conservarse indefinidamente y deben suprimirse una vez han cumplido su cometido.

Videovigilancia

La videovigilancia en las empresas implica, necesariamente, el tratamiento de datos personales de empleados, tanto si la finalidad es la seguridad de instalaciones, bienes y personas, como si la finalidad es el control de la actividad laboral de los empleados.

En ninguno de estos casos es necesario el consentimiento de los trabajadores para instalar un sistema de videovigilancia, aunque sí deben ser informados tanto de la presencia de las cámaras (mediante los correspondientes carteles de zona videovigilada) como de la finalidad de las mismas.

El acceso de las imágenes de los sistemas de videovigilancia se limitará al personal autorizado y estrictamente necesario. Cuando las labores de supervisión de las cámaras de seguridad las realice una empresa de seguridad privada, esta funcionará como encargado del tratamiento, por lo que será necesario suscribir con ella el correspondiente contrato de encargo de tratamiento.

Las imágenes se conservarán durante un plazo de un mes, pasado el cual deberán suprimirse, salvo en el caso de que hayan sido solicitadas como prueba, en cuyo caso, se bloquearán y pondrán a disposición de las autoridades correspondientes, e incluso del trabajador que las haya podido solicitar (siempre y cuando él aparezca en las imágenes).

La difusión de las imágenes de las cámaras de seguridad no está permitida (salvo en los casos en que pueda existir interés informativo, aunque los rostros de las personas deberán quedar debidamente difuminados).

Tratamiento de datos de ex-empleados

Las empresas también tratan datos de los trabajadores despedidos o que han dejado la empresa, por lo que es necesario cumplir con las obligaciones en materia de protección de datos correspondientes, lo que implica conservar los datos personales de los ex-empleados el tiempo mínimo necesario (teniendo en cuenta los plazos de conservación contemplados en otras normas y leyes para el cumplimiento de las mismas), su bloqueo y la aplicación de las debidas medidas de seguridad.

Así mismo, se deberán suprimir aquellas cuentas de usuario y de correo corporativas de trabajadores despedidos o que hayan abandonado la empresa.

Tratamiento de currículum

Al recibir currículum de los candidatos a un puesto de trabajo, las empresas pueden realizar el tratamiento de los datos personales que contienen, cumpliendo con estos requisitos:

  • Informar sobre el tratamiento y su finalidad.
  • Recabar el consentimiento explícito del candidato para el tratamiento.

datos de los trabajadores de una empresa

¿Cómo deben tratar las empresas los datos de sus empleados?

Para llevar a cabo los tratamientos de datos de empleados que hemos ido viendo en los puntos anteriores de manera legal, es necesario que las empresas apliquen las medidas de seguridad y protección de los datos de los trabajadores correspondientes, en tanto cuanto son las responsables del tratamiento.

Esto implica cumplir con una serie de obligaciones y requisitos en materia de protección de datos, de los ya os hemos hablado en diferentes artículos y que resumimos a continuación:

  • Consentimiento: Recabar el consentimiento para el tratamiento de datos de los trabajadores, cuando la licitud para el mismo no pueda basarse en ninguna de las bases legitimadoras del artículo 6 del RGPD, así como cuando se traten datos de categorías especiales.
  • Deber de informar: Se debe informar a los trabajadores de todo lo relativo al tratamiento de sus datos personales.
  • Riesgos y seguridad: Realizar los correspondientes análisis de riesgos de los tratamientos de datos personales y aplicar, en base a los resultados de esos análisis, las medidas de seguridad técnicas y organizativas que garanticen la protección de los datos personales de los trabajadores que trata la empresa.
  • Registro de actividades de tratamiento: Las empresas deben llevar un registro de los tratamientos de datos personales que realizan por escrito (incluidos medios digitales) y siempre actualizado.
  • Restricción de acceso: Limitar el acceso a los datos de los trabajadores a aquel personal que lo necesite para llevar a cabo sus funciones y labores dentro de la empresa, como, por ejemplo, el departamento de recursos humanos.
  • Confidencialidad: Garantizar que el personal con acceso a los datos personales del resto de trabajadores cumplirá con el deber de confidencialidad, es decir, que no usarán los datos personales a los que tienen acceso con cualquier otra finalidad o beneficio propio. Para reforzar este deber de confidencialidad, se puede incluir una cláusula al respecto en el contrato de trabajo.
  • Derechos: Atender las solicitudes de derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición) de los trabajadores.
  • Delegado de Protección de Datos: Designar un Delegado de Protección de Datos si se cumplen las condiciones del artículo 37 del RGPD o la actividad de la empresa es una de las contempladas en el artículo 34 de la LOPDGDD.
  • Notificar brechas de seguridad: Cuando un incidente de seguridad pueda exponer los datos personales de los trabajadores y suponer un riesgo para sus derechos y libertades, deberá notificar de ello a la AEPD (Agencia Española de Protección de Datos) y a los propios trabajadores en un plazo máximo de 72 horas desde que se detectó el incidente.

En definitiva, las empresas manejan diferentes datos personales de sus trabajadores con diferentes fines, la mayoría de ellos relacionados con la gestión de los mismos y con el cumplimiento de sus obligaciones ante la Administración. Por ello, es necesario que el tratamiento de datos de un empleado por parte de la empresa siembre se haga de acuerdo a la normativa de protección de datos, así como otras normas y leyes que pueden ser de aplicación en función de su sector de actividad.

Si tienes dudas respecto a cómo gestionar y tratar los datos de empleados, Grupo Atico34 puede ayudarte; analizaremos los tratamientos de datos que realiza tu empresa, los datos personales que maneja y te ayudaremos a implantar las medidas de seguridad necesarias para garantizar y cumplir la normativa de protección de datos. No lo dudes y ponte en contacto con nosotros.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.