Todas las empresas que manejan datos de carácter personal, incluidos los relacionados con el ámbito laboral, están obligadas a cumplir con la nueva normativa en materia de protección de datos.
En este artículo nos centraremos en el tratamiento que las empresas realizan de los datos de sus empleados.
Vamos a analizar si es posible realizar un seguimiento del trabajador a través de sistemas de geolocalización, videovigilancia, si la empresa puede tener acceso al correo de los empleados…
En este artículo hablamos de:
- Normativa de Protección de Datos aplicada al ámbito laboral
- Obligaciones del RGPD
- Documentación a firmar en el ámbito laboral
- Preguntas frecuentes de nuestros clientes
- ¿Qué relación se tiene con las empresas de trabajo temporal?
- ¿Qué obligaciones implica el RGPD en las contratas y subcontratas?
- ¿Se necesita el consentimiento de los trabajadores para que la empresa ceda datos de los empleados a terceras empresas que les presten un servicio?
- ¿Se puede monitorizar el correo electrónico de los empleados?
- ¿Qué son los sistemas de Whistleblowing?
- ¿Qué hago con los datos de los trabajadores cuando se extinga la relación contractual?
Normativa de Protección de Datos aplicada al ámbito laboral
A nivel europeo:
A nivel nacional:
- Ley Orgánica de Protección de Datos 15/1999, de 13 de diciembre
- Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores
- Ley 31/1195, de 8 de noviembre de Prevención de Riesgos Laborales
- Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, donde se establecen los periodos de conservación de los datos de localización
Obligaciones del RGPD
En el ámbito laboral, las directrices que se marcan en la nueva normativa son de enorme importancia, ya que van a consistir, de manera directa e indirecta, en una de las medidas que va a garantizar la seguridad de los datos recabados.
Los trabajadores suelen tener acceso a los datos de los clientes e incluso del resto de los trabajadores.
Se distinguen tres categorías:
- El trabajador solamente puede visualizar los datos, simplemente sería de consulta
- Además de visualizarlos puede realizar alguna actuación con ellos, se consideraría como usuario
- Y en caso de tener acceso a los datos y pueda realizar todo tipo de actuación, tendría acceso total
Estos pasos deben seguirse por todas las empresas que cuenten con una plantilla de recursos humanos.
No hace falta tener un número mínimo de empleados, sino que con que se cuente con uno sólo, estos requisitos ya serán exigibles.
El responsable del tratamiento debe realizar un:
1. Registro de actividades de tratamiento
Donde se determinen los motivos que justifican el tratamiento, la finalidad, si se van a ceder, si se van a tratar fuera de la Unión Europea, dónde y cómo se recogen.
2. Análisis de riesgos
El análisis de riesgos consiste en un informe donde se va a reflejar si los datos que tratamos están expuestos a riesgos.
Dependiendo de los datos de empleados que tratemos, si son sensibles, y en función de su volumen, además del análisis, vamos a necesitar realizar una evaluación de impacto.
3. Evaluación de impacto
Consiste en realizar un estudio de los riesgos a los que se exponen los datos y realizar un informe con las medidas que se deben tomar para garantizar la seguridad de los tratamientos.
En el ámbito laboral, los datos sensibles de empleados que se suelen tratar con frecuencia son datos de:
- Geolocalización
- Salud
- Biométricos
4. Además, debemos contar con el documento de seguridad
En este documento se van a recoger las medidas técnicas y organizativas de seguridad conforme a la normativa existente, así como el protocolo que será de obligado cumplimiento para los empleados con acceso a datos de carácter personal recabados por la empresa.
Documentación a firmar en el ámbito laboral
Cláusula de información
Este documento debe ser firmado por el empleado.
En caso de que se cuente con una plantilla muy amplia, y su firma individual pueda conllevar perjuicios o costes elevados, se podrá sustituir la firma por su colocación en el tablón de anuncios.
En él se plasman:
- Las obligaciones que tienen los trabajadores
- Sus funciones para el correcto desarrollo de su puesto de trabajo
- Uso adecuado de las instalaciones y bienes que la empresa ponga a su disposición
Compromiso de confidencialidad
Consiste en el compromiso existente del empleado con la empresa, de no revelar información a la que tenga acceso a través de sus actividades profesionales.
Si el empleado se negase a firmarlo, deberá reflejar los motivos. Además, debe quedar constancia de esa negativa, añadiendo junto a la firma un no conforme, y un recibí de que se ha entregado esta documentación.
Control de recursos informáticos
Se debe firmar un documento con el trabajador, en el que se le informe de que los recursos informáticos que se han puesto a su disposición, por parte del empleador para desempeñar su actividad laboral, podrán ser monitorizados para comprobar que se está cumpliendo con las obligaciones laborales, y que no se estén usando con fines personales o privados.
La monitorización de estos recursos debe hacerse cumpliendo con el principio de proporcionalidad, idoneidad y necesidad.
Cuando el trabajador se lleve a casa el ordenador para continuar allí su trabajo, el control de ese recurso informático se hará a través de control remoto.
Consentimiento para publicación/grabación de imágenes
Si vamos a fotografiar o grabar en vídeo a nuestros empleados para utilizar esas imágenes en la página web de la empresa o en comunicaciones, debemos recabar previamente el consentimiento expreso de estos.
La finalidad del uso de las fotografías debe especificarse en el documento de consentimiento, y no podrá ser usada de forma distinta para la que se haya obtenido ni publicarse en un sitio distinto al establecido.
En el caso de que la fotografía sea usada con motivos de identificación del trabajador, el consentimiento no sería necesario, ya que en este caso está legitimado el empleador por motivos de seguridad.
Geolocalización
Es un sistema que hace referencia a la posición geográfica del trabajador en tiempo real, lo que permite al empleador controlar el desarrollo de la actividad laboral.
No se necesita el consentimiento del trabajador, pero sí que se debe cumplir con el principio de información sobre su instalación, uso y finalidad.
Datos biométricos
Estos datos sirven para el reconocimiento de personas conforme a sus características fisiológicas. Consisten en:
- análisis de las huellas dactilares,
- geometría de la mano,
- imagen facial o retina.
Permiten controlar que los trabajadores cumplan con su horario laboral.
Ocurre lo mismo con la geolocalización, no se requiere un consentimiento expreso, pero sí se debe facilitar información previa al trabajador sobre el tratamiento de estos datos.
Videovigilancia
Si contamos con sistemas de videovigilancia en nuestras oficinas como medio que nos sirva para comprobar el cumplimiento del trabajador, debemos señalizarlo con el preceptivo cartel informativo.
La videovigilancia debe estar basada en la proporcionalidad de la finalidad perseguida, la necesidad y el modo en que se traten las imágenes, es decir, debe ser la medida más adecuada para el caso.
Se debe informar a los trabajadores que se va a proceder a realizar las grabaciones. Dicha información debe quedar reflejada en el documento que se firme con el trabajador.
Además, el Proyecto de Ley de Protección de Datos que se está tramitando, recoge que estas cámaras no van a poder instalarse en zonas de ocio, de descanso o esparcimiento de los trabajadores.
Preguntas frecuentes de nuestros clientes
¿Qué relación se tiene con las empresas de trabajo temporal?
Debemos tener claro qué posición ocupa cada una de las partes –en materia de protección de datos- cuando tratamos con una empresa de trabajo temporal (ETT).
La ETT, conforme a la normativa, será la responsable del tratamiento, al recoger los datos de los trabajadores y establecer un vínculo laboral con ellos.
El empresario a quien la ETT facilita los empleados, será un cesionario de los datos personales de estos trabajadores.
Por tanto, ambas empresas pueden ser consideradas como responsables del tratamiento.
¿Qué obligaciones implica el RGPD en las contratas y subcontratas?
En el momento en el que se realice una subcontratación, la empresa debe comprobar que la subcontrata:
- Esté al corriente del pago de salarios, y
- de las cuotas de la seguridad social.
Para realizar esta comprobación, se pueden entregar a la empresa contratante:
- Las nóminas de los empleados
- Los TC2
Estos documentos contienen gran información personal de los trabajadores,
¿Es obligatorio obtener el consentimiento para esta cesión de datos?
No. La obtención del consentimiento no es obligatoria ya que la cesión se realiza en base al art. 42.1 del ET.
El acceso a datos del contratista se debe limitar a los datos de los trabajadores subcontratados, y solamente a los que resulten estrictamente necesarios.
¿Se necesita el consentimiento de los trabajadores para que la empresa ceda datos de los empleados a terceras empresas que les presten un servicio?
No. Aunque los trabajadores sí deben ser informados de esta cesión y el destino de la misma.
La posibilidad de que se contrate a una empresa externa para que preste un servicio, es algo muy habitual.
Los ejemplos más comunes de cesión se producen en los siguientes casos:
- Gestoría
- Asesoría
- Empresa para el mantenimiento de equipo y aplicaciones informáticas
- Empresa de prevención de riesgos laborales
Aunque no se requiera consentimiento, debe hacerse en base a un contrato de encargado de tratamiento.
¿Se puede monitorizar el correo electrónico de los empleados?
El TEDH dictó sentencia –en septiembre del 2017- donde se prohibía que las empresas pudiesen controlar las comunicaciones de trabajadores por vulnerar el derecho a la intimidad y al secreto de las comunicaciones del trabajador.
La monitorización de los correos electrónicos será es legal cuando:
- Se haya realizado un aviso previo al trabajador
- Exista un motivo que justifique la elección del empresario por dicha medida
- Sea proporcional, es decir, que no haya otro método menos intrusivo
¿Qué son los sistemas de Whistleblowing?
Denominamos whistleblowing al canal de denuncias interno de las empresas.
A través de este sistema, los trabajadores pueden denunciar el quebrantamiento de:
- Reglamento interno de la empresa
- Códigos morales
- Normativa existente aplicable al sector
No existe una regulación expresa al respecto, pero sí existen recomendaciones de cómo deben prestarse:
¿Qué hago con los datos de los trabajadores cuando se extinga la relación contractual?
Lo más recomendable, es suscribir con el trabajador el documento sobre procedimiento de salida.
Este documento tiene una doble finalidad:
- Devolver o destruir los datos del trabajador
- Proteger los datos que haya manejado el trabajador en el ejercicio de sus funciones
El documento de procedimiento de salida, debe firmarse junto con el resto de la documentación necesaria para los empleados, y con todos los trabajadores, ya sean fijos, temporales, en prácticas, o becarios.
Esperamos que este artículo te haya resultado útil para resolver tus dudas.
Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.
