Blog de Protección de Datos para empresas y autónomos

Estás aquí: Inicio / LOPD / Acceso a datos por terceros / Protección de datos en el ámbito laboral

Protección de datos en el ámbito laboral

Todas las empresas que manejan datos de carácter personal, incluidos los relacionados con el ámbito laboral, están obligadas a cumplir con la nueva normativa en materia de protección de datos.

En este artículo nos centraremos en el tratamiento que las empresas realizan de los datos de sus empleados.

Vamos a analizar si es posible realizar un seguimiento del trabajador a través de sistemas de geolocalización, videovigilancia, si la empresa puede tener acceso al correo de los empleados…

Normativa de Protección de Datos aplicada al ámbito laboral

A nivel europeo:

A nivel nacional:

Obligaciones del RGPD

En el ámbito laboral, las directrices que se marcan en la nueva normativa son de enorme importancia, ya que van a consistir, de manera directa e indirecta, en una de las medidas que va a garantizar la seguridad de los datos recabados.

Los trabajadores suelen tener acceso a los datos de los clientes e incluso del resto de los trabajadores.

Se distinguen tres categorías:

  • El trabajador solamente puede visualizar los datos, simplemente sería de consulta
  • Además de visualizarlos puede realizar alguna actuación con ellos, se consideraría como usuario
  • Y en caso de tener acceso a los datos y pueda realizar todo tipo de actuación, tendría acceso total

Estos pasos deben seguirse por todas las empresas que cuenten con una plantilla de recursos humanos.

No hace falta tener un número mínimo de empleados, sino que con que se cuente con uno sólo, estos requisitos ya serán exigibles.

El responsable del tratamiento debe realizar un:

1. Registro de actividades de tratamiento

Donde se determinen los motivos que justifican el tratamiento, la finalidad, si se van a ceder, si se van a tratar fuera de la Unión Europea, dónde y cómo se recogen.

2. Análisis de riesgos

El análisis de riesgos consiste en un informe donde se va a reflejar si los datos que tratamos están expuestos a riesgos.

Dependiendo de los datos de empleados que tratemos, si son sensibles, y en función de su volumen, además del análisis, vamos a necesitar realizar una evaluación de impacto.

3. Evaluación de impacto

Consiste en realizar un estudio de los riesgos a los que se exponen los datos y realizar un informe con las medidas que se deben tomar para garantizar la seguridad de los tratamientos.

En el ámbito laboral, los datos sensibles de empleados que se suelen tratar con frecuencia son datos de:

  • Geolocalización
  • Salud
  • Biométricos

4. Además, debemos contar con el documento de seguridad

En este documento se van a recoger las medidas técnicas y organizativas de seguridad conforme a la normativa existente, así como el protocolo que será de obligado cumplimiento para los empleados con acceso a datos de carácter personal recabados por la empresa.

Documentación a firmar en el ámbito laboral

Cláusula de información

Este documento debe ser firmado por el empleado.

En caso de que se cuente con una plantilla muy amplia, y su firma individual pueda conllevar perjuicios o costes elevados, se podrá sustituir la firma por su colocación en el tablón de anuncios.

En él se plasman:

  • Las obligaciones que tienen los trabajadores
  • Sus funciones para el correcto desarrollo de su puesto de trabajo
  • Uso adecuado de las instalaciones y bienes que la empresa ponga a su disposición

Compromiso de confidencialidad

Consiste en el compromiso existente del empleado con la empresa, de no revelar información a la que tenga acceso a través de sus actividades profesionales.

Si el empleado se negase a firmarlo, deberá reflejar los motivos. Además, debe quedar constancia de esa negativa, añadiendo junto a la firma un no conforme, y un recibí de que se ha entregado esta documentación.

Control de recursos informáticos

Se debe firmar un documento con el trabajador, en el que se le informe de que los recursos informáticos que se han puesto a su disposición, por parte del empleador para desempeñar su actividad laboral, podrán ser monitorizados para comprobar que se está cumpliendo con las obligaciones laborales, y que no se estén usando con fines personales o privados.

La monitorización de estos recursos debe hacerse cumpliendo con el principio de proporcionalidad, idoneidad y necesidad.

Cuando el trabajador se lleve a casa el ordenador para continuar allí su trabajo, el control de ese recurso informático se hará a través de control remoto.

Consentimiento para publicación/grabación de imágenes

Si vamos a fotografiar o grabar en vídeo a nuestros empleados para utilizar esas imágenes en la página web de la empresa o en comunicaciones, debemos recabar previamente el consentimiento expreso de estos.

La finalidad del uso de las fotografías debe especificarse en el documento de consentimiento, y no podrá ser usada de forma distinta para la que se haya obtenido ni publicarse en un sitio distinto al establecido.

En el caso de que la fotografía sea usada con motivos de identificación del trabajador, el consentimiento no sería necesario, ya que en este caso está legitimado el empleador por motivos de seguridad.

Geolocalización

Es un sistema que hace referencia a la posición geográfica del trabajador en tiempo real,  lo que permite al empleador controlar el desarrollo de la actividad laboral.

No se necesita el consentimiento del trabajador, pero sí que se debe cumplir con el principio de información sobre su instalación, uso y finalidad.

Datos biométricos

Estos datos sirven para el reconocimiento de personas conforme a sus características fisiológicas. Consisten en:

  • análisis de las huellas dactilares,
  • geometría de la mano,
  • imagen facial o retina.

Permiten controlar que los trabajadores cumplan con su horario laboral.

Ocurre lo mismo con la geolocalización, no se requiere un consentimiento expreso, pero sí se debe facilitar información previa al trabajador sobre el tratamiento de estos datos.

Videovigilancia

Si contamos con sistemas de videovigilancia en nuestras oficinas como medio que nos sirva para comprobar el cumplimiento del trabajador, debemos señalizarlo con el preceptivo cartel informativo.

La videovigilancia debe estar basada en la proporcionalidad de la finalidad perseguida, la necesidad y el modo en que se traten las imágenes, es decir, debe ser la medida más adecuada para el caso.

Se debe informar a los trabajadores que se va a proceder a realizar las grabaciones. Dicha información debe quedar reflejada en el documento que se firme con el trabajador.

Además, el Proyecto de Ley de Protección de Datos que se está tramitando, recoge que estas cámaras no van a poder instalarse en zonas de ocio, de descanso o esparcimiento de los trabajadores.

Partes de baja y justificantes médicos

Los justificantes médicos y partes de baja son emitidos por los servicios sanitarios con el objetivo de corroborar bajas temporales relacionadas con accidentes laborales o enfermedades comunes. Pero, ¿quién puede tener acceso a estos documentos?

¿Debe la empresa guardar los justificantes médicos?

La normativa española sobre protección de datos señala que el tratamiento o conservación de documentos relativos a la salud del trabajador está prohibida, salvo consentimiento explícito del afectado.

En efecto, la ley señala que guardar los justificantes médicos NO es una medida adecuada por desproporcionada, y que atenta contra el derecho a la intimidad del trabajador. Está considerada como infracción muy grave.

El mantenimiento de ficheros relativos a la salud del trabajador solo permite si es completamente necesario para prevención, diagnósticos médicos o prestación de asistencia sanitaria. Pero nunca con motivo de una baja laboral.

Entonces, ¿cómo se debe proceder?

Lo ideal es que la empresa redacte un documento propio en el que se indique el tiempo de baja del trabajador. Este documento debe estar firmado por el propio interesado.

Los partes de baja presentados por los trabajadores han de ser destruidos o devueltos, toda vez que la justificación de la ausencia se refleja en el documento privado redactado por la empresa.

¿Están los partes de baja sometidos al deber de secreto?

Sí. Las personas que conozcan la información contenida en los justificantes médicos o partes de baja deben mantenerla en secreto, incluso después de que haya finalizado su relación laboral con la empresa.

Ejemplos de protección de datos en partes de baja: el caso de Gareth Bale

En los clubes de fútbol es habitual que se publiquen los partes de baja de los jugadores. No es algo obligatorio, ni mucho menos, pero es una práctica extendida en el mundo del fútbol publicar las lesiones de los jugadores y el tiempo que permanecerán de baja (sobre todo, de cara a facilitar la labor de los medios de comunicación deportivos).

Sin embargo, recientemente ha sido muy comentada la noticia de que el jugador del Real Madrid, Gareth Bale, ha solicitado al club que no hagan públicos los partes de baja de sus continuas lesiones. A pesar de que esta decisión ha suscitado cierta polémica y no pocos comentarios, lo cierto es que el jugador está en pleno derecho de que que esta información no se haga pública sin su consentimiento.

Preguntas frecuentes de nuestros clientes

¿Qué relación se tiene con las empresas de trabajo temporal?

Debemos tener claro qué posición ocupa cada una de las partes –en materia de protección de datos- cuando tratamos con una empresa de trabajo temporal (ETT).

La ETT, conforme a la normativa, será la responsable del tratamiento, al recoger  los datos de los trabajadores y establecer un vínculo laboral con ellos.

El empresario a quien la ETT facilita los empleados, será un cesionario de los datos personales de estos trabajadores.

Por tanto, ambas empresas pueden ser consideradas como responsables del tratamiento.

¿Qué obligaciones implica el RGPD en las contratas y subcontratas?

En el momento en el que se realice una subcontratación, la empresa debe comprobar que la subcontrata:

  • Esté al corriente del pago de salarios, y
  • de las cuotas de la seguridad social.

Para realizar esta comprobación, se pueden entregar a la empresa contratante:

  • Las nóminas de los empleados
  • Los TC2

Estos documentos contienen gran información personal de los trabajadores,

¿Es obligatorio obtener el consentimiento para esta cesión de datos?

No. La obtención del consentimiento no es obligatoria ya que la cesión se realiza en base al art. 42.1 del ET.

El acceso a datos del contratista se debe limitar a los datos de los trabajadores subcontratados, y solamente a los que resulten estrictamente necesarios.

¿Se necesita el consentimiento de los trabajadores para que la empresa ceda datos de los empleados a terceras empresas que les presten un servicio?

No. Aunque los trabajadores sí deben ser informados de esta cesión y el destino de la misma.

La posibilidad de que se contrate a una empresa externa para que preste un servicio, es algo muy habitual.

Los ejemplos más comunes de cesión se producen en los siguientes casos:

  • Gestoría
  • Asesoría
  • Empresa para el mantenimiento de equipo y aplicaciones informáticas
  • Empresa de prevención de riesgos laborales

Aunque no se requiera consentimiento, debe hacerse en base a un contrato de encargado de tratamiento.

¿Se puede monitorizar el correo electrónico de los empleados?

El TEDH dictó sentencia –en septiembre del 2017-  donde se prohibía que las empresas pudiesen controlar las comunicaciones de trabajadores por vulnerar el derecho a la intimidad y al secreto de las comunicaciones del trabajador.

La monitorización de los correos electrónicos será es legal cuando:

  • Se haya realizado un aviso previo al trabajador
  • Exista un motivo que justifique la elección del empresario por dicha medida
  • Sea proporcional, es decir, que no haya otro método menos intrusivo

¿Qué son los sistemas de Whistleblowing?

Denominamos whistleblowing al canal de denuncias interno de las empresas.

A través de este sistema, los trabajadores pueden denunciar el quebrantamiento de:

  • Reglamento interno de la empresa
  • Códigos morales
  • Normativa existente aplicable al sector

No existe una regulación expresa al respecto, pero sí existen recomendaciones de cómo deben prestarse:

¿Qué hago con los datos de los trabajadores cuando se extinga la relación contractual?

Lo más recomendable, es suscribir con el trabajador el documento sobre procedimiento de salida.

Este documento tiene una doble finalidad:

  • Devolver o destruir los datos del trabajador
  • Proteger los datos que haya manejado el trabajador en el ejercicio de sus funciones

El documento de procedimiento de salida, debe firmarse junto con el resto de la documentación necesaria para los empleados, y con todos los trabajadores, ya sean fijos, temporales, en prácticas, o becarios.

¿Pueden cederse los datos de salarios y RNT (Relación Nominal de Trabajadores) de una subcontrata a la empresa principal?

El artículo 42.2 del Estatuto de los Trabajadores señala que la empresa principal tiene acceso a las nóminas de los trabajadores, ya que la finalidad para el tratamiento de los datos es la misma que en el caso de la empresa subcontratada.

En todo caso, el propio ET señala que el acceso de la empresa principal a las nóminas se debe ceñir a los trabajadores subcontratados. Por tanto, no se podrían ceder los datos sobre salarios del resto de empleados de la empresa subcontratada.

 

Esperamos que este artículo te haya resultado útil para resolver tus dudas.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Artículos relacionados:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

Contacto Solícitenos información cumplimentando el siguiente formulario

He leído y acepto elaviso legal y la política de privacidad

Cumple la LOPD de forma fácil.

¡Pide presupuesto en 2 min! ✓