¡Pide presupuesto en 2 min! ✓
LaboralLOPDGDD & RGPD

La protección de datos en las relaciones laborales

Como ya sabéis, la protección de datos es transversal y se debe aplicar en diferentes ámbitos en los que empresas y otras organizaciones o entidades traten datos personales; en este artículo os vamos a ofrecer una guía de protección de datos en las relaciones laborales, uno de los ámbitos en los que más dudas suelen surgir.

La normativa de protección de datos aplicada en las relaciones laborales

La protección de datos y las relaciones laborales dan pie a diferentes situaciones en las que empleadores y, a veces, terceros, deben acceder y tratar datos personales de las personas trabajadoras (en ocasiones, teniendo acceso a datos de categorías especiales), por ese motivo, cualquier empresa o empleador debe cumplir con las obligaciones recogidas en la Ley de Protección de Datos.

Sin embargo, y como decíamos en las primeras líneas, la protección de datos en las relaciones laborales suele generar bastante dudas, especialmente porque en ocasiones choca con el derecho de control del empleador reconocido y regulado en el Estatuto de los Trabajadores.

Para despejar estas dudas frecuentes, la Agencia Española de Protección de Datos (AEPD) ha elaborado una guía para la aplicación práctica de la protección de datos en las relaciones laborales, que aquí vamos a seguir para ayudaros con los requisitos y obligaciones de la normativa vigente en vuestras empresas.

Base jurídica y legitimación del tratamiento de datos personales

Tanto el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) establecen la obligación de legitimar el tratamiento de datos personales sobre una base jurídica; en el ámbito de las relaciones laborales, esa base jurídica es la ejecución del contrato de trabajo, así como dar cumplimiento a las exigencias impuestas por la ley o por el convenio colectivo.

Información sobre el tratamiento de datos

El responsable del tratamiento (el empleador) tiene que cumplir con el deber de informar a las personas trabajadoras sobre el tratamiento de datos que se va a llevar a cabo; esta información debe ser concisa, transparente, comprensible, con un lenguaje claro y sencillo y de fácil acceso.

Derechos de las personas trabajadoras

En los derechos a la protección de datos de las personas trabajadoras se reconocen:

  • Derecho de acceso
  • Derecho de rectificación
  • Derecho de supresión
  • Derecho de limitación del tratamiento
  • Derecho a la portabilidad de los datos
  • Derecho de oposición
  • Derecho a no ser objeto de decisiones individuales

El responsable del tratamiento deberá atender cualquier solicitud sobre estos derechos y darle respuesta dentro de los plazos marcados por la normativa.

Aplicación del principio de minimización

El empleador deberá aplicar el principio de minimización de datos del RGPD, que exige solo se recabarán aquellos datos adecuados, pertinentes y limitados a la finalidad del tratamiento. Es decir, se podrán conocer los datos personales necesarios para el normal desarrollo de la relación laboral, como son, por ejemplo:

  • Nombre y apellidos
  • Sexo
  • Número de DNI
  • Nacionalidad
  • Fecha de nacimiento
  • Discapacidad…

Seguridad de los datos personales

El responsable del tratamiento (y en su caso, el encargado del tratamiento) debe garantizar la seguridad y secreto de los datos personales que trata, por lo que debe establecer las medidas técnicas y organizativas necesarias para gestionar el riesgo para los derechos y libertades de las personas físicas.

De manera que responsables y encargados del tratamiento, así como el resto de personas que puedan intervenir en cualquier fase del tratamiento, están sujetos al deber de confidencialidad que, en su caso, se verá complementada por los deberes de secreto profesional. Estas obligaciones se mantendrán incluso cuando la relación laboral haya terminado.

Por su parte, las medidas de seguridad deben garantizar, además de la confidencialidad, la disponibilidad de los datos y su integridad.

Transferencias internacionales

Si en el desarrollo de la relación laboral se producen transferencias internacionales de datos, el responsable del tratamiento debe seguir las directrices que marca el RGPD para ello.

Así, se informará a los afectados si se van a producir y se incluirán en el registro de actividades del tratamiento.

tarifas proteccion datos

La protección de datos personales durante la relación laboral

Vistos los aspectos generales de la protección de datos personales para los empleados, en los siguientes puntos nos centraremos en la protección de datos personales durante la relación laboral.

Proceso de selección y contratación

Como ya hemos visto, durante el proceso de selección y contratación es necesario aplicar el principio de limitación del tratamiento, así como del deber de informar, de manera que solo se recabarán por parte del empleador los datos personales necesarios para poder llevar a cabo esta fase precontractual, sin que sea necesario pedir el consentimiento de la persona candidata para el tratamiento de sus datos.

  • Respecto al posible uso de las redes sociales en los procesos de selección y contratación:

No se podrá indagar en las redes sociales de las personas candidatas a un empleo, salvo que pueda justificarse en relación a los fines profesionales del puesto, es decir, será necesario demostrar que este tratamiento es necesario y pertinente para el desempeño del puesto de trabajo. Y se debe informar al interesado de este tratamiento si se produce.

La empresa no podrá solicitar «amistad» a las personas candidatas para poder obtener acceso a sus perfiles privados, así como tampoco podrá solicitar la información que esta comparte a través de sus redes sociales.

  • Respecto a la entrevista de trabajo

Los datos personales que se puedan obtener durante la entrevista de trabajo sobre ideología política, creencias religiosas o afiliación sindical, no pueden ser objeto de tratamiento, cuando no sean necesarios para la ejecución del contrato o el consentimiento no se haya dado.

Es importante recordar que el empleador no puede solicitar durante la entrevista «datos de carácter personal o establecer condiciones, mediante la publicidad, difusión o por cualquier otro medio, que constituyan discriminaciones para el acceso al empleo por motivos de sexo, origen, incluido el racial o étnico, edad, estado civil, discapacidad, religión o convicciones, opinión política, orientación sexual, afiliación sindical, condición social y lengua dentro del Estado». Se trata de una infracción administrativa muy grave.

En cuanto al estado de salud, solo podrán preguntarse sobre ello en la entrevista o solicitar un examen médico, cuando sea necesario y pertinente para el puesto de trabajo.

  • Respecto al currículum:

Si el currículum ha sido remitido a través de correo postal o electrónico, la dirección facilitada por el interesado podrá usarse para remitirle información relacionada con el puesto de trabajo y su candidatura. El tratamiento de los datos se condicionará al acuse de recibo.

Si el CV se presentó en la recepción u oficina de la empresa, se debe informar a la persona candidata del tratamiento de datos.

Cuando la persona candidata no sea contratada, será necesario recabar su consentimiento para llevar a cabo futuros tratamientos, como la inclusión en la bolsa de empleo de la empresa. Si el consentimiento no se consigue o no se van a efectuar futuros tratamientos, el currículum debe destruirse y proceder a la supresión o bloqueo de los datos personales que puedan figurar en la base de datos de la empresa.

protección datos empleados

Desarrollo de la relación laboral

Entre los aspectos en los que debe tener en cuenta la protección de datos durante el desarrollo de la relación laboral están las nóminas, el registro de la jornada laboral y la extinción de la relación laboral.

  • Respecto a las nóminas:

En las nóminas solo debe figurar la información personal indispensable en relación a los ingresos y deducciones derivadas del contrato de trabajo, evitando la aparición de cualquier otro dato personal al que no deban tener acceso terceros que puedan manejar dichas nóminas, como puede ser, por ejemplo, la afiliación sindical.

  • Respecto al registro de la jornada laboral:

Los datos de registro de la jornada laboral no podrán ser usados con otro fin que no sea el control de la jornada de trabajo, es decir, comprobar que la persona trabajadora cumple con su horario de trabajo, de manera que, por ejemplo, no podrán usarse para saber la ubicación de la persona trabajadora, especialmente de aquellas personas que realizan parte o toda su jornada fuera del centro de trabajo.

  • Respecto a la extinción de la relación laboral:

Por un lado, la carta de despido no podrá contener datos personales que el empleador no tenga legitimación para conocer, como pueden ser datos de la salud.

Por otro lado, el empleador, siempre que pueda demostrar que es necesario, está legitimado y no existen medios menos invasivos, podrá controlar las comunicaciones públicas de sus extrabajadores en redes sociales como LinkedIn en base al respeto al pacto de competencia.

  • Respecto a los sistemas internos de denuncia:

Se debe garantizar la protección de la información de las personas denunciantes y las personas denunciadas, garantizando la confidencialidad de las partes. Además, el personal de recursos humanos solo podrá acceder a estos datos en caso de procedimientos disciplinarios.

  • Respecto a la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género:

Los datos personales y, en especial, la identidad de estas víctimas tienen consideración de categorías especiales de datos personales, por lo que exigen una protección reforzada.

Así, en los casos de acoso, se deberá asignar un código identificativo a víctima y acosador, para preservar sus identidades.

En los casos de mujeres víctimas de violencia de género, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a esta condición cuando resulte necesario para cumplir con obligaciones legales, pero la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar dicha información con la trabajadora.

Control de la actividad laboral

Aspectos como la videovigilancia, la geolocalización o la contratación de detectives, también exigen la aplicación de la normativa de protección de datos.

  • Sobre videovigilancia:

El uso de la videovigilancia está legitimado por el ejercicio del derecho de control del empresario, de manera que la instalación de cámaras no exige el consentimiento de los empleados, pero sí deben ser informados de su presencia y su finalidad. Además, no pueden colocarse en zonas de descanso, vestuarios o cualquier zona de carácter privado. Su uso también debe estar justificado y ser proporcionado y el control de las imágenes debe respetar los derechos fundamentales de las personas trabajadoras, especialmente el derecho a la intimidad.

El tratamiento de datos se produce tanto si las cámaras graban como si solo recogen las imágenes en tiempo real.

  • Sobre geolocalización:

Las personas trabajadoras que deban usar herramientas de geolocalización, deben estar informadas de ello, así como de la finalidad de dicho seguimiento. El empleador debe informar claramente de la presencia de estas herramientas y del registro de la ubicación de la persona trabajadora.

Ahora, no está permitido imponer la obligación de proporcionar medios personales para facilitar la geolocalización a las personas trabajadoras.

  • Sobre el control del absentismo:

El empresario está legitimado para verificar el estado de salud de las personas trabajadoras cuando este sea alegado para justificar la ausencia del puesto de trabajo. Para ello podrá recurrir al reconocimiento a cargo de personal médico, tanto de la sanidad pública como privada.

En cualquier caso, la información recaba solo podrá referirse al estado de salud de la persona trabajadora durante la ausencia laboral.

  • La contratación de detectives:

Legitimado por el Estatuto de los Trabajadores, el empresario puede recurrir a los servicios de un detective privado para llevar a cabo medidas de control y vigilancia de sus empleados, sin embargo, esta medida debe superar el test de proporcionalidad en cuanto a protección de datos, justificando que no existen otras medidas menos invasivas.

Si bien no es necesario el consentimiento de las personas trabajadoras en estos casos, está prohibido investigar la vida íntima y privada de las mismas que transcurra en sus domicilios u otros lugares reservados. Además, tampoco se podrán usar «en este tipo de servicios medios personales, materiales o técnicos de tal forma que atenten contra el derecho al honor, a la intimidad personal o familiar o a la propia imagen o al secreto de las comunicaciones o a la protección de datos».

Vigilancia de la salud

Más allá del control del absentismo y la legitimación que hemos visto en el punto anterior, la monitorización de datos de salud usando cualquier tipo de tecnología wareable está prohibida, puesto que los datos relativos a la salud están especialmente protegidos.

El único caso en que podría llevarse a cabo este monitoreo, sería si el empresario puede acreditar un interés legítimo, una finalidad específica, una monitorización proporcional o si se garantiza la anonimización completa de los datos.

Representación legal de las personas trabajadoras

Cuando la empresa tiene representación legal de las personas trabajadoras, puede ocurrir que necesite facilitarle información relativa a los empleados y empleadas, en estos casos se deben contemplar los límites marcados por la normativa de protección de datos.

Así, cuando sea necesario abrir períodos de consultas al negociar medidas de carácter colectivo, la empresa debe aplicar el principio de minimización y aportar a la RLT solo los datos personales necesarios para el proceso de negociaciones.

Por su parte, la RLT no podrá usar los datos personales de las personas trabajadoras con una finalidad distinta a la de negociar con la empresa.

La RLT podrá enviar correos electrónicos a los empleados y empleadas de la empresa, siempre que lo que se envíe sea información sindical, ya que es un derecho amparado por el derecho fundamental a la libertad sindical. Sin embargo, la empresa no puede ceder a la RLT la dirección de correo electrónico privada de las personas trabajadoras y estas podrán en cualquier momento ejercer su derecho de oposición.

En cuanto al tablón de anuncios puestos a disposición de la RLT, este no puede mostrar información personal y debe ubicarse donde terceros ajenos a la empresa (como clientes o proveedores) no puedan acceder a ellos.

Finalmente, respecto a durante cuánto tiempo pueden conservarse los datos personales de los trabajadores, los plazos dependerán de las diferentes normativas que puedan afectarles, como son la normativa fiscal o la laboral. En cualquier caso, es obligación del responsable del tratamiento establecer un período adecuado y proporcionado para la conservación de datos personales e informar de ello a los interesados.

Si necesitáis ampliar información sobre la protección de datos en las relaciones laborales, podéis consultar la Guía de la AEPD.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.