Conoce Atico34 - Solicita presupuesto
LaboralLOPDGDD & RGPD

La protección de datos en las relaciones laborales

La protección de datos en las relaciones laborales sigue generando dudas respecto a cómo deben aplicarse las obligaciones derivadas del RGPD y la LOPDGDD en este ámbito donde chocan los derechos y obligaciones legales del empleador con los derechos de los trabajadores. Para despejar dudas y ayudar a las empresas a llevar una mejor gestión de los datos personales de sus empleados, hemos elaborado esta guía de protección de datos en las relaciones laborales.

11 claves sobre la protección de datos en las relaciones laborales

En el marco de las relaciones laborales, el tratamiento de datos personales es habitual; el empleador y, a veces, terceros autorizados por este, deben acceder y tratar datos personales de los empleados o de personas candidatas en los procesos de selección. Estos tratamientos, que se producen antes, durante e incluso al finalizar la relación laboral

Así, al aplicar la protección de datos en las relaciones laborales (RGPD y LOPDGDD), se generan dudas por el choque entre las obligaciones legales y el derecho de control del empleador y el derecho a la privacidad de los empleados.

Para despejar las dudas más habituales y frecuentes respecto a la protección de datos en las relaciones laborales, a continuación detallamos y explicamos los 11 aspectos clave que como responsables del tratamiento debéis tener en cuenta y poner en práctica.

tarifas proteccion datos

Legitimación del tratamiento de los datos personales de los trabajadores

La legitimación para el tratamiento de datos personales de los trabajadores en la ejecución del contrato, así como en dar cumplimiento a las exigencias impuestas por la ley y/o el convenio colectivo.

Es importante señalar que respecto a la protección de datos para los empleados, el consentimiento nunca puede ser una base legitimadora, de acuerdo al desequilibrio de poder que establece la relación de subordinación entre el empleador y los trabajadores (de ahí, cómo veremos más adelante, que no sea necesario solicitar el consentimiento de los empleados para instalar un sistema de videovigilancia en el centro de trabajo).

Solo podría considerarse el consentimiento explícito de los empleados como una base jurídica legitimadora válida, si no hay ningún tipo de consecuencia, si el trabajador se niega a dar su consentimiento para un determinado tratamiento (podría ser, por ejemplo, el caso de solicitar el consentimiento para poner fotos en las que aparezca el empleado en la página web de la empresa).

Así mismo, el empleador solo recabará aquellos datos que sean adecuados, pertinentes y limitados a la finalidad del tratamiento, que es el normal desarrollo de la relación laboral.

Información y derechos de protección de datos

El empleador, como responsable del tratamiento, tiene que cumplir con el deber de informar a los trabajadores sobre el tratamiento de datos que se va a llevar a cabo; esta información debe ser concisa, transparente, comprensible, con un lenguaje claro y sencillo y de fácil acceso.

Así mismo, también debe informar a los trabajadores de sus derechos de protección de datos, cómo y a través de qué vía pueden ejercerlos:

  • Derecho de acceso
  • Derecho de rectificación
  • Derecho de supresión
  • Derecho de limitación del tratamiento
  • Derecho a la portabilidad de los datos
  • Derecho de oposición
  • Derecho a no ser objeto de decisiones individuales

El responsable del tratamiento deberá gestionar y responder a la solicitud de estos derechos en el plazo de un mes.

Deber de confidencialidad y seguridad

El empleador y trabajadores y terceros que tengan acceso a datos personales, deben garantizar la confidencialidad de los datos (que puede completarse con el deber de secreto profesional).

Así mismo, el responsable del tratamiento (y en su caso, el encargado del tratamiento) debe adoptar las medidas de seguridad técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos. Estas obligaciones deben mantenerse incluso tras la finalización de la relación laboral.

Proceso de selección: CV y redes sociales del trabajador

Dado que la relación laboral comienza mucho antes de la firma del contrato, es necesario aplicar la protección de datos también durante el proceso de selección y contratación, atendiendo especialmente a dos aspectos: el currículum y el uso de las redes sociales.

Respecto al currículum, hay que tener en cuenta los siguientes aspectos:

  • Si se ha recibido a través de correo postal o electrónico, se remitirá la información relacionada con el puesto de trabajo y la candidatura a la dirección facilitada por el interesado. El tratamiento de los datos se condicionará al acuse de recibo.
  • Si se ha recibido en la oficina de la empresa, se informará en ese momento del tratamiento de datos.
  • Si la persona no es contratada, se deberá recabar su consentimiento para tratamientos futuros, como la inclusión en bolsa de empleo. En caso contrario, el CV se destruirá y se procederá a suprimir o bloquear los datos personales que puedan figurar en la base de datos de la empresa.

Sobre la consulta de las redes sociales de los candidatos durante el proceso de selección y contratación, el empleador no puede indagar en los perfiles de redes sociales de los candidatos, salvo que pueda justificarse en relación a los fines profesionales del puesto, en cuyo caso, se deberá de informar de ello al interesado. El empleador tampoco puede solicitar «amistad» a las personas candidatas para tener acceso a sus perfiles privados.

Así mismo, cualquier dato personal que se pueda obtener en la entrevista de trabajo que no sea pertinente ni necesario para la ejecución del contrato, no podrá ser tratado ni usado con ninguna otra finalidad, si no se cuenta con el consentimiento del interesado para ello.

protección de datos en las relaciones laborales

Control de la actividad laboral: Registro de la jornada laboral, videovigilancia y geolocalización

Durante el desarrollo de la relación laboral, hay dos aspectos en los que tener en cuenta las obligaciones en protección de datos, así como el Estatuto de los Trabajadores es fundamental, ya que pueden ser, cómo decíamos al comienzo, fuente de duda e incluso conflicto.

En lo que respecta al registro de la jornada laboral, que deriva de una obligación legal del empleador, los datos personales obtenidos en ella no podrán ser usados con otro fin que no sea el control de la jornada de trabajo, es decir, comprobar que la persona trabajadora cumple con su horario de trabajo, de manera que, por ejemplo, no podrán usarse para saber la ubicación de la persona trabajadora, especialmente de aquellas personas que realizan parte o toda su jornada fuera del centro de trabajo.

Por su parte, el uso de la videovigilancia dentro el ámbito laboral está legitimado por el ejercicio del derecho de control del empresario, de manera que la instalación de cámaras no exige el consentimiento de los empleados, pero sí deben ser informados de su presencia y su finalidad (especialmente si esa finalidad es el control de la actividad laboral). Además, no pueden colocarse en zonas de descanso, vestuarios o cualquier zona de carácter privado.

Su uso también debe estar justificado y ser proporcionado y el control de las imágenes debe respetar los derechos fundamentales de los trabajadores, especialmente el derecho a la intimidad. El tratamiento de datos se produce tanto si las cámaras graban como si solo recogen las imágenes en tiempo real.

En cuanto a la geolocalización, si los empleados deben usar herramientas de geolocalización, se les informará sobre ello, así como de la finalidad de dicho seguimiento. El empleador debe informar claramente de la presencia de estas herramientas y del registro de la ubicación al trabajador. Lo que no está permitido es imponer la obligación de proporcionar medios personales para facilitar la geolocalización.

Canales de denuncia internos

La protección de datos en las relaciones laborales también afecta a los canales de denuncia internos, puesto que a través de ellos se realiza un tratamiento de datos personales (los del denunciante, los del denunciado, así como los de otras personas mencionadas en la denuncia).

La ley de protección de datos, así como la ley de protección de denunciantes de corrupción, si bien permiten la denuncia anónima, cuando el denunciante se identifique, así como respecto a los datos del resto de personas afectadas por la denuncia, establecen la obligación para el empleador de garantizar la protección de la confidencialidad de la información de las denuncias, incluida la identidad de las personas involucradas.

Es decir, no se podrá facilitar al denunciado, o cualquier otro tercero no autorizado, los datos del denunciante.

Así mismo, el personal de recursos humanos solo podrá acceder a estos datos en caso de procedimientos disciplinarios.

Datos sobre ayudas, acoso y violencia de género

Está prohibido publicar por parte de las empresas cualquier listado de ayudas adjudicadas o denegadas en una página web de acceso público y/o en un tablón de anuncios situado en una zona de acceso o abierta al público.

Los datos personales de las víctimas de acoso en el trabajo (en cualquiera de sus vertientes) y de las mujeres supervivientes a la violencia de género se considerarán datos de categorías especiales, por lo que exigen una protección reforzada. Así:

  • En los casos de acoso, se deberá asignar un código identificativo a víctima y acosador, para preservar sus identidades.
  • En los casos de mujeres víctimas de violencia de género, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a esta condición cuando resulte necesario para cumplir con obligaciones legales, pero la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar dicha información con la trabajadora.

Datos relativos a la vigilancia de la salud

En lo relativo a la vigilancia de la salud, el empleador solo debe conocer si un empleado es apto o no para desempeñar las tareas de su puesto de trabajo.

Así mismo, la monitorización de datos de salud usando cualquier tipo de tecnología wearable está prohibida, puesto que los datos relativos a la salud están especialmente protegidos. El único caso en que podría llevarse a cabo este monitoreo, sería si el empresario puede acreditar un interés legítimo, una finalidad específica, una monitorización proporcional o si se garantiza la anonimización completa de los datos.

Acceso a datos por los representantes de los trabajadores

El acceso a los datos de los empleados por parte de los representantes legales de los trabajadores debe hacerse contemplando los límites marcados por la normativa de protección de datos.

Así, cuando sea necesario abrir períodos de consultas al negociar medidas de carácter colectivo, la empresa debe aplicar el principio de minimización y aportar a la RLT solo los datos personales necesarios para el proceso de negociaciones.

Por su parte, la RLT no podrá usar los datos personales de los trabajadores con una finalidad distinta a la de negociar con la empresa.

La RLT podrá enviar correos electrónicos a los empleados de la empresa, siempre que lo que se envíe sea información sindical, ya que es un derecho amparado por el derecho fundamental a la libertad sindical. Sin embargo, la empresa no puede ceder a la RLT la dirección de correo electrónico privada de los trabajadores y estos podrán en cualquier momento ejercer su derecho de oposición.

En cuanto al tablón de anuncios puesto a disposición de la RLT, este no puede mostrar información personal y debe ubicarse donde terceros ajenos a la empresa (como clientes o proveedores) no puedan acceder a ellos.

Extinción de la relación laboral

Como ya adelantamos más arriba, la protección de datos en las relaciones laborales también se aplica al finalizar el contrato laboral.

Por un lado, la carta de despido no podrá contener datos personales que el empleador no tenga legitimación para conocer, como pueden ser datos de la salud.

Por otro lado, el empleador, siempre que pueda demostrar que es necesario, está legitimado y no existen medios menos invasivos, podrá controlar las comunicaciones públicas de sus extrabajadores en redes sociales como LinkedIn en base al respeto al pacto de competencia.

Plazos de conservación de los datos

Respecto a durante cuánto tiempo pueden conservarse los datos personales de los trabajadores, los plazos dependerán de las diferentes normativas que puedan afectarles, como son la normativa fiscal o la laboral. En cualquier caso, es obligación del responsable del tratamiento establecer un período adecuado y proporcionado para la conservación de datos personales e informar de ello a los interesados.

Si necesitáis ampliar información sobre la protección de datos en las relaciones laborales, podéis consultar la Guía de la AEPD publicada al respecto, así como contactar con el equipo de abogados expertos en protección de datos de Grupo Atico34, que os ayudarán a resolver cualquier duda.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.