La normativa de protección de datos es de aplicación en diferentes ámbitos de la sociedad, incluidas las relaciones laborales, sin embargo, este es también uno de los ámbitos en los que más dudas surgen respecto a cómo deben aplicarse y adoptarse las obligaciones del RGPD y la LOPDGDD. Para despejar estas dudas y ayudar a empresas y personas trabajadoras a tener un control y gestión adecuados de los datos personales, hemos elaborado esta guía de protección de datos en las relaciones laborales.
En este artículo hablamos de:
- Guía de protección de datos en las relaciones laborales
- Aspectos generales de la protección de datos en las relaciones laborales
- Protección de datos durante el proceso de selección
- Protección de datos durante la relación laboral
- Protección de datos a la finalización del contrato
- Control de la actividad laboral
- Protección de datos en la representación legal de las personas trabajadoras
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
Guía de protección de datos en las relaciones laborales
En el marco de las relaciones laborales se producen tratamientos de datos personales, que están sujetos a la Ley de Protección de Datos; el empleador y, a veces, terceros, deben acceder y tratar datos personales de las personas trabajadoras o de personas candidatas en procesos de selección.
Sin embargo, esta aplicación de la normativa de protección de datos en las relaciones laborales, no ha dejado de generar dudas desde que entraron en vigor el RGPD y la LOPDGDD, especialmente, porque en ocasiones las obligaciones en protección de datos chocan con el derecho de control del empleador reconocido y regulado en el Estatuto de los Trabajadores.
Para despejar estas dudas frecuentes, la Agencia Española de Protección de Datos (AEPD) ha elaborado una guía para la aplicación práctica de la protección de datos en las relaciones laborales, que aquí vamos a seguir para ayudaros a cumplir con los requisitos y obligaciones de la normativa vigente en vuestras empresas.
Aspectos generales de la protección de datos en las relaciones laborales
Repasamos brevemente los aspectos generales respecto a la protección de datos para los empleados:
- Base jurídica y legitimación del tratamiento: La base jurídica y legitimación del tratamiento es la ejecución del contrato de trabajo, así como dar cumplimiento a las exigencias impuestas por la ley y/o por el convenio colectivo.
- Información: El responsable del tratamiento (el empleador) tiene que cumplir con el deber de informar a las personas trabajadoras sobre el tratamiento de datos que se va a llevar a cabo; esta información debe ser concisa, transparente, comprensible, con un lenguaje claro y sencillo y de fácil acceso.
- Derechos de las personas trabajadoras: Los derechos a la protección de datos de las personas trabajadoras deben ser atendidos dentro del plazo de un mes y son:
- Derecho de acceso
- Derecho de rectificación
- Derecho de supresión
- Derecho de limitación del tratamiento
- Derecho a la portabilidad de los datos
- Derecho de oposición
- Derecho a no ser objeto de decisiones individuales
- Principio de minimización: El empleador solo recabará aquellos datos que sean adecuados, pertinentes y limitados a la finalidad del tratamiento, que es el normal desarrollo de la relación laboral.
- Seguridad de los datos: El empleador y personas trabajadores y terceros que tengan acceso a datos personales, deben garantizar la confidencialidad de los datos (que puede completarse con el deber de secreto profesional). Así mismo, el responsable del tratamiento (y en su caso, el encargado del tratamiento) deben adoptar las medidas de seguridad técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos. Estas obligaciones deben mantenerse incluso tras la finalización de la relación laboral.
- Transferencias internacionales: Si en el desarrollo de la relación laboral se producen transferencias internacionales de datos, el responsable del tratamiento debe seguir las directrices que marca el RGPD para ello. Así, se informará a los afectados si se van a producir y se incluirán en el registro de actividades del tratamiento.
Protección de datos durante el proceso de selección
Dado que la relación laboral comienza mucho antes de la firma del contrato, es necesario aplicar la protección de datos también durante el proceso de selección y contratación, teniendo en cuenta, aparte de los aspectos generales que hemos visto en el punto anterior, las siguientes consideraciones:
- Uso de las redes sociales durante el proceso de selección y contratación: El empleador no podrá indagar en las redes sociales de las personas candidatas, salvo que pueda justificarse en relación a los fines profesionales del puesto, en cuyo caso, se deberá de informar de ello al interesado. Así mismo, el empleador no podrá solicitar «amistad» a las personas candidatas para tener acceso a sus perfiles privados.
- La entrevista de trabajo: Los datos personales sobre ideología política, creencias religiosas o afiliación sindical que se puedan obtener en la entrevista, no pueden ser objeto de tratamiento, si no son necesarios para ejecución del contrato o no se ha dado consentimiento para ello. En cuanto al estado de salud, solo podrá preguntarse sobre ello o solicitar un examen médico, cuando sea necesario y pertinente para el puesto de trabajo. Así mismo, recordamos que hay información personal sobre la que no se puede preguntar en la entrevista.
- Currículum:
- Si se ha recibido a través de correo postal o electrónico, se remitirá la información relacionada con el puesto de trabajo y la candidatura a la dirección facilitada por el interesado. El tratamiento de los datos se condicionará al acuse de recibo.
- Si se ha recibido en la oficina de la empresa, se informará en ese momento del tratamiento de datos.
- Si la persona no es contratada, se deberá recabar su consentimiento para tratamientos futuros, como la inclusión en bolsa de empleo. En caso contrario, el CV se destruirá y se procederá a suprimir o bloquear los datos personales que puedan figurar en la base de datos de la empresa.
Protección de datos durante la relación laboral
Durante el desarrollo de la relación laboral, se producen diferentes tratamientos de datos personales, en los que se deben aplicar la protección de datos:
- Nóminas: En las nóminas solo debe figurar la información personal indispensable en relación a los ingresos y deducciones derivadas del contrato de trabajo, evitando la aparición de cualquier otro dato personal al que no deban tener acceso terceros que puedan manejar dichas nóminas, como puede ser, por ejemplo, la afiliación sindical.
- Registro de la jornada laboral: Los datos de registro de la jornada laboral no podrán ser usados con otro fin que no sea el control de la jornada de trabajo, es decir, comprobar que la persona trabajadora cumple con su horario de trabajo, de manera que, por ejemplo, no podrán usarse para saber la ubicación de la persona trabajadora, especialmente de aquellas personas que realizan parte o toda su jornada fuera del centro de trabajo.
- Sistemas internos de denuncia (canal de denuncias): Se debe garantizar la protección de la información de las personas denunciantes y las personas denunciadas, garantizando la confidencialidad de las partes. Además, el personal de recursos humanos solo podrá acceder a estos datos en caso de procedimientos disciplinarios.
- Protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género: Los datos personales y, en especial, la identidad de estas víctimas tienen consideración de categorías especiales de datos personales, por lo que exigen una protección reforzada. Así:
- En los casos de acoso, se deberá asignar un código identificativo a víctima y acosador, para preservar sus identidades.
- En los casos de mujeres víctimas de violencia de género, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a esta condición cuando resulte necesario para cumplir con obligaciones legales, pero la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar dicha información con la trabajadora.
- Vigilancia de la salud: La monitorización de datos de salud usando cualquier tipo de tecnología wearable está prohibida, puesto que los datos relativos a la salud están especialmente protegidos. El único caso en que podría llevarse a cabo este monitoreo, sería si el empresario puede acreditar un interés legítimo, una finalidad específica, una monitorización proporcional o si se garantiza la anonimización completa de los datos.
Protección de datos a la finalización del contrato
La protección de datos también debe aplicarse tras la finalización del contrato laboral.
Por un lado, la carta de despido no podrá contener datos personales que el empleador no tenga legitimación para conocer, como pueden ser datos de la salud.
Por otro lado, el empleador, siempre que pueda demostrar que es necesario, está legitimado y no existen medios menos invasivos, podrá controlar las comunicaciones públicas de sus extrabajadores en redes sociales como LinkedIn en base al respeto al pacto de competencia.
Control de la actividad laboral
Uno de los aspectos que más dudas genera en la protección de datos y las relaciones laborales, es el control de la actividad laboral empleando determinados medios, como son la videovigilancia o la geolocalización, ya que entran en conflicto diferentes derechos de los empleadores (control y vigilancia reconocido en el ET) y de las personas trabajadoras (derecho a la intimidad y la imagen).
A continuación vemos cómo debe aplicarse la protección de datos en el control de la actividad laboral.
- Videovigilancia: El uso de la videovigilancia está legitimado por el ejercicio del derecho de control del empresario, de manera que la instalación de cámaras no exige el consentimiento de los empleados, pero sí deben ser informados de su presencia y su finalidad. Además, no pueden colocarse en zonas de descanso, vestuarios o cualquier zona de carácter privado. Su uso también debe estar justificado y ser proporcionado y el control de las imágenes debe respetar los derechos fundamentales de las personas trabajadoras, especialmente el derecho a la intimidad. El tratamiento de datos se produce tanto si las cámaras graban como si solo recogen las imágenes en tiempo real.
- Geolocalización: Las personas trabajadoras que deban usar herramientas de geolocalización, deben estar informadas de ello, así como de la finalidad de dicho seguimiento. El empleador debe informar claramente de la presencia de estas herramientas y del registro de la ubicación de la persona trabajadora. Ahora bien, no está permitido imponer la obligación de proporcionar medios personales para facilitar la geolocalización a las personas trabajadoras.
- Control del absentismo: El empresario está legitimado para verificar el estado de salud de las personas trabajadoras cuando este sea alegado para justificar la ausencia del puesto de trabajo. Para ello podrá recurrir al reconocimiento a cargo de personal médico, tanto de la sanidad pública como privada. En cualquier caso, la información recaba solo podrá referirse al estado de salud de la persona trabajadora durante la ausencia laboral.
- Contratación de detectives: Legitimado por el ET, el empresario puede recurrir a los servicios de un detective privado para llevar a cabo medidas de control y vigilancia de sus empleados, sin embargo, esta medida debe superar el test de proporcionalidad en cuanto a protección de datos, justificando que no existen otras medidas menos invasivas. Si bien no es necesario el consentimiento de las personas trabajadoras en estos casos, está prohibido investigar la vida íntima y privada de las mismas que transcurra en sus domicilios u otros lugares reservados.
Protección de datos en la representación legal de las personas trabajadoras
Cuando la empresa tiene representación legal de las personas trabajadoras, puede ocurrir que necesite facilitarle información relativa a los empleados y empleadas, en estos casos se deben contemplar los límites marcados por la normativa de protección de datos.
Así, cuando sea necesario abrir períodos de consultas al negociar medidas de carácter colectivo, la empresa debe aplicar el principio de minimización y aportar a la RLT solo los datos personales necesarios para el proceso de negociaciones.
Por su parte, la RLT no podrá usar los datos personales de las personas trabajadoras con una finalidad distinta a la de negociar con la empresa.
La RLT podrá enviar correos electrónicos a los empleados y empleadas de la empresa, siempre que lo que se envíe sea información sindical, ya que es un derecho amparado por el derecho fundamental a la libertad sindical. Sin embargo, la empresa no puede ceder a la RLT la dirección de correo electrónico privada de las personas trabajadoras y estas podrán en cualquier momento ejercer su derecho de oposición.
En cuanto al tablón de anuncios puestos a disposición de la RLT, este no puede mostrar información personal y debe ubicarse donde terceros ajenos a la empresa (como clientes o proveedores) no puedan acceder a ellos.
Finalmente, respecto a durante cuánto tiempo pueden conservarse los datos personales de los trabajadores, los plazos dependerán de las diferentes normativas que puedan afectarles, como son la normativa fiscal o la laboral. En cualquier caso, es obligación del responsable del tratamiento establecer un período adecuado y proporcionado para la conservación de datos personales e informar de ello a los interesados.
Si necesitáis ampliar información sobre la protección de datos en las relaciones laborales, podéis consultar la Guía de la AEPD.