¿Qué obligaciones deben cumplir las empresas respecto a la protección de datos de trabajadores despedidos? ¿Qué tratamientos pueden realizar sobre los datos personales de ex-empleados?
En este artículo hablamos de:
Obligaciones para las empresas en protección de datos de trabajadores despedidos
Pese a la finalización de la relación laboral, hay una serie de obligaciones en materia de protección de datos de trabajadores despedidos en España, que las empresas y entidades públicas deben contemplar para no incurrir en posibles infracciones.
Además, al despedir a un empleado o al dimitir este, todos aquellos tratamientos de datos que estuvieran legitimados en el cumplimiento de la relación contractual, dejarán de estarlo y será necesario llevar a cabo una serie de medidas o, como mínimo, si los tratamientos se quieran seguir realizando, contar con el consentimiento expreso del ex-empleado.
De acuerdo, entre otras fuentes, a la guía de la AEPD respecto a la protección de datos de los trabajadores, las entidades privadas y públicas deben cumplir con las siguientes obligaciones en materia de protección de datos de trabajadores despedidos.
En la carta de despido
En la carta de despido, el empleador debe justificar y motivar las causas del despido, por lo que es muy posible que esta carta contenga datos personales no solo del trabajador, sino también de terceros, como pueden ser clientes.
La normativa nos dice que para respetar la protección de datos de trabajadores o funcionarios despedidos, los datos personales que aparezcan en la carta deben ser siempre adecuados y pertinentes a la finalidad (la justificación del despido) y no incluir datos personales que resulten innecesarios, accesorios o irrelevantes.
Además, debemos tener en cuenta que los datos contenidos en la carta de despido pueden ser revelados a terceros en un procedimiento de impugnación del despido (abogados, peritos, jueces, etc.) u otros procesos judiciales, ya que una empresa puede demandar a un ex-empleado basándose en información personal recogida durante una investigación interna.
Entre los ejemplos de protección de datos de trabajadores despedidos para ilustrar este supuesto, encontramos los despidos motivados por un informe de no apto para el desempeño del puesto de trabajo del servicio de vigilancia de la salud encargado de realizar los reconocimientos médicos en una empresa.
En este caso, el empresario no puede conocer los detalles sobre la condición física o de salud del empleado, solo que no es apto (puesto que los datos relativos a la salud están especialmente protegidos). Por lo tanto, en la carta de despido no puede aparecer referenciado el diagnóstico médico, primero, porque el empresario no debe conocerlo, y segundo, porque debería bastar el informe de no apto enviado por el servicio de vigilancia de la salud.
Además, siempre se deberán tomar las medidas de seguridad necesarias para evitar que terceros no autorizados o legitimados tengan acceso a la carta de despido de un empleado. Hay que tener en cuenta que enviar a un destinatario erróneo una carta de despido es una infracción que puede ser sancionada.
Bloqueo de los datos
Finalizada la relación laboral, la empresa o entidad pública deberá proceder al bloqueo de los datos personales del trabajador despedido, como se indica en el artículo 32 de la Ley Orgánica 3/2018 de Protección de Datos. Es decir, no se podrá acceder a los datos, ni realizar ningún tratamiento de los mismos.
Estos datos personales bloqueados solo podrían ser vistos por jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes en el caso de que fuera necesario pedir responsabilidades derivadas del tratamiento de los datos, aunque solo dentro del plazo de prescripción de las mismas.
De manera que cumplido los plazos de prescripción para reclamaciones o para cumplir obligaciones legales relacionadas con los ex-empleados y las AA. PP. o de Justicia que puedan afectar a sus datos personales, se deberá proceder a la supresión (eliminación) de los mismos.
Aun así, si la empresa o entidad pública demuestran un justificado interés legítimo para poder seguir tratando los datos personales de un trabajador despedido, podrán hacerlo. En ese sentido, la guía de la AEPD nos pone como ejemplo un empresario que sigue los perfiles de LinkedIn de ex-empleados de su empresa, para asegurarse de que cumplen con la cláusula de no competencia durante el período de vigencia de la misma. El empresario debe ser capaz de justificar que esta medida es la opción menos invasiva disponible y haber informado de este control a los interesados.
Consentimiento para futuras comunicaciones
Si el empleador quiere poder utilizar los datos personales de contacto del ex-empleado para poder comunicarse en el futuro con él, primero debe recabar el consentimiento expreso del ex-empleado para ello, puesto que no había otro motivo legitimador para llevar a cabo dicha comunicación.
También es necesario obtener el consentimiento del ex-empleado para que la empresa comparta o ceda información personal con otra empresa durante un proceso de selección (por ejemplo, es lo que ocurre cuando una empresa pide referencias a otra empresa en la que un candidato ha trabajado, para que la segunda empresa pueda dar esas referencias, debe contar con el consentimiento del interesado, es decir, de su ex-empleado).
Dar datos o información personal de ex-empleados a otras empresas u organizaciones sin el consentimiento expreso de este, es una infracción, que puede ser considerada grave o muy grave en la LOPDGDD.
En la protección de datos de trabajadores despedidos, el finiquito y los motivos concretos del despido tampoco deberían ser comunicados a terceros sin consentimiento del ex-empleado (salvo en aquellos casos en los que se dé uno de los supuestos recogidos en el art. 6 del RGPD).
Cesión de datos de trabajadores despedidos en caso de despido colectivo
Las empresas que llevan a cabo despidos colectivos que afecten a más de 50 personas, tienen la obligación de ofrecerles un plan de recolocación externa a través de empresas autorizadas, que necesitan tener acceso a una serie de datos personales para ofrecer sus servicios a estos ex-empleados.
El cese de esos datos personales de la empresa a la empresa recolocación no necesita del consentimiento expreso de los interesados, puesto que se legitima en el cumplimiento de una obligación legal del responsable del tratamiento.
En cualquier caso, se debe cumplir con el principio de minimización y ceder solo los datos personales necesarios e imprescindibles, como puede ser los datos de identidad y una forma de contacto. Otros datos personales que no fueran necesarios sí requerirían del consentimiento de los interesados.
Así mismo, se debe siempre informar a los interesados de que sus datos serán cedidos a un tercero y de que podrán ejercer los derechos de acceso, rectificación o supresión.
Acceso al email de trabajadores despedidos
Otro de los aspectos relativos a la protección de datos en pymes y grandes empresas, es la necesidad que pueden tener estas de acceder durante un tiempo al correo corporativo de un trabajador despedido, para no perder información, documentos o contactos importantes y necesarios para la empresa.
En este caso, solo podrá accederse al email de los trabajadores despedidos cuando exista un protocolo y normas internas de uso de las cuentas corporativas, que incluya el posible acceso a las misas tras la finalización de la relación laboral, durante un período prudencial de tiempo (entre uno y tres meses) y se haya informado previamente de ello a los empleados.
Superado ese plazo de tiempo, la cuenta de correo corporativo de un ex-empleado deberá ser bloqueada o suprimida, puesto que se considera dato personal.