La normativa vigente de protección de datos, RGPD y su articulación en la LOPDGDD española, recoge también las peculiaridades respecto a la protección de datos en las relaciones laborales. En esta entrada vamos a ver los aspectos generales sobre cómo se debe llevar a cabo el tratamiento de datos personales dentro del ámbito de las relaciones laborales, es decir, entre empleador y empleados.
Marco normativo de la protección de datos en las relaciones laborales
Tanto el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales constituyen el marco normativo de la protección de datos para las relaciones laborales. Sin embargo, en la práctica, también debemos tener en cuenta el Estatuto de los Trabajadores, los convenios colectivos sectoriales y de empresa y el propio contrato de trabajo.
La necesidad de atender y cumplir las diferentes normas puede llevar al choque entre diferentes aspectos de las mismas, como, por ejemplo, cuando entra en juego la capacidad de control del empleador sobre sus trabajadores. Esto ha hecho que surjan dudas a la hora de llevar a cabo una aplicación práctica de la protección de datos en las relaciones laborales, motivo por el cual, la AEPD ha publicado (y modificado ya) una guía de protección de datos en las relaciones laborales, cuyo objetivo es responder a esas dudas.
De manera resumida, en los siguientes puntos destacaremos los aspectos más importantes de esta guía para aplicarlos en todo lo que suponen las relaciones laborales, desde la selección de personal hasta el propio desarrollo de la relación laboral entre empleado y empresario.
Derechos de los trabajadores en materia de protección de datos
El RGPD y la LOPDGDD reconocen una serie de derechos en la protección de datos que también deben aplicarse en las relaciones laborales, de manera que el responsable del tratamiento (es decir, el empleador) deberá garantizar siempre el acceso a estos y responder a cualquier solicitud que reciba sobre los mismos.
Estos derechos son los llamados derechos ARSULIPO (anteriores derechos ARCO):
- Derecho de acceso a los datos personales tratados
- Derecho de rectificación si los datos son erróneos
- Derecho de supresión
- Derecho a la limitación del tratamiento
- Derecho de portabilidad de los datos
- Derecho de oposición
- Derecho a no ser objeto de decisiones individuales
Aspectos generales de la protección de datos en las relaciones laborales
Al hablar de protección de datos y relaciones laborales, debemos tener en cuenta una serie de aspectos generales, como son:
- La base jurídica que legítima al empleador para llevar a cabo el tratamiento de los datos personales de sus empleados, que en este caso es la ejecución del contrato de trabajo y el cumplimiento de las obligaciones impuestas por diferentes leyes que afectan al ámbito laboral y los convenios colectivos.
- La aplicación del principio de información, que obliga al responsable del tratamiento, el empleador, a informar de forma clara y comprensible sobre los tratamientos de datos personales y la finalidad de los mismos. Así como de los derechos que hemos citado en el punto anterior.
- La aplicación del principio de minimización de datos, mediante el cual el empleador solo deberá recabar los datos mínimamente necesarios para el normal desarrollo de la relación laboral, por ejemplo:
- Nombre y apellidos
- Número de DNI
- Sexo
- Nacionalidad
- Fecha de nacimiento
- Discapacidad…
- La seguridad y confidencialidad de los datos, es decir, el empleador debe implantar medidas técnicas y organizativas que garanticen la protección de los datos personales de empleados, así como su confidencialidad, disponibilidad e integridad.
- Recabar el consentimiento de los empleados para el tratamiento de sus datos personales, aunque este no siempre será necesario, puesto que algunas finalidades que están legitimadas por la relación contractual (por ejemplo, el empresario puede poner cámaras de vigilancia sin pedir el consentimiento de los trabajadores, aunque sí debe informar de ello).
- En el caso de que se vayan a producir transferencias internacionales de datos personales, el empleador deberá seguir las directrices que la normativa de protección de datos establece para ello (información, cláusulas contractuales tipo, etc.).
- El plazo de conservación de datos personales en las relaciones laborales debe atender, por un lado, a lo que dice el RGPD y la LOPDGDD, que se conservarán solo el tiempo necesario para cumplir con su finalidad, y lo que dicen diferentes normativas (como la laboral o la fiscal), que imponen sus propios plazos de conservación para determinada documentación. En cualquier caso, es el responsable del tratamiento quien debe fijar esos plazos.
Durante el proceso de selección y contratación
Durante el proceso de selección y contratación es muy importante mantener el principio de limitación del tratamiento, puesto que aquí todavía no existe una relación laboral propiamente dicha, por lo que los datos personales recabados deben ser únicamente los necesarios para llevar a cabo el proceso de reclutamiento. En cualquier caso, el consentimiento para tratar estos datos no será necesario.
Así, la empresa podrá tratar los datos personales que contiene el currículum y utilizar los datos de contacto facilitados por el candidato para remitirle cualquier información relacionada con el puesto de trabajo y su candidatura.
Durante la entrevista de trabajo, si el candidato ofrece datos personales relativos a su ideología política, creencias religiosas o afiliación sindical o información que permite inferirlos, estos datos no podrán ser objetivo de tratamiento, salvo que el candidato diese su consentimiento para ello.
Cabe señalar que se considera infracción muy grave que el empleador solicite durante la entrevista de trabajo «datos de carácter personal o establecer condiciones, mediante la publicidad, difusión o por cualquier otro medio, que constituyan discriminaciones para el acceso al empleo por motivos de sexo, origen, incluido el racial o étnico, edad, estado civil, discapacidad, religión o convicciones, opinión política, orientación sexual, afiliación sindical, condición social y lengua dentro del Estado».
Si el candidato no es seleccionado para el puesto, los datos personales obtenidos del CV y la entrevista deberán ser bloqueados o suprimidos. Solo podrán conservarse con otros fines, como guardarse en una lista para futuras ofertas de trabajo, si se informa de ello al candidato y se obtiene su consentimiento para ello.
Para empleadores que puedan estar tentados de indagar en las redes sociales de los candidatos a un puesto de trabajo, no podrán hacerlo salvo que puedan justificarlo con relación a los fines profesionales del puesto de trabajo e informando de ello al candidato. Tampoco podrá solicitar «amistad» para ganar acceso a los perfiles privados de los candidatos o solicitar la información que comparte a través de las redes sociales.
En el desarrollo de la relación laboral
Durante el desarrollo de la relación laboral hay diferentes instancias en las que el tratamiento de datos personales es necesario. Así tenemos debemos seguir estas directrices:
- En las nóminas de los trabajadores solo debe figurar la información personal necesaria respecto a los ingresos y deducciones derivadas del contrato de trabajo, sin que aparezca ningún dato personal innecesario, puesto que a estos documentos pueden tener acceso (normalmente es así) terceros.
- Los datos del registro de la jornada laboral solo pueden usarse con el fin de comprobar que el empleado cumple con su horario de trabajo, pero no para localizarlo en cada momento de la jornada.
- El canal o sistema de denuncia interna debe garantizar la protección de los datos personales de denunciantes y denunciados y garantizar la confidencialidad de las partes. Solo el personal autorizado para gestionar los procedimientos disciplinarios en la empresa podrá tener acceso a estos datos.
- La carta de despido cuando se produce la extinción laboral no debe contener datos personales que el empleador no esté legitimado para conocer.
- Los datos personales de víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género se tratarán como datos de categorías especiales, por lo que deben tener una protección reforzada. En los casos de acoso, se asignará un código a víctima y acosador para así poder preservar sus identidades. También se asignará un código para evitar que terceros puedan asociar la información de las trabajadoras supervivientes de violencia de género.
Respecto al control de la actividad laboral
El control de la actividad laboral está en muchos casos legitimados por el derecho de control del empresario, es decir, el empresario puede instalar medios e implantar protocolos o políticas que le permitan controlar la actividad laboral de sus empleados, siempre informándoles de ello previamente y dentro de algunos límites.
Así, la instalación de cámaras de videovigilancia está legitimada y puede hacerse, como ya dijimos, sin el consentimiento de los empleados, pero no podrán colocarse en zonas privadas, como son vestuarios o zonas de descanso. Además, debe ser proporcionado (demostrando que no podía usarse una medida menos invasiva) y el control de las imágenes debe respetar siempre los derechos fundamentales de los trabajadores.
El uso de herramientas de geolocalización tiene esos mismos límites, debe estar justificado y legitimado por la naturaleza del puesto de trabajo y la necesidad de controlar la ubicación de aquellos trabajadores que realizan su actividad fuera de la empresa. Así mismo, el empleador debe informar a los trabajadores sobre el uso y finalidad de estas herramientas. Lo que no puede hacer es obligar a los trabajadores a usar sus propios medios personales para facilitar esa geolocalización.
Para controlar el absentismo, el empleador está legitimado para verificar el estado de salud de sus empleados, cuando estos alegan estar enfermos o incapacitados para asistir a su puesto de trabajo. Para ello puede recurrir al reconocimiento a cargo de personal médico privado o público. Si bien, la información que puede recibir solo será relativa a la causa de la incapacidad temporal.
La guía del AEPD hace mención a la contratación de detectives privados como posible por parte del empleador como medida de control y vigilancia de sus empleados, siempre que supere el test de proporcionalidad respecto a protección de datos y justificando que no se haya podido recurrir a otras medidas menos invasivas.
En cualquier caso, está totalmente prohibido investigar la vida íntima y privada de los empleados, es decir, no se puede invadir la privacidad de sus domicilios u otros lugares reservados.
Vigilancia de la salud
Aparte del control del absentismo que hemos visto en el punto anterior y conocer la aptitud para desempeñar el puesto de trabajo, el empleador no está legitimado para llevar a cabo ningún tipo de tratamiento de datos relativos a la salud, en concreto, la guía hace referencia a la tecnología wareable (como las smartbands) que permite registrar este tipo de datos.
Solo podría llevarse a cabo este tipo de monitoreo si se consigue acreditar un interés legítimo, una finalidad específica o se garantice la completa anonimización de los datos.
Sindicatos y representación de las personas trabajadoras
Es habitual que las empresas con representación legal de los trabajadores tengan que facilitar datos personales de estos a la misma. En estos debe contemplar los límites que establece la normativa de protección de datos para ello.
De manera que se aplicará el principio de minimización y el de limitación del tratamiento cuando, por ejemplo, sea necesario abrir períodos de consulta para negociar medidas de carácter colectivo.
Además, la RLT no podrá usar los datos personales obtenidos con una finalidad distinta para la que fueron recabados, siguiendo el ejemplo anterior, para negociar con la empresa.
Por su parte, la RLT puede enviar información sindical a los trabajadores amparándose en el derecho fundamental a la libertad sindical, pero no podrá pedir a la empresa que le ceda la dirección de correo electrónico o postal privada de los trabajadores.
Si en el tablón de anuncios de la RLT se va a colgar información personal de los trabajadores, este tablón deberá ubicarse donde terceros ajenos a la empresa no puedan acceder a él.
Podéis ampliar toda esta información relativa a la protección de datos en las relaciones laborales visitando la Guía de la AEPD.