Con la entrada en vigor del RGPD, y ahora la LOPDGDD, se han producido importantes cambios en la forma de tratar los datos personales que afectan a todas las empresas.

Y los departamentos de Recursos Humanos son tal vez los más afectados puesto que por ellos pasan la mayoría de los datos de la empresa. Esos departamentos son los encargados de elaborar las nóminas de los trabajadores y deben cumplir una serie de requisitos.

Aquí tienes toda la información.

¿Cómo afecta la ley de Protección de Datos a las nóminas?

A la hora de gestionar las nóminas o tratar cualquier otro dato personal, la empresa debe cumplir el principio de Accountability o responsabilidad activa.

¿Esto qué significa?

Pues que debe poder demostrar que para tratar esos datos ha adoptado las medidas de seguridad necesarias que aseguren su protección.

Dentro de esas medidas de seguridad están:

  • Seudonimización
  • Minimización de datos guardados
  • Cifrado de datos
  • Limitación del acceso a los datos

Es decir, toda empresa debe poder garantizar la integridad, confidencialidad y disponibilidad de los datos personales que maneja.

Externalización de la gestión

Una gran mayoría de empresas (sobre todo grandes) optan por externalizar el servicio y son terceras empresas (normalmente gestorías o asesorías)  las que se encargan de elaborar las nóminas de sus trabajadores.

Estos terceros son los Encargados del tratamiento de esos datos de los trabajadores. Y les corresponde a ellos adoptar las medidas de seguridad indicadas anteriormente.

Para ello, la empresa, a la hora de contratar ese servicio, debe elegir proveedores que ofrezcan suficientes garantías de seguridad en el tratamiento de esos datos.

El RGPD exige al encargado del tratamiento un deber de diligencia en el desempeño de sus funciones que aumenta las medidas de seguridad que debe establecer para proteger los datos personales a los que tiene acceso.

Obligaciones del RGPD

Tanto el responsable del tratamiento como el encargado deben cumplir una serie de obligaciones en materia de Protección de datos de los trabajadores:

  • Elaborar el Registro de actividades de tratamiento
  • Analizar los riesgos que puedan derivarse de ese tratamiento
  • Suscribir el correspondiente contrato de encargo de tratamiento para garantizar que ese tercero cumple también sus obligaciones en Protección de Datos
  • Disponer del consentimiento de los empleados, tanto para tratar sus datos como para cederlos a terceros
  • Adoptar las medidas de seguridad necesarias para evitar o reducir los riesgos relacionados con ese tratamiento
  • Implantar procedimientos adecuados para el ejercicio de los derechos ARCO y para la notificación de incidentes de seguridad

Esta tarea no resulta sencilla por lo que es recomendable ponerse en manos de expertos en la materia que nos faciliten esa adaptación al RGPD.

Otras implicaciones laborales

La nueva normativa de Protección de Datos tiene también otras implicaciones en el ámbito laboral.

Veamos cómo afecta esta normativa a los trabajadores de la empresa.

Comprobación de enfermedades

El Estatuto de los Trabajadores en el artículo 20.4 establece que «El empresario podrá verificar el estado de salud del trabajador que sea alegado por este para justificar sus faltas de asistencia al trabajo, mediante reconocimiento a cargo de personal médico».

Y el RGPD establece una excepción a la prohibición de tratar datos de salud. Cuando el tratamiento sea «necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador o diagnóstico médico».

Por tanto, las funciones de control y vigilancia de la salud de los trabajadores por servicios de prevención de riesgos laborales externos no se considera como un acceso a datos por cuenta de terceros. Pero a la empresa solo se le facilitarán las conclusiones respecto a la aptitud del trabajador para realizar el trabajo desempeñado que se deriven de esos reconocimientos.

Acceso a datos de los trabajadores por el Comité de empresa

El Estatuto de los trabajadores regula los derechos del Comité de empresa en el artículo 64: «El comité de empresa tendrá derecho a ser informado y consultado por el empresario sobre aquellas cuestiones que puedan afectar a los trabajadores, así como sobre la situación de la empresa y la evolución del empleo en la misma, en los términos previstos en este artículo».

Por tanto, la empresa debe proporcionarle toda aquella información que afecte directa o indirectamente a las relaciones laborales. Pero no podrá facilitarle información que afecte a la intimidad de los trabajadores como:

  • Salarios: solo se informará de los salarios genéricos por categorías o departamentos.
  • Ausencias por accidentes o enfermedades: solo comunicará las causas y consecuencias de esas bajas pero no las patologías médicas concretas.
  • Contratos de trabajo: la empresa tiene obligación de proporcionar a los representantes de los trabajadores una copia de los contratos de trabajo celebrados. Pero en esa copia se excluirán datos como el DNI, domicilio, estado civil, y cualquier otro dato que pudiera afectar a su intimidad personal.
  • Documentos de cotización (TC2): la empresa no está obligada a facilitar a los representantes de los trabajadores los documentos de cotización.

Para poder facilitar esos datos al Comité de empresa es necesario contar con el consentimiento de los trabajadores. Si no, la empresa estaría infringiendo la normativa de Protección de Datos.

Uso del ordenador

Respecto a los ordenadores que se facilitan a los empleados por parte de la empresa, el empresario debe informar al trabajador de su facultad de supervisar la correspondencia y otras comunicaciones.

El trabajador debe ser informado de manera clara sobre el alcance de esa supervisión antes de que este sistema de control sea establecido.

Pero además del aviso, es obligatorio que la empresa en ese control  se adecue a las reglas de proporcionalidad, idoneidad y necesidad.

La intromisión debe ser la mínima necesaria para conseguir la finalidad propuesta, y que método sea el único para lograrlo. De esta forma, se cumplirán las reglas anteriores.

Y esto es lo que debes tener en cuenta para gestionar los datos de tus empleados. ¿Estás cumpliendo estos requisitos?

Espero tus comentarios.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Solicité a mi superior que me hiceran una simulación de una nómina con jornada reducida y otra con jornada completa. La simulación, en vez de enviármela a mi, se la han enviado a él y por tanto, ha visto mi nómina ¿Han infringido la ley rgpd?

    1. Buenos días, si esa persona es tu superior supongo que ya conocería tus datos personales por lo que no existe infracción de la normativa de protección de datos

      1. Buenas tardes, puede obligarme la empresa a darme da alta como cliente de la gestoría contratada por la misma para ver mis nóminas?. Entiendo que dicha gestoría hace mis nóminas las cuales son entregadas por la empresa, hace unos meses uno de los administrativos nos solicito nuestro email para recibir las nóminas por este medio, entendiendo por mí parte que me las enviaría así la empresa. Páramo sorpresa me llega 1 correo de alta de usuario de una dirección desconocida(fue directo a spam), dicho correo era de la gestoría para que accediesemos a una plataforma de la gestoría como clientes de la misma para ver las nóminas, ni siquiera la empresa me ha notificado nada de eso. Hoy día 26-06-2020 me viene el gerente de la empresa con un informe jurídico para que acceda a dicha plataforma, me he negado rotundamente, a eso hay q añadir que llevo sin recibir nóminas desde el mes de marzo.

        1. Buenos dias Justo, la empresa puede enviarte la nóminas por email ella misma o a través de la gestoría, como encargada del tratamiento. Pero debe informarte de que esa gestoría va a tratar tus datos personales.

  2. Buenas tardes:
    Mi consulta es: ¿pueden en una bolsa de empleo u oposición requerirte en la solicitud que presentes copia de la nómina para acreditar que estás trabajando? Lo digo porque aparecen datos económicos que no me parece lógico que tengan que ser vistos así por las buenas.
    Espero su respuesta en el correo electrónico que les indico, muchas gracias

    1. Buenos días Jesús, en principio entiendo que esos datos no son relevantes para esa oposición o bolsa de empleo pero habría que leer las bases de la convocatoria ya que las administraciones públicas tienen una normativa específica.

  3. En una plataforma de soporte documental y control de accesos, nos solicitan que carguemos las nominas firmadas del personal, no les es valida la relación nominal firmada por los trabajadores, quieren la nomina con el desglose de importes, por petición del cliente para abonar los trabajos que hemos realizado. ¿Están infringiendo la normativa?

    1. Buenos días, si esos datos están protegidos de accesos de terceros no autorizados no incumplen la normativa. El cliente que accede a ellos debe tener firmado el correspondiente contrato de encargado del tratamiento.