24/05/2018
Protección de datos personales en el ámbito laboral
La aplicación de la regulación contenida en el Reglamento (UE) 2016/679, de 27/04/2016, a partir de este viernes 25 de mayo, tiene una importante incidencia en materia de recursos humanos.
Esta entrada en mi blog solo pretende comentar de forma resumida algunas de las claves del Reglamento europeo de protección de datos personales en el ámbito de las relaciones laborales. La premisa de la que se debe partir es que la normativa europea atribuye una responsabilidad activa en el tratamiento de los datos personales al “responsable del tratamiento”, que es la empresa, así como que ésta pasa a asumir una “responsabilidad pro-activa” en dicho ámbito, en el sentido que sobre las medidas que adopte debe estar en posición de garantizar, y poder demostrar en todo momento, que son conformes con el Reglamento.
Con esas premisas, las claves para la comprensión de la protección de datos personales en el ámbito laboral son las siguientes:
1/ La legitimación para el tratamiento de datos personales por la empresa en relación a sus trabajadores no descansa de forma general en el consentimiento de aquellos, sino en el hecho de que el tratamiento “es necesario para la ejecución del contrato de trabajo”. Por lo tanto, en todo aquello que afecta a la relación laboral, no es necesario pedir el consentimiento del trabajador para tratar sus datos (otra cosa es la necesidad de “informarlos” del tratamiento, cuestión a lo que me refiero más tarde).
El consentimiento del trabajador para el tratamiento de sus datos solo debe pedirse en situaciones puntuales, que generalmente están al margen del objeto de su prestación de servicios laboral: así por ejemplo, en materia de afiliación sindical será necesario que el Sindicato solicite el consentimiento del trabajador para que se le descuente de su nómina la cuota sindical; o en el ámbito de la prevención de riesgos laborales, para el tratamiento de aquellos datos que revelen información sobre la salud del trabajador por la realización de alguna acción de vigilancia o reconocimiento médico.
Otra legitimación que el Reglamento ofrece a la empresa para amparar el tratamiento de datos puede ser la del “interés legítimo”. Esta base jurídica puede justificar un tratamiento específico de datos: en particular, para publicar en la red determinados datos profesionales de los empleados. En particular, me refiero a la inclusión en la página web de la empresa de los nombres y apellidos de sus empleados, así como sus datos de contacto en las instalaciones de la empresa. Esta publicación puede estar amparada por el interés legítimo de la empresa para dar a conocer a terceros, los datos de sus empleados al efecto de conocer sus funciones o localizarlos.
2/ Una nueva obligación para las empresas de más de 250 trabajadores es la de crear un registro con los contenidos que ofrece el propio Reglamento. En todo caso, este deber de registro también es aplicable, cualquiera que sea el número de empleados, si el tratamiento de datos puede suponer un riesgo para sus derechos, si dicho tratamiento no es ocasional o incluye categorías especiales de datos, como la afiliación sindical, datos de salud, origen étnico, creencias religiosas u opiniones políticas.
Esta obligación de registro sustituye a la prevista hasta ahora en la legislación española de protección de datos sobre el deber de inscribir ficheros en la autoridad de control de protección de datos.
En este registro deben figurar quién es el responsable del tratamiento (la empresa),los fines del tratamiento, las categorías de los interesados en el tratamiento (los trabajadores),o también, si se ha elegido un Delegado de protección de datos.
3/ En relación a los Delegados de protección de datos mencionados, debe partirse de la premisa que pueden ser elegidos opcionalmente por las empresas.
En todo caso, se impone que lo hagan cuando las actividades de la empresa consistan en el tratamiento “a gran escala” de categorías especiales de datos personales, que como se ha mencionado anteriormente, son las relativas básicamente a la afiliación sindical, datos de salud, origen étnico, creencias religiosas u opiniones políticas.
El concepto de “gran escala” está definido de un modo general en el Reglamento, en particular en el considerando 91 del Reglamento, que tomo como caracteres básicos la cantidad considerable de datos que se traten, que afecten a un número considerable de trabajadores, y que en función de su sensibilidad tengan un alto riesgo para los derechos de aquellos.
Los Delegados de protección de datos son asesores en materia de protección de datos del responsable o también del encargado del tratamiento (el que ejecuta las funciones del tratamiento de datos por cuenta del responsable). Deben elegirse, ya sea entre personal interno o externo a la empresa.
4/ En relación al tratamiento de datos personales de los trabajadores por parte de sus empresas, un deber importante sigue siendo el de informarles de ello. Con el nuevo reglamento se ha añadido a dicho deber de información más contenido del que venía recogiéndose hasta ahora, de forma que con la regulación aplicable se debe comunicar a los trabajadores entre otros datos los del contacto del Delegado de protección de datos si la empresa dispone de él, la legitimación o base para el tratamiento de datos que se ha mencionado en el apartado 1 anteriormente comentado, los plazos de conservación de datos, el derecho a presentar reclamación, la existencia en la empresa de elaboración de perfiles o de mecanismos automatizados en la toma de decisiones, o la previsión de la transferencia de datos a terceros países.
Respecto de este último contenido, el Reglamento si prevé que los responsables (empresas) que forman parte de un grupo empresarial, puedan tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados (véase el Considerando 48 del Reglamento).
5/ El Reglamento de protección de datos es también importante respecto de los procesos de selección de personal para acceder a un puesto de trabajo. La legitimación sigue siendo de entre las ofertadas por el Reglamento, la basada en “la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales”. Es decir, en el marco de estas medidas pre-contrato, se pueden tratar los datos de los candidatos a un empleo.
En todo caso, debe confirmarse la imposibilidad de exigir como regla general antecedentes penales al candidato, el uso de “listas negras” de trabajadores por (o entre) las empresas, o como al efecto se ha recomendado por instancias internacionales, la imposibilidad de que las empresas soliciten a un candidato al empleo tener acceso a informaciones que este comparta en redes sociales. En todo caso, pese a esa imposibilidad, lo que sí podría hacer la empresa es conocer o consultar el contenido publicado por el candidato en dichas redes, siempre que ello fuera relevante para el puesto y que se le informe de esa actividad.
6/ Por último, pero no menos importante que el resto, es la importancia que la legislación en España, y también los convenios colectivos, pueden tener respecto a la especificación o concreción de los derechos y deberes previstos en el Reglamento europeo de protección de datos.
A la legislación y a los convenios (incluidos los de ámbito empresarial),se dirige el Reglamento para promover que establezcan “normas específicas” en relación aquellas facetas del desarrollo y la extinción de un contrato de trabajo en las que se involucran datos personales de los trabajadores.
El Reglamento añade que dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad humana de los trabajadores, así como sus intereses legítimos y sus derechos fundamentales. En la adopción de dichas normas específicas, la ley o los convenios deberán prestar atención a “la transparencia del tratamiento”, es decir, a la sencillez y fácil accesibilidad por el trabajador al conocimiento de los datos que son objeto de tratamiento; también a la transferencia de datos personales dentro de un grupo; y finalmente, a los “sistemas de supervisión en el lugar de trabajo”, por tanto, a los mecanismos de control de imágenes, ordenadores o comunicaciones electrónicas de los trabajadores.
Con ello, ya avanzo que este Reglamento no agota todas las cuestiones en materia de protección de datos. La adopción de la nueva Ley española de protección de datos para colmar las lagunas, déficits, o falta de concreción en la aplicación de la normativa comunitaria resulta del todo imprescindible. Seguro que su aprobación me llevará a incluir otra entrada sobre este asunto.
Con esas premisas, las claves para la comprensión de la protección de datos personales en el ámbito laboral son las siguientes:
1/ La legitimación para el tratamiento de datos personales por la empresa en relación a sus trabajadores no descansa de forma general en el consentimiento de aquellos, sino en el hecho de que el tratamiento “es necesario para la ejecución del contrato de trabajo”. Por lo tanto, en todo aquello que afecta a la relación laboral, no es necesario pedir el consentimiento del trabajador para tratar sus datos (otra cosa es la necesidad de “informarlos” del tratamiento, cuestión a lo que me refiero más tarde).
El consentimiento del trabajador para el tratamiento de sus datos solo debe pedirse en situaciones puntuales, que generalmente están al margen del objeto de su prestación de servicios laboral: así por ejemplo, en materia de afiliación sindical será necesario que el Sindicato solicite el consentimiento del trabajador para que se le descuente de su nómina la cuota sindical; o en el ámbito de la prevención de riesgos laborales, para el tratamiento de aquellos datos que revelen información sobre la salud del trabajador por la realización de alguna acción de vigilancia o reconocimiento médico.
Otra legitimación que el Reglamento ofrece a la empresa para amparar el tratamiento de datos puede ser la del “interés legítimo”. Esta base jurídica puede justificar un tratamiento específico de datos: en particular, para publicar en la red determinados datos profesionales de los empleados. En particular, me refiero a la inclusión en la página web de la empresa de los nombres y apellidos de sus empleados, así como sus datos de contacto en las instalaciones de la empresa. Esta publicación puede estar amparada por el interés legítimo de la empresa para dar a conocer a terceros, los datos de sus empleados al efecto de conocer sus funciones o localizarlos.
2/ Una nueva obligación para las empresas de más de 250 trabajadores es la de crear un registro con los contenidos que ofrece el propio Reglamento. En todo caso, este deber de registro también es aplicable, cualquiera que sea el número de empleados, si el tratamiento de datos puede suponer un riesgo para sus derechos, si dicho tratamiento no es ocasional o incluye categorías especiales de datos, como la afiliación sindical, datos de salud, origen étnico, creencias religiosas u opiniones políticas.
Esta obligación de registro sustituye a la prevista hasta ahora en la legislación española de protección de datos sobre el deber de inscribir ficheros en la autoridad de control de protección de datos.
En este registro deben figurar quién es el responsable del tratamiento (la empresa),los fines del tratamiento, las categorías de los interesados en el tratamiento (los trabajadores),o también, si se ha elegido un Delegado de protección de datos.
3/ En relación a los Delegados de protección de datos mencionados, debe partirse de la premisa que pueden ser elegidos opcionalmente por las empresas.
En todo caso, se impone que lo hagan cuando las actividades de la empresa consistan en el tratamiento “a gran escala” de categorías especiales de datos personales, que como se ha mencionado anteriormente, son las relativas básicamente a la afiliación sindical, datos de salud, origen étnico, creencias religiosas u opiniones políticas.
El concepto de “gran escala” está definido de un modo general en el Reglamento, en particular en el considerando 91 del Reglamento, que tomo como caracteres básicos la cantidad considerable de datos que se traten, que afecten a un número considerable de trabajadores, y que en función de su sensibilidad tengan un alto riesgo para los derechos de aquellos.
Los Delegados de protección de datos son asesores en materia de protección de datos del responsable o también del encargado del tratamiento (el que ejecuta las funciones del tratamiento de datos por cuenta del responsable). Deben elegirse, ya sea entre personal interno o externo a la empresa.
4/ En relación al tratamiento de datos personales de los trabajadores por parte de sus empresas, un deber importante sigue siendo el de informarles de ello. Con el nuevo reglamento se ha añadido a dicho deber de información más contenido del que venía recogiéndose hasta ahora, de forma que con la regulación aplicable se debe comunicar a los trabajadores entre otros datos los del contacto del Delegado de protección de datos si la empresa dispone de él, la legitimación o base para el tratamiento de datos que se ha mencionado en el apartado 1 anteriormente comentado, los plazos de conservación de datos, el derecho a presentar reclamación, la existencia en la empresa de elaboración de perfiles o de mecanismos automatizados en la toma de decisiones, o la previsión de la transferencia de datos a terceros países.
Respecto de este último contenido, el Reglamento si prevé que los responsables (empresas) que forman parte de un grupo empresarial, puedan tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados (véase el Considerando 48 del Reglamento).
5/ El Reglamento de protección de datos es también importante respecto de los procesos de selección de personal para acceder a un puesto de trabajo. La legitimación sigue siendo de entre las ofertadas por el Reglamento, la basada en “la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales”. Es decir, en el marco de estas medidas pre-contrato, se pueden tratar los datos de los candidatos a un empleo.
En todo caso, debe confirmarse la imposibilidad de exigir como regla general antecedentes penales al candidato, el uso de “listas negras” de trabajadores por (o entre) las empresas, o como al efecto se ha recomendado por instancias internacionales, la imposibilidad de que las empresas soliciten a un candidato al empleo tener acceso a informaciones que este comparta en redes sociales. En todo caso, pese a esa imposibilidad, lo que sí podría hacer la empresa es conocer o consultar el contenido publicado por el candidato en dichas redes, siempre que ello fuera relevante para el puesto y que se le informe de esa actividad.
6/ Por último, pero no menos importante que el resto, es la importancia que la legislación en España, y también los convenios colectivos, pueden tener respecto a la especificación o concreción de los derechos y deberes previstos en el Reglamento europeo de protección de datos.
A la legislación y a los convenios (incluidos los de ámbito empresarial),se dirige el Reglamento para promover que establezcan “normas específicas” en relación aquellas facetas del desarrollo y la extinción de un contrato de trabajo en las que se involucran datos personales de los trabajadores.
El Reglamento añade que dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad humana de los trabajadores, así como sus intereses legítimos y sus derechos fundamentales. En la adopción de dichas normas específicas, la ley o los convenios deberán prestar atención a “la transparencia del tratamiento”, es decir, a la sencillez y fácil accesibilidad por el trabajador al conocimiento de los datos que son objeto de tratamiento; también a la transferencia de datos personales dentro de un grupo; y finalmente, a los “sistemas de supervisión en el lugar de trabajo”, por tanto, a los mecanismos de control de imágenes, ordenadores o comunicaciones electrónicas de los trabajadores.
Con ello, ya avanzo que este Reglamento no agota todas las cuestiones en materia de protección de datos. La adopción de la nueva Ley española de protección de datos para colmar las lagunas, déficits, o falta de concreción en la aplicación de la normativa comunitaria resulta del todo imprescindible. Seguro que su aprobación me llevará a incluir otra entrada sobre este asunto.
