Protección de datos en las relaciones laborales

La Agencia Española de Protección de Datos (AEPD) ha elaborado con la participación del Ministerio de Trabajo, de la Patronal y de organizaciones sindicales, una guía sobre protección de datos y relaciones laborales (la Guía) con el objetivo de ofrecer una herramienta práctica, no vinculante, de ayuda a las organizaciones tanto públicas como privadas para un adecuado cumplimiento de la legislación.
La Guía publicada consta de ochenta páginas y se estructura en siete epígrafes que a su vez disponen de varios apartados. Cada apartado hace referencia a cuestiones muy variadas entre sí en relación al tratamiento de datos personales, que se plantean cada vez con más frecuencia en el marco de las relaciones laborales.

A continuación exponemos algunas de las novedades más significativas que regula la Guía:

1. Aspectos generales

En primer lugar, la Guía se centra en regular las bases jurídicas por el tratamiento de datos personales que se llevan a cabo en el ámbito laboral, la información que es necesaria facilitar y los derechos de protección de datos aplicados al entorno laboral.

Así mismo, se hace referencia a primeros de minimización, el cual implica que la ejecución del contrato laboral no permite al empresario conocer cualquier tipo de dato personal de las personas trabajadoras, sino que los datos personales tendrán que ser las adecuadas, pertinentes y limitadas al que es necesario en relación con los fines para los cuales son tratadas (arte. 5 del RGPD).
Así mismo, se regulan los derechos y obligaciones en el acceso a los datos personales y, en concreto, la obligación de seguridad junto con el deber de secreto, es decir, que los datos personales únicamente sean conocidas por el afectado y por aquellos usuarios de la organización que tengan competencias para utilizar, consultar o modificar estos datos.

2. Selección y contratación

Respecto al epígrafe en lo referente a la Selección y contratación, hay que destacar que la AEPD hace referencia a que la base jurídica por el tratamiento de datos personales durante el proceso de selección es la del artículo 6.1.b) del RGPD “lo tratamiento se necesario para la ejecución de un contrato en el que lo interesado se parte o para la aplicación a petición de este de medidas precontractuales”.
Así mismo, se indica que, en conformidad con el principio de minimización y limitación de la finalidad, únicamente se tienen que recoger aquellos datos relevantes por la ejecución del puesto de trabajo y, se especifica que, las impresiones o valoraciones subjetivas sobre la persona candidata, se considerarán datos personales sobre las cuales se tendrá que garantizar la transparencia en su tratamiento, así como, informar al interesado sobre el tratamiento de estos datos y la posibilidad de que ejercicio los derechos que le corresponden al respeto.
En relación con el apartado de selección de personal y redes sociales, a la Guía se destaca que los candidatos y trabajadores no están obligados a permitir la indagación del empresario a sus perfiles de redes sociales cuando estas no están relacionadas con hasta profesionales.

Por lo tanto, la empresa no podrá efectuar un tratamiento de los datos obtenidos de este modo sin contar con una base jurídica valida y, en su caso, tendría que informar al trabajador/encima el tratamiento en cuestión.
En este epígrafe también hay que destacar lo establecido en relación a las respuestas o la información que se proporciona por parte del candidato a un puesto de trabajo en una entrevista de trabajo. En este sentido, la Guía determina que esta información no podrá ser objeto de tratamiento por parte de la empresa si no se dispone de una base jurídica válida.
Finalmente, es importante destacar el apartado de la Guía en el que la AEPD clarifica que las agencias de colocación y empresas de selección actúan como encargadas del tratamiento cuando hayan celebrado previamente un contrato con la empresa que busca a las personas trabajadoras. Por el contrario, en los casos en que estas empresas contacten con los candidatos antes de disponer de ofertas de trabajo concretas, serán consideradas responsables del tratamiento de los datos del candidato en cuestión.

3. Desarrollo de la relación laboral

Entre la información que proporciona la Guía en este apartado, es importante realzar la en lo referente al tratamiento de los datos biométricos. Al respeto, hay que tener en cuenta que, el RGPD no considera a todos los tratamientos de datos biométricos como un tratamiento de categoría especial de datos, puesto que el artículo 9.1 del RGPD se refiere a los datos biométricas dirigidas a identificar de manera unívoca a una persona física1.

En este sentido, se establece en la Guía que los datos biométricos nomes constituirán una categoría especial de datos en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física. Así pues, en caso de que se traten datos biométricos, se recomienda optar por sistemas de verificación o autenticación biométrica, siente aconsejable que los sistemas biométricos se basen en la lectura de los datos biométricos almacenados como plantillas cifradas en apoyos que puedan ser conservados exclusivamente por las personas trabajadoras (por ejemplo, tarjetas inteligentes o dispositivos similares).

En relación con los sistemas internos de denuncias o whistleblowing, la Guía establece que la información a proporcionar tan a denunciantes como denunciados reviste un carácter primordial. Así mismo, se recalca que la LOPDGDD admite sistemas de denuncias anónimas y, en cualquier caso, se destaca que si la denuncia no es anónima, la información del denunciante se tiene que tratar con carácter estrictamente confidencial y no facilitar su identificación al denunciado. En cuanto al registro de jornada obligatorio, se recomienda que se adopte el sistema menos invasivo posible y subraya que este no puede ser de acceso público ni estar situado en un lugar visible. Así mismo, los datos de este registro no se pueden utilizar para finalidades diferentes al propio control de la jornada de trabajo y la empresa las tendrá que conservar durante un periodo de cuatro años.

Además, la Guía hace referencia a que, el delegado de protección de datos tendría que estar presente en todo el ciclo de vida de la documentación vinculada con el registro horario, desde el asesoramiento a la dirección de la empresa para la confección y custodia de esta documentación, la resolución de incidencias que se puedan plantear internamente, hasta la función de interlocución con la AEPD.
Para acabar, hay que destacar otro de los aspectos que se abordan en relación con la difusión de las ayudas que se conceden por acción social.
En este caso, se establece que las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público y, en cuanto a las ayudas vinculadas con categorías especiales de datos, la publicidad de la concesión de la ayuda no tiene que permitir la identificación del afectado.

4. Control de la actividad laboral

Entre otros tratamientos, en este apartado, hay que destacar la referencia que realiza la Guía respecto a la geolocalización. En concreto, se exponen los requisitos para la utilización de sistemas de geolocalización por el control de las personas trabajadoras y se destaca la obligación de limitar el tratamiento en conformidad con el principio de minimización, de limitación de la finalidad, así como, con el principio de proporcionalidad. Además, la Guía hace referencia a que la geolocalización no puede tener como objeto el propio trabajador sino que, tiene que ir en todo caso relacionada con la herramienta, titularidad de la empresa, que se ponga a disposición de este.

5. Representación unitaria y sindical de las personas trabajadoras

Respecto al acceso de datos por parte de los representantes de las personas trabajadoras, hay que destacar una novedad establecida: el derecho del comité de empresa a ser informado por la empresa de los parámetros en el que se basan los algoritmos o sistemas de inteligencia artificial (incluida la elaboración de perfiles), que pueden afectar a las condiciones, acceso y mantenimiento del trabajo.
De acuerdo con el que establece la Guía, esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías que regula la normativa de protección de datos.

Por otro lado, de este epígrafe también hay que destacar el apartado dedicado a la “Violencia de género y acoso al trabajo”. Se detalla que los datos personales de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género y, en particular su identidad, tienen a todos los efectos, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. En este sentido, la Guía establece que, en estos casos, se tendrá que asignar un código identificador referente tan a la persona supuestamente asediada como la acosadora, a fin de preservar la identidad de ambas.

Además, se establece que el empresario únicamente podrá conocer y tratar los datos de una trabajadora vinculadas a la condición de mujer superviviente a la violencia de género, cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa tiene que incluir un código que no permita que terceros puedan asociar esta información con la interesada.

6. Vigilancia de la salud

El último epígrafe que regula esta Guía, es el relativo a la vigilancia de la salud. Respecto a esta sección, es importante destacar el apartado relativo en la tecnología wearable (dispositivos portables) en lo establecido la prohibición general de la monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, por el hecho de que este tratamiento no se enmarca en la vigilancia de la salud propia de la prevención de riesgos laborales y, por lo tanto, supone el tratamiento de una categoría especial de datos (de salud) sin una base jurídica ni finalidad legítima. Así mismo, en la Guía se considera que este tratamiento no cumple con el principio de proporcionalidad, dado que compuerta una monitorización permanente y permitiría al empresario acceder a datos de salud específicas, y no exclusivamente a la valoración sobre la aptitud por el trabajo en concreto. No obstante lo anterior, se podría llevar a cabo el tratamiento de los datos en caso de que esté establecido por ley o reglamento.

Para más información:
– Guía sobre protección de datos y relaciones laborales
https://www.aepd.es/es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf

Para cualquier dudapodéis contactar con el DPD de Salud:

dpd@ticsalutsocial.cat
https://ticsalutsocial.cat/oficina-dpd/
Tel.: 93 553 26 42 (de 9:00 a 14:00 h).