Protecció de dades en les relacions laborals

Autor: TIC Salut Social   /  26.05.2021

L’Agència Espanyola de Protecció de Dades (AEPD) ha elaborat amb la participació del Ministeri de Treball, de la Patronal i d’organitzacions sindicals, una guia sobre protecció de dades i relacions laborals (la Guia) amb l’objectiu d’oferir una eina pràctica, no vinculant, d’ajuda a les organitzacions tant públiques com privades per un adequat compliment de la legislació.
La Guia publicada consta de vuitanta pàgines i s’estructura en set epígrafs que, a la vegada, cada un d’ells, disposa de varis apartats. Cada apartat fa referència a qüestions molt variades entre sí en relació al tractament de dades personals, que es plantegen cada vegada amb més freqüència en el marc de les relacions laborals.

A continuació exposem algunes de les novetats més significatives que regula la Guia:

 

1. Aspectes generals

En primer lloc, la Guia es centra en regular les bases jurídiques pel tractament de dades personals que es duen a terme en l’àmbit laboral, la informació que és necessària facilitar i els drets de protecció de dades aplicats a l’entorn laboral.

Així mateix, es fa referència al principi de minimització, el qual implica que la execució del contracte laboral no permet a l’empresari conèixer qualsevol tipus de dada personal de les persones treballadores, sinó que les dades personals hauran de ser les adequades, pertinents i limitades al que és necessari en relació amb els fins per als quals són tractades (art. 5 del RGPD).
Així mateix, es regulen els drets i obligacions en l’accés a les dades personals i, en concret, l’obligació de seguretat juntament amb el deure de secret, és a dir, que les dades personals únicament siguin conegudes per l’afectat i per aquells usuaris de l’organització que tinguin competències per utilitzar, consultar o modificar aquestes dades.

 

2. Selecció i contractació

Respecte a l’epígraf referent a la Selecció i contractació, cal destacar que la AEPD fa referència a que la base jurídica pel tractament de dades personals durant el procés de selecció és la del article 6.1.b) del RGPD “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”.
Així mateix, s’indica que, de conformitat amb el principi de minimització i limitació de la finalitat, únicament s’han de recollir aquelles dades rellevants per l’execució del lloc de treball i, s’especifica que, les impressions o valoracions subjectives sobre la persona candidata, es consideraran dades personals sobre les quals s’haurà de garantir la transparència en el seu tractament, així com, informar a l’interessat sobre el tractament d’aquestes dades i la possibilitat de què exercici els drets que li corresponen al respecte.
En relació amb l’apartat de selecció de personal i xarxes socials, a la Guia es destaca que els candidats i treballadors no estan obligats a permetre la indagació de l’empresari als seus perfils de xarxes socials quan aquestes no estan relacionades amb fins professionals.

Per tant, la empresa no podrà efectuar un tractament de les dades obtingudes d’aquesta manera sense comptar amb una base jurídica valida i, en el seu cas, hauria d’informar al treballador/a sobre el tractament en qüestió.
En aquest epígraf també cal destacar el que s’estableix en relació a les respostes o la informació que es proporciona per part del candidat a un lloc de treball en una entrevista de feina. En aquest sentit, la Guia determina que aquesta informació no podrà ser objecte de tractament per part de l’empresa si no es disposa d’una base jurídica vàlida.
Finalment, és important destacar l’apartat de la Guia en el que la AEPD clarifica que les agències de col·locació i empreses de selecció actuen com a encarregades del tractament quan hagin celebrat prèviament un contracte amb la empresa que busca a les persones treballadores. Per contra, en els casos en que aquestes empreses contactin amb els candidats abans de disposar d’ofertes de treball concretes, seran considerades responsables del tractament de les dades del candidat en qüestió.

 

3. Desenvolupament de la relació laboral

Entre la informació que proporciona la Guia en aquest apartat, és important realçar la referent al tractament de les dades biomètriques. Al respecte, cal tenir en compte que, el RGPD no considera a tots els tractaments de dades biomètriques com un tractament de categoria especial de dades, ja que l’article 9.1 del RGPD es refereix a les dades biomètriques adreçades a identificar de manera unívoca a una persona física1.

En aquest sentit, s’estableix en la Guia que les dades biomètriques nomes constituiran una categoria especial de dades en el cas de què es sotmetin a un tractament tècnic específic adreçat a identificar de manera unívoca a una persona física. Així doncs, en cas que es tractin dades biomètriques, es recomana optar per sistemes de verificació o autenticació biomètrica, sent aconsellable que els sistemes biomètrics es basin en la lectura de les dades biomètriques emmagatzemats com plantilles xifrades en suports que puguin ser conservats exclusivament per les persones treballadores (per exemple, targetes intel·ligents o dispositius similars).

En relació amb els sistemes interns de denuncies o whistleblowing, la Guia estableix que la informació a proporcionar tan a denunciants com denunciats revesteix un caràcter primordial. Així mateix, es recalca que la LOPDGDD admet sistemes de denuncies anònimes i, en qualsevol cas, es destaca que si la denuncia no és anònima, la informació del denunciant s’ha de tractar amb caràcter estrictament confidencial i no facilitar la seva identificació al denunciat. Pel que fa al registre de jornada obligatori, es recomana que s'adopti el sistema menys invasiu possible i subratlla que aquest no pot ser d'accés públic ni estar situat en un lloc visible. Així mateix, les dades d'aquest registre no es poden utilitzar per a finalitats diferents al propi control de la jornada de treball i l’empresa les haurà de conservar durant un període de quatre anys.

A més, la Guia fa referència a què, el delegat de protecció de dades hauria d'estar present en tot el cicle de vida de la documentació vinculada amb el registre horari, des de l'assessorament a la direcció de l'empresa per a la confecció i custòdia d'aquesta documentació, la resolució de incidències que es puguin plantejar internament, fins a la funció d'interlocució amb l'AEPD.
Per acabar, cal destacar un altre dels aspectes que s’aborden en relació amb la difusió de les ajudes que es concedeixen per acció social.
En aquest cas, s’estableix que les empreses no poden publicar el llistat d'ajudes adjudicades i denegades en una pàgina web de lliure accés, o en un tauler d'anuncis situat en una zona oberta al públic i, pel que fa a les ajudes vinculades amb categories especials de dades, la publicitat de la concessió de l'ajut no ha de permetre la identificació de l'afectat.

 

4. Control de l’activitat laboral

Entre d’altres tractaments, en aquest apartat, cal destacar la referència que realitza la Guia respecte a la geolocalització. En concret, s’exposen els requisits per a la utilització de sistemes de geolocalització pel control de les persones treballadores i es destaca l’obligació de limitar el tractament de conformitat amb el principi de minimització, de limitació de la finalitat, així com, amb el principi de proporcionalitat. A més, la Guia fa referència a què la geolocalització no pot tenir com objecte el propi treballador sinó que, ha d’anar en tot cas relacionada amb l’eina, titularitat de l’empresa, que es posi a la disposició d’aquest.

 

5. Representació unitària i sindical de les persones treballadores

Respecte a l’accés de dades per part dels representants de les persones treballadores, cal destacar una novetat establerta: el dret del comitè d’empresa a ser informat per l’empresa dels paràmetres en el que es basen els algoritmes o sistemes d’intel·ligència artificial (inclosa l’elaboració de perfils), que poden afectar a les condicions, accés i manteniment de la feina.
D’acord amb el que estableix la Guia, aquesta novetat, aprovada en el recent RD-llei 9/2021, que modifica l’Estatut dels Treballadors, constitueix un precedent de transparència addicional a les garanties que regula la normativa de protecció de dades.

D’altra banda, d’aquest epígraf també cal destacar l’apartat dedicat a la “Violència de gènere i assetjament a la feina”. Es detalla que les dades personals de les víctimes d'assetjament en el treball i de les dones supervivents a la violència de gènere i, en particular la seva identitat, tenen amb caràcter general, la consideració de categories especials de dades personals i, en tot cas, són dades sensibles que exigeixen una protecció reforçada. En aquest sentit, la Guia estableix que, en aquests casos, s'haurà d'assignar un codi identificador referent tan a la persona suposadament assetjada com a la assetjadora, a fi de preservar la identitat d’ambdues.

A més, s’estableix que l’empresari únicament podrà conèixer i tractar les dades d'una treballadora vinculades a la condició de dona supervivent a la violència de gènere, quan resulti necessari per al compliment de les obligacions legals però, en tot cas, la documentació de l'empresa ha d'incloure un codi que no permeti que tercers puguin associar aquesta informació amb la interessada.

 

6. Vigilància de la salut

L’últim epígraf que regula aquesta Guia, és el relatiu a la vigilància de la salut. Respecte a aquesta secció, és important destacar l’apartat relatiu a la tecnologia wearable (dispositius portables) en el que s’estableix la prohibició general de la monitorització de dades de salut a través de dispositius intel·ligents, com polseres o rellotges, pel fet de què aquest tractament no s’emmarca en la vigilància de la salut pròpia de la prevenció de riscos laborals i, per tant, suposa el tractament d’una categoria especial de dades (de salut) sense una base jurídica ni finalitat legítima. Així mateix, en la Guia es considera que aquest tractament no compleix amb el principi de proporcionalitat, atès que comporta un monitoratge permanent i permetria a l’empresari accedir a dades de salut específiques, i no exclusivament a la valoració sobre l'aptitud per la feina en concret. No obstant l’anterior, es podria dur a terme el tractament de les dades en cas de què estigui establert per llei o reglament.

 

Per a més informació:
- Guía sobre protección de datos y relaciones laborales
https://www.aepd.es/es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf

Per qualsevol dubte o aclariment addicional podeu adreçar-vos al DPD de Salut:

dpd@ticsalutsocial.cat
https://ticsalutsocial.cat/oficina-dpd/
Tel.: 93 553 26 42 (de 9:00 a 14:00 h).

Comparteix