Protecció de dades en les relacions laborals

Autor: TIC Salut Social / 26 de maig de 2021

26 de maig de 2021

L’Agència Espanyola de Protecció de Dades (AEPD) ha elaborat amb la participació del Ministeri de Treball, de la Patronal i d’organitzacions sindicals, una guia sobre protecció de dades i relacions laborals (la Guia) amb l’objectiu d’oferir una eina pràctica, no vinculant, d’ajuda a les organitzacions tant públiques com privades per un adequat compliment de la legislació.
La Guia publicada consta de vuitanta pàgines i s’estructura en set epígrafs que, a la vegada, cada un d’ells, disposa de varis apartats. Cada apartat fa referència a qüestions molt variades entre sí en relació al tractament de dades personals, que es plantegen cada vegada amb més freqüència en el marc de les relacions laborals.

A continuació exposem algunes de les novetats més significatives que regula la Guia:

1. Aspectes generals

En primer lloc, la Guia es centra en regular les bases jurídiques pel tractament de dades personals que es duen a terme en l’àmbit laboral, la informació que és necessària facilitar i els drets de protecció de dades aplicats a l’entorn laboral.

Així mateix, es fa referència al principi de minimització, el qual implica que la execució del contracte laboral no permet a l’empresari conèixer qualsevol tipus de dada personal de les persones treballadores, sinó que les dades personals hauran de ser les adequades, pertinents i limitades al que és necessari en relació amb els fins per als quals són tractades (art. 5 del RGPD).
Així mateix, es regulen els drets i obligacions en l’accés a les dades personals i, en concret, l’obligació de seguretat juntament amb el deure de secret, és a dir, que les dades personals únicament siguin conegudes per l’afectat i per aquells usuaris de l’organització que tinguin competències per utilitzar, consultar o modificar aquestes dades.

2. Selecció i contractació

Respecte a l’epígraf referent a la Selecció i contractació, cal destacar que la AEPD fa referència a que la base jurídica pel tractament de dades personals durant el procés de selecció és la del article 6.1.b) del RGPD “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”.
Així mateix, s’indica que, de conformitat amb el principi de minimització i limitació de la finalitat, únicament s’han de recollir aquelles dades rellevants per l’execució del lloc de treball i, s’especifica que, les impressions o valoracions subjectives sobre la persona candidata, es consideraran dades personals sobre les quals s’haurà de garantir la transparència en el seu tractament, així com, informar a l’interessat sobre el tractament d’aquestes dades i la possibilitat de què exercici els drets que li corresponen al respecte.
En relació amb l’apartat de selecció de personal i xarxes socials, a la Guia es destaca que els candidats i treballadors no estan obligats a permetre la indagació de l’empresari als seus perfils de xarxes socials quan aquestes no estan relacionades amb fins professionals.

Per tant, la empresa no podrà efectuar un tractament de les dades obtingudes d’aquesta manera sense comptar amb una base jurídica valida i, en el seu cas, hauria d’informar al treballador/a sobre el tractament en qüestió.
En aquest epígraf també cal destacar el que s’estableix en relació a les respostes o la informació que es proporciona per part del candidat a un lloc de treball en una entrevista de feina. En aquest sentit, la Guia determina que aquesta informació no podrà ser objecte de tractament per part de l’empresa si no es disposa d’una base jurídica vàlida.
Finalment, és important destacar l’apartat de la Guia en el que la AEPD clarifica que les agències de col·locació i empreses de selecció actuen com a encarregades del tractament quan hagin celebrat prèviament un contracte amb la empresa que busca a les persones treballadores. Per contra, en els casos en que aquestes empreses contactin amb els candidats abans de disposar d’ofertes de treball concretes, seran considerades responsables del tractament de les dades del candidat en qüestió.

3. Desenvolupament de la relació laboral

Entre la informació que proporciona la Guia en aquest apartat, és important realçar la referent al tractament de les dades biomètriques. Al respecte, cal tenir en compte que, el RGPD no considera a tots els tractaments de dades biomètriques com un tractament de categoria especial de dades, ja que l’article 9.1 del RGPD es refereix a les dades biomètriques adreçades a identificar de manera unívoca a una persona física1.

En aquest sentit, s’estableix en la Guia que les dades biomètriques nomes constituiran una categoria especial de dades en el cas de què es sotmetin a un tractament tècnic específic adreçat a identificar de manera unívoca a una persona física. Així doncs, en cas que es tractin dades biomètriques, es recomana optar per sistemes de verificació o autenticació biomètrica, sent aconsellable que els sistemes biomètrics es basin en la lectura de les dades biomètriques emmagatzemats com plantilles xifrades en suports que puguin ser conservats exclusivament per les persones treballadores (per exemple, targetes intel·ligents o dispositius similars).

En relació amb els sistemes interns de denuncies o whistleblowing, la Guia estableix que la informació a proporcionar tan a denunciants com denunciats revesteix un caràcter primordial. Així mateix, es recalca que la LOPDGDD admet sistemes de denuncies anònimes i, en qualsevol cas, es destaca que si la denuncia no és anònima, la informació del denunciant s’ha de tractar amb caràcter estrictament confidencial i no facilitar la seva identificació al denunciat. Pel que fa al registre de jornada obligatori, es recomana que s’adopti el sistema menys invasiu possible i subratlla que aquest no pot ser d’accés públic ni estar situat en un lloc visible. Així mateix, les dades d’aquest registre no es poden utilitzar per a finalitats diferents al propi control de la jornada de treball i l’empresa les haurà de conservar durant un període de quatre anys.

A més, la Guia fa referència a què, el delegat de protecció de dades hauria d’estar present en tot el cicle de vida de la documentació vinculada amb el registre horari, des de l’assessorament a la direcció de l’empresa per a la confecció i custòdia d’aquesta documentació, la resolució de incidències que es puguin plantejar internament, fins a la funció d’interlocució amb l’AEPD.
Per acabar, cal destacar un altre dels aspectes que s’aborden en relació amb la difusió de les ajudes que es concedeixen per acció social.
En aquest cas, s’estableix que les empreses no poden publicar el llistat d’ajudes adjudicades i denegades en una pàgina web de lliure accés, o en un tauler d’anuncis situat en una zona oberta al públic i, pel que fa a les ajudes vinculades amb categories especials de dades, la publicitat de la concessió de l’ajut no ha de permetre la identificació de l’afectat.

4. Control de l’activitat laboral

Entre d’altres tractaments, en aquest apartat, cal destacar la referència que realitza la Guia respecte a la geolocalització. En concret, s’exposen els requisits per a la utilització de sistemes de geolocalització pel control de les persones treballadores i es destaca l’obligació de limitar el tractament de conformitat amb el principi de minimització, de limitació de la finalitat, així com, amb el principi de proporcionalitat. A més, la Guia fa referència a què la geolocalització no pot tenir com objecte el propi treballador sinó que, ha d’anar en tot cas relacionada amb l’eina, titularitat de l’empresa, que es posi a la disposició d’aquest.

5. Representació unitària i sindical de les persones treballadores

Respecte a l’accés de dades per part dels representants de les persones treballadores, cal destacar una novetat establerta: el dret del comitè d’empresa a ser informat per l’empresa dels paràmetres en el que es basen els algoritmes o sistemes d’intel·ligència artificial (inclosa l’elaboració de perfils), que poden afectar a les condicions, accés i manteniment de la feina.
D’acord amb el que estableix la Guia, aquesta novetat, aprovada en el recent RD-llei 9/2021, que modifica l’Estatut dels Treballadors, constitueix un precedent de transparència addicional a les garanties que regula la normativa de protecció de dades.

D’altra banda, d’aquest epígraf també cal destacar l’apartat dedicat a la “Violència de gènere i assetjament a la feina”. Es detalla que les dades personals de les víctimes d’assetjament en el treball i de les dones supervivents a la violència de gènere i, en particular la seva identitat, tenen amb caràcter general, la consideració de categories especials de dades personals i, en tot cas, són dades sensibles que exigeixen una protecció reforçada. En aquest sentit, la Guia estableix que, en aquests casos, s’haurà d’assignar un codi identificador referent tan a la persona suposadament assetjada com a la assetjadora, a fi de preservar la identitat d’ambdues.

A més, s’estableix que l’empresari únicament podrà conèixer i tractar les dades d’una treballadora vinculades a la condició de dona supervivent a la violència de gènere, quan resulti necessari per al compliment de les obligacions legals però, en tot cas, la documentació de l’empresa ha d’incloure un codi que no permeti que tercers puguin associar aquesta informació amb la interessada.

6. Vigilància de la salut

L’últim epígraf que regula aquesta Guia, és el relatiu a la vigilància de la salut. Respecte a aquesta secció, és important destacar l’apartat relatiu a la tecnologia wearable (dispositius portables) en el que s’estableix la prohibició general de la monitorització de dades de salut a través de dispositius intel·ligents, com polseres o rellotges, pel fet de què aquest tractament no s’emmarca en la vigilància de la salut pròpia de la prevenció de riscos laborals i, per tant, suposa el tractament d’una categoria especial de dades (de salut) sense una base jurídica ni finalitat legítima. Així mateix, en la Guia es considera que aquest tractament no compleix amb el principi de proporcionalitat, atès que comporta un monitoratge permanent i permetria a l’empresari accedir a dades de salut específiques, i no exclusivament a la valoració sobre l’aptitud per la feina en concret. No obstant l’anterior, es podria dur a terme el tractament de les dades en cas de què estigui establert per llei o reglament.

Per a més informació:
– Guía sobre protección de datos y relaciones laborales
https://www.aepd.es/es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf

Per qualsevol dubte o aclariment addicional podeu adreçar-vos al DPD de Salut:

dpd@ticsalutsocial.cat
https://ticsalutsocial.cat/oficina-dpd/
Tel.: 93 553 26 42 (de 9:00 a 14:00 h).

Cookie	Duració	Descripció
cookielawinfo-checkbox-advertisement	1 any	La galeta la defineix el complement de consentiment de galetes del RGPD , aquesta galeta s’utilitza per registrar el consentiment de l’usuari per les galetes de la categoria "Publicitat" .
cookielawinfo-checkbox-analytics	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD, aquesta galeta s’utilitza per registrar el consentiment de l’usuari per a les cookies de la categoria “Analítiques”.
cookielawinfo-checkbox-functional	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD per registrar el consentiment de l’usuari per les galetes en la categoria "Funcional".
cookielawinfo-checkbox-necessary	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD. Les galetes s’utilitzen per emmagatzemar el consentiment de l’usuari per les galetes en la categoria “Necessari”.
cookielawinfo-checkbox-others	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD. La galeta s'utilitza per emmagatzemar el consentiment de l'usuari per a les galetes de la categoria "Altres".
cookielawinfo-checkbox-performance	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD. La galeta s'utilitza per emmagatzemar el consentiment de l'usuari per a les galetes de la categoria "Rendiment".
PHPSESSID	sessió	Aquesta galeta és originària d’aplicacions PHP. La galeta s’utilitza per emmagatzemar i identificar l’identificador de sessió únic dels usuaris amb la finalitat de gestionar la sessió d’usuari al lloc web. La galeta és una galeta de sessió i s’elimina quan es tanquen totes les finestres del navegador.
viewed_cookie_policy	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD i s’utilitza per emmagatzemar si l’usuari ha consentit o no l’ús de galetes. No emmagatzema cap dada personal .
VISITOR_INFO1_LIVE	5 mesos 27 dies	Una galeta configurada per YouTube per mesurar l’amplada de banda que determina si l’usuari obté la interfície de reproductor nova o antiga.
YSC	sessió	La galeta YSC la defineix Youtube i s’utilitza per fer un seguiment de les visualitzacions de vídeos incrustats a les pàgines de YouTube.

Cookie	Duració	Descripció
__sharethis_cookie_test__	sessió	Aquesta galeta la defineix ShareThis, per comprovar si el navegador accepta galetes
yt-remote-connected-devices	never	YouTube defineix aquesta galeta per emmagatzemar les preferències de vídeo de l'usuari mitjançant un vídeo de YouTube incrustat.
yt-remote-device-id	never	YouTube defineix aquesta galeta per emmagatzemar les preferències de vídeo de l'usuari mitjançant un vídeo de YouTube incrustat.

Cookie	Duració	Descripció
_ga	2 anys	La galeta _ga, instal·lada per Google Analytics, calcula les dades de visitants, sessions i campanyes i també fa un seguiment de l’ús del lloc per a l’informe d’anàlisi del lloc. La galeta emmagatzema informació de forma anònima i assigna un número generat aleatòriament per reconèixer els visitants únics.
_gat_gtag_UA_12072629_1	1 minut	Aquesta galeta la defineix Google i s’utilitza per distingir els usuaris.
_gid	1 dia	Instal·lada per Google Analytics, la galeta _gid emmagatzema informació sobre l’ús que fan els visitants d’un lloc web, alhora que crea un informe d’anàlisi del rendiment del lloc web. Algunes de les dades que es recopilen inclouen el nombre de visitants, la seva font i les pàgines que visiten de forma anònima.
CONSENT	16 anys 3 mesos 14 dies 13 hores	Aquestes galetes s’estableixen mitjançant vídeos de youtube incrustats. Registren dades estadístiques anònimes sobre, per exemple, quantes vegades es mostra el vídeo i quins paràmetres s’utilitzen per a la reproducció. No es recopilen dades confidencials tret que inicieu sessió al vostre compte de Google, en aquest cas les vostres opcions estan vinculades amb el vostre compte, per exemple. si feu clic a "m'agrada" en un vídeo.
vuid	2 anys	Vimeo instal·la aquesta galeta per recopilar informació de seguiment establint un identificador únic per incrustar vídeos al lloc web.

Cookie	Duració	Descripció
IDE	1 any 24 dies	Les galetes IDE de Google DoubleClick s’utilitzen per emmagatzemar informació sobre com l’usuari utilitza el lloc web per presentar-los anuncis rellevants i segons el perfil de l’usuari.
test_cookie	15 minuts	El test_cookie el defineix doubleclick.net i s’utilitza per determinar si el navegador de l’usuari admet cookies.

Subscriu-te i rep novetats i notícies

Butlletí TICSS

Sobre la Fundació

Patronat

Xarxes nacionals i internacionals

Ofertes de feina

Transparència

Actius digitals per la ciutadania

Àmbit social

Atenció digital personalitzada

Competències digitals

eHealth

Imatge mèdica digital

Integració social i sanitària

Intel·ligència artificial

Interoperabilitat

Actius

Finalitzats

Nosaltres

Entitats adherides

Documentació

Eina AIPD

Aula Virtual

Contacte

Notícies

Agenda

Sala de premsa

Butlletí

Contacte

Protecció de dades en les relacions laborals

Autor: TIC Salut Social / 26 de maig de 2021

26 de maig de 2021