Protección de datos en las relaciones laborales

Protección de datos en las relaciones laborales

La Agencia Española de Protección de Datos (en adelante, AEPD) ha publicado recientemente la Guía para “La protección de datos en las relaciones laborales”. El objetivo de esta Guía es aportar una herramienta práctica que facilite a las organizaciones la correcta aplicación de la normativa sobre protección de datos en el ámbito laboral.

Para ello, la Agencia ha concentrado en esta Guía las particularidades del tratamiento de datos durante todo el ciclo de vida de las actividades vinculadas a la relación laboral: en los procesos de selección, durante la relación laboral y tras su finalización.

En cada una de estas fases, la Agencia aborda conceptos generales, como la base jurídica de legitimación adecuada, la fórmula para cumplir correctamente con el deber de información o con el deber de conservación de los datos una vez finalizada la relación, por ejemplo.

En este sentido, cabe destacar que, en el ámbito de las relaciones laborales, la base jurídica de legitimación del tratamiento, con carácter principal es la ejecución del contrato de trabajo. Sin perjuicio de que también puedan ser de aplicación otras bases jurídicas de legitimación contempladas en la normativa en cada caso. Esta regla aplica también en la fase previa a la contratación, no siendo necesario el consentimiento del solicitante o candidato cuando los datos tratados sean necesarios para participar en el proceso de selección, siempre y cuando los datos se limitan a dicha finalidad y sean pertinentes y adecuados.

Cabe recordar que en las relaciones laborales el consentimiento no es la base jurídica idónea por norma general si se proporciona en una situación de “desequilibro claro entre el interesado y el responsable del tratamiento”. Pero sí podrá ser la base jurídica en casos excepcionales, siempre y cuando pueda acreditarse que se ha otorgado de forma libre, inequívoca e informada.

Respecto al deber de informar, la Agencia recomienda separar el contrato de trabajo de otros documentos a través de los cuales el empleador solicite a la persona trabajadora el consentimiento para poder realizar tratamientos no comprendidos dentro de la ejecución de la concreta relación laboral de que se trate en cada caso.

Asimismo, deberá prestarse atención a la obligación de bloqueo de los datos una vez finalizada la relación contractual y tener determinados los plazos de conservación en cada caso.

En este contexto amplio, aborda asimismo temas específicos cómo los expuestos a continuación, sobre los que destacamos los aspectos que consideramos de mayor interés:

CONSULTA DE REDES SOCIALES DE EMPLEADOS O CANDIDATOS

No está permitido el tratamiento de los datos obtenidos de redes sociales, aun cuando la cuenta sea de acceso público. Debemos insistir en esto, aunque el perfil en las redes sociales de una persona candidata o de un empleado sea de acceso público, el empleador no puede tratar los datos personales obtenidos a través de redes sociales salvo que cuente con una base jurídica de legitimación válida.

La Agencia indica que, la indagación en los perfiles de redes sociales de candidatos a un empleo sólo se justifica si están relacionados con fines profesionales y, en todo caso, de contar con legitimación para ello, será necesario 1) informar al interesado y 2) demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo.

PROTECCIÓN DE DATOS EN LOS SISTEMAS INTERNOS DE DENUNCIAS

 La Agencia identifica el interés público como base jurídica de legitimación de los datos personales tratados en los sistemas internos de denuncias o Whistleblowing.

 Asimismo, destaca la importancia de respetar los principios básicos de protección de datos y, entre ellos, los siguientes:

  • principio de limitación de finalidad, en virtud del cual los datos no podrán ser tratados para otras finalidades;
  • principios de seguridad y confidencialidad, cuya aplicación requiere adoptar medidas reforzadas de seguridad, extremando las cautelas que garanticen el cumplimiento del deber de secreto.

TRATAMIENTO DE DATOS PARA EL REGISTRO DE LA JORNADA LABORAL

 El tratamiento de datos con el fin de registrar la jornada laboral está legitimado por el cumplimiento de una obligación legal, derivada del artículo 34.9 del Estatuto de los Trabajadores, no el consentimiento del empleado.

Los registros deben conservarse durante cuatro años y permanecer a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.

El sistema adoptado al efecto deberá ser el menos invasivo posible en términos de privacidad, aunque, aclara la Agencia que el derecho a la protección de datos no limita las opciones de la empresa en relación con la elección de dicho sistema de registro horario. En todo caso, el empleado tiene derecho a ser informado del tratamiento y a ejercitar los derechos de acceso, rectificación, oposición y supresión sobre los datos tratados para este fin.

Es importante tener en cuenta que:

  1. el registro no debe ser público,
  2. no deben recabarse más datos que aquellos imprescindibles para la finalidad perseguida (minimización de datos),
  3. los datos del registro no pueden ser utilizados con finalidades distintas al control de la jornada de trabajo.

PROTECCIÓN DE LOS DATOS DE LAS VÍCTIMAS DE ACOSO EN EL TRABAJO Y DE LAS MUJERES SUPERVIVIENTES A LA VIOLENCIA DE GÉNERO

Los datos personales relativos a las víctimas de acoso en el trabajo y a las mujeres supervivientes a la violencia de género, y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y requieren una protección reforzada.

En este ámbito cobra especial relevancia el deber de confidencialidad. La identidad de la víctima solo podrá conocerse por las personas legitimadas vinculadas al procedimiento. Asimismo, deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la persona supuestamente acosadora, protegiendo la identidad de ambas.

Es importante prestar atención al plazo de conservación de los datos tratados, bloqueándolos durante el periodo de prescripción de la sanción, previendo su futura utilización en procedimiento judicial.

La amplitud de la Guía da cabida a muchas otras materias específicas de las relaciones laborales, dejando constancia de que este ámbito requiere una especial atención y proactividad por parte de las entidades para poder cumplir la normativa de protección de datos de forma adecuada. Para contactar con abogados especializados en Protección de datos, puede hacerlo aquí.

 

Nelia Álvarez

Abogada en el área de Derecho Tecnológico

Añadir nuevo comentario