La protección de datos en el ambiente laboral: una prioridad para la AEPD

Se acerca el día de la privacidad (28 de enero) y la Agencia Española de Protección de Datos (AEPD) parece decidida a reforzar cada vez mas la protección de datos en el ámbito laboral.

Estas últimas semanas, la AEPD ha emitido dos resoluciones destinadas a proteger a los trabajadores y reforzar sus derechos, regulando dos practicas bastante extendidas entre distintas empresas en España:

En la primera de ellas, la AEPD sanciona a una empresa a pagar un total de 9000 euros por publicar fotografías de sus empleados en su página web y en sus redes sociales sin contar con su consentimiento previo, así como por no atender a su solicitud para que fueran eliminadas. Entre las fotos a las que se hacen referencia se encuentran fotos de equipo en las redes sociales y fotos individuales en el apartado de equipo de la página web de la empresa. Ante esta petición, que fue además reiterada, la empresa hizo caso omiso y no borró las imágenes.

Ante ello, la AEPD ve una clara infracción de los principios que regulan el tratamiento de datos personales, concretamente el principio de licitud del tratamiento, al carecer de base legitimadora, y el deber de cumplir con la solicitud del derecho a la protección de datos del usuario.

Si bien la AEPD no entra a valorar cuál debería haber sido la base legitimadora de la publicación de estas imágenes, debemos tener en cuenta que el uso de fotografías para publicitar al equipo y la empresa, ya sea en la web de la misma o en sus redes sociales, no puede basarse en la ejecución del contrato de trabajo, por cuanto no es necesario para la relación laboral. Tampoco puede basarse en el interés legitimo de la empresa porque el interés de la empresa en dar a conocer a su equipo no es superior al derecho de los trabajadores a la protección de sus datos y a la protección de la propia imagen, unido al hecho de que puede darse a conocer a la persona sin necesidad de usar su imagen para ello. Por todo ello, solo el consentimiento expreso e informado de los usuarios permitiría el uso de su imagen con estos propósitos.

Asimismo, cabe recordar la importancia de una gestión correcta y eficiente de los ejercicios de derechos, ya que la sanción impuesta a la entidad se basa, en buena parte, en la no atención del ejercicio de derechos de la interesada, y es que, tanto si se va acatar la petición de los interesados como si se va a rechazar en base a alguna de las excepciones autorizadas, es extremadamente importante comunicar esta decisión a los interesados para que los mismo puedan, en su caso, ejercer las acciones que crean oportunas para hacer valer sus derechos por otros medios.

En lo que respecta a la segunda resolución de la AEPD, esta ha sancionado a una empresa por el uso de los lectores biométricos con fines de registro de jornada de los empleados. La sanción se impone por la utilización de su huella, almacenando únicamente el patrón resultado del análisis inicial de la misma, todo ello con fines de identificar unívocamente al empleado que estaba registrando sus horas, amparándose la empresa en el cumplimiento de una obligación legal, la ejecución del contrato y el consentimiento expreso solicitado a todos los empleados.

A raíz de esto, la AEPD entra inicialmente a evaluar las bases legitimadoras, indicando que no es correcto justificar el tratamiento en base a la ejecución del contrato, ya que la correcta sería, en todo caso, la obligación legal incluida en el Estatuto de los Trabajadores. Ahora bien, la AEPD matiza que, si bien existe la obligación de mantener este registro de horario, para que la misma sea posible mediante el uso de sistemas biométricos, esto debe ser necesario en la medida que así lo autorice el derecho de la Unión. Es decir, debe encontrarse una autorización expresa al uso de estos sistemas en la legislación para que el mismo sea posible y, sin embargo, el Estatuto de los Trabajadores no prevé el uso de esta tipología de datos.

A continuación, la AEPD entra a realizar un juicio de proporcionalidad sobre este sistema, llegando a la conclusión de que el mismo no es necesario, en tanto en cuanto existen medios menos intrusivos que permiten alcanzar el mismo objetivo. Se destaca expresamente por la AEPD que la necesidad debe evaluarse desde una perspectiva combinada, tanto de hechos como sobre la eficacia de la medida y su intrusismo respecto de otras medidas posibles. Al mismo tiempo, se establece que la necesidad no debe confundirse con la utilidad, error muy común en estos juicios, ya que un sistema puede ser útil para el fin pretendido, pero no necesario en la medida en que haya métodos mejores o menos invasivos. La AEPD incide en la obligación de la existencia de un vinculo lógico entre la medida y el fin pretendido de cara a considerar su proporcionalidad, de forma que las ventajas de la medida superen a sus desventajas.

La AEPD entra a evaluar también el consentimiento como base legitimadora, destacándose por la misma que el consentimiento, en el seno de una relación laboral, debe ser una base legitimadora excepcional, debido a la diferencia de poder en que se encuentran el empleador y sus empleados, y la posibilidad que tiene estos de ejercer cierta presión sobre los últimos, lo que dificulta considerar el consentimiento como libre. Además, para que sea considerado libre, el interesado debe tener un medio al que poder optar de forma alternativa, y deben poder retirar este consentimiento y eliminar sus datos cuando quisieran, o no se podría apreciar la libertad de la que hablamos.

Por último, la AEPD destaca la necesidad de elaborar una Evaluación de Impacto sobre Datos Personales (EIDP) en el caso que nos ocupa al cumplirse, entre otras cosas, los criterios que esta misma Autoridad incluyó en la lista de casos que requieren una EIDP, y que indica que, cuando el tratamiento cumpla dos o mas criterios de dicha lista, la EIDP debe ser obligatoria, salvo en casos muy excepcionales.

La preocupación de la AEPD sobre el tratamiento de datos en el ámbito laboral es clara tras estas resoluciones, en parte, entendemos, debido al poder coercitivo que puede ejercer la empresa sobre su personal, que puede dar lugar a incumplimientos graves de la normativa en materia de privacidad. Por ello, es muy importante que las empresas reevalúen sus criterios y prioridades en el tratamiento de datos a nivel interno, de sus empleados, consultores y proveedores, y no solo de cara a sus clientes y terceros.

Existe la creencia generalizada de que el tratamiento de los datos de clientes es de extrema importancia e incluso, en ocasiones, que por está encima del tratamiento de los datos de otros. Si bien es claro que los datos de clientes merecen la mayor de las protecciones, no son menos importantes los datos del personal interno de la compañía, y ello teniendo en cuenta la cantidad de datos tratados, algunos de ellos especialmente protegidos o con un alto potencia de impacto en los interesados, así como la naturaleza de la relación, que deber ser de confianza entre las partes. Esto último, muchas veces, da lugar a que se relajen las reglas tan estrictas de gestión de los datos personales pero que, en caso de verse rota la confianza, puede acarrear graves repercusiones a la compañía.

Enrique Extremera Maestro, Head of Privacy, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias