Lo último de Protección de Datos en las relaciones laborales, ¿qué se debe tener en cuenta?
El pasado 18 de mayo la Agencia Española de Protección de Datos (AEPD) publicó la una Guía sobre “Protección de datos en entornos laborales”. Una Guía que aporta información novedosa en distintos casos como puede ser en los relativo al tratamiento de datos personales en los canales internos de denuncia (whistleblowing), la tecnología wearable como un elemento más de control sobre las personas trabajadoras, el registro de la jornada laboral o la búsqueda en redes sociales de candidatos y trabajadores.
En este contexto laboral, la Guía hace un repaso sobre las distintas bases de legitimación para el tratamiento de datos personales como pueden ser la ejecución de un contrato, el interés legítimo y resalta las carencias de recurrir al consentimiento del interesado dada la situación de asimetría existente en la relación laboral. En cualquier caso, se hace hincapié en la importancia del principio de proporcionalidad en todos aquellos tratamientos de datos personales que puedan a limitar los derechos fundamentales de las personas, por lo que se debe informar adecuadamente a los trabajadores sobre la finalidad para las que se recaban esos datos personales en un lenguaje claro que puedan comprender al momento de obtención de los datos. Así, a pesar de contar con una base legal como es la ejecución de un contrato, se debe tener siempre tener presente el principio de minimización de datos y saber diferenciar entre aquellos datos necesarios para el desarrollo de la relación laboral, de aquellos que podrían ser útiles para la organización, los cuales no quedarían amparados sobre la base de ejecución del contrato (como por ejemplo el nombre de usuario de un empleado en redes sociales). De ahí la importancia de analizar caso por caso ante cada situación planteada.
Sobre selección de personal y redes sociales, indica la guía que a pesar de que las personas cuesten con un perfil público, no se puede proceder al tratamiento de ese dato personal sin la correspondiente base jurídica. Además, en este mismo apartado también se indica que las personas no tienen obligación de dar acceso al empleador acceso a sus redes sociales durante el proceso de selección y tampoco mientras la persona se encuentra trabajando en el seno de la organización. Se recuerda también que, aquellas decisiones de selección de personal basadas en algoritmos no pueden llevar a situaciones en las que se pueda producir discriminación, por lo que tal y como indica el RGPD, debe haber algún mecanismo en el que se prevea la intervención humana cuando así se solicite por los posibles candidatos afectados por la decisión tomada en base a un algoritmo.
Por otro lado, en relación con el registro de jornada de los trabajadores, además de indicarse la base jurídica y el tiempo durante el cual se deberán conservar estos registros, lo que plantea la AEPD es la recomendación de optar por aquel sistema que sea lo menos invasivo posible atendiendo a las circunstancias de la empresa y de los trabajadores, indicando que estos datos no se podrán usar para otra finalidad como puede ser la geolocalización de un empleado.
Ligada a la anterior y sobre los sistemas de identificación, dado el riesgo potencial sobre los derechos fundamentales de los trabajadores que tienen estos sistemas, es necesario que estas medidas superen en primer lugar el test de proporcionalidad respetando el derecho a la protección de datos, por lo que se recomienda evitar aquellos sistemas de acceso que sean especialmente invasivos como podrían ser controles biométricos siempre que existan otros que permitan cumplir la misma finalidad de una manera menos intrusiva.
Sobre los buzones internos de denuncia (Wistleblowing), ahora tan de actualidad fruto de la Directiva (UE) 2019/1937, la Guía reconoce un papel fundamental en la información facilitada previamente a los interesados sobre el tratamiento de datos personales en estos sistemas, tanto para quien denuncia como para quien es denunciado. Una información que podrá darse en el propio contrato de trabajo, mediante circulares informativas o a título individual o colectivo. Eso sí, respetando en todo momento los principios del RGPD, garantizando la confidencialidad de aquellas personas que denunciantes, pudiendo ser incluso denuncias anónimas. A modo de ejemplo, una garantía de los derechos de los trabajadores es que desde el departamento de recursos humanos sólo puedan acceder a estos datos en procedimientos disciplinarios y no para otras finalidades.
Otra novedad a destacar es el uso de la tecnología wearablerecogida en el apartado de vigilancia de la salud, en la que mediante dispositivos inteligentes se pudiera monitorear el estado de salud de empleados, para lo que según indica la Guía, es que ese tratamiento de datos está prohibido salvo que así lo habilite una ley o reglamento, ya que de no existir esta habilitación legal, no estaríamos ante un caso de vigilancia de la salud en el marco de la prevención de riesgos laborales y nos llevaría a tratar un dato sensible sin la correspondiente base jurídica.
Así, en esta Guía se resalta la importancia de la necesidad de que los empleados deben conocer cómo se van a tratar sus datos, para lo cual la empresa debe informar a los empleados empleando un lenguaje claro y sencillo sobre el tratamiento que se va a llevar a cabo de sus datos personales.
A modo de resumen, podemos concluir indicando que las organizaciones deberán actuar siempre de una manera transparente en la que se informe a las personas trabajadoras de la finalidad sobre cómo se van a tratar sus datos personales antes de comenzar el tratamiento, atendiendo también al principio de minimización de datos sin tratar dichos datos recabados para otras finalidades distintas. Asimismo, antes de comenzar cada tratamiento de datos deberá evaluarse de manera individualiza con el objetivo de adoptar las medidas de seguridad y organizativas correspondientes.
Williams Colacci, Legal Team, Legal Army