La AEPD publica una guía sobre protección de datos y relaciones laborales

Mediante su guía no vinculante la AEPD pretende dar una serie de orientaciones a los responsables del tratamiento de datos personales y a las personas o entidades encargadas de este. En esta ocasión la Agencia aborda, entre otros, aspectos como la selección de personal (incluida la aplicación de logaritmos), registro de jornada y salario, los sistemas internos de denuncias, derecho a desconexión digital, la vigilancia de la salud, o el tratamiento de datos por parte de los representantes de los trabajadores.


Le informamos que la Agencia Española de Protección de Datos (AEPD) ha publicado una guía con recomendaciones para la aplicación de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y del Reglamento General de Protección de Datos (RGPD) en la selección y contratación, distintos aspectos de la relación laboral, vigilancia de la salud, registro de jornada o canal whistleblowing entre otros.

Mediante su guía no vinculante la AEPD pretende dar una serie de orientaciones a los responsables del tratamiento de datos personales y a las personas o entidades encargadas de este. En esta ocasión la Agencia aborda, entre otros,  aspectos como la selección de personal (incluida la aplicación de logaritmos), registro de jornada y salario, los sistemas internos de denuncias, derecho a desconexión digital, la vigilancia de la salud, o el tratamiento de datos por parte de los representantes de los trabajadores.

A pesar de ser recomendaciones la importancia del documento es notoria dada la actualidad de los temas que aborda:

Selección de personal

Utilizando como base jurídica el art. 6.1.b) del RGPD, la Agencia nos indica una serie de cautelas en el tratamiento de datos personales durante la fase previa a la contratación, es decir, en el proceso de selección:

  • Principios de minimización y limitación de la finalidad.
  • Modelo tipo para el currículo..
  • Anuncio o convocatoria pública del puesto ofertado.
  • El deber de información y conservación mientras persista el tratamiento de los datos del afectado. Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de datos, por lo que sería necesario su consentimiento para un futuro tratamiento.
  • La empresa es responsable de la custodia de la documentación entregada por la persona candidata.

Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, se recalca por parte del organismo que las personas candidatas y las personas trabajadoras no están obligadas a permitir la indagación del empleador en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato.

Igualmente encontramos referencia a los datos obtenidos mediante las respuestas de una entrevista y su tratamiento.

En aquellos casos en que las agencias de colocación y empresas de selección contacten con las personas candidatas antes de disponer de ofertas de empleo concretas, y por tanto sin un contrato como encargadas del tratamiento previamente celebrado con otra empresa, serán consideradas responsables del tratamiento de los datos de la persona candidata.

La AEPD recuerda que el RGPD prohíbe la toma de decisiones basadas «únicamente en el tratamiento automatizado, incluida la elaboración de perfiles» cuando produzca «efectos jurídicos en el interesado o le afecte significativamente de modo similar». Es decir, cuando las decisiones para la celebración o ejecución de un contrato se lleven a cabo por esta vía ha de ser tratada como una excepción a la regla general y debe ser interpretada restrictivamente. 

 Por último, respecto a reconocimientos médicos  y las respuestas a test psicotécnicos o psicológicos, los primeros no requiere el consentimiento (art. 9.2. h) RGPD), los datos obtenidos en el caso de los test exigen el consentimiento de la persona afectada.

Registro de jornada y salario

Desde la perspectiva del derecho a la protección de datos los registro de jornada implican cumplir 13 puntos según la AEPD, que van desde el derecho de la persona trabajadora a ser informada y, en su caso, a ejercitar los derechos de acceso, rectificación, oposición y supresión, con independencia a de que el registro sea más o menos sofisticado, a que el registro de jornada debe estar incluido en el Registro de las Actividades del Tratamiento (art. 30 RGPD).

En atención al número de trabajadores y al concreto formato empleado (por ejemplo, datos biométricos) podría ser necesario realizar una evaluación de impacto (art. 35.3 RGPD).

Igualmente respecto al registro de salarios, desde la perspectiva del derecho a la protección de datos debe tenerse en cuenta:

El registro de salarios no justifica el tratamiento de datos personales y la norma que lo regula no es una base jurídica para ello, pues en dicho registro no ha de constar el salario de cada persona trabajadora, sino los «valores medios» de los salarios, los complementos salariales y las percepciones extrasalariales de la plantilla «desagregados por sexo y distribuidos por grupos profesionales, categorías profesionales o puestos de trabajo iguales o de igual valor». Es decir, no se contempla un derecho a la información, ni el ejercicio de derechos de acceso, rectificación, oposición y supresión, pues no se produce un tratamiento de datos personales.

En relación a la implantación de medidas de control empresarial sobre el desarrollo de la actividad laboral, se exige realizar un test de proporcionalidad en el que debe valorarse si la medida de control:

a) Es susceptible de conseguir el objetivo propuesto (juicio de idoneidad).

b) Es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad).

c) Es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

CUESTIÓN

¿Qué sucede cuando en la empresa existan categorías o grupos profesionales con un reducido número de personas trabajadoras?

Como ejemplo la AEPD aborda una posible incidencia, cuando solo existan una o incluso dos personas trabajadoras de distinto sexo, lo que supondría que fuesen perfectamente identificables por mera deducción para todo el que pudiera acceder al registro. Cuando ello sucediera:

El registro debería contar con las medidas de seguridad basadas en el análisis de riesgos conforme al RGPD.

El empleador debería informar a las personas trabajadoras del tratamiento de datos personales y de su finalidad.

Los representantes de las personas trabajadoras estarían obligados a respetar la confidencialidad acerca de esa información.

Concesión de suspensión y excedencias, permisos y modificaciones de jornada

El tratamiento de datos personales de la persona trabajadora por parte de la empresa es necesario para la concesión y gestión de solicitudes relativas a la suspensión del contrato (suspensión y excedencias, arts. 45-47 ET), permisos (art. 37 ET) y modificaciones de jornada (art. 34.8 ET), que tienen como finalidad la articulación de derechos de conciliación de la vida laboral, personal y familiar.

El tratamiento de estos datos se considera imprescindible para el cumplimiento de las obligaciones de la empresa en cuanto a la concesión y gestión del ejercicio de estos derechos de conciliación y corresponsabilidad de las personas trabajadoras.

Esta información puede implicar el tratamiento de categorías especiales de datos:

La base jurídica de dichos tratamientos vendrá legitimada por resultar un tratamiento necesario para la ejecución de un contrato en el que la persona trabajadora es parte en relación con el cumplimiento de una obligación legal aplicable al responsable del tratamiento (arts. 6.1.b) y c) del RGPD).

En cuanto al tratamiento de categorías especiales de datos, la circunstancia que exceptúa la prohibición general de su tratamiento es la prevista en el artículo 9.2.b) del RGPD. Los convenios colectivos podrán establecer garantías específicas para el respeto de los derechos fundamentales y de los intereses de los afectados.

Sistemas internos de denuncias

Estos sistemas se suelen configurar mediante la creación de buzones internos a través de los cuales las personas trabajadoras de la compañía, generalmente mediante un procedimiento online, ponen de manifiesto la comisión, en su seno o en la actuación de terceros que contraten con ella, de actos o conductas contrarios a la ley o al convenio colectivo (art. 24 ;LOPDGDD).

Para la Agencia estos sistemas están permitidos siempre que respetarse los principios básicos de la protección de datos. La base jurídica para el tratamiento de datos es el interés público (art. 6.1.e) del RGPD). Se recalca:

  • La posibilidad de sistemas de denuncias anónimas.
  • Debe facilitarse al denunciado esta información tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos.

Los datos personales relativos a las víctimas de acoso en el trabajo y a las mujeres supervivientes a la violencia de género, y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos
personales y, en todo caso, son datos sensibles que exigen una protección reforzada.

CUESTIÓN

¿Quién puede tener acceso a los datos de las denuncias internas?

El acceso a los datos debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento, o al encargado del tratamiento, que eventualmente se designen a tal efecto.

Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante. En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses.

Nóminas

En las nóminas no debe figurar información superflua o adicional, diferente a la relación de ingresos y deducciones derivadas del contrato de trabajo. En particular, no debería incluirse la mención a la afiliación sindical en el recibo de salarios, siendo recomendable que el eventual descuento de la cuota sindical se identificase de manera que no permitiera a terceros conocer esa información, por cuanto la nómina es exigida habitualmente por entidades públicas y privadas para realizar determinados trámites.

Vigilancia de la salud

La Agencia repasa las bases jurídicas del tratamiento de datos, el acceso a los datos por empresa y delegados de prevención, o la relación entre empresa-servicio de prevención entre otros aspectos.

Tratamiento de datos por parte de los representantes de los trabajadores

El cumplimiento de las obligaciones y el ejercicio de los derechos de los representantes de las personas trabajadoras permiten el tratamiento de datos personales de las personas trabajadoras sin el consentimiento de éstas. Se abordan los límites: 

Sólo podrán ser objeto de tratamiento los datos necesarios para el ejercicio de esas funciones de representación.

El empleador no debe ceder a los representantes más datos de los imprescindibles para realizar sus funciones

Los datos no podrán ser utilizados con finalidades distintas a las del ejercicio de las tareas representativas.

Siempre que los representantes de las personas trabajadoras hagan uso de los medios proporcionados por la empresa para el ejercicio de sus funciones, se les considerarán aplicables las políticas de seguridad de la entidad, tanto para el trabajo en los locales de la entidad, como en situación de movilidad o teletrabajo.

El tratamiento de datos requiere cumplir la obligación de informar a las personas trabajadoras.

Los representantes deben respetar la confidencialidad de esos datos.

Fuente. AEPD

Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.

Un cordial saludo,


José María Quintanar Isasi

CONVERSATION