Blog

Protección de Datos

protección de datos relación laboral

Comentarios a la nueva Guía de Protección de Datos de la AEPD en las Relaciones Laborales

9 junio, 2021
Comentarios a la nueva Guía de Protección de Datos de la AEPD en las Relaciones Laborales

La Agencia Española de Protección de Datos (AEPD), con la participación del Ministerio de Trabajo, patronal y organizaciones sindicales, acaba de publicar su Guía sobre la “Protección de datos en las relaciones laborales” (actualizando la versión anterior). Si bien la Guía – que llega a estructurarse en siete apartados – trata distintos aspectos de vital importancia para las organizaciones, en este artículo, destacaremos aquellas de más relevantes y novedosas.

Así pues, cabe subrayar que la Guía empieza haciendo un repaso sobre las distintas bases de legitimación para el tratamiento de datos personales del trabajador como pueden ser la ejecución de un contrato, el interés legítimo y destaca las dificultades de recurrir al consentimiento del trabajador dada la situación empleado-empleador (donde el consentimiento podría no considerarse “libre” de acuerdo a la normativa). Igualmente, la Guía insiste que a pesar de contar con una base legal como es la ejecución de un contrato, se debe tener siempre presente el principio de minimización de datos y saber diferenciar entre aquellos datos necesarios para el desarrollo de la relación laboral, de aquellos que podrían ser útiles, pero no estrictamente necesarios, para la organización. Estos últimos, no quedarían amparados sobre la base de ejecución del contrato, de ahí la importancia de analizar caso por caso ante cada situación planteada.

También, se resalta la importancia del principio de proporcionalidad en todos aquellos tratamientos de datos personales que puedan limitar los derechos fundamentales de los trabajadores. Recuerda, asimismo, que debe informarse a los trabajadores de cómo se efectúa el tratamiento de sus datos de manera clara y concisa y que puedan entender al momento de la obtención de los datos.

Seguidamente, la Guía hace referencia a los procesos de selección en entornos digitales como las redes sociales. La Guía dice a este respecto que a pesar de que los interesados hagan manifiestamente público sus perfiles, sin existir una base jurídica adecuada, no podría llevarse a cabo ningún tratamiento de datos. Igualmente, también se indica que las personas no tienen obligación de dar acceso al empleador a sus redes sociales durante el proceso de selección y tampoco mientras la persona se encuentra trabajando en el seno de la organización.  Se recuerda también que, aquellas decisiones de selección de personal basadas en algoritmos no pueden llevar a situaciones en las que se pueda producir discriminación, por lo que tal y como indica el RGPD, debe haber algún mecanismo en el que se prevea la intervención humana cuando así se solicite por los posibles candidatos afectados por la decisión tomada en base a un algoritmo.

Por otro lado, en relación con el registro de jornada de los trabajadores, además de indicarse la base jurídica y el tiempo durante el cual se deberán conservar estos registros, lo que plantea la AEPD es la recomendación de optar por aquel sistema que sea lo menos invasivo posible atendiendo a las circunstancias de la empresa y de los trabajadores, así como elaborar el debido test de proporcionalidad de la medida, además de tener en cuenta que los datos recogidos no pueden usarse para otros fines.

Sobre los buzones internos de denuncia (Wistleblowing), ahora tan de actualidad fruto de la Directiva (UE) 2019/1937, la Guía reconoce un papel fundamental en la información facilitada previamente a los interesados sobre el tratamiento de datos personales en estos sistemas, tanto para quien denuncia como para quien es denunciado.  Una información que podrá darse en el propio contrato de trabajo, mediante circulares informativas o a título individual o colectivo. Eso sí, respetando en todo momento los principios del RGPD, garantizando la confidencialidad de aquellas personas que denunciantes, pudiendo ser incluso denuncias anónimas.

Otra novedad a destacar es el uso de la tecnología wearables para finalidades de vigilancia de la salud. Dichos dispositivos pueden monitorizar el estado de salud de empleados, para lo que según indica la Guía, ese tratamiento de datos está prohibido salvo que así lo habilite una ley o reglamento, ya que, de no existir esta habilitación legal, no estaríamos ante un caso de vigilancia de la salud en el marco de la prevención de riesgos laborales y nos llevaría a tratar un dato sensible sin la correspondiente base jurídica(y el consentimiento, tal y como hemos visto antes, presentaría retos legales).

La Guía trata otras cuestiones de interés, como el tratamiento de datos en representación unitaria y sindical, o, el tratamiento de datos propio del desarrollo de la relación laboral como la conciliación o el registro de salarios, etc. Pero en este artículo hemos destacado los aspectos más novedosos y relevantes, sin perjuicio de que su lectura completa sea altamente recomendada por cualquier organización con empleados.

En DATAX somos una empresa especializada en materia de protección de datos y seguridad de la información.

Ofrecemos un servicio de consultoría integral para adecuar a su organización a todos los requisitos del  Reglamento Europeo (RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de obligado cumplimiento desde el 25 de mayo 2018.

Más de 16 años de experiencia en la adecuación de todo tipo de organizaciones y sectores de actividad, incluido el sector público y privado nos avalan.

Más de 10.000 clientes confían ya en nuestros conocimientos y profesionalidad en la materia.

Javier De Zea

Abogado y Consultor Técnico en Protección de Datos y Seguridad de la Información

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *