Cumplir con la normativa de protección de datos en el ámbito laboral es de gran importancia para crear un buen clima laboral entre los empleados. Lo cierto es que si tu empresa cumple con las obligaciones recogidas en esta guía de protección de datos en las relaciones laborales, no tendrás nada por lo que preocuparte.
La protección de datos es un tema que se encuentra cada vez más en el centro del debate público y empresarial, en particular en lo que respecta al ámbito laboral. Es por ello que la Agencia Española de Protección de Datos (AEPD) ha publicado una guía titulada ‘Protección de datos y relaciones laborales’ para ofrecer una herramienta práctica que ayude a las empresas a cumplir adecuadamente con la legislación.
La guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales.
En esta guía la AEPD expone los temas más importantes que se plantean con mayor frecuencia en el entorno laboral:
- Consulta de las redes sociales del trabajador por parte de la empresa en los procesos de selección de personal.
- Sistemas internos de denuncias (whistleblowing).
- Registro de la jornada laboral.
- Protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género.
- Uso de la tecnología wearable como elemento de control.
Aspectos básicos de la guía de protección de datos en las relaciones laborales.
La guía comienza recogiendo las bases que legitiman el tratamiento de datos personales, la información que es necesaria facilitar y los derechos de protección de datos aplicados al entorno laboral.
También se aborda el principio de minimización, ya que la celebración del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras.
Además, se mencionan los deberes de secreto y seguridad, que implican que los datos personales sólo sean conocidos por la persona afectada y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos.
Uso de la información de las redes sociales del trabajador y de los candidatos en procesos de selección.
En el apartado de selección de personal y redes sociales, la guía detalla que las personas no están obligadas a permitir que la persona empleadora indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato.
Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y, para ello, será necesario informar a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo.
Además, la Agencia aclara que la empresa no está autorizada para solicitar «amistad» a los candidatos para que estos proporcionen acceso a los contenidos de sus perfiles.
Confidencialidad en los sistemas de denuncias en el ámbito laboral.
En cuanto a los sistemas internos de denuncias o whistleblowing, la guía de protección de datos y relaciones laborales, considera que la información tanto a las personas denunciantes como a los potenciales personas denunciadas reviste un carácter primordial.
La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información de la persona denunciante debe quedar a salvo y no debe facilitarse su identificación a la persona denunciada.
Requisitos para que el registro de jornada cumpla con la protección de datos.
En lo referente al registro de jornada obligatorio, la guía recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible.
Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación.
Derechos del comité de empresa en materia de protección de datos.
La guía también incorpora una novedad relevante sobre el derecho del comité de empresa a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial que pueden incidir en las condiciones, el acceso y mantenimiento del empleo.
Esta novedad, aprobada en el reciente RD-ley 9/2021, modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías de la normativa de protección de datos.
Obligaciones de la empresa en materia de protección de datos.
Estas obligaciones se derivan de las leyes y normativas aplicables en materia de protección de datos, como el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) en España.
1. Nombrar un DPO.
Además, las empresas deben designar un responsable de protección de datos o DPO (Data Protection Officer) en casos específicos, como en aquellos en los que la empresa maneja grandes cantidades de datos personales o en los que se realizan actividades de tratamiento de datos que implican un alto riesgo para los derechos y libertades de los interesados.
2. Consentimiento de los interesados para el tratamiento de sus datos personales.
Otra obligación importante es la necesidad de obtener el consentimiento de los interesados para el tratamiento de sus datos personales, siempre y cuando el tratamiento se base en dicho consentimiento.
Es necesario que el consentimiento sea informado, específico, libre y otorgado de manera inequívoca.
Las empresas también deben informar a los interesados de manera clara y transparente sobre la finalidad del tratamiento de sus datos personales, así como sobre cualquier otra información relevante, como la identidad del responsable del tratamiento, la duración del tratamiento y los derechos de los interesados.
3. Garantizar los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.
En relación con los derechos de los interesados, las empresas deben garantizar que estos puedan ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición en relación con sus datos personales.
4. Prevenir accesos no autorizados o indebidos.
Las empresas también deben implementar medidas de seguridad adecuadas para proteger los datos personales de los interesados y prevenir cualquier acceso no autorizado o uso indebido.
5. Notificar cualquier violación de seguridad de los datos personales.
Por último, es importante mencionar que las empresas deben cumplir con sus obligaciones de notificación en caso de violaciones de seguridad de datos personales.
En caso de que se produzca una violación de seguridad de datos personales, la empresa responsable debe notificar a la autoridad de protección de datos correspondiente y, en algunos casos, también a los interesados afectados.
En conclusión, la protección de datos en las relaciones laborales es un tema crucial en la actualidad, especialmente en un mundo cada vez más digital y conectado.
La guía ‘Protección de datos y relaciones laborales’ de la AEPD ofrece una herramienta útil para que las organizaciones públicas y privadas cumplan con la legislación de protección de datos en el ámbito laboral. Las empresas deben asegurarse de cumplir con todas sus obligaciones en materia de protección de datos, incluyendo el respeto a los derechos de los interesados y la implementación de medidas de seguridad adecuadas.
La protección de datos no solo es una obligación legal, sino que también es esencial para garantizar la confianza y la privacidad de los interesados y para promover una cultura de seguridad en el lugar de trabajo.
