Resumen de la Guía sobre la protección de datos en las relaciones laborales, publicada por la AEPD el 18/05/2021.
Documento original: https://www.aepd.es/es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf
1.1. BASES JURÍDICAS PARA EL TRATAMIENTO DE DATOS PERSONALES (art. 6 GDPR)
1.2. INFORMACIÓN SOBRE EL TRATAMIENTO DE DATOS PERSONALES (art. 13 y 14 GDPR)
El empleador, debe informar a las personas trabajadoras, de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre el tratamiento de datos que está llevando a cabo.
La inclusión de cláusulas informativas de protección de datos en el contrato de trabajo, o en un anexo al mismo, es un medio adecuado para cumplir con el derecho de información de las personas trabajadoras.
1.3. DERECHOS DE PROTECCIÓN DE DATOS EN EL ÁMBITO LABORAL
1.4. EL PRINCIPIO DE MINIMIZACIÓN (art. 5 GDPR), Y SU IMPACTO EN LA RELACIÓN LABORAL
Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados por lo que solo se deberán tratar los datos necesarios para el normal desarrollo de la relación laboral (por ejemplo: nombre y apellidos, sexo, DNI/NIE, número de afiliación a la Seguridad Social, nacionalidad, discapacidad, fecha de nacimiento, etc.).
Aunque la relación laboral precise que el personal proporcione a la empresa alguna forma de contacto, el contrato de trabajo no la legitima para solicitar a la persona trabajadora datos personales en relación con la dirección de correo electrónico o el número de teléfono personal. Es decir, la necesidad del tratamiento habrá de ponderarse caso a caso, por lo que será necesario analizar la base jurídica alegada, la finalidad pretendida y los datos que se pretenden tratar.
1.5. DEBERES Y OBLIGACIONES EN EL ACCESO A DATOS PERSONALES: SECRETO Y SEGURIDAD
El GDPR y la LOPDGDD incluyen el deber de seguridad junto con el deber de confidencialidad y secreto dentro de los principios de la protección de datos (art. 5.1.f y 32.1 GDPR y art. 5 LOPDGDD). Por ello es muy recomendable:
2.1. LÍMITES AL TRATAMIENTO DE DATOS
La base jurídica del tratamiento durante el proceso de selección es la intención de concluir un contrato laboral (art. 6.1.b GDPR), por lo que no precisará obtener el consentimiento del interesado.
La información del tratamiento deberá incluirse en los medios dispuestos para la formalización del currículo, ya sea en formato impreso si se entrega presencialmente o en formato digital si se realiza algún tipo de anuncio o convocatoria pública. En cualquier caso, se ha de poder acreditar que la información ha sido facilitada al interesado.
La organización es responsable de la custodia de la documentación entregada por la persona candidata. Deben respetarse los principios de minimización y limitación de la finalidad, por lo que solo cabe solicitar datos relevantes para el desempeño del puesto de trabajo y no información indiscriminada.
Las impresiones o valoraciones subjetivas de quienes llevan a cabo el proceso de selección, se consideran también datos personales.
En el caso que los empleadores soliciten el informe de la vida laboral a las personas candidatas durante el proceso de selección, deben tener en cuenta lo siguiente:
2.2. SELECCIÓN DE PERSONAL Y REDES SOCIALES
Las personas candidatas y las personas trabajadoras no están obligadas a permitir la indagación del empleador en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato.
Aunque el perfil en las redes sociales sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta con una base jurídica válida, por ejemplo, cuando pueda demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Si fuera el caso, el personal afectado tendrá derecho a ser informado sobre ese tratamiento.
La empresa no está legitimada para:
2.3. ENTREVISTAS DE TRABAJO
Los datos obtenidos en las entrevistas de trabajo, directamente o mediante deducciones, no pueden ser objeto de tratamiento si no se dispone de una base jurídica adecuada.
El tratamiento de datos que pueda dar lugar a discriminaciones contrarias al principio constitucional de igualdad, podría incurrir en una infracción administrativa muy grave tipificada en el Texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social, aprobado por Real Decreto Legislativo 5/2000, de 4 de agosto (TRLISOS).
2.4. COLABORACIÓN ENTRE EMPRESAS
Las agencias de colocación y las empresas de selección intervendrán como encargadas del tratamiento cuando hayan celebrado previamente un contrato con la empresa que busca personas trabajadoras. En el caso que contacten con las personas candidatas antes de disponer de ofertas de empleo concretas (sin contrato de encargado del tratamiento) intervendrán como responsables del tratamiento.
Las empresas de trabajo temporal (ETT) intervendrán como responsables del tratamiento, pues son empleadoras directas de las personas trabajadoras.
Será necesario el consentimiento de la persona candidata para que la empresa donde solicita trabajo ceda sus datos a otra empresa, aunque esta forme parte de un mismo grupo empresarial.
2.5. DECISIONES AUTOMATIZADAS
El GDPR prohíbe con carácter general, la toma de decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, cuando produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar (por ejemplo, ser descartado de un proceso de selección).
No obstante, estas decisiones se podrán llevar a cabo cuando sean necesarias para la contratación o en el transcurso de la relación de trabajo, ya que podrían ser determinantes para las personas trabajadoras que tienen derecho a un ascenso o sobre la renovación o extinción de contratos.
Las decisiones basadas en la utilización de algoritmos y la elaboración de perfiles no pueden producir discriminación. Cuando el resultado de la decisión vulnere derechos fundamentales, el diseño del algoritmo deberá ser modificado. En el diseño e implementación del algoritmo deberá realizarse una evaluación de impacto.
El procedimiento debe contemplar algún mecanismo de intervención humana si la persona afectada así lo solicita, además de un cauce para que esta persona exprese su opinión y, en su caso, impugne la decisión. Asimismo, tendrá derecho a recibir una explicación de la decisión tomada después de tal evaluación.
2.6. CATEGORÍAS ESPECIALES DE DATOS PERSONALES
Durante el proceso de selección de personal podrían recabarse datos especialmente sensibles, como:
2.7. CONSERVACIÓN DE DATOS EN CASO DE NO CONTRATACIÓN
Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de datos, por lo que sería necesario su consentimiento para un futuro tratamiento (por ejemplo, incorporación a una bolsa de trabajo), salvo que el empleador pueda demostrar un interés legítimo. En caso contrario, debe destruir el currículum y proceder a la supresión y bloqueo de los datos personales.
3.1. LA PROTECCIÓN DE DATOS COMO DERECHO DINÁMICO
3.2. IDENTIFICACIÓN DE PERSONAS EMPLEADAS ANTE CLIENTES
El empleador podrá exigir que las personas trabajadoras porten tarjetas identificativas donde consten su nombre y apellidos cuando la finalidad sea garantizar su identificabilidad en el desempeño de sus funciones.
El tratamiento puede considerarse amparado en el marco de la ejecución de un contrato y sin perjuicio del cumplimiento del derecho de información con las siguientes cautelas:
3.3. PUBLICACIÓN DE DATOS DE PRODUCTIVIDAD
Para ello debe tenerse en cuenta lo siguiente:
3.4. NÓMINAS
En las nóminas no debe figurar:
3.5. CATEGORÍAS ESPECIALES DE DATOS PERSONALES
Por defecto, el tratamiento de categorías especiales de datos personales está prohibido.
Como excepción (art. 9.2.b GDPR), se admite su tratamiento cuando es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, esto es para el cumplimiento del art. 20.3 ET.
El tratamiento de categorías especiales de datos debe estar sometido a mayores cautelas de las ordinarias y su publicación no ha de permitir la identificación del interesado (datos disociados).
DATOS BIOMÉTRICOS
Los datos biométricos sometidos a un tratamiento técnico:
En cualquier caso, estos tratamientos deben realizarse conforme a las garantías del GDPR, en particular:
3.6. SISTEMAS INTERNOS DE DENUNCIAS O ‘WHISTLEBLOWING’
La base jurídica para el tratamiento de datos es el interés público (art. 6.1.e GDPR).
Tanto los denunciantes como los potenciales denunciados deberán haber sido informados previamente de la existencia de estos sistemas y del tratamiento de los datos que conlleva la formulación de una denuncia. La información puede proporcionarse por varios cauces:
Si se prevé comunicar datos a terceros para investigar los hechos denunciados, se deberá informar de ello tanto al denunciante como al denunciado. De igual forma se deberá informar, en su caso, de la posible transferencia internacional de datos, aunque esta se realice a otras empresas del grupo.
Ha de respetarse el principio de limitación de la finalidad, por lo que no cabe utilizar la información obtenida por esta vía con fines distintos a los que motivaron la implementación del sistema.
Se admiten sistemas de denuncias anónimas (art. 24 LOPDGDD). En caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo, no facilitándose su identificación al denunciado.
El acceso a los datos debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento, o al encargado del tratamiento, que eventualmente se designe a tal efecto. Únicamente será lícito el acceso de otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias (dpto. RRHH) o para la tramitación de los procedimientos judiciales que, en su caso, procedan.
La conservación del dato debe limitarse al tiempo necesario para la investigación de los hechos y, sólo en caso de que de aquélla se desprenda la adopción de determinadas medidas contra el denunciado, sería posible conservar los datos por un plazo superior debiendo eliminarse en caso contrario.
En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias sin que se aplique la obligación de bloqueo, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso, solamente podrán constar de forma anonimizada.
Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante. En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses. Debe facilitarse al denunciado esta información tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos.
3.7. REGISTRO DE JORNADA
El registro de jornada laboral tiene su base jurídica en una obligación legal regulada en el art. 34.9 ET y el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.
Los registros de tiempo de trabajo deben ser conservados durante cuatro años y permanecer a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social, siendo válido cualquier medio de conservación siempre que se garantice su preservación y la fiabilidad e invariabilidad a posteriori de su contenido, ya se trate de soporte físico o cualquier otro que asegure idénticas garantías.
El registro de jornada laboral no puede ser de acceso público.
3.8. REGISTRO DE SALARIOS
El registro de salarios tiene su base jurídica en una obligación legal, regulada en el art. 28.2 ET y el Real Decreto 902/2020, de 13 de octubre, de igualdad retributiva entre mujeres y hombres.
La obligación legal no justifica el tratamiento de datos personales, pues en dicho registro no ha de constar el salario de cada persona trabajadora, sino los valores medios de los salarios, los complementos salariales y las percepciones extrasalariales de la plantilla, desagregados por sexo y distribuidos por grupos profesionales, categorías profesionales o puestos de trabajo iguales o de igual valor.
En el registro no deben figurar datos personales, ni información que permita identificar a una persona, es decir deben figurar datos disociados, no obstante, el dato disociado podría convertirse en dato personal respecto de aquellas categorías o grupos profesionales con un reducido número de personas trabajadoras.
Cuando no resultase identificable la persona trabajadora:
Cuando si resultase identificable la persona trabajadora:
En cuanto a la consulta del registro salarial, el art. 5.3 del Real Decreto 902/2020, señala que en las empresas que cuenten con representación legal de las personas trabajadoras, el acceso al registro se facilitará a éstas a través de la citada representación, teniendo derecho a conocer el contenido íntegro del mismo. Y, cuando se solicite el acceso al registro por parte de la persona trabajadora por inexistencia de representación legal, la información que se facilite por parte de la empresa no será de los datos promediados respecto a las cuantías efectivas de las retribuciones que constan en el registro, sino que la información a facilitar se limitará a las diferencias porcentuales que existieran en las retribuciones promediadas de hombres y mujeres, que también deberán estar desagregadas en atención a la naturaleza de la retribución y el sistema de clasificación aplicable.
3.9. CONCESIÓN DE AYUDAS DE ACCIÓN SOCIAL
La solicitud de la persona trabajadora de ayudas de acción social implica un tratamiento de datos vinculado a las cargas familiares y a las rentas, cuya base jurídica es el propio contrato de trabajo y el cumplimiento de las obligaciones legales o las previsiones de los Convenios Colectivos correspondientes.
El empleador deberá facilitar toda la información relativa a este tratamiento a la persona trabajadora afectada.
Los representantes de las personas trabajadoras tienen derecho, según dispone el art. 64.7.b ET a participar en la gestión o tramitación de la ayuda social de la empresa y, por ello, a acceder a un listado de las personas trabajadoras beneficiarias, lo que sucederá cuando el convenio colectivo les concediera un papel en la gestión o tramitación de la ayuda social de la empresa.
No obstante, el principio de minimización de datos aconseja no proceder a una información masiva o indiscriminada, sino que sólo procederá la comunicación de aquellos datos personales que sean necesarios para desarrollar el cometido que tienen atribuido y en la medida en que resulte imprescindible para el ejercicio de sus funciones.
En otros casos será suficiente la cesión de información debidamente disociada que permita a los representantes conocer las circunstancias cuya vigilancia le ha sido encomendada.
En relación con la publicidad en la concesión de estas ayudas, deben distinguirse dos escenarios:
En el caso de que las ayudas se vinculen con categorías especiales de datos (por ejemplo, ayudas por hijos discapacitados) la publicidad de la concesión de la ayuda no ha de permitir la identificación del afectado (datos disociados), por lo que no se podrá publicar ningún dato que permita esa identificación (nombre, número del DNI, pasaporte, etc.).
3.10. DERECHOS DE CONCILIACIÓN Y CORRESPONSABILIDAD
En cuanto a la cesión de datos de terceros ajenos a la relación laboral y que son sujetos causantes del ejercicio de los derechos de conciliación y corresponsabilidad por la persona trabajadora, la exigencia legal de acompañar en la solicitud que realice el trabajador aquellos elementos suficientes para que la empresa pueda ponderar la idoneidad de su disfrute implica que ésta tenga acceso a los datos personales que justifican dichos derechos.
Así ocurre, por ejemplo, en la acreditación de la necesidad de adaptar la jornada laboral a las necesidades de los hijos o hijas menores de 12 años y las de la vida familiar del art. 34.8 ET, o en las excedencias del art. 46.3 ET para el cuidado de familiares que sufran un accidente, enfermedad o discapacidad. Por tanto, puede implicar el tratamiento de categorías especiales de datos.
La base jurídica vendrá legitimada por resultar un tratamiento necesario para la ejecución de un contrato en el que la persona trabajadora es parte en relación con el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
En cuanto al tratamiento de categorías especiales de datos, se basará en la excepción prevista en el art. 9.2.b GDPR.
En aplicación del principio de minimización de datos, se deben recabar los datos estrictamente necesarios para ponderar y justificar el ejercicio del derecho.
3.11. CONTRATACIÓN DE SEGUROS DE VIDA Y PENSIONES
La base jurídica del tratamiento de datos depende de la circunstancia que motive la contratación del seguro y será fruto de:
La empresa puede realizar distintos tipos de tratamientos:
En cualquier caso, es necesario informar a las personas trabajadoras en la recogida de datos, teniendo en cuenta la existencia de distintas posibilidades:
Los tratamientos que afecten a familiares o personas relacionadas con las personas trabajadoras, cuando éstas deban designar beneficiarios del seguro o del plan de pensiones, se legitimarán por la existencia de la relación laboral, si bien debe recordarse que los datos deben ser estrictamente los necesarios (minimización) y únicamente en relación con la contratación del seguro o plan de pensiones (limitación de la finalidad).
Debe definirse con precisión el procedimiento para la captación y tratamiento de los datos personales, optando por el método más eficaz para garantizar los derechos de los afectados.
Desde el punto de vista de un tratamiento absolutamente respetuoso con el derecho fundamental, la opción óptima consiste en ceder a la aseguradora, o a la gestora del plan de pensiones, únicamente los datos de los asegurados o partícipes del plan de pensiones, dejando en sus manos el desarrollo de ulteriores gestiones e informando previamente a las personas trabajadoras.
3.12. CESIÓN DE DATOS A OTRAS EMPRESAS
GRUPOS DE EMPRESAS
Con carácter general, la comunicación de los datos entre empresas del mismo grupo exigirá acreditar un interés legítimo bien del responsable del tratamiento, o bien del tercero al que se comunican los datos. Ese interés legítimo puede consistir en la centralización de las actividades de carácter administrativo.
La base jurídica dentro de los grupos de empresas podría ser el cumplimiento del contrato de trabajo en los siguientes casos:
En cualquier caso, la persona trabajadora debe ser informada.
Se considera como buena práctica la creación de procedimientos internos dentro del grupo para que el ejercicio de los derechos de acceso, rectificación, oposición y supresión por parte de la persona trabajadora en una empresa tenga efectos generales en todo el grupo. En esta línea, el art. 88 GDPR encomienda a los convenios colectivos la tarea de incorporar normas relativas a la transparencia del tratamiento y a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta.
TRANSMISIÓN DE EMPRESAS
La comunicación de datos no requiere consentimiento de los afectados en supuestos de subrogación empresarial:
SUBCONTRATACIÓN
El contratista principal tiene la obligación legal de responder solidariamente junto con la empresa subcontratada de las obligaciones salariales y de la Seguridad Social, en los términos previstos en el art. 42 ET, mientras dure el periodo de vigencia de la contrata, por ello, la cesión de los documentos de cotización y nóminas está amparada en esta obligación legal (art. 6.1.c GDPR) impuesta en el ET y el propio TRLGSS.
Esta legitimación alcanzaría a los documentos de cotización y nóminas de las personas trabajadoras que pueden contener datos de salud y también datos relativos a la afiliación sindical del personal, siendo este último necesario para que el empleador deduzca en la nómina la cuota sindical de la persona trabajadora. La excepción para tratar categorías especiales de datos sería el art. 9.2.b), de manera que resulta necesario para el cumplimiento de una obligación legal y el ejercicio de los derechos del responsable en el ámbito del Derecho laboral y de la seguridad y protección social.
En todo caso, la comunicación de datos debe respetar el principio de minimización, por lo que el acceso por parte del contratista debe limitarse a los datos relacionados con las personas trabajadoras subcontratadas y no a cualesquiera personas trabajadoras de la empresa subcontratada.
3.13. ACCESO A DATOS DE OTRAS PERSONAS CANDIDATAS A UN PUESTO DE TRABAJO (ACCESO AL EMPLEO O PROMOCIÓN PROFESIONAL)
En los procesos de concurrencia competitiva el perjudicado tendría derecho a conocer, si así lo reclama, información sobre la cualificación profesional de las otras personas candidatas y, en particular, de quienes han obtenido mayor valoración.
El acceso a esa información no requiere el consentimiento de los afectados, pues la base jurídica del tratamiento es la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero (art. 6.1.f GDPR). En la medida de lo posible, deben proporcionarse datos disociados.
No deberá permitirse el acceso como regla general a la siguiente información: nombre, fotografía, dirección postal o de correo electrónico. En cambio, dependiendo de cuál sea la finalidad de la reclamación (discriminación por razón de sexo, de raza, de edad, etc.), la persona trabajadora puede acceder a datos personales como la edad, el país de nacimiento, la raza o el sexo de la persona candidata elegida, pero no necesariamente a todos esos datos simultáneamente, sino solamente a los verdaderamente relevantes.
En general, el empleador no puede difundir datos personales de una persona trabajadora entre sus compañeros sin consentimiento del afectado.
3.14. PROTECCIÓN DE LA PRIVACIDAD DE LAS VÍCTIMAS DE ACOSO EN EL TRABAJO Y DE LAS MUJERES SUPERVIVIENTES A LA VIOLENCIA DE GÉNERO
La puesta en marcha de procedimientos sancionadores en la empresa frente al acosador no requiere del consentimiento de la persona acosada. La base jurídica es el cumplimiento de una obligación legal (art. 6.1.c GDPR).
La obligación de la empresa está ligada a su posición de garante de salud y seguridad en el trabajo, ya que las personas trabajadoras tienen derecho a una protección eficaz en materia de seguridad y salud en el trabajo, conforme los art. 4.2.d ET y 14 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales (LPRL).
Cuando la persona acosada ha recibido asistencia sanitaria derivada de esa situación por parte de los servicios médicos de la empresa, los datos médicos constituyen datos personales de categoría especial que sólo pueden ser objeto de tratamiento con una finalidad vinculada al acoso.
La empresa debe garantizar la confidencialidad:
La empresa debe informar sobre el tratamiento de datos a la persona acosada y a la supuestamente acosadora.
La cesión de los datos de la víctima requiere su consentimiento, salvo previsión legal en contra.
Condición de "mujer superviviente a la violencia de género":
3.15. EXTINCIÓN DE LA RELACIÓN LABORAL
A la finalización de la relación laboral debe procederse al bloqueo de los datos (art. 32 LOPDGDD). No obstante, el tratamiento de datos tras la extinción del contrato podría ser admisible si existe otra base jurídica, por ejemplo, si el empleador demuestra un interés legítimo.
El empleador podrá recabar el consentimiento de la persona trabajadora para contactar con ella en el futuro. El empleador debe informar de esa circunstancia, que podría optar por no prestar su consentimiento. La comunicación de datos de un antiguo empleador a un futuro empleador también requiere el consentimiento de la persona trabajadora.
3.16. CESIÓN DE DATOS DE PERSONAS EXEMPLEADAS A EMPRESAS DE RECOLOCACIÓN
La comunicación de datos entre la empresa que procede al despido y la empresa de recolocación es un tratamiento de datos que no exige el consentimiento de la persona trabajadora, pues la base jurídica es el cumplimiento de una obligación legal.
El tratamiento de otros datos que puedan ser necesarios para desarrollar el plan de recolocación será lícito una vez que la persona trabajadora haya aceptado participar en el mismo.
4.1. CONTROL EMPRESARIAL Y PROTECCIÓN DE DATOS
La base jurídica para la implantación de medidas de control y el tratamiento de los datos personales del personal será la ejecución del contrato en relación con el art. 20.3 ET: “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.”
La implantación de medidas de control exige realizar un test de proporcionalidad en el que debe valorarse si la medida de control:
El art. 88 GDPR atribuye al convenio colectivo un papel relevante para establecer medidas más protectoras para la persona trabajadora en el tratamiento de datos que se produce al implantar sistemas de supervisión en el lugar de trabajo.
4.2. CONTROL DE ACCESO A LAS INSTALACIONES
La base jurídica puede diferir según el fin del tratamiento:
Deben evitarse sistemas de acceso especialmente invasivos de los derechos fundamentales de las personas trabajadoras si existen otros igualmente eficaces que resulten menos intrusivos.
En caso de utilización de datos biométricos, se debe tener en cuenta lo expuesto en el apartado 3.5. relativo a la verificación/identificación.
4.3. VIDEOVIGILANCIA
El tratamiento de datos con fines de videovigilancia se regula en el art. 22 LOPDGDD, y específicamente para funciones de control laboral en el art. 89.
La base jurídica para el control del personal mediante videovigilancia es el contrato de trabajo y las facultades legales de control concedidas al empleador (art. 20.3 ET).
La videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad; no puede utilizarse en combinación con otras tecnologías, como el reconocimiento facial, porque en tal caso el control resulta desproporcionado.
La empresa debe informar al personal y, en su caso, a sus representantes, con carácter previo, y de forma expresa, clara y concisa, acerca de esta medida.
En el supuesto de que se haya captado la comisión flagrante de un acto ilícito por las personas trabajadoras, se entenderá cumplido el deber de informar cuando se haya colocado un dispositivo informativo en lugar suficientemente visible concretando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos.
Tratamiento de datos de videovigilancia:
Se podrán conservar las grabaciones durante un periodo máximo de un mes desde su captación, salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.
Está prohibida la instalación de sistemas de grabación de imagen y/o sonido en lugares destinados al descanso o esparcimiento de las personas trabajadoras, tales como vestuarios, aseos, comedores y análogos.
La utilización de sistemas de grabación de sonidos en el lugar de trabajo se admitirá únicamente cuando se acrediten riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando los principios de proporcionalidad y de intervención mínima, así como las garantías indicadas para la videovigilancia.
4.4. GEOLOCALIZACIÓN
El tratamiento de datos con fines de geolocalización para funciones de control laboral se regula en el art. 90 LOPDGDD.
La base jurídica para el control del personal mediante geolocalización es el contrato de trabajo y las facultades legales de control concedidas al empleador (art. 20.3 ET).
La empresa debe informar al personal y, en su caso, a sus representantes, con carácter previo, y de forma expresa, clara y concisa, acerca de la existencia y características de estos dispositivos.
Si la finalidad de la geolocalización es el registro horario, los datos no podrán ser utilizados para verificar la ubicación de la persona trabajadora en cada momento, sino las horas de inicio y fin de la actividad, que es lo que permite la base jurídica del registro horario (art. 34.9 ET).
La geolocalización aplicada a la herramienta conlleva también la geolocalización y el control del propio trabajador/a.
No es lícito imponer a la persona trabajadora la obligación de proporcionar medios personales para facilitar la geolocalización (por ejemplo, teléfono móvil).
Los registradores de datos de incidencias son mecanismos de control que pueden ser especialmente invasivos, y su licitud requiere la acreditación de un fin legítimo y el respeto a los principios de proporcionalidad y minimización.
4.5. CONTROL DE FALTA DE ASISTENCIA POR ENFERMEDAD O ACCIDENTE
La base jurídica para el tratamiento de estos datos es el contrato de trabajo y las facultades legales de control concedidas al empleador (art. 20.4 ET): “el empresario podrá verificar el estado de enfermedad o accidente del trabajador que sea alegado por este para justificar sus faltas de asistencia al trabajo, mediante reconocimiento a cargo de personal médico. La negativa del trabajador a dichos reconocimientos podrá determinar la suspensión de los derechos económicos que pudieran existir a cargo del empresario por dichas situaciones”.
La empresa no está legitimada para conocer los detalles concretos del reconocimiento médico, sino únicamente la conclusión, esto es, si la persona trabajadora está o no en condiciones psicofísicas de reincorporarse a su puesto de trabajo. La incorporación de datos de salud a un fichero con la única finalidad de realizar controles del absentismo resulta desproporcionada.
La empresa sí está legitimada para elaborar estadísticas sobre el índice de absentismo y sus causas. Esas estadísticas no han de contener datos personales, sino datos disociados que no permitan la identificación concreta del personal.
Los delegados de prevención tienen derecho a acceder “a la información y documentación relativa a las condiciones de trabajo que sean necesarias para el ejercicio de sus funciones” (art. 36 LPRL).
4.6. DETECTIVES PRIVADOS
El empleador está habilitado para adoptar medidas de control y vigilancia de muy distinta intensidad, inclusive recurrir a un detective privado (art. 20.3 ET). Esta medida, como cualquier otra de control, exige la superación del test de proporcionalidad.
La base jurídica para el tratamiento de estos datos es el contrato de trabajo es el contrato de trabajo y las facultades legales de control concedidas al empleador (art. 20.3 ET).
En el informe del detective privado únicamente se hará constar información directamente relacionada con el objeto y finalidad de la investigación contratada (art. 49 de la Ley 5/2014, de 4 de abril).
Deberán conservarse, al menos, durante tres años, las imágenes y los sonidos grabados durante las investigaciones, salvo que estén relacionadas con un procedimiento judicial, una investigación policial o un procedimiento sancionador.
5.1. TRATAMIENTO DE DATOS POR PARTE DE LOS REPRESENTANTES DE LAS PERSONAS TRABAJADORAS
El cumplimiento de las obligaciones y el ejercicio de los derechos de los representantes de las personas trabajadoras permiten el tratamiento de datos personales de las personas trabajadoras sin el consentimiento de éstas.
Los convenios colectivos, en los términos previstos en el art. 64.9 ET, podrían ser base jurídica para la lícita cesión de datos personales a los representantes de las personas trabajadoras.
Respecto del absentismo, la empresa deberá informar sobre las causas y consecuencias de las bajas por incapacidad temporal (IT), pero no de las patologías médicas concretas de las personas trabajadoras que, por otra parte, tampoco debería conocer la empresa.
5.2. PUBLICACIÓN DE DATOS PERSONALES EN TABLONES DE ANUNCIOS
Los representantes unitarios y sindicales tienen derecho a disponer de un tablón de anuncios que permita facilitar información que pueda interesar al personal y, en el caso del tablón de anuncios de los delegados y secciones sindicales, a los afiliados al sindicato (art. 81 ET y 8.2 LOLS).
La publicación de notas informativas, anuncios, convocatorias, declaraciones e incluso sentencias en este tipo de tablones constituye una práctica habitual. La evolución tecnológica ha dado lugar a tablones online.
Cuando esas notas, anuncios o documentos contienen datos personales, la simple publicación constituye un tratamiento que puede comportar el acceso a datos por terceros carentes de legitimación, por lo que en este caso, deberán implementarse medidas para impedir el acceso de terceros no autorizados a dicha información, salvo que prevalezcan las libertades de expresión e información propias de la libertad sindical.
5.3. ACCESO A DATOS POR LOS REPRESENTANTES DE LAS PERSONAS TRABAJADORAS
Distintas normas legales y reglamentarias laborales, entre ellas, el ET, atribuyen un amplio haz de facultades a los representantes de las personas trabajadoras y en particular al comité de empresa y a los delegados sindicales (art. 10.3 LOLS). En algunos casos, el ejercicio de estas facultades puede comportar tratamientos de datos.
Únicamente podrán comunicarse datos cuando resulte estrictamente necesario para el cumplimiento de los deberes que el ET establece para la empresa. En este sentido:
5.4. DESCUENTO DE LA CUOTA SINDICAL
El sindicato puede proceder a la comunicación del dato de afiliación a la empresa a efectos del descuento de la cuota sindical en base al art. 11.2 LOLS: “El empresario procederá al descuento de la cuota sindical sobre los salarios y a la correspondiente transferencia a solicitud del sindicato del trabajador afiliado y previa conformidad, siempre, de éste”.
La base legitimadora será el consentimiento de la persona afiliada, y para el tratamiento de datos de categoría especial, la excepción del art. 9.2.b GDPR, cuando es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.
Una vez obtenido el consentimiento para ese tratamiento y en base al cumplimiento de una obligación legal del responsable, la empresa deberá comunicar al sindicato:
5.5. COMUNICACIONES POR CORREO ELECTRÓNICO
El envío de información sindical a través del correo electrónico implica un tratamiento de datos personales, pues una dirección electrónica es un dato personal.
El envío de este tipo de mensajes de correo electrónico constituye un derecho de los representantes amparado por el derecho fundamental de libertad sindical, de modo que los representantes podrían utilizar la infraestructura de la empresa, que a su vez debería proporcionarles la dirección de correo electrónico de las personas trabajadoras. No obstante, deberán darse estas condiciones:
Cuando se den las circunstancias anteriores, existirá legitimación para que se produzca una comunicación de datos personales a los representantes. Sin embargo, deben tenerse en cuenta las siguientes consideraciones:
El sindicato debe respetar el derecho de oposición de los trabadores, salvo en el supuesto de elecciones sindicales, momento en el cual prevalece la libertad sindical respecto del derecho a la protección de datos. La celebración de elecciones sindicales legitima las comunicaciones de los datos censales necesarios para permitir al sindicato remitir información electoral y participar en el proceso electoral.
5.6. VIOLENCIA DE GÉNERO Y ACOSO EN EL TRABAJO
Los representantes de las personas trabajadoras únicamente podrán conocer la identidad de las mujeres supervivientes a la violencia de género cuando sea imprescindible para el ejercicio de sus labores de representación.
El principio de minimización de datos exige que sea necesario que los representantes conozcan la identidad de la víctima.
La misma regla debe aplicarse en supuestos de acoso. En estas situaciones la necesidad de conocer la identidad de la víctima y del presunto acosador por parte de los representantes puede resultar imprescindible y más fácil de demostrar.
5.7. PERÍODOS DE CONSULTAS (TRASLADOS, MODIFICACIONES SUSTANCIALES DE CONDICIONES DE TRABAJO, SUSPENSIONES Y DESPIDOS COLECTIVOS)
Esa información puede incluir datos personales de las personas trabajadoras, como su nombre y apellidos y el puesto que ocupan.
Deberá informarse sobre los criterios que el empleador pretende utilizar para seleccionar al personal afectado por la medida, como pueden ser la edad, la antigüedad o la productividad, dependiendo del caso.
La persona trabajadora tiene derecho a solicitar el baremo y los criterios utilizados a través del derecho de información sobre el tratamiento de sus datos personales.
Ambas partes deben respetar la confidencialidad de los datos personales, por lo que la difusión de las negociaciones en tiempo real o su grabación requerirán el consentimiento de los afectados.
6.1. BASES JURÍDICAS PARA EL TRATAMIENTO DE DATOS
Tanto si el reconocimiento médico es voluntario como si es obligatorio, la base jurídica para el tratamiento de datos personales derivados de esa vigilancia de la salud sería la ejecución del contrato de trabajo (art. 6.1.b GDPR) y el cumplimiento de las obligaciones legales en materia de prevención.
El reconocimiento debe vincularse a la aptitud laboral, sin que pueda proporcionar al empleador ningún otro tipo de información.
6.2. EL ACCESO A LOS DATOS POR LA EMPRESA Y LOS DELEGADOS DE PREVENCIÓN
La legislación de prevención de riesgos laborales admite en ciertos casos las comunicaciones de datos personales. Así, la legislación legitima y obliga a comunicar datos a:
Cuando la vigilancia de la salud es realizada por facultativos externos, los médicos de empresa no tendrán acceso al diagnóstico médico, pues se produciría una comunicación de datos sin consentimiento de la persona trabajadora. Todo ello sin perjuicio de la posible comunicación a los órganos jurisdicciones o cuando concurra un riesgo para terceros en los términos previstos en la ley.
Es posible que el empleador deba acceder de modo específico a datos personales de la persona trabajadora necesarios para el cumplimiento de sus obligaciones que desborden la calificación de apto o no apto. En tales casos, la legitimación para el tratamiento deriva de la propia regulación, pero se limitará a los datos estrictamente necesarios.
Con carácter general, el consentimiento no es una base jurídica que justifique la cesión de datos médicos, pues la persona trabajadora no tiene completa libertad para prestar ese consentimiento. Y, desde luego, tampoco es base jurídica el convenio colectivo.