El pasado 18 de mayo la Agencia Española de Protección de Datos (“AEPD”) publicó una nueva guía denominada “La protección de datos en las relaciones laborales”, que ha sido elaborada con la participación tanto del Ministerio de Trabajo como de la patronal (CEOE y CEPYME) y los sindicatos (CCOO y UGT).
La guía tiene como fin declarado el de proporcionar una orientación, de carácter práctico, que facilite a las organizaciones cumplir con la legislación de protección de datos a la hora tratar los datos personales de los trabajadores.
Aunque se trata de un documento prolijo de casi 80 páginas, que ha de ser estudiado con atención, a continuación, vamos a resumir en forma de 20 píldoras los puntos más importantes o novedosos de la misma, que han grabarse a fuego en la memoria de todos aquellos que, de forma habitual, traten datos de trabajadores:
1.- Como norma general deberán usarse los datos del trabajador sólo para ejecutar y hacer cumplir con el contrato de trabajo y las responsabilidades derivadas del mismo. El consentimiento del afectado podrá no considerarse una base jurídica válida en tanto que la AEPD entiende que puede existir un “contexto de «desequilibro claro entre el interesado y el responsable del tratamiento». La posición de desequilibrio entre la empresa y la persona trabajadora exige extremar las cautelas y, en particular, el respeto a los principios de proporcionalidad y de limitación de la finalidad”.
2.- Se presume que es licito el tratamiento de los datos de contacto y, en su caso, los relativos a la función o puesto desempeñado por el trabajador (por ejemplo, para poner en contacto al trabajador con otra organización), siempre que se cumplan los siguientes requisitos:
Que el tratamiento se refiera únicamente a datos necesarios para su localización profesional, como el nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, el teléfono y el número de fax profesionales.
Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la organización en la que el trabajador afectado preste sus servicios (relaciones «business to business», B2B).
3.- Cuando, excepcionalmente, la base jurídica del tratamiento sea el consentimiento, éste debe ser inequívoco, de modo que requiere una manifestación del afectado o una clara acción afirmativa por parte del trabajador. El consentimiento, además, debe ser libre y específico, no siendo lícita la sustitución del consentimiento individual por un consentimiento indirecto y plural mediante la negociación colectiva. Asimismo, la instalación y utilización de un determinado software o aplicación no significa ni puede implicar, per se, que el trabajador haya consentido el tratamiento que implica.
4.- El final de la relación laboral conlleva la desaparición de la base jurídica que justificaba el tratamiento de datos. No obstante, cuando se retiren tales datos, éstos deben mantenerse bloqueados durante el plazo de prescripción de las distintas responsabilidades que hayan podido derivarse del tratamiento de tales datos.
Ejemplos expresamente señalados en la guía:
Las obligaciones tributarias prescriben a los 4 años. Por tanto, los datos relativos a las retenciones practicadas a las personas trabajadoras deberían bloquearse por un periodo de 4 años a partir de la fecha límite para presentar la declaración de cada ejercicio.
La guía señala que cuando ese plazo de prescripción no exista (sic), o cuando sea inferior a un año, se tendrán en cuenta los plazos de prescripción de las infracciones a la nueva Ley Orgánica de Protección de datos (“LOPDGDD”) que en el caso de las muy graves es de tres años (art. 78), sin perjuicio de que pudieran derivarse otras obligaciones o responsabilidades, por ejemplo, en el marco de procedimientos administrativos o judiciales.
5.- Se recuerda que la documentación o los registros o soportes informáticos en que se hayan transmitido los correspondientes datos que acrediten el cumplimiento de las obligaciones en materia de afiliación, altas, bajas o variaciones que, en su caso, se produjeran en relación con dichas materias, así como los documentos de cotización y los recibos justificativos del pago de salarios y del pago delegado de prestaciones, deberán mantenerse durante 4 años (art. 21 del Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social).
6.- En el proceso de selección, deben tenerse en cuenta algunas cautelas:
Deberá incluirse la información de protección de datos en el anuncio o convocatoria pública
Si el CV se presenta directamente por el candidato sin habérsele solicitado, deben fijarse procedimientos de información que supongan algún acuse o confirmación de que se han conocido la información de protección de datos.
La empresa es responsable de la custodia de la documentación entregada que contenga datos personales.
Únicamente cabe solicitar datos relevantes para el desempeño del puesto de trabajo y no información indiscriminada.
Las valoraciones subjetivas tomadas en el proceso de selección son consideradas datos personales
La indagación en los perfiles de redes sociales de las personas candidatas a un empleo sólo se justifica si están relacionados con fines profesionales. El tratamiento de los datos obtenidos por esta vía únicamente será posible cuando se demuestre que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Y la persona trabajadora tiene derecho a ser informada sobre ese tratamiento.
La empresa no debe solicitar «amistad» a personas candidatas para acceder a los contenidos de sus perfiles. Tampoco está legitimada para solicitar información que el candidato o trabajador comparta con otras personas a través de las redes sociales.
En la entrevista de trabajo, a los candidatos no se les debe someter a preguntas familiares y personales ajenas al trabajo a desempeñar. Este hecho supone una conducta discriminatoria.
El tratamiento de datos obtenidos de test psicotécnicos, de personalidad o pruebas psicológicas, frecuentes en las entrevistas de trabajo, exigen el consentimiento del afectado. El candidato, además, podrá acceder a los resultados y conocer los criterios de selección utilizados. Los datos obtenidos de estas pruebas constituyen datos de salud y, por tanto, especialmente sensibles.
Concluido el proceso de selección, si el candidato no es contratado, generalmente será necesario su consentimiento para un futuro tratamiento de sus datos. En caso contrario, se deberá destruir el CV y bloquear los datos personales.
7.- Podrá exigirse que los trabajadores porten tarjetas identificativas, con las siguientes cautelas: (i) debe tratarse de actividades de cara al público o por razones de seguridad; y (ii) la información incluida deberá ser la mínima imprescindible. Esto puede incluir el tratamiento de fotografías.
8.- En las nóminas no debe figurar información superflua o adicional, diferente a la relación de ingresos y deducciones derivadas del contrato de trabajo. En particular, no debería incluirse la mención a la afiliación sindical en el recibo de salarios, siendo recomendable que el eventual descuento de la cuota sindical se identificase de manera que no permitiera a terceros conocer esa información.
9.- Los datos de categorías especiales como los relativos a la salud, orientación sexual, raza, opiniones políticas, religión, afiliación sindical o los datos biométricos dirigidos a identificar a una persona (huella dactilar, por ejemplo) sólo podrán tratarse en las siguientes circunstancias:
Con el consentimiento del afectado, salvo que una norma expresamente prohíba el tratamiento aun con consentimiento. Por ejemplo, la LOPDGDD prohíbe el tratamiento de datos, aun con consentimiento del afectado, cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
Cuando sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito del Derecho laboral y de la seguridad y protección social.
Cuando sea necesario para proteger intereses vitales del interesado.
Cuando se traten datos que el interesado ha hecho manifiestamente públicos.
Cuando sea necesario para el ejercicio del derecho de defensa o para el ejercicio de la función judicial.
Cuando sea necesario para fines de medicina preventiva o laboral, para la evaluación de la capacidad laboral del trabajador, diagnóstico médico o situaciones análogas. No obstante, la publicación de estos datos no ha de permitir la identificación del interesado (datos disociados).
10.- En el caso del tratamiento de datos biométricos, por ejemplo, la huella dactilar, para el fichaje en el momento de acceso al edificio, se utilizarán por la persona trabajadora terminales en los que será necesario tanto la aproximación de la tarjeta como la lectura de la huella. Además, la guía somete a estos tratamientos a otra serie de garantías bastante gravosas, que menciona expresamente, lo que invita a, por razones prácticas, intentar evitar los tratamientos de datos biométricos cuándo sea posible.
11.- En los sistemas internos de denuncias o ‘whistleblowing’, tanto los denunciantes como los potenciales denunciados deberán haber sido informados previamente de la existencia de estos sistemas y del tratamiento de los datos que conlleva la formulación de una denuncia: (i) a través del contrato de trabajo; (ii) al implementar o modificar el sistema; y/o (iii) mediante circulares informativas al personal y a su representación informando de la existencia y finalidad del tratamiento de datos. No cabe utilizar la información obtenida por esta vía con fines distintos a los que motivaron la implementación del sistema. En caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo.
12.- En relación con el sistema de registro horario, debe tenerse en cuenta que el trabajador tendrá derecho a ser informado y ejercitar los derechos de acceso, rectificación, oposición y supresión. El registro de jornada debe estar incluido en el Registro de las Actividades del Tratamiento y no deberá incluir más datos personales que los imprescindibles, ni podrá ser de acceso público (deberá evitarse el acceso incluso del propio trabajador si permite comprobar datos de otros compañeros). Igual que en el caso anterior, no cabe utilizar la información obtenida por esta vía con fines distintos.
13.- En relación con el relativamente reciente registro de salarios impuesto por el Real Decreto 902/2020, de 13 de octubre, de igualdad retributiva entre mujeres y hombres conviene tener en cuenta lo siguiente:
Es una obligación legal, por lo que no requiere el consentimiento de los trabajadores.
En dicho registro no ha de constar el salario de cada trabajador, sino los «valores medios» de los salarios, los complementos y las percepciones extrasalariales «desagregados por sexo y distribuidos por grupos profesionales, categorías profesionales o puestos de trabajo iguales o de igual valor».
Deben figurar datos disociados y no datos personales, ni información que permita identificar a una persona.
La consulta se facilitará a través la representación legal de los trabajadores. Cuando se solicite el acceso al registro al trabajador por inexistencia de representación legal, la información que se facilite se limitará a las diferencias porcentuales que existieran en las retribuciones promediadas de hombres y mujeres, que también deberán estar desagregadas en atención a la naturaleza de la retribución y el sistema de clasificación aplicable.
Aunque no tiene porqué implicar el tratamiento de datos, en empresas con pocos trabajadores (por ejemplo, en aquellas con sólo uno o dos trabajadores de distinto sexo), algunos trabajadores sí podrían ser perfectamente identificables por mera deducción para todo el que pudiera acceder al registro. En tal caso, esos datos sí serian considerados como datos personales y, por tanto: (i) el registro debería contar con las medidas de seguridad adecuadas; (ii) el empleador debería informar a los trabajadores identificables del tratamiento de datos personales; (iii) la representación legal de los trabajadores estaría obligada a respetar la confidencialidad.
14.- La comunicación de datos no requiere consentimiento de los afectados en supuestos de subrogación empresarial. No obstante, la cesión de datos no es lícita si la persona trabajadora rechaza la subrogación y decide permanecer en la empresa cedente. Los trabajadores y sus representantes legales deben ser informados de la cesión de datos.
15.- En el momento de extinguir la relación laboral, deben implementarse las medidas de seguridad necesarias para que la carta de despido no sea accesible por terceros no legitimados. Cuando finalice la relación laboral debe procederse al bloqueo de los datos. No obstante, la propia guía admite que el tratamiento de datos tras la extinción del contrato podría ser admisible si se demuestra un interés legítimo; y se expone como ejemplo el caso de un empresario que sigue los perfiles de LinkedIn de sus extrabajadores con cláusulas de no competencia durante el período de vigencia de éstas, con el fin de controlar el cumplimiento de dichas cláusulas.
16.- En cuanto al control de la actividad laboral, se recuerda que el consentimiento del trabajador no es necesario. Asimismo, se señala que la implantación de estas medidas exige realizar un test de proporcionalidad en el que debe valorarse si la medida de control:
Es susceptible de conseguir el objetivo propuesto (juicio de idoneidad);
Es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad).
Es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).
17.- De forma general, cuando estamos ante medidas de control de los trabajadores, el empleador:
Debe informar sobre la existencia, la finalidad y propósito de la medida de control. En el supuesto de que se haya captado la comisión flagrante de un acto ilícito por trabajadores, se entenderá cumplido el deber de informar cuando se haya colocado un dispositivo informativo en lugar suficientemente visible concretando la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos.
Debe recabar los datos estrictamente necesarios.
No podrá utilizar los datos con finalidades distintas del control empresarial.
18.- En cuanto a las actividades de videovigilancia, deberán establecerse las siguientes cautelas:
El número de cámaras de videovigilancia se limitará a las necesarias para cumplir la función.
El uso de cámaras con zoom, o las denominadas “cámaras domo” deberá realizarse solo si resulta estrictamente necesario
Los monitores de grabación deben situarse de forma que únicamente puedan ser visualizados por aquellos cuya función sea controlar tales equipos
Está prohibida la instalación de sistemas de grabación en lugares de descanso o esparcimiento de los trabajadores.
Se permite la conservación de grabaciones durante un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.
La utilización de sistemas de grabación de sonidos en el lugar de trabajo se admitirá únicamente cuando se acrediten riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad desarrollada en el centro de trabajo
19.- En cuanto a la geolocalización habrá de tenerse en cuenta lo siguiente:
Si la finalidad de los tratamientos de geolocalización es el registro horario, los datos no podrán ser utilizados para verificar la ubicación de la persona trabajadora en cada momento, sino sólo las horas de inicio y fin de la actividad
Solo deberán usarse estos sistemas en las situaciones donde no existan medios menos invasivos.
En todo caso, siempre que se usen sistemas de geolocalización deberán tenerse en cuenta las siguientes cautelas:
Debe realizarse una evaluación de impacto antes de implementar tecnologías de este tipo.
Los empleadores deben asegurarse de que los datos recogidos a través de esta vía se traten con un fin específico y no se utilicen para un tratamiento posterior ilegítimo, como el seguimiento y la evaluación de las personas trabajadoras.
Cuando exista una base jurídica para controlar la ubicación de los vehículos de los trabajadores fuera de las horas de trabajo (por ejemplo, prevenir robos) el medio de control será proporcional (por ejemplo, el empleador sólo podría activar la «visibilidad» de la localización accediendo a los datos ya almacenados por el sistema cuando el vehículo salga de una región predefinida y no en todo momento).
Se deben reducir los efectos de los sistemas de seguimiento. Éstos se deben diseñar para registrar los datos de localización sin proporcionar al empleador todos los detalles. En tales circunstancias, los datos de localización deben estar disponibles únicamente cuando el dispositivo sea objeto de denuncia o se extravíe.
No se impondrá al trabajador la obligación de proporcionar medios personales para facilitar la geolocalización
20.- Asimismo, deberán tomarse las siguientes cautelas a la hora de establecer otras medidas de control de los trabajadores:
El control de acceso a las instalaciones será licito cuando la finalidad consista en el control de los trabajadores o responda a un interés legítimo como, por ejemplo, la protección de los bienes empresariales. En cualquier caso, deben evitarse sistemas de acceso especialmente invasivos
Los controles médicos a los trabajadores que faltan al trabajo por enfermedad o accidente, que vienen facultados por el Estatuto de los Trabajadores, tienen características específicas en lo que respecta al tratamiento de datos:
La verificación del estado de enfermedad para esta finalidad no requiere el consentimiento del trabajador
La empresa no podrá conocer los detalles concretos del reconocimiento, sino sólo la conclusión, es decir, si el trabajador está o no en condiciones psicofísicas de reincorporarse a su puesto.
La incorporación de datos de salud a un fichero con la única finalidad de realizar controles del absentismo resulta desproporcionada.
En el caso de los que se adopten medidas de control y vigilancia como recurrir a un detective privado, deberán seguirse las siguientes cautelas:
Como el resto de medidas de control, exige la superación del test de proporcionalidad: sólo se justifica si no existen otras igualmente idóneas, pero menos invasivas.
El tratamiento de datos no requiere el consentimiento de las personas trabajadoras, pues la base jurídica es el contrato de trabajo, en relación con el art. 20.3 del Estatuto de los Trabajadores
Está prohibido investigar «la vida íntima de las personas que transcurra en sus domicilios u otros lugares reservados», así como utilizar medios que atenten contra el derecho al honor, a la intimidad personal o familiar o a la propia imagen o al secreto de las comunicaciones.
Únicamente se hará constar información directamente relacionada con el objeto y finalidad de la investigación contratada
Deberán conservarse, al menos, durante tres años, las imágenes y los sonidos grabados durante las investigaciones, salvo que estén relacionadas con un procedimiento judicial, una investigación policial o un procedimiento sancionador. Todo ello sin perjuicio de las reglas sobre bloqueo de datos.
Las investigaciones privadas tendrán carácter reservado y los datos obtenidos sólo se podrán poner por el detective a disposición del cliente o, en su caso, de los órganos judiciales y policiales, en este último supuesto únicamente para una investigación policial o para un procedimiento sancionador.