Protección de datos y los Recursos Humanos
La Protección de datos de los Recursos Humanos
El tratamiento de datos personales de los Recursos Humanos de cualquier compañía, está regulada por la Normativa de protección de datos europea (RGPD) y española (LOPD-GDD). Esta regulación contiene unos principios esenciales, que determinarán que la relación laboral entre la empresa y las personas trabajadoras o solicitantes de empleo, se ajuste al marco normativo citado:
Legitimación del tratamiento
Información y Derechos
Consentimiento
Principio de Minimización
Medidas de seguridad
A continuación analizaremos cada uno de estos principios, mostrando las implicaciones que el tratamiento de datos de Recursos Humanos tiene con la Normativa de protección de datos. Lo que pretendemos es ofrecer unas líneas a seguir a la hora de tratar datos personales de RRHH y pormenorizar en casos más concretos, donde tal vez las empresas no sean conscientes de que normas deberían seguir para cumplir con la Normativa de protección de datos:
Legitimación
La empresa necesita y está obligada a solicitar a la persona trabajadora, ciertos datos para materializar y mantener la relación contractual laboral, (legitimación del tratamiento). Pero no vale todo, pues los datos solicitados deben ser pertinentes, adecuados y limitados a la finalidad para la que son recabados.
Es decir, la empresa necesita datos para cumplir sus obligaciones de contratación laboral, de cotizaciones a la seguridad social o tributarias, siendo necesario solicitar a la persona trabajadora su nombre, apellidos, DNI, edad y número de la seguridad social, pero no así teléfonos o correos electrónicos particulares.
También es habitual solicitar ciertas acreditaciones en función del puesto de trabajo, como es el caso de certificados de antecedentes penales exigido por la Ley Orgánica 1/1996 de Protección Jurídica del Menor, para aquellos trabajos que impliquen un trato directo con menores. En otras ocasiones las certificaciones solicitadas por ejemplo, en empresas de transporte, son los permisos de conducir para verificar si el candidato puede conducir vehículos con determinadas características. En el mismo sentido, estarían los puestos que necesitan de conocimientos especializados o autorización para ejercerlos (médicos, arquitectos, etc.).
Por otra parte, los trabajadores/as o solicitantes de empleo no están obligados a facilitar sus perfiles en redes sociales para que el empleador indague sobre sus opiniones, preferencias, amistades y otras cuestiones personales, tampoco estaría legitimada la empresa a solicitar ‘amistad’ a las personas candidatas o trabajadoras.
Información y derechos
El empleador está obligado a informar a la persona trabajadora o solicitantes de empleo, sobre la finalidad del tratamiento de los datos solicitados, la legitimación de dicho tratamiento, plazos de conservación de estos, posibles cesiones a entidades terceras, así como informar de cuáles son sus derechos (acceso, rectificación, supresión, limitación, oposición, portabilidad, reclamación ante la Autoridad de control), y como puede ejercerlos.
Importante y a tener en cuenta en grupos empresariales donde la matriz asume y centraliza las gestiones administrativas y laborales del resto, pues esta cuestión precisa de información a la persona trabajadora.
Consentimientos
Existen casos en los que se puede solicitar un consentimiento expreso a la persona trabajadora, para tratar ciertos datos adicionales a los entendidos como legítimos, caso de imágenes para su publicación en web corporativa, así como obtener consentimiento para cesiones de datos a entidades terceras que no están relacionadas con asuntos laborales, (ej. convenios de colaboración), medios de comunicación a pactar entre las partes (ej. correo electrónico o mensajería instantánea), etc.
Aunque el consentimiento no siempre es una fórmula de legitimación, un buen ejemplo es solicitar la entrega a la empresa de informes clínicos resultado de las revisiones médicas incluidas en la vigilancia de la salud de trabajadores, pues solicitar dicho consentimiento puede verse perturbado por las consecuencias de la negativa.
Por tanto, el consentimiento debe ser libre y sin consecuencias en caso de negativa y no es admisible la creación de listas negras que identifiquen o discrimen a trabajadores/as o solicitantes de empleo, en función de su decisión.
En el caso contrario se muestran casos donde la empresa puede tratar datos legítimamente y sin consentimiento del trabajador/a, por ejemplo el tratamiento de imágenes de videovigilancia, aunque se debería profundizar en ello y analizar cada caso. Tampoco se precisa de consentimiento el uso de sistemas de monitorización de sistemas de información o registro de datos de geolocalización como parte de las funciones de control que le otorga a la empresa el Estatuto de los Trabajadores. Otros casos donde no es necesario el consentimiento para el tratamiento de datos es para el cumplimiento de obligaciones legales o por cuestiones sanitarias de interés público.
En este mismo sentido estarían las cesiones que no precisan de consentimiento, como es el caso de la transferencia internacional de datos para la ejecución de un contrato laboral, relación negocial o empresarial. No obstante, en cualquiera de los casos expuestos es obligatoria la información a las personas trabajadoras, sobre el uso de esos mecanismos.
Destacar como novedad relevante, que según recientemente publicación de la AEPD, sobre el tratamiento de datos personales por parte de la empresa en sus relaciones laborales, sería aceptable recepcionar CV en papel informando a los solicitantes por medio de un cartel informativo.
Recordar que la recepción de CV por correo electrónico es factible, aunque precisará de contestación de la empresa y a su vez la respuesta afirmativa del solicitante al tratamiento y demás información o consentimientos que le solicite la empresa, aunque esta opción precisa de seguimiento y desde Business Adapter® se desaconseja por la sobrecarga de trabajo que implica, ofreciendo alternativas mucho más prácticas y con total garantía de cumplimiento.
Principio de Minimización
Para determinar que datos pueden ser tratados cumpliendo con el principio de minimización, se deberá realizar un ejercicio de evaluación del tratamiento, con los factores siguientes:
- Juicio de necesidad: determinar si la medida es realmente necesaria y disponer de diferentes alternativas para el fin propuesto
- Juicio de idoneidad: establece si la medida a adoptada consigue el fin propuesto
- Juicio de proporcionalidad: determinar si la propuesta ofrece beneficios para todas las partes implicadas
Un ejemplo práctico sería si la empresa quiere implantar un sistema de registro de jornada laboral, que incluye geolocalización. El primer paso será analizar si el registro de jornada laboral es necesario, como es obvio la respuesta es sí, por tanto se analizarán otros métodos existentes para alcanzar el fin y el elegido deberá aportar beneficios a todos. Pero en este caso la empresa consigue su fin a costa de un agravio para el trabajador/a pues la empresa conoce su geolocalización en todo momento. Por tanto, el principio de proporcionalidad no estaría justificado, pero con este análisis se puede determinar que se puede utilizar este medio pero utilizando una técnica menos intrusiva, como sería conocer la ubicación del trabajador/a únicamente en el momento que inicia y termina la jornada, no de forma continua. El beneficio es para todos.
Medidas de seguridad
Un principio fundamental de la empresa respecto a las relaciones laborales es la adopción de medidas de seguridad que garanticen la confidencialidad, integridad y disponibilidad de los datos personales tratados.
Para ello será necesario elaborar y aprobar por el órgano de gobierno de la empresa, Políticas de seguridad, Manuales de normas a cumplir por los trabajadores, así como una programación de la Formación necesaria para garantizar que todo el Personal sabe como actuar en cada caso, logrando una cultura y sensibilización corporativa en términos de la protección de datos personales y seguridad de la información.
Teniendo en cuenta el principio de minimización, poner como ejemplo un CV el cual ofrece información abundante del individuo, pues muestra datos identificativos, profesionales, académicos y en ocasiones datos relacionados con la salud (minusvalías, alergias o intolerancias y minusvalías), así como aficiones. Es decir, que el CV como tal nos otorga un perfil de la persona candidata al puesto de trabajo y parece sensato pensar que se le debería aplicar unas medidas de seguridad extraordinarias y sin dudas cuando existen datos de categoría especial.
Delegado de protección de datos
En lo que todos están de acuerdo es en los beneficios que tiene designar un Delegado de protección de datos (DPD / DPO), en la empresa, en los que a las relaciones laborales se refiere.
Se parte del principio de que puede ser contratado externamente o formar parte de la plantilla y ser persona jurídica o física y tener un carácter voluntario u obligatorio. En este último caso el artículo 34 de la LOPD-GDD, determina que actividades deben designar un DPO de forma obligatoria:
- Los centros sanitarios públicos o privados.
- Los centros docentes.
- Entidades y establecimientos financieros de crédito.
- Los distribuidores y comercializadores de energía eléctrica y gas natural.
- Los colegios profesionales.
- Las federaciones deportivas cuando traten datos de menores de edad.
- Etcétera
Los requisitos que debe cumplir un delegado de protección de datos, según el artículo 37. 5 del RGPD son:
- Será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.
El artículo 39 del RGPD expone las funciones que asume el Delegado de protección de datos. Detallamos alguna de ellas:
- Obligación de secreto y confidencialidad en lo que respecta al desempeño de sus funciones.
- Cooperar con la AEPD y actuar como punto de contacto de esta en la empresa.
- Informar y asesorar a la empresa y sus empleados de sus obligaciones en materia de Protección de Datos Personales.
- Supervisar el cumplimiento de la Normativa y de las políticas aprobadas por la empresa en materia de protección de datos, incluida la asignación de responsabilidades, la formación del personal y auditorías correspondientes.
- Atenderá a los interesados para el ejercicio de sus derechos y todo lo referente a sus datos personales.
- Ofrecer el asesoramiento necesario sobre la evaluación de impacto y supervisar su aplicación.
Otros tratamientos de RRHH con implicación en la protección de datos
Sistemas de canalización interna de denuncias “Whistleblowing”
Se trata de Canales éticos de denuncias, a modo de buzón online, donde el denunciante (ej. trabajadores o candidatos), expone los hechos ilícitos o contrarios al Estatuto de los trabajadores y en los que se puede identificar al denunciado. No se precisará del consentimiento del denunciado para estas cuestiones pues la legitimación está basada en el artículo 6.1.e) del RGPD, aunque la información obtenida no podrá ser utilizada para otros fines.
Aunque el canal debe facilitar al denunciante que decida si quiere hacerlo de forma anónima o no, se deberán aplicar las medidas de seguridad necesarias para asegurar la confidencialidad de las personas implicadas hasta el esclarecimiento de los hechos.
Estos Canales o buzones, suelen ser gestionados por consultoras externas, para que la investigación de los hechos sea independiente, el cual asumirá la condición de Encargado de Tratamiento. Tanto el funcionamiento y uso de, canal como la identificación de la consultora externa, deberá ser puesto en conocimiento del Personal.
Tecnología “Wearable”
La monitorización de datos de salud en dispositivos inteligentes, como pulseras o relojes, está, por lo general, prohibida, pues dicha acción se considera una vulneración del principio de proporcionalidad, ya que da lugar a una monitorización permanente y permitiría al empleador acceder a datos de salud específicos, y no exclusivamente a valorar la aptitud para desempeñar el trabajo. Estos sistemas serían aceptables si el acceso a los datos fuera exclusivo para en trabajador/a que lo utiliza.
Registro de la jornada laboral.
El registro se llevará a cabo de la forma menos invasiva posible, no pudiendo ser de acceso público ni de acceso público para otros compañeros, tampoco estar situado en un lugar visible para terceros o compañeros, en caso de documentos en papel. Más información sobre el Registro de Jornada Laboral.
Víctimas de acoso en el trabajo o las personas supervivientes a la violencia de género.
El ciberacoso, el acoso laboral o sexual, así como las personas supervivientes a la violencia de género, tendrán la consideración de datos de categoría especial y se establece la necesidad de implantar sistemas de tratamiento y protección especialmente reforzados, para evitar identificar tanto a víctimas como a sus acosadores.
Se recuerda la existencia del Canal Prioritario de la AEPD para denunciar algunos de estos actos.
Existen más tratamientos que afectan a la relación laboral en las empresas y que ya hemos analizado en nuestro blog, como por ejemplo:
Videovigilancia
Geolocalización
Biométricos
Y otros que también son conocidos y de los que asesoramos convenientemente a todos nuestros clientes, como es el caso de:
Pruebas psicotécnicas o psicológicas
Registro de salarios
Control laboral (absentismo / productividad)
Seguros y planes de pensiones
Representación legal de trabajadores
Relaciones sindicales
Ayudas concedidas por acción social
Etcétera
Business Adapter® protección de datos en constante evolución
El compromiso de calidad con nuestros clientes, está basado en el Conocimiento de la Normativa (europea y española), la Experiencia para ofrecer soluciones ajustadas a derecho pero que conjuguen con el funcionamiento cotidiano de cualquier compañía, la Formación sobre novedades reglamentarias y normativas, que influyan en el correcto asesoramiento a nuestros clientes y el empeño Constante de Mejoras de Procesos para que nuestros servicios de protección de datos estén a la altura de las necesidades de nuestros clientes, garantizando el completo cumplimiento normativo. Todo ello con nuestro sistema único de implantación en tiempo récord y sencillo y compresible.
Todo lo que necesita para cumplir con el RGPD y la LOPD lo tienen en Business Adapter®.
No se conforme con menos y delegue todo a Business Adapter®
[su_button url=»https://businessadapter.es/contacto» target=»blank» background=»#f6f903″ color=»#181818″ size=»7″ center=»yes» icon_color=»#000000″]TE AYUDAMOS[/su_button]