Guía para el tratamiento de datos de empleados
En el ámbito de las relaciones laborales, el tratamiento de datos empleados o personas trabajadoras por parte del empleador es lícito. Este puede ser necesario para la ejecución del contrato o para cumplir con las exigencias de la ley o de un convenio colectivo.
Por ello, la empresa podrá tratar datos personales de los trabajadores, con arreglo a las especificaciones de la Agencia Española de Protección de Datos (en adelante, “AEPD”).
1. Deberes de secreto y confidencialidad
El deber secreto y la confidencialidad tiene que ser garantizado en todo momento por la empresa disponiendo de medidas de seguridad para asegurar, además de la confidencialidad, la disponibilidad de los datos (su recuperación ante cualquier evento) y su integridad (protegiéndolos frente a cualquier manipulación no autorizada).
En caso de que la empresa incumpla estos deberes supone un grave riesgo el derecho fundamental a la protección de datos, lo que habitualmente deriva en perjuicios reputacionales.
Con el objetivo de garantizar estos deberes de secreto y confidencialidad la AEPD recomienda a las empresas llevar a cabo las siguientes medidas:
- Diseñar las funciones y responsabilidades de la plantilla de personal en función de su relación con el tratamiento de datos personales.
- Formar adecuadamente a las personas trabajadoras teniendo en cuenta su distinto grado de responsabilidad y garantizando que conozcan sus deberes de seguridad y secreto. La formación debe contribuir a crear una cultura de compromiso con la protección de datos.
- Advertir y formar, incluso a aquellas personas trabajadoras que no teniendo una relación directa con los sistemas de información y los tratamientos de datos personales puedan poner en peligro el secreto o la seguridad de los datos (por ejemplo, el personal de limpieza).
- Valorar la conveniencia de designar a un delegado de protección de datos (por ejemplo, empresa, o grupo empresarial), con un experto formado en la materia que pueda asesorar al en el cumplimiento de la normativa y el principio de responsabilidad proactiva de los responsables del tratamiento.
2. Selección de personal y redes sociales
Cualquier trabajador o candidato puede impedir que la empresa efectúe un tratamiento de sus datos obtenidos a través de sus perfiles en redes sociales. Esto se extiende tanto al proceso de selección como durante la propia ejecución del contrato, independientemente de que el perfil en redes sociales sea público.
La posible indagación en los perfiles de redes sociales de las personas candidatas a un empleo sólo se justifica si están relacionados con fines profesionales. En otras palabras cuando se demuestre que dicho tratamiento es necesario y pertinente para desempeñar el trabajo y siempre y cuando se le informe de ese tratamiento (por ejemplo para la contratación de un influencer por una empresa para una campaña de marketing).
Es por ello que en condiciones normales, una empresa no está legitimada para solicitar «amistad» a personas candidatas para obtener un acceso a los contenidos de sus perfiles o la información que éste comparta con otras personas a través de las redes sociales.
3. Sistemas internos de denuncias o «whistleblowing»
Estos sistemas están permitidos por la Ley siempre y cuando se atengan a la normativa vigente en protección de datos. Su funcionamiento se lleva a cabo mediante la creación de buzones internos a través de los cuales los trabajadores de la empresa pueden denunciar la comisión de actos o conductas contrarios a la ley o al convenio colectivo.
El deber de la empresa es informar previamente de la existencia de estos buzones o sistemas de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia.
Si los datos contenidos en los sistemas de denuncias fueran a ser transmitidos a una tercera compañía que investigue el hecho denunciado se producirá una comunicación de datos, de la que el afectado, tanto el denunciante como el denunciado, deberá ser debidamente informado.
Estos mecanismos están condicionados al principio de proporcionalidad. Es decir, que los hechos o actuaciones tienen que tener una efectiva implicación en la relación entre la empresa y el denunciado y especificar en qué modo se han transgredido las normas; por ejemplo, de los códigos internos de conducta.
Del mismo modo, han de respetar el principio de limitación de la finalidad. No se puede utilizar la información con fines distintos a los perseguidos. Y, en cuanto a la limitación en el tratamiento, los datos solo pueden conservarse durante el tiempo de la investigación de los hechos; debiendo suprimirse una vez trascurridos tres meses desde la introducción de la información en os buzones.
El acceso a estos datos se limita solo a quienes desarrollen las funciones de control interno y de cumplimiento, al encargado del tratamiento, o a Recursos Humanos cuando se trate de procedimientos disciplinarios. Sin embargo podrán comunicarse a la autoridad competente en caso de que sea necesario para la tramitación de procedimientos judiciales.
Por otro lado, cabe resaltar que estas denuncias pueden ser o no anónimas. No obstante, en el caso de que no sean anónimas, es necesario preservar la confidencialidad en cuanto a la identidad del denunciante, no facilitando esta información a la persona denunciada. Todo ello, sin perjuicio de que deban garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, el cual podrá conocer el hecho le imputa para defender sus intereses.
4. Recomendaciones en relación con el registro de jornada obligatorio
Una empresa puede optar por cualquier sistema de registro horario sin imposición de ninguno especifico por la normativa vigente en protección de datos. Aunque, es recomendable que se adopte el sistema menos invasivo posible y siempre que el trabajador sea informado y se le dé la posibilidad de ejercitar los derechos de acceso, rectificación, oposición y supresión.
En el caso de que la empresa vaya a llevar a cabo un registro de jornada, este debe estar incluido en el Registro de las Actividades del Tratamiento. Es más, dependiendo del número de trabajadores y al concreto formato empleado podría ser necesario que la empresa, como responsable del tratamiento, realizara una evaluación de impacto en el tratamiento de estos datos.
De cualquier modo, el registro de jornada no debe incluir más datos personales que los imprescindibles en base al principio de minimización del tratamiento y no pueden ser utilizados con finalidades distintas al control de la jornada de trabajo en base al principio de limitación de la finalidad (por ejemplo, si la finalidad es simplemente comprobar cuando el trabajador entra y sale, no puede comprobarse la ubicación de la persona en cada preciso momento).
En estos casos, la AEPD recomienda que el delegado de protección de datos esté presente en todo el ciclo de vida de la documentación vinculada con el registro horario, desde el asesoramiento a la dirección de la empresa para la confección y custodia de esta documentación, la resolución de incidencias que se puedan plantear internamente, hasta la función de interlocución con la propia AEPD.
En lo que respecta a las circunstancias actuales, es posible un registro horario a distancia para el caso del teletrabajo, a través de acceso remoto a una intranet corporativa, o de aplicaciones en los dispositivos, siempre y cuando puedan garantizar adecuadamente el derecho a la intimidad y a la protección de datos de las personas trabajadoras.