La Agencia Española de Protección de Datos ha publicado su guía sobre protección de datos y relaciones laborales. En ella se analiza el tratamiento de los datos desde la selección de personal, durante la relación laboral en sí misma y hasta la finalización del contrato de trabajo. En este post, vamos a comentar las implicaciones relativas a la protección de datos durante toda la vida de la relación laboral.
ANTES DE LA RELACIÓN LABORAL
¿Cuándo empieza una empresa a tratar los datos de sus trabajadores?
Los primeros datos que trata una empresa de su futuro trabajador se encuentran en los procesos de selección. El tratamiento de datos personales durante un proceso de selección no exige el consentimiento de la persona candidata. La base jurídica es la del art. 6.1.b) del RGPD, es decir, el tratamiento será lícito cuando es necesario para la conclusión de un contrato de trabajo o sea necesario en el contexto de un contrato. Debemos tener en cuenta que en los procesos de selección la empresa será la responsable de custodiar la documentación entregada por la persona candidata, y en caso de pérdida de esa documentación con datos personales, incurrirá en una infracción, la cual seguramente lleve aparejada una sanción.
Para la selección de personal, si esta se realiza mediante algún tipo de anuncio o convocatoria pública, debería incluirse en ella la información del art. 13 del RGPD.
¿Qué debemos hacer si nos envían el CV por correo postal o electrónico?
Si el currículum nos lo han enviado por correo postal o electrónico y se cuenta con una dirección electrónica facilitada por el propio afectado, puede remitírsele información por ese medio, solicitando confirmación de la recepción y condicionando el tratamiento de los datos al acuse de recibo. Si se presentó en un mostrador u oficina de atención, debería ser informado allí por cualquier medio que acredite el cumplimiento de este deber, como, por ejemplo, carteles o documentos de acuse de recibo.
¿Y en los casos en que el proceso de selección no lo lleva a cabo el empresario final?
Si el proceso de selección es llevado a cabo por agencias de colocación o empresas de selección, estas actuarán como encargadas del tratamiento, siendo la empresa final la responsable. Ahora bien, si las agencias de colocación o empresas de selección contactan con candidatos sin tener un contrato de encargado de tratamiento firmado por la empresa final, serán consideradas como responsables del tratamiento. En el caso de las empresas de trabajo temporal, estas serán siempre responsables del tratamiento.
DURANTE LA RELACIÓN LABORAL
¿Qué tipo de datos pueden tratarse?
En una relación laboral pueden tratarse desde datos como la fecha de nacimiento, pasando por la vida académica del trabajador, hasta categorías de datos especiales. Esto es así dado que el RGPD admite su tratamiento en el caso de que sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos del responsable del tratamiento o del interesado en el ámbito del derecho laboral, seguridad y protección social.
La base jurídica para el tratamiento de los datos por parte del responsable será la ejecución del contrato de trabajo, dado que, al haber una posición de desequilibrio entre empleador y empleado, el consentimiento del afectado no sería una base válida para tratar los datos. Otra base para tratar los datos del trabajador sería para el cumplimiento de una obligación legal (bien sea obligación por parte de la ley o de un convenio colectivo) por parte del responsable. Otra base jurídica en la que el responsable se podría amparar para tratar los datos de sus empleados sería la satisfacción de intereses legítimos.
Como vemos, en el transcurso de la relación laboral se pueden tratar un gran abanico de datos. Por ejemplo, en el control horario, que se implantó en España, las empresas deberían usar un método de control horario. Para poder tratar estos datos, la empresa debe ampararse en la obligación legal, dado que una norma les obliga a llevar dicho registro.
También vemos implicaciones relacionadas con la protección de datos, desde hace poco, en el registro salarial. En este caso, al igual que con el control horario, la base para el tratamiento de datos por parte del empleador será otra vez la obligación legal, dado que hay una norma que obliga al empresario a llevar este registro.
Ahora bien, pese a que en el seno de una relación laboral podamos tener base jurídica para tratar todo tipo de datos relacionados con el trabajador, existe el principio de minimización de datos, el cual exige que los datos personales que se traten sean adecuados, pertinentes y limitados a lo estrictamente necesario en relación con los fines para los que son tratados. Por lo que, por mucho que se tenga base legal para tratar los datos, si no son adecuados y pertinentes para el devenir de la relación laboral, esos datos no deberán tratarse.
¿Qué derechos amparan a los trabajadores?
En relación con sus trabajadores, el empresario deberá informarles de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre el tratamiento de datos que está llevando a cabo, tal y como establecen los artículos 13 y/o 14 del RGPD.
En cuanto a los derechos que amparan a los trabajadores, relativos al tratamiento de datos, éstos podrán ejercer los siguientes derechos: derecho de acceso, de rectificación, de supresión, limitación, portabilidad, oposición, y el derecho a no ser objeto de decisiones individuales automatizadas.
¿Pueden darse transferencias internacionales de datos en el seno de una relación laboral?
Las transferencias pueden llevarse a cabo, pero deberán aplicarse unas condiciones específicas. Dichas condiciones son las siguientes:
- Que las transferencias tengan por destinatario una entidad establecida en alguno de los países que la Comisión Europea estima que tienen un nivel adecuado de protección.
- Cuando se aporten garantías de que los afectados cuenten con derechos exigibles y acciones legales efectivas.
- Cuando se dé alguna de las circunstancias específicas del artículo 49 RGPD (consentimiento explícito, por ejemplo).
FINALIZACIÓN DEL CONTRATO DE TRABAJO
Al fin de la relación laboral, ¿también hay implicaciones con la protección de datos?
Incluso en la extinción de la relación laboral encontramos elementos relativos a la protección de datos. Por ejemplo, la carta de despido puede contener datos personales, siempre que sean adecuados y pertinentes.
Como hemos podido ver, desde el momento previo al nacimiento de una relación laboral (proceso de selección), hasta el momento de su extinción, y pasando por toda su vida, la protección de datos juega un papel fundamental en la relación. Es por ello que las empresas deberían implantar políticas de protección de datos que aseguren que los datos se tratan de acuerdo a las disposiciones legales. Y sobre ello, que no permitan, por ejemplo, el acceso por terceros no legitimados a las cartas de despido, entre otros.
Deberán bloquearse los datos de los trabajadores, y guardarse durante el tiempo legalmente establecido.
Asimismo, el empleador podría recabar el consentimiento de la persona extrabajadora para contactar con ella en el futuro. Para este caso, el empresario deberá informarle de esa circunstancia, y el extrabajador podría optar por no prestar su consentimiento. La comunicación de datos de un antiguo empleador a un futuro empleador requiere el consentimiento del trabajador.
En el siguiente post ampliaremos los datos que pueden tratarse durante la relación laboral, especificando con más detalle el control de la actividad laboral que puede ejercer sobre un trabajador en relación con los datos personales (controles de acceso, videovigilancia, geolocalización, etc.), posibles cesiones de datos, vigilancia de la salud, entre otros.
Y ya sabéis que, si necesitáis más información al respecto, podéis contactarnos.
El equipo de PymeLegal.