La AEPD actualiza las cuestiones clave para la protección de datos en el teletrabajo

La Agencia Española de Protección de Datos (AEPD), en nota informativa del 19-7-2021, amplía las recomendaciones sobre teletrabajo que ya emitió en 2020.

En esta nota:

• subraya las distintas bases de legitimación asociadas a estos tratamientos, y
• resume el catálogo de políticas a tener en cuenta desde el punto de vista de protección de datos.

La pandemia de la COVID-19 ha aumentado considerablemente el uso de accesos remotos y plataformas online, y ello propicia las relaciones laborales virtuales. En este sentido, la AEPD ve necesario velar para que sean acordes con el Reglamento General de Protección de Datos (RGPD).

Describe, pues, las circunstancias particulares de los siguientes tratamientos de datos:

Tratamiento de datos de los empleados

La AEPD recalca los siguientes puntos:

1. La voluntariedad del trabajo a distancia de acuerdo con el artículo 5 de la ley de trabajo a distancia.¹
2. La no aplicabilidad del consentimiento como base jurídica recurriendo, según el tratamiento específico, a otras bases de datos recogidas en el artículo 6 del RGPD:
   • Relación contractual, con referencia al artículo 20.3 del Estatuto de los trabajadores, que faculta al empresario a ejercer el poder de dirección y control, siempre con observancia del principio de proporcionalidad.
   • Interés legítimo del empleador, siempre que frente a él no prevalezcan los interesados o derechos y libertades fundamentales del trabajador, cuestión que ha de evaluarse a través de un test de ponderación.
   • Cumplimiento de obligaciones legales, como es, por ejemplo, la obligación de llevar un registro de jornada laboral.²
     • La AEPD subraya la necesidad de informar al trabajador sobre la doble finalidad del registro en el caso de que el empresario tenga la intención de usarlo como medida de control atendiendo a las circunstancias concreta en las que vaya a desarrollarse el trabajo a distancia.
3. El levantamiento de la prohibición del tratamiento de categorías especiales de datos.
   • Recoge en este sentido la nota un ejemplo: «los datos biométricos dirigidos a la identificación unívoca del trabajador solo podría quedar amparado bajo el artículo 9.2.b del RGPD cuando sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho o un convenio colectivo con arreglo a Derecho que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado».
4. El respeto de los derechos relacionados con el usos de dispositivos en el ámbito laboral (derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral y derecho a la desconexión digital).

Tratamiento de datos derivados de la actividad del negocio

Respecto al tratamiento de datos de las personas que se se relacionan con la entidad —clientes, proveedores…—, la AEPD subraya que los medios empleados no modifican la legitimación, por lo que no se requiere una base jurídica diferente de la que ya legitimaba el tratamiento cuando venía desarrollándose de manera presencial.

Sin embargo, las entidades deben tener en cuenta que la modificación de los medios habilitados para acceder y tratar los datos por el teletrabajo sí que puede generar la necesidad de introducir mayores garantías en la aplicación de los restantes principios de tratamiento recogidos en el artículo 5 del RGPD.

Desde el punto de vista de la gestión de riesgos, cuando se plantea implantar procesos en la entidad en régimen de teletrabajo, es necesario gestionar el cambio en la naturaleza del tratamiento y la forma en la que se implanta,  reevaluar los nuevos riesgos introducidos y tratarlos adecuadamente para minimizar su posible efecto.

En este sentido, la AEPD subraya la necesidad de:

• implantar políticas de protección de datos, en particular, para la aplicación de los principios y derechos de protección de datos;
• aplicar una gestión de riesgos de los derechos y libertades;
• considerar los principios de protección de datos desde el diseño, identificando los nuevos requisitos, rediseñando los procesos de teletrabajo, aplicándolos a las herramientas empleadas y aumentando la transparencia y el control sobre los datos;
• poner en práctica los principios de protección de datos por defecto, configurando correctamente las aplicaciones para reducir los datos personales tratados;
• introducir medidas de seguridad efectivas, orientadas a proteger los derechos y libertades;
• Definir políticas de gestión de brechas de datos personales, con el propósito de ser más resilientes y efectivos.