La AEPD adapta la guía sobre relaciones laborales al RGPD
19-05-2021 — AR/2021/069
La AEPD ha actualizado la guía sobre la protección de datos en las relaciones laborales, para ajustarla a la normativa en vigor. Como con otras guías, la agencia pretende orientar a los responsables y encargados del tratamiento de datos personales en el cumplimiento de la legislación en circunstancias y casos concretos.
- Compartir
- Correo electrónico
La Agencia Española de Protección de Datos (AEPD) ha actualizado, a mayo de 2021, su guía titulada «La protección de datos en las relaciones laborales».
La nueva versión se estructura en 6 capítulos, que repasan las principales cuestiones del tratamiento de datos en la relación laboral:
- Aspectos generales.
- Selección y contratación.
- Desarrollo de la relación laboral.
- Control de la actividad laboral.
- Representación unitaria y sindical de las personas trabajadoras.
- Vigilancia de la salud.
A continuación, resumimos algunos de los puntos de mayor interés:
La ejecución del contrato, base jurídica principal
La base jurídica principal para el tratamiento de los datos en este ámbito es la ejecución del contrato. Por tanto:
- El tratamiento de datos por el empleador es lícito siempre que sea necesario para la ejecución de un contrato de trabajo en el que el interesado (el empleado) es parte.
- El resto de fundamentos de legitimación también puede servir de base siempre que sea necesario y proporcionado, si bien debe evitarse en la medida de lo posible justificarlo con el consentimiento expreso, dado el desequilibrio de la relación entre el empleado y el empleador.
- El empleador no puede conocer todos los datos de los empleados. Los datos deben ser adecuados, pertinentes y limitarse a lo estrictamente necesario. Es el principio de minimización.
Respecto a los candidatos a empleo
El tratamiento de los currículos no exige consentimiento, ya que puede ampararse también en la ejecución del contrato al deducirse una situación precontractual o la intención de concluir el contrato. Pero siempre se debe atender el deber de información y conservar las pruebas de su cumplimiento.
Las impresiones o valoraciones subjetivas del proceso de selección son datos personales del candidato, de modo que, conforme a los criterios de transparencia, deben atenderse a los derechos de esa protección incorporando esas valoraciones a la respuesta del derecho ejercido.
En cuanto al informe de vida laboral, debe ampararse en el interés legítimo del empleador en comprobar la veracidad y la experiencia que el candidato refleja en su solicitud de empleo.
En lo referente a la indagación en redes sociales, el empleador no puede llevarla a efecto, salvo que cuente con una base jurídica válida, y solo para fines profesionales; es decir, ha de demostrar que es necesaria y pertinente para el desempeño del trabajo, atendiendo el deber de información en todo caso.
Los currículos deberán eliminarse cuando se termine el proceso de selección. Para mantener su tratamiento, es necesario el consentimiento del interesado.
Sobre empresas de selección
Las empresas de selección actúan como encargadas del tratamiento cuando el contrato con el empleador incluya las características del puesto que se desea cubrir. La base jurídica de ese tratamiento es la ejecución del contrato, pues se trata de una situación precontractual.
Terminado el proceso, deben destruirse los datos o devolverse al responsable del tratamiento.
Cuando la agencia de colocación actúe a iniciativa de los candidatos para buscar ofertas de empleo, es responsable del tratamiento también.
Las empresas de trabajo temporal (ETT) son responsables del tratamiento de los datos de los empleados, puesto que son sus empleadores.
Categorías especiales de datos
La guía recuerda las precauciones con estas categorías especiales:
- Reconocimientos médicos: no requieren consentimiento; se amparan en el artículo 9.2.h) del RGPD, que admite la recogida de datos con fines de medicina preventiva o laboral y para la evaluación de la capacidad laboral del trabajador.
- Test psicotécnicos: los datos obtenidos de estas pruebas constituyen datos de salud y requieren de medidas reforzadas.
- Datos biométricos: cuando el tratamiento sirva de herramienta de verificación, autenticación o identificación, estos datos deben almacenarse como plantillas biométricas e imposibilitar su reutilización para otras finalidades.
Registro de salarios
El registro de salarios de igualdad retributiva de hombres y mujeres es una obligación legal, por lo que no requiere de consentimiento de los trabajadores. Pero eso no justifica el tratamiento de datos personales, por lo que, en dichos registros, han de constar los valores medios de los salarios, complementos salariales y percepciones extrasalariales de la plantilla.
Grupo de empresas
Un grupo de empresas no constituye una persona jurídica, sino que cada empresa tiene su personalidad jurídica y puede ser considerada responsable del tratamiento, a pesar de que el RGPD admita la designación de un delegado de protección de datos (DPO) único para todas ellas.
Será considerara encargada del tratamiento la empresa del grupo que realice el tratamiento por cuenta o encargo de otra.
La cesión de datos entre empresas del mismo grupo exige acreditar un interés legítimo (que puede consistir en la centralización de las actividades administrativas). Esto se permite siempre que existan los pertinentes filtros, se separe por responsable del tratamiento y se cuente con un contrato de encargo del tratamiento.
Cuando el grupo de empresas sea el empleador único, dicha comunicación de datos podrá ampararse en la ejecución del contrato.
Control de la actividad laboral
El artículo 20.3 del Estatuto de los Trabajadores constituye la base de legitimación de las medidas de control, en cuanto que autoriza al empleador a tomar medidas de vigilancia y control para verificar el cumplimiento del trabajo.
Algunas de estas medidas pueden resultar excesivamente invasivas, lo que requiere que se realicen test de proporcionalidad.
Denuncias internas
Se requiere información sobre la existencia de estos sistemas y del tratamiento de datos personales que en ellos se incorporan. Bien sea en el propio contrato de trabajo o al implantar o modificar el sistema mediante circulares informativas.
Ha de respetarse el principio de proporcionalidad concretando qué acciones pueden ser objeto de denuncia y las normas a las que están sujetas.
No cabe utilizar la información obtenida por esta vía para otras finalidades.
En los casos de sistemas de denuncias anónimas, se ha de respetar la confidencialidad de la información y contar con una adecuada seguridad.
El acceso a la información debe limitarse al personal investigador, de seguridad y de imposición de procedimientos disciplinarios.
Se debe suprimir la información transcurridos 3 meses desde su introducción en el sistema, salvo que se desprenda la necesidad de tomar medidas contra el denunciado que exijan mantener dicha información.
Geolocalización
La ley orgánica de protección de datos personales y de garantía de los derechos digitales (LOPDyGDD) permite al empleador monitorizar la ubicación de los trabajadores, aunque conviene tener en cuenta que:
- la base jurídica es la ejecución del contrato, que limita cualquier otro uso;
- el principio de transparencia obliga a informar y atender el ejercicio de los derechos;
- los principios de minimización y de limitación de la finalidad obligan a utilizar los datos solo para la finalidad que fundamenta el tratamiento y no para otras (por ejemplo, si estos datos se usan para el registro de jornada, no podrán servir para verificar su ubicación);
- la geolocalización solo puede instalarse en las herramientas, equipos o medios de transporte propiedad del empleador, pero nunca en los empleados.
Vigilancia de la salud
La ley de prevención de riesgos laborales responsabiliza al empleador de evitar o disminuir los riesgos derivados del trabajo. Estos tratamientos se encuentran legitimados en la necesidad de ejecutar el contrato y, además, en el cumplimiento de obligaciones legales.
Pero el empleador solo está legitimado a conocer la aptitud para realizar la actividad laboral, no el estado de salud de los empleados.
La empresa no puede servirse de tecnologías wearable, como pulseras o relojes inteligentes, cuyo uso está prohibido, salvo que esté autorizado por ley.