La Agencia Española de Protección de Datos (AEPD) acaba de publicar una nueva guía que tiene como objetivo servir como herramienta práctica de ayuda, que no vinculante, a las organizaciones públicas y empresas privadas para un adecuado cumplimento de la legislación.
La guía Protección de datos en las relaciones laborales también pretende servir como manual a los responsables de los tratamientos de datos personales en su obligación de comunicar a las personas cuyos datos se han visto afectados, así como notificar a las autoridades de protección de datos.
¿Cuáles son sus principales cambios? ¿Qué temas aborda esta guía sobre protección de datos personales y garantía de los derechos digitales? ¿Tiene derecho el empleado a la desconexión digital?
Estas son algunas de las preguntas a las que da respuesta esta guía y desde la asesoría laboral de AYCE Laborytax pretendemos recoger en este artículo.
Derechos de los empleados sobre la protección de datos
La nueva guía Protección de datos en las relaciones laborales 2021 profundiza, en esencia, en los derechos de los empleados en este ámbito que reconoce la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y del Reglamento General de Protección de Datos (RGPD).
Esta guía actualiza la versión publicada en 2018, cuando comenzó a aplicarse el RGPD e incluye la experiencia recogida en este tiempo.
El principal propósito de esta guía es facilitar el cumplimiento de forma eficaz y eficiente de los objetivos últimos de la notificación de brechas de datos personales
Entre esos propósitos destaca: la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización, y la garantía de una seguridad jurídica al disponer los responsables de un medio para demostrar diligencia en el cumplimiento de sus obligaciones.
También aborda temas de actualidad como la consulta por parte del empleador de las redes sociales, los sistemas internos de denuncias, el registro de la jornada laboral y salario, derecho a desconexión digital, la vigilancia de la salud, o el tratamiento de datos por parte de los representantes de los trabajadores.
Pero antes debemos hacer referencia y explicar qué es el concepto de tratamiento de datos personales.
Según recoge el artículo 4.1 del RGPD, se considera dato personal «toda información relativa a una persona física identificada o identificable».
Puede ser desde la fecha de nacimiento, estado civil, domicilio, hasta cualquier información sobre la infancia, vida académica, profesional o laboral, sobre los hábitos de vida y consumo hasta cualquier evaluación y apreciación que haga referencia a personas concretas.
Partiendo de esta premisa, ahora sí, vamos a abordar los principales puntos y recomendaciones que recoge la guía sobre Protección de Datos en las Relaciones Laborales dada la importancia de los temas que aborda.
Claves de la nueva Guía de Protección de Datos y Relaciones Laborales de la AEPD
Selección de personal
En el apartado de selección de personal y redes sociales, la guía detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato.
Aunque sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida.
Para ello será necesario informar a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo.
Por otro lado, la agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que estas proporcionen acceso a los contenidos de sus perfiles.
Registro de jornada y salario
En cuanto al registro de jornada laboral, que tiene su base jurídica en una obligación legal de incluir el horario concreto de inicio y finalización de la jornada de cada persona trabajadora, se recomienda que se adopte el sistema menos invasivo posible para el trabajador.
Además, la guía recoge que la persona trabajadora tendrá derecho a ser informada y, en su caso, a ejercitar los derechos de acceso, rectificación, oposición y supresión, con independencia de que el registro sea más o menos sofisticado.
Este registro de jornada no debe incluir más datos personales que los imprescindibles (principio de minimización).
Tampoco los datos de ese registro pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación.
Te interesa:
El registro de jornada laboral en el teletrabajo también es obligatorio
Sistemas internos de denuncias o whistleblowing
La guía señala, respecto a los sistemas internos de denuncias que se suelen configurar mediante la creación de buzones internos a través de los cuales los trabajadores, generalmente mediante un procedimiento online, ponen de manifiesto la comisión de actos o conductas contrarios a la ley o al convenio colectivo. La información reviste en este caso un carácter primordial.
La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que no lo sea, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado.
La existencia de estos buzones debe respetar el principio de proporcionalidad, de forma que las denuncias se refieran únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado.
Vigilancia de la salud
Una de las obligaciones principales del empleador en el campo de la prevención de riesgos laborales es la vigilancia en la salud de las personas trabajadoras.
Es una obligación que no implica un deber correlativo para las personas trabajadoras, pues los reconocimientos médicos a cargo del empleador son, con carácter general, voluntarios para los empleados, que deben prestar su consentimiento.
El empleador no está legitimado para conocer el concreto diagnóstico médico, de modo que sólo podrá acceder a las conclusiones de dicha vigilancia de la salud referidas al concepto de «apto» o «no apto».
El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo. Esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento.
La guía también indica que monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, está, por lo general, prohibida, a menos que esté establecida por ley o reglamentariamente.
Comunicación a los afectados
Como complemento a la Guía, la AEPD dispone de una herramienta llamada ‘Comunica-Brecha RGPD’, que ofrece ayuda a las empresas para decidir si deben comunicar o no una brecha de datos a las personas afectadas. Esta obligación es independiente a la de notificar dicha brecha a la autoridad de control.
Este recurso se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos indicativos del riesgo asociado a la brecha.
Al completar el formulario, la herramienta aconsejará tres posibles escenarios: que se debe notificar la brecha de seguridad a las personas afectadas al apreciarse un riesgo alto; que no es necesaria dicha comunicación; o que no se puede determinar el nivel de riesgo.
