¿Puedo revisar las redes sociales de los candidatos a un puesto de trabajo si es un perfil público o abierto? ¿Es necesario tener el consentimiento de los trabajadores para utilizar videovigilancia? ¿Puedo compartir perfiles de candidatos entre empresas de un mismo grupo? ¿Es posible controlar los dispositivos utilizados por mis trabajadores en su jornada laboral? Estas son algunas de las preguntas que día a día se les plantean a las empleadores en el ámbito de las relaciones laborales y que suponen, en ocasiones, verdaderos quebradores de cabeza.
A fin de ofrecer una herramienta práctica que facilite a las organizaciones públicas y privadas el cumplimiento de la legislación, la Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía sobre protección de datos en las relaciones laborales. Se trata de un documento elaborado por la Agencia con la participación del Ministerio del Trabajo y Economía Social así como organizaciones empresariales (CEOE y CEPYME) y sindicales (CCOO y UGT) cuyo objetivo consiste en ofrecer orientaciones con ejemplos prácticos para la aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) en el ámbito de las relaciones laborales.
LA PROTECCIÓN DE DATOS TIENE LUGAR ANTES, DURANTE Y TRAS LA FINALIZACION DE LA RELACIÓN LABORAL
En la Guía sobre protección de datos y relaciones laborales se abordan temas de diversa índole que tiene un gran impacto en la protección de datos de los trabajadores y que cada vez se plantean con mayor frecuencia como, por ejemplo, la consulta por parte del empleador de las redes sociales de la persona trabajadora o candidata a un puesto de trabajo, los sistemas internos de denuncias (whistleblowing) o la monitorización de la salud de los trabajadores mediante el uso de la tecnología wearable. Para dar respuesta a las incógnitas que en materia de protección de datos suponen este tipo de actividades el documento comienza por abordar los aspectos más genéricos de las relaciones laborales para, posteriormente ahondar en estas cuestiones.
¿PUEDE SER EL CONSENTIMIENTO UNA BASE QUE LEGITIME EL TRATAMIENTO?
En este sentido, el documento comienza recogiendo las bases que legitiman el tratamiento de datos personales. Si bien, debe tenerse en cuenta que la base que legitima el tratamiento dependerá no solo de la fase de la relación laboral sino también del tipo de tratamiento que se trate. Así, en los procesos de selección no es exigible el consentimiento del candidato, sino que el tratamiento será lícito en tanto que es necesario para la aplicación a petición de la persona candidata de medidas precontractuales o la intención de concluir un contrato, en cambio, en el momento en que ya exista una relación contractual, el tratamiento será lícito en tanto que es necesario para la ejecución de un contrato. No obstante, no cualquier tipo de tratamiento se ve amparado por lo anterior, pues solo se refiere a aquellos tratamientos que sean estrictamente necesarios en las relaciones laborales, por lo que otros tratamiento que vayan más allá requerirían el consentimiento bien del candidato o bien del trabajador o, en su caso, basarse en un interés legítimo del empleador. No obstante, en el caso del consentimiento, debe tenerse en cuenta que se plantean diversos problemas en tanto que nos encontramos en una situación en la que existe un claro desequilibrio entre las partes, por lo que es fundamental para que se considere que es un consentimiento válido que no se deriven consecuencias adversas para el trabajador en caso de no otorgarlo. En otros casos, el tratamiento de los datos del trabajador se verá amparado en el cumplimiento de una obligación legal como es el caso de los datos de salud de un trabajador con discapacidad a efectos de aplicar las correspondientes reducciones o bonificaciones a la Seguridad Social.
IMPORTANCIA DEL PRINCIPIO DE MINIMIZACIÓN DE DATOS
En cualquier caso, no bastará con que exista una base legitima para el tratamiento de los datos del trabajador sino que además el empleador deberá siempre tener en mente el principio de minimización de datos. De modo que, en aquellos casos en los que no sea necesario el tratamiento o exista otro medio menos intrusivo, deberá optarse por no realizarlo o por el medio menos intrusivo. Lo anterior cobra especial importancia en el caso de la selección de personal y las redes sociales, pues aunque los datos estén disponibles no significa que deban ser tratados lo que supone que el hecho de que el candidato tenga un perfil público no habilita al empleador a acceder al mismo, de hecho, el tratamiento de los datos obtenidos por esta vía solo será posible cuando se demuestre que es necesario y pertinente para desempeñar el trabajo y siempre que se le haya informado al candidato de que dicho tratamiento va a tener lugar. Igualmente, la empresa tampoco está legitimada para solicitar a una persona trabajador una petición de amistad en sus redes sociales cuando estas no son públicas.
LOS SISTEMAS DE DENUNCIA DEBEN GARANTIZAR LA PRIVACIDAD DEL DENUNCIANTE
Adentrándonos en el marco de la relación laboral del empleador y los trabajadores surgen varias cuestiones de interés.
En primer lugar, en lo que respecta a los sistemas internos de denuncias (whistleblowing) la Agencia pone de manifiesto la importancia de que se respeten los principios de proporcionalidad y de limitación de la finalidad en la gestión de estos sistemas. De modo, que solo se puedan denunciar actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado y que no se utiliza la información obtenida a través de estos sistemas para otras finalidades. Lo recomendable es que se utilicen sistemas de denuncias anónimas y en caso de no hacerse se respete en todo momento la confidencialidad de la información del denunciante limitándose el acceso a los datos a quienes desarrollen funciones de control interno y de cumplimiento.
En segundo lugar, respecto al registro de jornada que reviste carácter obligatorio para todas las empresas, debe tenerse en cuenta que supone un tratamiento de datos y por ello la Agencia recomienda que se opte por un sistema lo menos invasivo posible, que no sea de acceso público ni estar situado en lugar visible y teniendo presente que los datos del registro no pueden ser utilizados con finalidades distintas al control de la jornada de trabajo (principio de limitación de la finalidad).
En tercer lugar, es frecuente que las empresas decidan optar por sistemas retributivos basados en productividad lo que en sí no supone ningún inconveniente. Ahora bien, es frecuente que las organizaciones publiquen los datos de las personas trabajadoras con el objetivo de fomentar la productividad entre los mismos, pero dicha publicidad no puede ser indiscriminada por lo que debe limitarse a las personas autorizadas o en su caso, optar por la seudoanonimización de los datos contenidos, por ejemplo, publicando la lista pero con un identificador que solo conoce el propio trabajador y el responsable.
¿ES POSIBLE CONTROLAR MEDIANTE NUEVAS TECNOLOGÍAS A LOS EMPLEADOS? ¿CON O SIN SU CONSENTIMIENTO?
Relacionado con lo anterior está el empleo de las nuevas tecnologías en el ámbito laboral a efectos de control de los trabajadores que sin lugar a dudas incrementan el riesgo de afectación de los derechos de las personas trabajadoras. Por este motivo, la implantación de medidas de control exige realizar un test de proporcionalidad en el que deberá valorarse, entre otros aspectos, la idoneidad de la medida así como su necesidad para conseguir el fin propuesto. No obstante, no es necesario el consentimiento de los trabajadores para su implantación, aunque si será necesario informarles de ello. La justificación de estas medidas se encuentra recogida en el art. 20.3 del Estatuto de los Trabajadores al establecer que «El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso». Ahora bien, cuando se trata del control de la salud de los trabajadores mediante el empleo de la tecnología wearable la AEPD ha indicado que la monitorización de la salud a través de estos dispositivos por lo general está prohibida dado que no es posible encuadrarlo dentro de la prevención de riesgos laborales. De este modo, con carácter general, su utilización supone el tratamiento de datos de salud sin una base jurídica que lo legitime, vulnerando el principio de licitud y proporcionalidad en tanto que supone una monitorización permanente del estado de salud de un trabajador. Ahora bien, dado que el control de salud es una obligación legal conforme el artículo 22.1 de la Ley de Prevención de Riesgos Laborales es imprescindible que los trabajadores se sometan a reconocimientos, pero el empleador únicamente podrá tener acceso a la condición de apto o no apto del trabajador y no al informe en cuestión.
LA PROTECCION DE DATOS DEL TRABAJADOR NO TERMINA CUANDO LO HACE LA RELACIÓN LABORAL
Finalmente, la protección de datos también tiene su importancia en el momento de la extinción de la relación laboral pues deberá, por un lado, implantarse medidas de seguridad para que la carta de despido no sea accesible a terceros y, por otor lado, deberá procederse al bloqueo de los datos del trabajador, aunque su tratamiento estaría admitido si existe otra base jurídica, por ejemplo, si existiese un interés legítimo por parte del empleador. En caso de que el empleador quiera mantener el contacto y datos del extrabajador será necesario recabar el consentimiento de la persona para contactar con ella en un futuro.
Como puede observarse, la implicación de la protección de datos en las relaciones laborales reviste gran importancia hasta el punto de que está presente antes, durante y después de la relación laboral y cada vez es más frecuente que los inspectores de trabajo comprueben que las empresas cumplen con las obligaciones recogidas en el RGPD. Por este motivo y por la importancia de garantizar la privacidad de la información, desde LEGITEC, consultora con 20 años de experiencia en el sector, animamos a que los responsables de las organizaciones no dejen para mañana la adecuación a la protección de datos de su organización y contacten con nosotros para ayudarles en esta ardua tarea.
Tania Pedregosa
Consultora Jurídica