Guía

This post is also available in: English

La Agencia Española de Protección de Datos (AEPD) acaba de publicar una nueva guía sobre “Protección de datos y relaciones laborales” con la finalidad de ofrecer una herramienta práctica que facilite el adecuado cumplimiento de la normativa de protección de datos por parte las organizaciones públicas y privadas, actualizando la anterior guía (sujeta a la anterior ley de protección de datos) al paradigma actual.

La presente guía aborda los cambios que ha supuesto la aplicación de las actuales normas de protección de datos, así como diversas cuestiones que se han planteado con frecuencia ante la AEPD, tales como:

  • La consulta por parte del empleador de las redes sociales de la persona trabajadora;
  • Los sistemas internos de denuncias (whistleblowing);
  • El registro de la jornada laboral;
  • La protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género;
  • El uso de la tecnología wearable como elemento de control.

A modo de resumen, en la guía se regula:

  1. Una sección general, en la que se recogen cuestiones más generales como:
– Bases legitimadoras, derecho de información y resto de derechos en el entorno laboral
– Principio de minimización, que supone que la ejecución del contrato no implica que el empleador pueda conocer cualquier tipo de dato personal
– Deberes de secreto y seguridad
– Límites al tratamiento de datos en los procesos de selección y contratación de personal

2. Varias secciones específicas, en torno a las distintas fases de la relación laboral:

– Selección y contratación
– Desarrollo de la relación laboral
– Control de la actividad laboral
– Representación unitaria y sindical de las personas trabajadoras
– Vigilancia de la salud

Dentro de las secciones específicas, por su novedad o frecuencia en las consultas, destacan las siguientes cuestiones:

  • Selección de personal y redes sociales: La AEPD especifica que las personas candidatas no están obligadas a permitir que el empleador indague en sus redes sociales. Aunque el perfil en redes sociales sea de acceso público, el empleador solo podrá tratar los datos obtenidos por esta vía cuando cuente con una base jurídica válida, informe a la persona afectada y demuestre la necesidad y pertinencia de dicho tratamiento para desempeñar el trabajo. Asimismo, la AEPD destaca que la empresa no está legitimada para solicitar “amistad” en las redes sociales a las personas candidatas, ni solicitar el acceso a la información compartida en redes sociales.
  • Sistemas internos de denuncias o whistleblowing: La AEPD destaca el carácter primordial de informar tanto a denunciantes como a potenciales denunciados. El acceso a estos datos debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento, o al encargado del tratamiento: el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios.
  • Registro de jornada obligatorio: La AEPD recomienda, entre otras cuestiones, adoptar el sistema menos invasivo posible y que este no sea de acceso público ni se encuentre situado en un lugar visible. Asimismo, los datos solo se podrán utilizar para finalidades relacionadas con el control de la jornada de trabajo, por lo que no es posible comprobar su ubicación, para lo cual será necesario tener una base jurídica específica.
  • Derecho de información de los representantes legales de los trabajadores: La AEPD incorpora la reciente reforma del Estatuto de los Trabajadores aprobada por Real Decreto-ley 9/2021, por medio de la cual se establece el derecho del comité de empresa a ser informado (y, por tanto, el deber de la empresa a informar) de los parámetros, reglas e instrucciones en los que se basan los algoritmos o sistemas de inteligencia artificial, que puedan incidir en las condiciones, el acceso y mantenimiento del empleo. Puede consultarse más detalle de esta cuestión en esta otra entrada de nuestro blog, así como en el ciclo de webinars que hemos organizado.
  • Protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género: La AEPD determina que sus datos personales y concretamente su identidad tienen, con carácter general, la consideración de categorías especiales de datos personales que exigen una protección reforzada. Por ello, será necesario asignar un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar su identidad. De igual manera, deberá procederse con las víctimas de violencia de género, cuyos datos podrán ser tratados cuando resulte necesario para el cumplimiento de obligaciones legales, pero solo mediante la asignación de un código que no permita a terceros asociar la información con la víctima.
  • Tecnología wearable. La AEPD destaca que la monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, está, por lo general, prohibida, a menos que esté establecida por ley o reglamentariamente, debido a que no se entiende comprendida en la vigilancia de la salud propia de la prevención de riesgos laborales y, por consiguiente, se estarían tratando categorías especiales de datos sin una base jurídica.

Esta guía servirá como base orientadora a los diferentes actores que realicen tratamientos en entornos laborales, clarificando la aplicación de diferentes obligaciones en materia de protección de datos en las relaciones laborales. Desde este blog observaremos de cerca su aplicación práctica.

Autores: Josu Andoni Eguiluz, Adaya Esteban y Jorge Monclús

This post is also available in: English

Autores:

Prácticas

29 artículos



josuandoni.eguiluz@cuatrecasas.com

Asociada

88 artículos



adaya.esteban@cuatrecasas.com

Consejero

97 artículos

Jorge Monclús

jorge.monclus@cuatrecasas.com