Protección de datos en el entorno laboral

#SomosRyC

Novedades en materia de Protección de Datos en el entorno laboral

19 de Mayo de 2021

La AEPD publica la guía actualizada de protección de datos en el ámbito laboral

La nueva guía “Protección de datos y relaciones laborales” (link) elaborada por la Agencia Española de Protección de Datos (“AEPD”) con la participación del Ministerio de Trabajo, la patronal y organizaciones sindicales aborda diferentes tratamientos de datos en el ámbito laboral. La AEPD ya había redactado un documento con recomendaciones prácticas sobre este tipo de tratamientos, que se retiró de la página web de la entidad al encontrarse desactualizado.

La entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, general de protección de datos (en adelante, “RGPD”), junto con la posterior aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”), hizo necesario adaptar la anterior guía sobre relaciones laborales nuevo marco normativo.

De esta forma, la guía publicada introduce cambios sustanciales como las referencias a los derechos digitales de los empleados, tecnología wearable, el tratamiento de datos de mujeres que hayan sufrido violencia de género, etc.

La guía se estructura en siete apartados, los dos primeros se centran en aspectos generales, principios generales del tratamiento, bases de legitimación derechos de los interesados, deberes y obligaciones de los actores en el tratamiento, cesiones y transferencias de datos. Los cinco apartados restantes abordan aspectos más concretos del tratamiento en el ámbito laboral:

1. Selección y contratación. Si bien es cierto que en esta guía la AEPD no cambia el criterio mantenido en la anterior guía publicada, sí que incluye nuevos ejemplos sobre tratamientos concretos y situaciones que se han hecho comunes en el día a día con la introducción de nuevas herramientas y tecnologías. En este sentido, este apartado centra especial atención a la indagación de perfiles de candidatos en redes sociales, la posición que ocupan las terceras agencias de colocación, empresas dedicadas a la selección de personas, etc. En este punto, resulta relevante la destacar que la AEPD que una empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles.

En relación con los datos personales de candidatos que no hayan sido seleccionados, la AEPD aclara que solo se podrán conservar sus datos cuando se cuente con el consentimiento del candidato, salvo que el empleador pueda demostrar un interés legítimo. En caso contrario, debe destruir el currículum y proceder a la supresión y bloqueo de los datos personales.

2. Desarrollo de la relación laboral. Siguiendo el ciclo de vida de los datos, tras analizar la recogida de los mismos, la AEPD dedica un apartado al uso, esto es, al tratamiento de datos efectuado durante el desarrollo de la relación laboral. En este sentido, se abordan supuesto como el pago de las nóminas, seguros de vida y pensiones, canales de denuncias, registro de jornadas, cesiones de datos a terceras empresas derechos de conciliación, derechos de conciliación, etc.

Uno de los puntos novedosos tiene relación con los datos personales relativos a las víctimas de acoso en el trabajo y a las mujeres supervivientes a la violencia de género. La AEPD, en relación con el Informe Jurídico 149/2019, aclara que estos datos personales, en especial la identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. Así, entiende que “deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la supuestamente acosadora, con objeto de preservar la identidad de estas”. Además, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora.

3. Control de la actividad laboral. En este sentido, la AEPD recuerda que el consentimiento del empleado no es necesario al estar reconocida al empresario la potestad de desarrollar un control sobre la actividad de los trabajadores en el artículo 20.3 del Estatuto de los Trabajadores. Sin embargo, la AEPD resalta la necesidad de realizar un test de proporcionalidad para la adopción de las medidas de control que se deseen implantar. La guía analiza los tratamientos de datos relativos al control de acceso a las instalaciones, videovigilancia, geolocalización, control de falta de asistencia por enfermedad o accidente y a la contratación de detectives privados.

4. Representación unitaria y sindical de las personas trabajadoras. Este apartado analiza los tratamientos clásicos de publicaciones de datos personales en tablones de anuncios, el pago de las cuotas sindicales, las cesiones a los delegados sindicales, etc. El criterio de la AEPD sobre estos puntos no ha variado en los últimos años. No obstante, si que resulta novedoso la incorporación del derecho del comité de empresa a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo. Esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el artículo 64.4 del Estatuto de los Trabajadores.

5. Vigilancia de la salud. La normativa en materia de prevención de riesgos laborales impone a la empresa la realización de un conjunto de actividades cuyo fin último es evitar o disminuir los riesgos derivados del trabajo. De estas tareas resulta el tratamiento de datos personales sensibles relativos a los empleados. Como viene estableciendo la AEPD y la normativa sectorial, el empleador no está legitimado para conocer el concreto diagnóstico médico, de modo que sólo podrá acceder a las conclusiones de dicha vigilancia de la salud referidas al concepto de «apto» o «no apto», o al desglose de las tareas que es posible realizar, con las recomendaciones pertinentes sobre la adaptación o el cambio de puesto.

Resulta interesante la aproximación a la tecnología “wearable” (monitorización de datos de salud a través de dispositivos inteligentes). La AEPD aclara que, como regla general, este tratamiento queda prohibido, a menos que esté establecido por ley o reglamentariamente al carecer de una base de legitimación, finalidad del tratamiento y por vulnerar el principio de proporcionalidad.

Publicación del Real Decreto-ley 9/2021 para garantizar los derechos laborales de las personas dedicadas al reparto en el ámbito de plataformas digitales

Sin entrar en un análisis completo de la norma, la publicación del Real Decreto-ley 9/2021, de 11 de mayo, por el que se modifica el texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, para garantizar los derechos laborales de las personas dedicadas al reparto en el ámbito de plataformas digitales (link), resulta relevante desde el punto de vista de protección de datos por regular el acceso del comité de empresa a parámetros y/o sistemas establecidos por el empleador que pueden incidir en las condiciones, el acceso y mantenimiento del empleo, que en ciertos casos conllevará el acceso a datos personales.

En concreto, el Real Decreto-ley 9/2021 introduce una nueva letra d) en el artículo 64.4 del Estatuto de los Trabajadores, estableciendo que el comité de empresa deberá ser informado “Ser informado por la empresa de los parámetros, reglas e instrucciones en los que se basan los algoritmos o sistemas de inteligencia artificial que afectan a la toma de decisiones que pueden incidir en las condiciones de trabajo, el acceso y mantenimiento del empleo, incluida la elaboración de perfiles”.