La Agencia Española de Protección de Datos (AEPD) ha publicado una guía sobre la protección de datos en las relaciones laborales para ayudar a las organizaciones, públicas y privadas, en el adecuado cumplimiento de la legalidad vigente. La guía da respuesta a algunos de los interrogantes surgidos en el actual marco jurídico, especialmente tras la publicación del Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
La entrada en vigor del RGPD impuso numerosas obligaciones relacionadas con la recogida de datos, el consentimiento, el almacenaje, la conservación y el uso de datos protegidos, así como la comunicación o cesión de éstos. Como complemento de lo anterior, la AEPD había venido publicando distintas guías para promover y clarificar la aplicación de la legislación de protección de datos vigente.
Pero la realidad es que, en el ámbito específico de las relaciones labores, las obligaciones anteriormente indicadas habían venido suscitando, y suscitan hoy por hoy, importantes interrogantes tanto desde un punto de vista interpretativo como, sobre todo, desde un punto de vista práctico.
Precisamente para tratar de dar respuesta a algunos de dichos interrogantes, la AEPD ha publicado la guía sobre la protección de datos en las relaciones laborales.
En concreto, esta guía se divide en seis grandes apartados:
- Aspectos generales
- Selección y contratación
- Desarrollo de la relación laboral
- Control de la actividad laboral
- Representación unitaria y sindical de las personas trabajadoras
- Vigilancia de la salud
La guía realiza una exposición teórica resumida, pero específicamente enfocada en la materia que en cada caso se aborda, que se complementa tanto con ejemplos prácticos concretos como con dictámenes o sentencias que permiten conocer el sentido de las resoluciones dictadas al efecto, todo lo cual resulta de gran interés.
Por un lado, la guía incluye cuestiones ya más estudiadas como el tratamiento de los datos en relación con los contratos de trabajo o con las nóminas, especificando que no debe figurar información superflua o adicional a la relación de ingresos y deducciones derivadas del contrato de trabajo y señalando que no se debe incluir la mención a la afiliación sindical. En este ámbito, se concluye que ninguna empresa está legitimada para exigir que sus trabajadores comuniquen datos sobre la citada afiliación sindical, ideología política, creencias religiosas u orientación sexual.
Con carácter adicional a lo anterior, destacan sobre todo las referencias a cuestiones que, por ser mucho más actuales, han sido menos analizadas y, por tanto, están generando mayor incertidumbre.
Así, por ejemplo, se dedica un apartado completo al tratamiento de datos en relación con los novedosos sistemas internos de denuncias o whistleblowing, respecto a los cuales se indica que dichos buzones deben respetar el principio de proporcionalidad, así como el principio de limitación de la finalidad, por lo que no cabe utilizar la información obtenida por esta vía con fines distintos a los que motivaron la implementación del sistema, debiendo en todo caso adoptarse cuantas medidas sean necesarias para proporcionar la adecuada seguridad y confidencialidad.
También se advierte sobre las implicaciones en materia de protección de datos de los registros de salarios, los cuales a priori no tendrían por qué requerir el tratamiento de datos. No obstante, como bien señala la guía, dicho tratamiento podría acabar siendo obligatorio por ejemplo en aquellas categorías o grupos profesionales con un reducido número de trabajadores que hicieran que determinada información disociada pudiera convertirse en un dato personal.
Se incluye también un análisis pormenorizado en el tratamiento de datos que se generan en supuestos de videovigilancia, geolocalización, control de accesos, así como en caso de captación de datos biométricos, exponiendo detalladamente distintos supuestos y condiciones que tanto la Agencia de Protección de Datos, como los tribunales, están exigiendo para su realización desde un punto de vista de la protección de los datos. Así, por ejemplo, se expone el supuesto de un empresario que instala un sistema de control de acceso y videovigilancia en la entrada de una sala de servidores en la que se almacenan en formato digital datos sensibles de la compañía. De este modo, si algún dato es objeto de acceso no autorizado, pérdida o robo, los registros guardados por el empresario le permitirían determinar quién tuvo acceso a la sala en ese momento. El Dictamen 2/2017 sobre este asunto concluye que, habida cuenta de que el tratamiento es necesario y no vulnera el derecho a la vida privada de los trabajadores, este puede ser legítimo si los empleados han sido informados adecuadamente sobre el tratamiento. Por el contrario, resuelve que la observación continua de la frecuencia y los tiempos exactos de entrada y salida de los trabajadores no podría justificarse si estos datos se utilizan también para otros fines, como la evaluación del desempeño.
Igualmente interesantes resultan todas las referencias al tratamiento de datos en relación con el acceso a información por los representantes de los trabajadores o la publicación de datos personales en los tablones de anuncios. A este respecto, y sin discutirse que el cumplimiento de las obligaciones y el ejercicio de los derechos de los representantes permiten el tratamiento de datos personales de los trabajadores sin el consentimiento de estos, dicho tratamiento debe limitarse a los datos necesarios, no debiendo el empleador ceder a los representantes más datos que los imprescindibles para realizar sus funciones, lo que se denomina expresamente como minimización de datos.
En resumen, y como bien se indica en la propia presentación de la guía, el propósito de la misma no consiste, exclusivamente, en resumir o estructurar el contenido de la norma, sino sobre todo en proporcionar una orientación de carácter práctico, aunque, eso sí, y como específicamente se resalta, no vinculante. A nuestro entender, objetivo alcanzado.
Departamento Laboral de Garrigues