La protección de datos en las relaciones laborales: nueva guía publicada por la AEPD
Publicado el 23rd junio 2021
La Agencia Española de Protección de Datos ha publicado la guía "La protección de datos en las relaciones laborales" con el objetivo de dar una serie de orientaciones a las empresas en materia de protección de datos respecto a las distintas casuísticas que se plantean como consecuencia de la relación laboral entre empleado y empleador.
En la elaboración del documento "La protección de datos en las relaciones laborales" (la "Guía") ha participado no solo la Agencia Española de Protección de Datos ("AEPD"), sino también el Ministerio de Trabajo y Economía Social, así como la patronal y organizaciones sindicales. En un primer bloque, la Guía hace referencia a distintos aspectos generales en materia de protección de datos, tales como cuáles son las bases legitimadoras en el marco de una relación laboral, la forma en la que se debe facilitar la información a los empleados, así como los derechos aplicables a los empleados en materia de protección de datos. En concreto, cabe destacar la mención que hace la AEPD al principio de minimización (no solo en este bloque, sino a lo largo de toda la Guía), insistiendo en que el empleador únicamente tiene derecho a conocer los datos personales que resulten estrictamente necesarios para el normal desarrollo de la relación laboral, no debiendo recabar otros que no resulten necesarios para la ejecución del contrato de trabajo.
En un segundo bloque, la AEPD hace referencia a distintas situaciones que se producen antes, durante y después de la relación laboral, de las que destacamos las siguientes:
- En la fase de selección y contratación, la AEPD señala entre otras cuestiones que, en relación con los perfiles que los candidatos tienen en redes sociales, aunque estos sean públicos, el empleador deberá contar con una base jurídica válida para el tratamiento de los datos obtenidos a través de esta vía y, en consecuencia, deberá facilitar al candidato la correspondiente información en materia de protección de datos. Por otra parte, la AEPD aclara que la empresa no está en ningún caso legitimada para solicitar "amistad" a las personas candidatas para que éstas proporcionen acceso al contenido de sus perfiles.
- En el marco de la relación laboral, la AEPD se ha pronunciado también acerca del uso de datos biométricos de los empleados, Indicando que dichos datos únicamente tienen la consideración de categoría especial de dato cuando se sometan a un tratamiento técnico dirigido a la identificación biométrica y no en el caso de verificación o autenticación. En el caso de tratamiento de datos biométricos, la AEPD recomienda optar por sistemas de verificación o autenticación, basados en la lectura de los datos biométricos almacenados como plantillas cifradas en soportes que puedan ser conservados exclusivamente por las personas trabajadoras (como, por ejemplo, tarjetas inteligentes). Asimismo, la AEPD ofrece una serie de recomendaciones para el adecuado tratamiento de los datos biométricos, y señala que (i) éstos sean almacenados como plantillas biométricas siempre que sea posible, (ii) el sistema biométrico utilizado y las medidas de seguridad elegidas no permitan la reutilización de los datos biométricos para otra finalidad, (iii) se utilicen mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos para otra finalidad, (iv) el sistema biométrico se diseñe de modo que se pueda revocar el vínculo de identidad, y (v) se opte por utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no aprobada.
- Por lo que se refiere a los sistemas internos de denuncia (whistleblowing), la AEPD destaca la importancia del deber de información e indica que tanto denunciados como denunciantes deben ser informados de forma previa acerca de la existencia de estos sistemas y del tratamiento de datos que conllevan, incluyendo su comunicación a una tercera compañía para la investigación del suceso y, tras un tiempo prudencial en el que se lleva a cabo la investigación preliminar de los hechos, notificar al denunciado el hecho que se le imputa. Por último, la AEPD insiste en esta sección en que los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias sin que aplique la obligación de bloqueo, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica.
- Otra de las cuestiones sobre las que trata la Guía es el registro de la jornada laboral, indicando que dicho registro deberá ser conservado durante cuatro años y permanecer a disposición de los trabajadores, así como de los representantes de las personas trabajadoras y de la Inspección de Trabajo y la Seguridad Social. La AEPD incide también en que el registro no podrá ser de acceso público ni situarse en un lugar visible y que los datos obtenidos no podrán ser utilizados con finalidades distintas a las del control de la jornada laboral. Por otra parte, destacar el papel del delegado de protección de datos en todo el ciclo de la vida de la documentación vinculada al registro (lo que incluye desde el asesoramiento a la dirección de la empresa para la confección y custodia de la documentación hasta la resolución de incidencias que pudieran surgir).
- En cuanto al control de la actividad laboral, la Guía destaca la implantación de sistemas de geolocalización indicando, por una parte, que las compañías deberán asegurarse de que los datos recogidos a través de dichos sistemas no se utilicen a los efectos de permitir la observación continua de los empleados y, por otra, que no se podrá imponer a la persona trabajadora la obligación de proporcionar medios personales para facilitar dicha geolocalización. Asimismo, en este punto, la AEPD manifiesta que los registradores de datos de incidencias que, en ocasiones, se instalan en los vehículos y que se activan ante acontecimientos concretos (por ejemplo, cambios bruscos de dirección o accidentes) son especialmente invasivos, dado que permiten observar y revisar el comportamiento al volante del trabajador.
- En materia de vigilancia de la salud, destaca la AEPD que las facultades de acceso a información de salud por parte de la empresa y los delegados de prevención son muy escasas y, en la práctica, se limitan a conocer las condiciones de aptitud o no aptitud de las personas trabajadoras.
En definitiva, podemos afirmar sin ninguna duda que la presente Guía supone una hoja de ruta para las compañías a la hora de afrontar las principales problemáticas que pueden plantearse dentro del ámbito laboral a raíz con la aplicación del Reglamento General de Protección de Datos.