Guía de la AEPD para que autónomos y negocios cumplan la ley que protege los datos de sus empleados
La Agencia Española de Protección de Datos (AEPD), junto con el Ministerio de Trabajo y Economía social, ofrece a los negocios una guía para que puedan cumplir correctamente con la legislación.
La aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) han supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los negocios con empleados.
En este contexto, la Agencia Española de Protección de Datos (AEPD), junto con el Ministerio de Trabajo y Economía social, ofrece la guía “Protección de datos y relaciones laborales”, un documento de 80 páginas elaborado con el objetivo de ofrecer “una herramienta práctica de ayuda” para que las empresas y negocios con trabajadores puedan cumplir adecuadamente con la legislación.
La AEPD resuelve las principales dudas que tienen los negocios con respecto a la protección de datos de sus empleados
Según explicaron desde la AEPD, esta guía también aborda temas “que se plantean cada vez con mayor frecuencia”, como la consulta por parte de la persona empleadora de las redes sociales de la persona trabajadora; los sistemas internos de denuncias (whistleblowing); el registro de la jornada laboral; la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género; o el uso de la tecnología “wearable” como elemento de control.
Principio de minimización y deberes de secreto y seguridad
La primera parte de la guía elaborada por la Agencia Española de Protección de Datos recoge cuáles son las bases que legitiman el tratamiento de datos personales, ofreciendo detalladamente cuál es la información que es necesario facilitar y cuáles son los derechos de protección de datos que se deben aplicar en el entorno laboral.
“El artículo 4.1 del RGPD considera dato personal ‘toda información relativa a una persona física identificada o identificable’. Por ejemplo, la información sobre nacimiento, matrimonio, domicilio, o información sobre la vida académica, profesional o laboral, o incluso sobre los hábitos de vida y consumo”, recoge la guía.
En este contexto, la AEPD explica en su guía el principio de minimización, “ya que la ejecución del contrato de trabajo no implica que la persona empleadora pueda conocer cualquier tipo de dato personal de las personas trabajadoras”. Asimismo, aborda cuáles son los deberes de secreto y seguridad, que se resumen en que “los datos personales sólo deben ser conocidos por la persona afectada y por aquellos usuarios de la empresa con competencias para usar, consultar o modificar esos datos.
Selección de personal y redes sociales
A la hora de llevar a cabo un proceso de selección de personal, el Reglamento General de Protección de Datos toma un papel importante, ya que son muchos los factores que se deben tener en cuenta para cumplir con la normativa.
Uno de los métodos muy utilizados hoy en día para la búsqueda de talento son las redes sociales. Sin embargo, hay una serie de limitaciones y prohibiciones cuando se utilizan con fines laborales.
“Las personas no están obligadas a permitir que la persona empleadora indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida”, explicaron desde la AEPD.
Para ello, añadieron, “es necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo”.
Sistemas internos de denuncias o “whistleblowing”
En lo que respecta a los sistemas internos de denuncias, también llamados “whistleblowing”, desde la Agencia Española de Protección de Datos aseguraron que tanto la información de los empleados que denuncian como la de los denunciados “reviste un carácter primordial” en materia de protección de datos.
Estos sistemas, explicaron, se suelen configurar mediante la creación de buzones internos, a través de los cuales los empleados pueden informar sobre actos o conductas que van en contra de la ley o el convenio colectivo.
“La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información de la persona denunciante debe quedar a salvo y no debe facilitarse su identificación a la persona denunciada”, explicaron.
Asimismo, destacaron, el personal con funciones de gestión y control de recursos humanos “sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo”.
Registro de jornada obligatorio
En lo referente al registro de jornada obligatorio, que tanto ha dado que hablar en los últimos años, la AEPD recomienda en su guía “que se adopte el sistema menos invasivo posible” y recuerda que este “no puede ser de acceso público ni estar situado en un lugar visible”.
A su vez, señalaron desde la AEPD, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. “Es el ejemplo de una persona trabajadora cuyo registro de jornada se realiza por geolocalización. La finalidad de ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo, pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica”, destacaron.
Algoritmos o sistemas de inteligencia artificial
La inteligencia artificial también ha llegado hasta el Reglamento de Protección de datos, ya que los trabajadores tienen el derecho de ser informados sobre los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, “incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y el mantenimiento del empleo”.
Según recoge la guía de la AEPD, se trata de una novedad aprobada en el RD-ley 9/2021, que modificó el Estatuto de los Trabajadores, “constituyendo un precedente de transparencia adicional a las garantías de la normativa de protección de datos”.
Protocolos de acoso y protección de los datos de las víctimas
La guía elaborada por la AEPD y el Ministerio de Trabajo y Economía Social aborda también la protección de la privacidad de las víctimas de acoso en el trabajo. Según señalaron, “los datos personales, y en particular su identidad, tienen la consideración de categorías especiales de datos”, ya que se trata de datos sensibles que exigen una protección reforzada.
“Deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas”, señalaron. Además, la persona empleadora podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género “cuando resulte necesario para el cumplimiento de las obligaciones legales”.
En todo caso, explicaron, la documentación de la que disponga el negocio o empresa “debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora”.
