La protección de datos en el ámbito laboral
Respuesta: La protección de las personas físicas en relación con el tratamiento de los datos personales es un derecho fundamental. Es cierto que, cuando se habla del cumplimiento de la normativa de protección de datos, se da especial relieve a la necesidad de proteger los datos de los clientes, pero esta normativa tiene también un gran campo de aplicación en el tratamiento que se da por parte de la empresa a los datos de los trabajadores.
La normativa general de protección de datos la encontramos en el Reglamento comunitario de protección de datos (RGPD), de obligado cumplimiento en España desde mayo de 2018, y en la Ley Orgánica de protección de datos personales y garantía de los derechos digitales, que se va actualizando progresivamente, siendo la última modificación de mayo de 2021.
El Reglamento citado recoge en su artículo cinco los principios generales que deben respetarse en el tratamiento de datos personales, principios que se aplican lógicamente a los datos que se obtienen de los trabajadores. Así, se señala la importancia de la “licitud, lealtad y transparencia” en relación con el interesado; la necesidad de que los datos sean recogidos con fines determinados, explícitos y legítimos, sin que puedan ser tratados después de manera incompatible con dichos fines; que se tienda a la “minimización de datos”, es decir, que se obtengan solo los datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; necesidad de la exactitud de esos datos y de la adopción de las medidas necesarias para actualizarlos siempre que fuera necesario; conservación de esos datos no más tiempo del necesario para los fines del tratamiento de los datos personales, pudiendo conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, de investigación científica o histórica o estadísticos, con las limitaciones que impone el mismo Reglamento para proteger los derechos y libertades del interesado; garantizar la seguridad adecuada de esos datos, con la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
Otras disposiciones van dirigidas en concreto a la protección de datos de los trabajadores. Así, se prevé, por ejemplo, el modo de preservar el derecho a la intimidad de los trabajadores en el uso de los dispositivos digitales puestos a su disposición por su empleador, determinándose, entre otras cosas, que este solo podrá acceder a los contenidos derivados del uso de esos medios digitales a los efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de esos dispositivos y que los empleadores deberán establecer criterios concretos de utilización de los dispositivos digitales, respetando en todo caso los estándares mínimos de protección de su intimidad, criterios en cuya elaboración deberán participar los representantes de los trabajadores, si los hubiera.
Desde el inicio hasta la extinción
Está claro que desde el inicio de la relación laboral hasta la extinción de la misma hay obligaciones para el empleador en relación con la protección de datos. Ya en las entrevistas de selección habrá que valorar, por ejemplo, qué preguntas personales pueden hacerse; una vez extinguida la relación, habrá que prestar atención al tiempo en que puede la empresa conservar los datos de los trabajadores y con qué fines.
Existen herramientas muy útiles, de fácil acceso, que pueden servir de orientación en esta materia. De especial utilidad resulta la Guía sobre protección de datos y relaciones laborales que la Agencia Española de Protección de Datos (AEPD) publicó en 2021. En ella se tratan temas que se plantean cada vez con más frecuencia como la consulta de las redes sociales sobre los datos de los trabajadores por parte de la persona empleadora, los sistemas internos de denuncias, el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género, o el uso de la tecnología wearable (dispositivos inteligentes como pulseras o relojes) como elemento de control, la instalación de sistemas de videovigilancia, etc.
En la página web de la AEPD se ofrecen también orientaciones sobre las preguntas más frecuentes. Entre ellas, destacamos, por ejemplo, si los justificantes de ausencia laboral pueden contener datos de salud, si las tarjetas identificativas de los trabajadores pueden incluir nombre, apellidos y DNI, si vulnera la normativa de protección de datos el tratamiento de la huella digital para el control de cumplimiento de la jornada laboral, si se puede instalar GPS en los coches de empresa que utilizan los trabajadores, si se pueden solicitar los antecedentes penales para un puesto de trabajo, si el empresario o el comité de empresa puede acceder a los resultados de reconocimientos médicos, aunque sea con la intención de evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores, etc.
Como puede comprobarse, la casuística es amplia y la normativa que haya de tenerse más en cuenta en cada empresa dependerá de sus características, por lo que las obligaciones concretas a las que cada empresa debe ajustarse en esta materia de tendrá que determinarse examinando exhaustivamente su actividad y determinando los riesgos más destacables.
Efectivamente y, según las noticias que le han llegado, las sanciones económicas por incumplimiento de esta normativa pueden ser muy elevadas: las infracciones leves se pueden sancionar con multas de hasta 40.000 euros, y las multas en caso de infracciones muy graves ascienden hasta los 20 millones de euros o el 4% de la facturación anual (la cantidad que sea mayor). Para calcular la sanción correspondiente en cada caso concreto, se tendrán en cuenta, además de la gravedad de la infracción, otros criterios que se establecen en la normativa citada.
