Para continuar con el análisis de la Guía sobre Protección de datos y relaciones laborales publicada por la Agencia Española de Protección de Datos (AEPD) que hemos venido analizando en las últimas publicaciones de nuestro blog (parte I y parte II), en la cual se abordan cuestiones que se plantean cada vez con mayor frecuencia como la consulta por parte del empleador de las redes sociales, los sistemas internos de denuncias, el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso elementos de control laboral, en el presente artículo vamos a centrarnos en el punto concreto del control de la relación laboral.
En primer lugar, hemos de partir de la base de que el propio Estatuto de los Trabajadores (ET) en su artículo 20 atribuye las facultades al empleador para llevar a cabo un control laboral, control que en ocasiones puede conllevar consigo un tratamiento de datos de carácter personal, es por ello por lo que si este tratamiento se lleva a cabo ha de realizarse acorde a una base legitimadora de las indicadas en artículo 6.1. del RGPD.
En el caso que nos ocupa, la legitimación con la que cuenta el empleador para el tratamiento de datos de sus trabajadores con una finalidad de control laboral es el tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (Art.6.1.c RGPD), obligación legal que encontraremos amparada en el propio Art. 20 ET. Por lo tanto, en base a lo indicado la empresa no tendría la obligación de recabar el consentimiento de sus trabajadores (Art.6.1.a RGPD) dado que ya cuenta con la legitimación referenciada para llevar a cabo el control laboral.
En cuanto la forma de la realización del control empresarial, la Guía nos indica que el método utilizado puede ser más o menos sofisticado, a elección del empleador, siempre y cuando este no incremente el riesgo de afectación a los derechos de los trabajadores, por su gran potencial invasivo: controles biométricos como la huella dactilar, videovigilancia, geolocalización, etc.
Por lo tanto, siempre que se realice con algún método que implique el uso de nuevas tecnologías se exige al empleador la realización de una prueba de proporcional, el cual consistirá en los siguientes pasos:
- Juicio de idoneidad: ¿El método utilizado es susceptible de conseguir el objetivo perseguido?
- Juicio de necesidad: ¿Es necesario el método, o existe otro menos intrusivo para los derechos de los trabajadores?
- Juicio de proporcionalidad: ¿La medida es necesaria o equilibrada? ¿Se derivan de ella más ventajas que inconvenientes para los derechos de los interesados?
Superado este test con las respuestas a las preguntas planteadas anteriormente el empleador podrá determinar si adopta o no adopta la medida de control.
Una vez tomada la decisión tendremos en cuenta que en la medida en que suponga un tratamiento de datos de carácter personal ha de cumplir con los siguientes principios:
- Principio de información (Arts.13 y 14 RGPD): Debe informar a sus trabajadores sobre la finalidad del tratamiento de datos, y por tanto sobre la existencia y propósito de la medida de control.
- Principio de minimización de datos (Art.5.1c RGPD): No puede recabar más datos de los estrictamente necesarios.
- Principio de limitación de la finalidad (Art. 5.1.b RGPD): No está legitimado para utilizar los datos con finalidades distintas del control empresarial.
Si quieres conocer un análisis más profundo de los principios que engloba el RGPD puedes visualizar en nuestras anteriores entradas del blog pinchando aquí.
Es importante recalcar que las cautelas indicadas se extienden a todo tipo de controles realizados por el empresario, como, por ejemplo;
- Control de acceso a las instalaciones, supuesto en el que la empresa no ha de contar con el consentimiento de los interesados como base legitimadora, dado que el propio contrato de trabajo se estima una legitimación suficiente para el control laboral. A pesar de lo indicado siempre se han de respetar los derechos fundamentales de los trabajadores, pudiendo suponer el no hacerlo una sanción por parte de la Agencia Española de Protección de Datos (AEPD) como ha ocurrido en casos de utilización de huella dactilar, por ejemplo en el caso polémico de un gimnasio, sobre el que os informábamos hace unos meses aquí.
- Videovigilancia, hemos de partir de la base de que la imagen se considera como un dato de carácter personal, ya que identifica o hace identificable a una persona.
El tratamiento de datos con fines de videovigilancia se regula en el art. 22 de la LOPDGDD. Según el art. 89 de la LOPDGDD, estas imágenes pueden tratarse para el ejercicio de las funciones de control de las personas trabajadoras, con los siguientes requisitos:
- Al igual que ocurre con el caso anterior, la base legitimadora para el control laboral en este sentido es el propio contrato laboral. Por lo cual no se estima necesario el consentimiento del interesado.
- La videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad.
- Se ha de cumplir con el principio de minimización del art. 5 del RGPD.
- La empresa debe informar a las personas trabajadoras y, en su caso, a sus representantes, con carácter previo, y de forma expresa, clara y concisa, acerca de esta medida.
- En el supuesto de que se haya captado la comisión flagrante de un acto ilícito por las personas trabajadoras, se entenderá cumplido el deber de informar cuando se haya colocado un dispositivo informativo en lugar suficientemente visible concretando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos. En este sentido contamos con una conocida sentencia que hemos analizado con anterioridad a este post en el presente blog.
- Se produce un tratamiento de datos tanto si las cámaras graban imágenes como si las reproducen en tiempo real.
- Está prohibida la instalación de sistemas de grabación de imagen y/o sonido en lugares destinados al descanso o esparcimiento de las personas trabajadoras, tales como vestuarios, aseos, comedores y análogos.
- Deben implementarse las medidas de seguridad pertinentes, en función de los análisis de riesgos y, eventualmente, de la evaluación de impacto si fuera necesaria.
- Si una tercera empresa gestiona las cámaras (encargado del tratamiento) ha de firmarse con esta un contrato de acceso a datos por cuenta de terceros en virtud del art. 28 RGPD.
- Respecto de la supresión de los datos, el art. 22.3 de la LOPDGDD permite su conservación durante un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.
- Geolocalización,
El art. 90 de la LOPDGDD permite el uso de sistemas de geolocalización para el control de las personas trabajadoras, aunque conviene tener en cuenta una serie de premisas;
- Tal y como hemos indicado en los puntos anteriores, en el caso de la geolocalización, la base legitimadora para el control laboral también es el propio contrato laboral. Entendiéndose que no es necesario el consentimiento del interesado.
- Los trabajadores han de ser informados de forma expresa, clara e inequívoca acerca de la medida de control laboral.
- El personal laboral deberá de recibir la información respectiva a sus derechos en materia de protección de datos (ARSOPOL).
- El empleador deberá de cumplir con los principios de minimización y limitación de la finalidad, es decir, si la finalidad de la geolocalización es el registro horario, los datos no podrán ser utilizados para verificar la ubicación de la persona trabajadora en cada momento, sino las horas de inicio y fin de la actividad, que es lo que permite la base jurídica del registro horario (art. 34.9 del ET).
- Asimismo, también se deberá cumplir por parte del empleador con el principio de proporcionalidad, de tal manera que se utilice el método elegido siempre y cuando no exista otro menos invasivo para los derechos y libertades de los interesados, en este caso los trabajadores.
Si estas interesado en profundizar sobre este punto cuentas con uno de nuestros artículos del blog, pinchando aquí.
- Detectives Privados, en este caso el empleador deberá cumplir con una serie de cautelas:
- Utilizar esta medida siempre y cuando no exista otra que sea menos invasiva en los derechos de los trabajadores (superación del test de proporcionalidad).
- El tratamiento no requiere de consentimiento por parte del interesado.
- Se encuentra prohibido investigar la vida íntima de los trabajadores, es decir, al igual que adelantábamos con la geolocalización, este control debe limitarse al horario de jornada laboral.
- En cuanto al informe del detective privado, este se limitará a tratar el objeto y la finalidad para la que se realiza la investigación. Teniendo dichas investigaciones carácter privado y solo pudiéndose poner a disposición del cliente o de las autoridades competentes en el caso de que se solicite.
Para concluir, como hemos analizado a lo largo del presente artículo en base al contenido de la Guía de la AEPD partimos de que el empleador está legitimado para llevar a cabo el control laboral (art.20.3. RGPD), eso sí, este control siempre ha de hacerse previa realización de un test de proporcional, de tal manera que se asegure tanto el respeto a los derechos fundamentales de los trabajadores como el cumplimiento de la normativa en materia de protección de datos (RGPD y LOPDGDD).
En el próximo artículo seguiremos analizando la incidencia en protección de datos en lo relacionado con la representación unitaria y sindical de las personas trabajadoras.