Protección de datos y relaciones laborales (Parte II: tratamientos durante el desarrollo de la relación laboral)

Continuando con el análisis de la fase previa a la contratación en el marco de las relaciones laborales hoy pasamos a analizar los distintos tratamientos involucrados durante el desarrollo propiamente dicho de la relación laboral.

Debemos recordar en este sentido tal y como señalamos en la parte I de selección y  contratación que el consentimiento no constituye una base jurídica idónea dentro del marco del contrato de trabajo, por la situaciones de desequilibrio de poder entre las partes implicadas derivado de la dependencia de la relación entre el empleador y el empleado (Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679) de tal forma que debemos acudir a esta base de legitimación de manera excepcional y siempre y cuando podamos acreditar que el mismo se ha otorgado de forma libre, inequívoca e informada.

Con carácter general el cumplimiento y ejecución de un contrato (art. 6.1.b) del RGPD) será la base legitimadora que sustente los principales tratamientos de datos realizados durante la relación laboral empleado empleador, pero también nos vamos a encontrar con otras bases de legitimación como el cumplimiento de una obligación legal o incluso el interés público o interés legítimo del responsable o de un tercero. En todo caso, los datos han de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Aunque La AEPD aborda en esta fase tratamientos con los que ya estamos más familiarizados como los derivados de las nóminas o identificación de los empleados a través de tarjetas identificativas, a continuación vamos a centrar nuestro análisis en analizar aquéllas actividades de mayor interés y actualidad que a nuestro juicio tienen lugar durante esta fase de vigencia del contrato laboral partiendo de su encaje en las distintas bases de legitimación:

TRATAMIENTOS BASADO EN UN INTERÉS PÚBLICO

CANAL DE DENUNCIAS INTERNAS

Estos sistemas se suelen configurar mediante la creación de buzones internos a través de los cuales las personas trabajadoras de la entidad generalmente mediante un procedimiento online, ponen de manifiesto la comisión, en su seno o en la actuación de terceros que contraten con ella, de actos o conductas contrarios a la ley o al convenio colectivo. Es por ello que nuestra autoridad de control considera que la información tanto a los denunciantes como a los potenciales denunciados reviste un carácter primordial.

Deber de información: Tanto los denunciantes como los potenciales denunciados deberán haber sido informados previamente de la existencia de estos sistemas y del tratamiento de los datos que conlleva la formulación de una denuncia.

La información puede proporcionarse por varios cauces:

  • Directamente en el contrato de trabajo.
  • Individual o colectivamente al implementar o modificar el sistema.
  • Mediante circulares informativas al personal y a su representación informando de la existencia y finalidad de un tratamiento de datos relacionado con estos sistemas

Limites: El acceso a los datos deberá limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento, o al encargado del tratamiento, que eventualmente se designen a tal efecto, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.

Medidas a adoptar:

  1. Limitar el acceso al contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos en el documento de seguridad;
  2. Establecer un sistema de registro de accesos;
  3. Firma de compromisos reforzados de confidencialidad con los usuarios autorizados, con especiales medidas disuasorias para el caso de vulnerarse el deber de secreto.

Derechos: Además deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante. En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses.

Comunicación o cesión de datos: Si los datos contenidos en los sistemas de denuncias fueran a ser transmitidos a una tercera entidad que investigue el hecho denunciado se producirá una comunicación de datos, de la que el afectado, tanto el denunciante como el denunciado, deberán ser debidamente informado.

Podéis conocer más sobre este canal de denuncias internas en anteriores publicaciones de nuestro blog pinchando aquí

TRATAMIENTOS BASADO EN INTERESES LEGÍTIMOS

  1. PUBLICACIÓN DE DATOS DE PRODUCTIVIDAD

En relación con el concepto retributivo de productividad y la publicación de estos datos debemos hacer una adecuada ponderación entre el interés legítimo y la lesión de los derechos de los afectados.

Para ello la AEPD nos remite a uno de sus informes y nos da una serie de pautas para superar esta prueba de ponderación:

1.-¿El tratamiento es necesario para la finalidad prevista?

El abono de un complemento de productividad y la publicación de los datos de rendimiento para dotar de transparencia al proceso y motivar a las personas trabajadoras a obtener mejores resultados podría constituir un interés legítimo.

2.-¿Cómo debe llevarse a cabo la publicidad de dichos datos?

Para que la publicidad no resulte indiscriminada, la misma deberá ajustarse a la finalidad perseguida, por lo que, como regla general, los datos de productividad no pueden publicarse por un medio que permita el acceso de personas distintas a las personas trabajadoras de la empresa.

3.- ¿Cómo debe realizarse la publicidad para que resulte lo menos perjudicial para la persona afectada?

Además de evitar la difusión generalizada, la publicación de la productividad no debe contener datos que permitan identificar a la persona trabajadora si el mismo objetivo puede lograrse por medios menos invasivos, por ejemplo, identificando a la persona trabajadoras con un código que sólo conozcan las personas autorizadas (por ejemplo, la propia persona trabajadora, el departamento de recursos humanos, etc.).

En todo caso deberemos garantizar que los datos de productividad no puedan ser utilizados para futuros tratamientos con finalidad incompatible de aquella que motivó su recogida.

2. CESIÓN DE DATOS A OTRAS EMPRESAS (Grupos de empresas):

Regla general: la comunicación de los datos entre empresas del mismo grupo exigirá acreditar un interés legítimo bien del responsable del tratamiento, o bien del tercero al que se comunican los datos. Ese interés legítimo puede consistir en la centralización de las actividades de carácter administrativo.

Excepción: la base jurídica será el propio contrato de trabajo en caso de grupos que ocultan una realidad empresarial única, pero únicamente cabe el tratamiento de los datos imprescindibles para e concreto proceso de toma de decisiones (minimización). La persona trabajadora deberá ser informada.

Derechos: como buena práctica se recomienda la creación de procedimientos internos dentro del grupo para el ejercicio de derechos.

3. ACCESO A DATOS DE OTRAS PERSONAS CANDIDATAS A UN PUESTO DE TRABAJO

Las personas trabajadoras tienen derecho a conocer la información pertinente para fundar una reclamación cuando consideren que han sido discriminados en el acceso al empleo o en la promoción profesional.

Derechos de los afectados:

En los procesos de concurrencia competitiva los candidatos al empleo tendrán derecho a conocer si así lo reclaman por parte del futuro empleador, , información sobre la cualificación profesional de las otras personas candidatas y, en particular, de quienes han obtenido mayor valoración.

Limites:

  1. Sólo debe permitirse el acceso a los datos relevantes para la tutela de los derechos e intereses que se entienden vulnerados (principio de minimización de datos).
  2. No se podrán utilizar los datos para una finalidad distinta a la de la defensa del derecho.
  3. En la medida de lo posible, deben proporcionarse datos disociados.
  • No debe proporcionarse al solicitante un currículum completo de las otras personas candidatas, sino limitado a la formación, experiencia profesional y los datos estrictamente relevantes para formalizar la reclamación.
  • No deberá permitirse el acceso como regla general a la siguiente información: Nombre Fotografía Dirección postal o de correo electrónico

Excepción:

Si bien en determinados casos dependiendo de cuál sea la finalidad de la reclamación (discriminación por razón de sexo, de raza, de edad, etc.), la persona trabajadora puede acceder a datos personales como la edad, el país de nacimiento, la raza o el sexo de la persona candidata elegida, pero no necesariamente a todos esos datos simultáneamente, sino solamente a los verdaderamente relevantes.

TRATAMIENTOS BASADOS EN EL CUMPLIMIENTO DE UNA OBLIGACIÓN LEGAL

  1. REGISTRO DE JORNADA

El registro de jornada con el que deben contar todas las empresas de conformidad con lo dispuesto en el art. 34.9 del ET, tiene su base jurídica en una obligación legal de incluir el horario concreto de inicio y finalización de la jornada de cada persona trabajadora.

Deber de información: La persona trabajadora tendrá derecho a ser informada y, en su caso, a ejercitar los derechos de acceso, rectificación, oposición y supresión, con independencia de que el registro sea más o menos sofisticado.

Límites: La Agencia nos recomienda que se adopte el sistema menos invasivo posible en este sentido la AEPD ya ha reiterado en varios informes relativos al uso de sistemas basados en datos biométricos para llevar a cabo el control horario el uso de tarjetas personales, códigos personales que por sí mismos o junto con otros constituyen medidas igualmente de eficaces para el mismo fin:

  • El registro de jornada no puede ser de acceso público ni estar situado en un lugar visible.
  • Los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación.
  • Esos registros en cuanto suponen un tratamiento de datos, porque permiten identificar a una persona en concreto deberá estar incluido en el Registro de las Actividades del Tratamiento (art. 30 RGPD)

 Realización de una evaluación de impacto en algunos casos en los que en atención al número de trabajadores y al concreto formato empleado (por ejemplo, datos biométricos).

Podéis conocer más sobre el registro de jornada en anteriores publicaciones de nuestro blog pinchando aquí

2. REGISTRO DE SALARIOS

El art. 28.2 del ET y el Real Decreto 902/2020, de 13 de octubre, de igualdad retributiva entre mujeres y hombres, obligan al empleador a llevar un registro de salarios.

Regla general: Aunque el registro de salarios constituye una exigencia legal esto no implica a priori un tratamiento de datos personales, pues en dicho registro no ha de constar el salario de cada persona trabajadora, sino los «valores medios» de los salarios, los complementos salariales y las percepciones extrasalariales de la plantilla «desagregados por sexo y distribuidos por grupos profesionales, categorías profesionales o puestos de trabajo iguales o de igual valor». Es decir, no se contempla un derecho a la información, ni el ejercicio de derechos de acceso, rectificación, oposición y supresión, pues no se produce un tratamiento de datos personales y por tanto no resulta de aplicación los principios y fundamentos en materia de protección de datos.

Excepción: ¿qué sucede cuando en la empresa existan categorías o grupos profesionales con un reducido número de personas trabajadoras?

Como ejemplo la AEPD aborda un posible caso, cuando solo existan una o incluso dos personas trabajadoras de distinto sexo, lo que supondría que fuesen perfectamente identificables por mera deducción para todo el que pudiera acceder al registro.

Cuando ello sucediera:

  1. El registro debería contar con las medidas de seguridad basadas en el análisis de riesgos conforme al RGPD.
  2. El empleador debería informar a las personas trabajadoras del tratamiento de datos personales y de su finalidad.
  3. Los representantes de las personas trabajadoras estarían obligados a respetar la confidencialidad acerca de esa información.

3. PROTECCIÓN DE LA PRIVACIDAD DE LAS VÍCTIMAS DE ACOSO EN EL TRABAJO Y DE LAS MUJERES SUPERVIVIENTES A LA VIOLENCIA DE GÉNERO

Acoso en el trabajo: la puesta en marcha de procedimientos sancionadores en la empresa frente al acosador no requiere del consentimiento de la persona acosada. La base jurídica es el cumplimiento de una obligación legal (art. 6.1.c) del RGPD). La obligación de la empresa está ligada a su posición de garante de salud y seguridad en el trabajo, conforme a los artículos 4.2.d) del ET y 14 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales (LPRL) (las personas trabajadoras tienen derecho a una protección eficaz en materia de seguridad y salud en el trabajo).

Deber de confidencialidad:

La empresa debe garantizar la confidencialidad, así:

  • La identidad de la víctima sólo será revelada ante las personas con interés en el procedimiento, no siendo admisible una publicidad masiva o indiscriminada sin consentimiento de la víctima, ni tampoco el acceso a los datos de personas no legitimadas.
  • Deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la supuestamente acosadora, con objeto de preservar la identidad de estas.
  • La víctima debe prestar su consentimiento para declarar o testificar en los procedimientos sancionadores frente al acosador.
  •  

Deber de información: La empresa debe informar a la persona acosada y a la supuestamente acosadora sobre el tratamiento de datos y sobre el ejercicio de los derechos de acceso, rectificación, oposición y supresión.

Excepción:

No obstante, el derecho de supresión no puede ser ejercitado si la empresa decide sancionar al acosador, pues en tal caso la base jurídica del tratamiento no es el consentimiento, sino el cumplimiento de una obligación legal y la ejecución del contrato de trabajo, en el que se incluye el ejercicio de la potestad sancionadora.

En todo caso, la cesión o comunicación de datos de la víctima requiere su consentimiento, salvo previsión legal en contra.

Para finalizar esta fase dentro del marco de la relación laboral queremos resaltar una la novedad relevante como son las decisiones automatizadas, las cuales son admitidas con carácter excepcional, cuando sean necesarias para la celebración o ejecución de un contrato y que pueden ser determinantes para las personas trabajadoras que tienen derecho al ascenso o sobre la renovación o extinción de contratos. No obstante, no resulta admisible que las decisiones basadas en la utilización de algoritmos y la elaboración de perfiles produzcan discriminación. Cuando el resultado de la decisión vulnere derechos fundamentales, el diseño del algoritmo debe ser modificado.

En este sentido se introduce como novedad que el comité de empresa tiene derecho a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo. Esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías de la normativa de protección de datos.

En el próximo artículo seguiremos analizando la incidencia en protección de datos en el control de la relación laboral.