Continuando con el recorrido que venimos realizando a lo largo del RGPD, vamos a referirnos en este nuevo post a otra situación específica recogida en el Capítulo IX: el tratamiento de datos personales en el ámbito laboral recogido en el artículo 88:
1. Los Estados miembros pueden a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral.
Estas normas, deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y derechos fundamentales, prestando especial atención a:
• la transparencia del tratamiento,
• la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta y,
• los sistemas de supervisión en el lugar de trabajo.
2. Cada Estado miembro debe notificar a la Comisión las disposiciones legales que adopte a más tardar el 25 de mayo de 2018, y, sin dilación, cualquier modificación posterior de las mismas.
A su vez, el Considerando 155 hace referencia a esta cuestión y, añade que: “pueden establecer normas en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratación y la ejecución del contrato laboral.”
Como podemos observar, la norma europea otorga especial protección al tratamiento de estos datos.
A nivel estatal, nuestra Constitución Española, reconoce el derecho a la libertad sindical, y la ley que lo desarrolla (Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical), establece una serie de derechos, competencias y funciones para los representantes de los trabajadores que requiere del tratamiento de datos personales.
Además, disponemos de diferentes recursos en materia de protección de datos para abordar lo relativo a este ámbito, como por ejemplo la Guía sobre protección de datos en las relaciones laborales publicada por la AEPD en el año 2009 con el objetivo de examinar aquellos aspectos acerca de la protección de datos que, o bien resultan fundamentales desde el punto de vista de la propia aplicación y cumplimiento normativo, o bien plantean dificultades de interpretación o aplicación práctica.
Si bien el contenido de esta Guía hace referencia a la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y al Real Decreto 1720/2007, de 21 de diciembre (RDLOPD), sigue siendo una guía útil, y por ello nosotros vamos a utilizarla en este análisis para aquellas cuestiones que no se han visto modificadas con la llegada del RGPD y con el reciente Proyecto de LOPD (en adelante, PLOPD), adaptando su contenido a la normativa más actual.
Sin duda, la gestión de personal en el área de los recursos humanos, la prevención de los riesgos laborales, los controles empresariales, y las relaciones con los sindicatos, que señala la Guía como puntos clave para su análisis, son cuestiones en las que tiene especial relevancia la protección de datos de carácter personal a la que el artículo 88 se refiere.
TRANSPARENCIA E INFORMACIÓN SOBRE EL TRATAMIENTO DE LOS DATOS PERSONALES
En relación con la transparencia a la que se refiere el artículo 88, debemos hacer mención con carácter general, por un lado al artículo 12 del RGPD, cuyo contenido también fue objeto de análisis en este blog y, que recoge la transparencia de la información como derecho del interesado, y por otro lado y con carácter más novedoso, al artículo 11 del PLOPD, que se refiere también al derecho a la transparencia e información al afectado, y que recoge que:
1. El responsable del tratamiento podrá dar cumplimiento al deber de información, facilitando al afectado la información básica e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
La información básica a la que nos estamos refiriendo deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) El modo en que el afectado podrá ejercitar los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos.
2. Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá tal circunstancia y, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que pudieran producir efectos jurídicos sobre él o afectarle de manera significativa.
3. Cuando los datos de carácter personal no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información facilitándole de igual forma la información básica, pero además en estos casos, incluirá también:
a) Las categorías de datos objeto de tratamiento.
b) Las fuentes de la que procedieran los datos.
La consecuencia de la aplicación de estos artículos en el ámbito laboral, es la siguiente:
– En procedimientos de selección de personal
Conviene establecer procedimientos de información que a su vez proporcionen la confirmación por parte del candidato de conocer las condiciones en que se desarrollará el tratamiento de sus datos, es decir, facilitándoles la información básica, así como el lugar donde se alberga la restante información.
La empresa debe tener en cuenta que para ceder los datos contenidos en el CV o incluso el propio documento, debe siempre contar con el consentimiento del candidato.
– En la contratación
Una vez ya formalizada la relación laboral, el contrato de trabajo se convierte en un medio adecuado para informar al trabajador sobre los tratamientos directamente relacionados con la prestación laboral.
– Durante el desarrollo de la prestación laboral
A lo largo de la relación laboral, será necesario poner, en conocimiento del trabajador, aquellos cambios que afecten al tratamiento de sus datos.
– En las relaciones con los representantes sindicales
Aunque el deber de informar tiene como destinatario al afectado o interesado, en aquellos tratamientos que repercuten a todos los trabajadores es recomendable informar previamente a la representación de éstos para facilitar el conocimiento y la comprensión general de los mismos.
Por último, es importante indicar que la empresa, deberá tener en cuenta si trata “categorías especiales de datos”, de las recogidas en el artículo 9 RGPD como pueden ser datos de afiliación sindical.
En próximas publicaciones nos centraremos en el estudio y análisis de la transferencia de los datos dentro de un grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta y, los sistemas de supervisión en el lugar de trabajo.