Guía AEPD: Protección de datos y relaciones laborales

Introducción: Nueva guía de la AEPD

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente la guía 'Protección de datos y relaciones laborales', una herramienta práctica diseñada para ayudar tanto a organizaciones públicas como privadas a cumplir adecuadamente con la legislación de protección de datos en el ámbito laboral. Esta guía representa un paso importante en la clarificación de cómo deben aplicarse el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) en el contexto de las relaciones laborales.

La publicación de esta guía responde a la necesidad de proporcionar orientación clara y práctica sobre un tema que ha generado numerosas dudas e interpretaciones desde la entrada en vigor del RGPD. El ámbito laboral presenta particularidades específicas que requieren una interpretación cuidadosa de la normativa, especialmente en lo que se refiere al equilibrio entre los derechos de los trabajadores y las necesidades legítimas de los empleadores para gestionar la relación laboral.

La guía está estructurada de manera que permite a las organizaciones comprender no solo los aspectos teóricos de la normativa, sino también cómo aplicarlos en situaciones prácticas del día a día. Además, aborda temas que han surgido con mayor frecuencia en los últimos años, como la consulta de redes sociales por parte del empleador, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral o la protección de datos de las víctimas de acoso en el trabajo.

Cambios normativos: RGPD y LOPDGDD en el ámbito laboral

La aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios significativos tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Estos cambios han transformado la forma en que las empresas deben gestionar la información personal de sus empleados, estableciendo nuevos requisitos y obligaciones que deben cumplirse de manera estricta.

Uno de los cambios más importantes ha sido el fortalecimiento de los derechos de los trabajadores en materia de protección de datos. Los empleados ahora tienen un mayor control sobre sus datos personales y pueden ejercer sus derechos de manera más efectiva. Esto incluye el derecho de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de datos, todos ellos aplicables en el contexto laboral con las particularidades que establece la normativa.

Por otro lado, los empleadores deben adaptar sus prácticas de gestión de datos personales para cumplir con los nuevos requisitos. Esto implica no solo cambios en los procedimientos internos, sino también en la documentación, los sistemas de información y la formación del personal. La guía de la AEPD ayuda a las organizaciones a entender estos cambios y a implementar las medidas necesarias para cumplir con la normativa de manera efectiva.

Bases legales para el tratamiento de datos

El documento comienza recogiendo las bases legales que legitiman el tratamiento de datos personales en el ámbito laboral. Según el RGPD, el tratamiento de datos personales solo es lícito si se cumple al menos una de las bases legales establecidas en el artículo 6. En el contexto laboral, las bases legales más comunes son: la ejecución de un contrato de trabajo, el cumplimiento de una obligación legal, el interés legítimo del responsable o del tercero, y en algunos casos, el consentimiento del interesado.

Es importante destacar que, aunque el contrato de trabajo puede servir como base legal para muchos tratamientos de datos, esto no significa que el empleador pueda tratar cualquier tipo de dato personal del trabajador. La base legal debe ser específica para cada finalidad del tratamiento, y debe existir una relación clara entre la finalidad y la base legal invocada. La guía de la AEPD proporciona orientación detallada sobre cómo identificar y documentar correctamente las bases legales para cada tipo de tratamiento.

Además, la guía aborda la información que es necesario facilitar a los trabajadores sobre el tratamiento de sus datos personales. Esta información debe proporcionarse de manera clara, concisa y comprensible, y debe incluir aspectos como la identidad del responsable del tratamiento, las finalidades del tratamiento, la base legal, los destinatarios de los datos, el plazo de conservación, y los derechos que asisten al trabajador. La transparencia es fundamental para garantizar que los trabajadores comprendan cómo se tratan sus datos y puedan ejercer sus derechos de manera efectiva.

Derechos de protección de datos en el entorno laboral

La guía aborda también los derechos de protección de datos aplicados al entorno laboral. Estos derechos, aunque son los mismos que establece el RGPD para cualquier interesado, tienen particularidades específicas cuando se ejercen en el contexto de una relación laboral. Por ejemplo, el derecho de supresión puede entrar en conflicto con obligaciones legales del empleador de conservar ciertos datos durante períodos específicos establecidos por la legislación laboral.

El derecho de acceso permite a los trabajadores conocer qué datos personales están siendo tratados por el empleador, para qué finalidades, y durante cuánto tiempo se conservarán. Este derecho es fundamental para que los trabajadores puedan ejercer otros derechos, como el de rectificación o supresión. La guía proporciona orientación sobre cómo deben responderse las solicitudes de acceso de los trabajadores, incluyendo los plazos y el formato de la respuesta.

El derecho de oposición también tiene particularidades en el ámbito laboral. Aunque los trabajadores pueden oponerse al tratamiento de sus datos personales, esta oposición puede no ser efectiva si el empleador puede demostrar motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, derechos y libertades del trabajador, o si el tratamiento es necesario para la formulación, ejercicio o defensa de reclamaciones. La guía ayuda a entender cuándo puede ejercerse este derecho y cuáles son sus límites en el contexto laboral.

Principio de minimización de datos

La guía aborda también el principio de minimización, que establece que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Este principio es especialmente relevante en el ámbito laboral, ya que la ejecución del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras.

El principio de minimización requiere que los empleadores solo recojan y traten los datos personales que sean estrictamente necesarios para cumplir con las finalidades del tratamiento. Esto significa que, por ejemplo, no se pueden recoger datos sobre la vida privada del trabajador que no tengan relación con la relación laboral, o datos sobre su estado de salud que no sean necesarios para cumplir con las obligaciones legales en materia de prevención de riesgos laborales.

La aplicación del principio de minimización también implica que los datos personales deben conservarse solo durante el tiempo necesario para cumplir con las finalidades para las que fueron recogidos. Una vez que los datos ya no son necesarios, deben eliminarse o anonimizarse. La guía proporciona orientación sobre cómo aplicar este principio en diferentes situaciones del ámbito laboral, ayudando a las organizaciones a identificar qué datos son realmente necesarios y durante cuánto tiempo deben conservarse.

Deberes de secreto y seguridad

Además de los deberes de secreto y seguridad, la guía establece que los datos personales solo deben ser conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos. Esto implica que las organizaciones deben implementar medidas técnicas y organizativas adecuadas para garantizar que solo el personal autorizado tenga acceso a los datos personales de los trabajadores.

El deber de secreto requiere que el personal que tenga acceso a datos personales de trabajadores esté sujeto a una obligación de confidencialidad. Esta obligación puede establecerse mediante cláusulas contractuales, códigos de conducta internos, o mediante la firma de acuerdos de confidencialidad específicos. La guía proporciona orientación sobre cómo establecer y hacer cumplir estas obligaciones de confidencialidad.

En cuanto a las medidas de seguridad, la guía establece que las organizaciones deben implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Esto incluye medidas como el cifrado de datos, el control de acceso mediante autenticación y autorización, la realización de copias de seguridad, y la implementación de procedimientos para la gestión de incidentes de seguridad. La guía ayuda a las organizaciones a identificar qué medidas de seguridad son apropiadas para su situación específica.

Límites al tratamiento en procesos de selección

El documento también recoge los límites al tratamiento de datos en los procesos de selección y contratación de personal. Estos límites son especialmente importantes, ya que durante los procesos de selección se recogen y tratan datos personales de candidatos que aún no son trabajadores de la organización, y por tanto, no existe una relación contractual que pueda servir como base legal para el tratamiento.

En los procesos de selección, el empleador solo puede recoger y tratar los datos personales que sean necesarios para evaluar la idoneidad del candidato para el puesto de trabajo. Esto significa que no se pueden recoger datos sobre aspectos de la vida privada del candidato que no tengan relación con el puesto, como su orientación sexual, sus creencias religiosas, o su estado de salud (salvo que sea necesario para evaluar su capacidad para realizar el trabajo).

Además, los datos recogidos durante el proceso de selección solo pueden conservarse durante el tiempo necesario para completar el proceso. Si el candidato no es seleccionado, sus datos deben eliminarse, salvo que haya dado su consentimiento para que se conserven para futuras ofertas de empleo. La guía proporciona orientación detallada sobre cómo gestionar correctamente los datos de los candidatos durante y después del proceso de selección.

Temas de actualidad: redes sociales, whistleblowing y más

La guía también aborda temas que se plantean cada vez con mayor frecuencia en el ámbito laboral, como la consulta por parte del empleador de las redes sociales de la persona trabajadora. Este es un tema que ha generado numerosas dudas desde la popularización de las redes sociales, y la guía de la AEPD proporciona orientación clara sobre cuándo y cómo puede un empleador consultar las redes sociales de sus trabajadores.

En general, la consulta de redes sociales por parte del empleador solo es lícita si se cumple alguna de las bases legales establecidas en el RGPD, y siempre que se respeten los principios de minimización y proporcionalidad. La guía establece que, aunque la información publicada en redes sociales puede ser de acceso público, esto no significa que el empleador pueda recopilar y tratar automáticamente esta información sin una base legal adecuada y sin informar al trabajador.

Otro tema de actualidad que aborda la guía son los sistemas internos de denuncias (whistleblowing). Estos sistemas, que permiten a los trabajadores denunciar irregularidades dentro de la organización, deben cumplir con la normativa de protección de datos, especialmente en lo que se refiere a la confidencialidad de la identidad del denunciante y el tratamiento de los datos de las personas denunciadas. La guía proporciona orientación sobre cómo implementar estos sistemas de manera que cumplan con la normativa de protección de datos.

La guía también aborda el registro de la jornada laboral, que es obligatorio desde la entrada en vigor del Real Decreto-ley 8/2019. Este registro implica el tratamiento de datos personales de los trabajadores, y debe cumplir con la normativa de protección de datos. La guía establece que el registro de la jornada debe limitarse a los datos estrictamente necesarios (hora de entrada y salida), y que estos datos solo pueden utilizarse para cumplir con la obligación legal de registro, no para otros fines como el control de la productividad.

Finalmente, la guía aborda la protección de los datos de las víctimas de acoso en el trabajo. Este es un tema especialmente sensible, ya que requiere un equilibrio entre la protección de los datos de la víctima y la necesidad de investigar y sancionar el acoso. La guía establece que los datos de las víctimas de acoso deben tratarse con especial cuidado, garantizando su confidencialidad y limitando el acceso solo al personal estrictamente necesario para la investigación y la resolución del caso.

Conclusión

La guía 'Protección de datos y relaciones laborales' de la AEPD representa una herramienta valiosa para las organizaciones que buscan cumplir adecuadamente con la normativa de protección de datos en el ámbito laboral. La guía proporciona orientación práctica sobre cómo aplicar el RGPD y la LOPDGDD en situaciones concretas del día a día, ayudando a las organizaciones a entender no solo qué deben hacer, sino también cómo hacerlo.

Es importante destacar que esta guía no es solo una referencia teórica, sino una herramienta práctica que debe ser consultada regularmente por los responsables de recursos humanos, los delegados de protección de datos, y cualquier persona que tenga responsabilidades en la gestión de datos personales de trabajadores. La aplicación correcta de la normativa de protección de datos en el ámbito laboral no solo es una obligación legal, sino también una forma de generar confianza y transparencia en las relaciones laborales.

Las organizaciones que implementen las recomendaciones de la guía no solo estarán cumpliendo con la normativa, sino que también estarán mejorando sus prácticas de gestión de datos personales, lo que puede tener beneficios tanto para los trabajadores como para la propia organización. La protección de datos no debe verse como una carga administrativa, sino como una oportunidad para mejorar la gestión de los recursos humanos y fortalecer la relación entre empleadores y trabajadores.