El Reglamento UE 2016/679, de 27 de abril, General de Protección de Datos (“RGPD”), que resulta directamente aplicable a partir de hoy, 25 de mayo de 2018, sin necesidad de transposición directa por parte de los Estados, implica que todas las empresas que actúen en la Unión Europea deban adoptar nuevas políticas, procesos y prácticas en el ámbito de la gestión de los datos personales de sus clientes, usuarios, proveedores y, también, de sus trabajadores y departamentos de Recursos Humanos.
A continuación, resumimos las nuevas reglas del juego para las empresas respecto de los datos personales de sus trabajadores. Sin duda un gran cambio de paradigma que, unido el elevado importe de las multas –que pueden alcanzar los 20 millones de euros o el 4% de los ingresos brutos del grupo empresarial al que pertenezca la compañía– convertirá esta materia en indispensable para los departamentos de recursos humanos.
1. Finalidades de la recogida de datos personales
Los datos que pueden recogerse y tratarse a partir de ahora en el marco de la relación laboral se limitan a aquellos que sean adecuados, pertinentes y necesarios para el cumplimiento del contrato de trabajo.
En el ámbito laboral, el tratamiento será legítimo cuando resulte necesario para la ejecución del contrato de trabajo (p.e., sistemas de control de presencia), o bien por ser necesario para el cumplimiento de una obligación legal (p.e. pago de nóminas). En cambio, el consentimiento será necesario cuando no concurra otra base jurídica que legitime el tratamiento (p.e. cuenta de correo electrónico personal), siendo este espacio reducido en el ámbito de la relación laboral, debiendo además articular las garantías necesarias para asegurar que el consentimiento del trabajador sea libre, específico, informado e inequívoco.
2. Información cualificada a los trabajadores
La información que ha de proporcionarse sobre el tratamiento de datos es más amplia que la actualmente prevista en la actual normativa e incluye la obligación de informar sobre los fines del tratamiento, la base jurídica del tratamiento, los datos de contacto del Delegado de Protección de Datos (“DPD”), o el plazo durante el cual se conservarán los datos personales. Esta información debe facilitarse tanto en el momento en el que se obtengan los datos personales del trabajador como respecto de los trabajadores actualmente en plantilla, evaluando, en cada caso, cuál es el mejor modo de cumplir con esta obligación.
3. Nuevos derechos de los trabajadores
Además de los tradicionales derechos ARCO, se reconocen nuevos derechos (como el derecho a la portabilidad de los datos) y se regulan derechos específicos como el derecho al olvido, cuya ejecución por los trabajadores es limitada durante el desarrollo de la relación laboral, aunque podría cobrar relevancia una vez terminada. También se introduce el derecho a oponerse a actividades de profiling o segmentación de perfiles, que impide a las empresas tomar decisiones basadas únicamente en el tratamiento automatizado (lo cual tendrá una importante incidencia en la implementación de software de inteligencia artificial en el ámbito de los recursos humanos).
4. Información a los representantes de los trabajadores
En atención a las competencias de vigilancia y control que el Estatuto de los Trabajadores asigna a la representación legal de los trabajadores, habrá que analizar cada supuesto de hecho concreto para valorar en qué medida la empresa debe informarles. Habida cuenta de las últimas resoluciones de la AEPD, será necesario encontrar el equilibrio entre la buena fe de la empresa en la negociación y los requisitos para la cesión legal de datos que impone el nuevo Reglamento.
5. Delegado de Protección de Datos
Las empresas afectadas por el RGPD deberán designar un DPD (ya sea internamente o externalizándolo en un tercero) bajo determinadas circunstancias. El DPD debe actuar con independencia y deberá contar con los recursos necesarios para el desempeño de sus funciones y para el mantenimiento de sus conocimientos especializados. Si bien el RGPD no atribuye al DPD la condición de representante legal de los trabajadores, ni equipara sus derechos y garantías a esta figura, no podrá ser destituido ni sancionado por dichas actividades como represalia por el ejercicio de sus responsabilidades.
6. Evaluaciones de impacto y violaciones de seguridad
Se establece la obligación para las empresas de llevar a cabo evaluaciones previas de impacto para aquellos tratamientos que supongan un riesgo significativo para los derechos de los trabajadores, lo que incluiría, por ejemplo, cualquier control de presencia tecnológico.Además, cuando la empresa sufra un fallo de seguridad que ponga en riesgo los datos personales que trata, deberá notificarla a la AEPD y a los trabajadores afectados sin demora injustificada y, a ser posible, en las 72 horas siguientes a haber tenido constancia.
7. Códigos de conductas telemáticos
Es el momento oportuno para revisar las políticas internas o códigos de conducta sobre el uso de medios telemáticos que las empresas tengan implantados, no sólo para incorporar la nueva normativa en materia de protección de datos, sino para adaptar su contenido a la sentencia del Tribunal Europeo de Derechos Humanos (TEDH) dictada en el Caso Barbulescu II contra Rumanía (ver entrada en el Blog aquí), así como al impacto de las nuevas tecnologías en el ámbito laboral.
8. Video vigilancia
Conviene revisar también el procedimiento de instalación y el uso de cámaras de video vigilancia en la empresa a la luz de la sentencia del TEDH en el caso López Ribalda y otros contra España (ver entrada en el Blog aquí), en la que se determina que para la instalación de cámaras fijas debe informarse de forma previa y clara a los trabajadores sobre su finalidad, de conformidad con lo previsto en la normativa de protección de datos. Además, el nuevo Proyecto de Ley Orgánica de Protección de Datos –que actualmente se encuentra en tramitación parlamentaria– contiene una previsión expresa sobre la instalación de sistemas de cámaras para el control de la actividad laboral.
9. Transferencia internacional de datos fuera de la UE
La transferencia de datos personales de los trabajadores a países que no garanticen el mismo nivel de protección que el establecido en el RGPD deberá cumplir una serie de requisitos. En el caso de empresas localizadas en EE.UU., deberá verificarse si se encuentran adheridas al denominado Privacy Shield, en cuyo caso podrán transferirse datos personales a dichas empresas sin que sea necesario cumplir requisitos adicionales.
10. Actualización de contratos con proveedores
Por último, resulta necesario actualizar los contratos suscritos con aquellos proveedores o contratistas que tengan acceso a datos personales de la empresa (por ejemplo, los prestadores de servicios de gestión de nóminas o de selección personal), a fin de adecuarlos a las nuevas exigencias del RGPD.
Publicado por Jennifer Bel Antaki y Sergi Gálvez Durán
