Guía sobre Protección de Datos en las Relaciones Laborales

La Agencia Española de Protección de Datos ha publicado la guía de protección de datos en las relaciones laborales. La Guía aborda las principales cuestiones de protección de datos personales que surgen para las empresas desde el inicio hasta el fin de su relación con las personas trabajadores, así como la posición e interpretación de la AEPD respecto de cada una de ellas.

A continuación, repasamos algunos de los puntos más novedosos o que más dudas han generado desde su implantación.

1. Obligación de transparencia

Se recuerda la relevancia de la información a las personas trabajadoras respecto del tratamiento de los datos y, entre otras cuestiones, se recomienda la aproximación en información por capas.

2. Análisis de las bases de legitimación y, en particular, del consentimiento

La Guía identifica sin grandes novedades las principales bases de legitimación aplicables en las relaciones laborales, entre las que destaca la ejecución del contrato de trabajo. No obstante, también se identifican otras, como el cumplimiento de obligaciones legales, el interés legítimo empresarial —con especial mención del artículo 19.1 LOPDGDD— y la protección de intereses vitales de la persona trabajadora.

Sí es relevante el hecho de que la Guía confirma la aproximación restrictiva al consentimiento de la persona trabajadora como base lícita del tratamiento.

En este sentido y en línea con lo ya apuntado por el Comité Europeo de Protección de Datos en el pasado, la Guía señala que, “el consentimiento del afectado no es válido cuando se proporciona en un contexto de «desequilibro claro entre el interesado y el responsable del tratamiento»” y que “la posición de desequilibrio entre la empresa y la persona trabajadora exige extremar las cautelas y, en particular, el respeto a los principios de proporcionalidad y Madrid, 20 de mayo de 2021 2 de limitación de la finalidad”.

Por tanto, aunque no se descarta completamente la viabilidad del consentimiento en el ámbito laboral, sí se somete a determinadas restricciones —la no existencia de desequilibrio— y a la adopción de cautelas reforzadas. Esta aproximación restrictiva se ejemplifica en la Guía en diversos supuestos, como cuando se señala que el consentimiento no sería una base adecuada para obtener el informe de vida laboral de las personas candidatas.

3. Derechos de las personas trabajadoras

Además del reconocimiento que se hace de los derechos específicos de protección de datos en el contexto laboral, la Guía señala algunas cuestiones de interés. Por ejemplo, en materia del derecho a no ser objeto de decisiones automatizadas, la Guía recuerda que no será aplicable cuando la decisión automatizada sea necesaria para la celebración o ejecución del contrato, se base en consentimiento explícito o esté autorizada por ley.

4. Tratamiento de datos entre empresas del grupo y comunicaciones de datos

La Guía precisa que el grupo de empresas no constituye una persona jurídica, sino que cada empresa del grupo es considerada responsable autónomo del tratamiento de los datos de las personas trabajadoras. Por tanto, la regla general es que la comunicación de los datos entre empresas del mismo grupo exigirá acreditar un interés legítimo del responsable inicial del tratamiento —generalmente el empleador— o del tercero al que se comunican los datos —p. ej., la matriz del grupo—.

En esta línea, se remarca que no sería acorde a derecho una organización interna de un grupo empresarial que centralice la información de todas las personas trabajadoras en un solo fichero gestionado de forma indistinta y sin medidas (p. ej., controles y limitaciones de acceso).

La Guía es de utilidad al reconocer algunas realidades empresariales en las que la comunicación intragrupo podría resultar lícita. Este es el caso, por ejemplo,

  1. En el que el grupo o varias de sus empresas ocupan la posición de empleador en la relación laboral.
  2. En el que el grupo o varias de sus empresas ocupan la posición de empleador en la relación laboral.
  3. cuando se produce una prestación de servicios indiferenciada en varias empresas del grupo.

La base jurídica sería generalmente el propio contrato de trabajo, pero se recuerda que la persona trabajadora debe ser informada y que los grupos empresariales deberán adoptar medidas de minimización de las comunicaciones de los datos a lo que sea necesario. En el que el grupo o varias de sus empresas ocupan la posición de empleador en la relación laboral, en el caso de grupos jerarquizados en los que la empresa matriz toma decisiones directamente para las que puede requerir información, o cuando se produce una prestación de servicios indiferenciada en varias empresas del grupo

Si bien estas consideraciones son de gran utilidad para aportar seguridad jurídica a situaciones habituales en la realidad empresarial, se echa de menos alguna mención específica en la Guía a los grupos empresariales de naturaleza internacional, incluidas las cuestiones relativas a la licitud de transferencias internacionales en estos contextos.

La Guía se refiere a —y reconoce también— la licitud de la comunicación de datos de las personas trabajadoras entre empresas en otros supuesto habituales, como cuando se produce una sucesión de empresa o subrogación empresarial, o en los casos en los que una cadena de subcontratación entre empresas genera responsabilidades solidarias o subsidiarias a la empresa principal.

5. Principio de minimización

A lo largo de toda la Guía la AEPD hace hincapié en la necesidad de que el empleador cumpla con el principio de minimización en el tratamiento de los datos de los empleados. Entre las cuestiones más relevantes que señala a este respecto, destacamos las siguientes:

  • Se señala que el nombre de usuario en redes sociales u otros servicios digitales no es un dato imprescindible para la ejecución de la relación laboral, por lo que si se quiere tratar bajo el amparo de otra base, como el interés legítimo, será necesario un análisis de ponderación.
  • Si el empleador desea tratar datos de localización y contacto de la persona trabajadora (p.ej., domicilio o correo electrónico personal), no puede basar el tratamiento en la ejecución del contrato, sino que debe fundarlo en otra base de legitimación, como el interés legítimo sujeto al test de proporcionalidad “caso a caso”.
  • Criterio similar se aplica si se desean tratar datos de personas allegadas para emergencias, cuyo tratamiento sujeta la Guía al consentimiento de la persona trabajadora (no de los terceros allegados).
  • La Guía no considera lícita la cesión genérica por la persona trabajadora de sus derechos de imagen salvo que el uso de la imagen sea necesaria para la ejecución del contrato (p.ej., telemarketing en el que las video llamadas se han establecido en el contrato de trabajo).

 


Si tienes cualquier consulta al respecto, puedes contactar con nuestros despachos. Nuestro equipo de expertos resolverá todas tus dudas y te asesorará debidamente.

Despachos BK

Despachos de abogados y asesores dedicados al asesoramiento integral para autónomos, pymes y grandes empresas. Todas las asesorías y corredurías de seguros que forman parte de Despachos BK están integradas en el grupo internacional ETL Global, con presencia en más de 50 países.