El pasado 25 de mayo entró en vigor el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), que se aplica directamente a todos los Estados miembros de la Unión Europea y deroga sus legislaciones en todo lo que sea contrario a su regulación.
En España la derogación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, todavía no será efectiva hasta que el Gobierno apruebe el Proyecto de Ley Orgánica de Protección de Datos que publicó en noviembre del año pasado. Por tanto, hasta que esto no ocurra, seguirá estando en vigor la LOPD 15/1999, en todo aquello que no sea contradictorio con el RGPD.
El nuevo RGPD afecta directamente al tratamiento de los datos personales de los trabajadores en el ámbito de las relaciones laborales, poniendo de manifiesto que los convenios colectivos de los distintos Estados miembros pueden establecer normas específicas relativas al tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratación, la ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por convenio colectivo, la gestión, planificación y organización del trabajo, la igualdad y seguridad en el lugar de trabajo, la salud y seguridad en el trabajo, así como a los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y prestaciones relacionados con el empleo y a efectos de la rescisión de la relación laboral.
El RGPD incorpora los principios de responsabilidad proactiva y el principio de transparencia, a través del cual incluye, junto con los derechos ARCO (acceso, rectificación, cancelación y oposición), los derechos al olvido, a la portabilidad y a la limitación en la recogida de datos.
También se hace especial mención a la necesidad de regular las situaciones de trasferencia de datos entre empresas del mismo grupo o las producidas en una unión de empresas dedicadas a una actividad económica común, así como a los sistemas de supervisión en el lugar de trabajo, entre los cuales se encuentra principalmente la videovigilancia y el control informático y se incorpora la figura del delegado de protección de datos.
De manera breve, detallamos algunas de las situaciones que se pueden producir en el ámbito laboral:
Tratamiento de la información
Debe informarse al interesado ya sea empleado o candidato, del tratamiento o uso que se va a realizar con los datos recopilados por la empresa. También deben facilitarse los datos de contacto de la empresa y del delegado de protección de datos, si existe tal figura.
El consentimiento facilitado por el candidato a un puesto de trabajo debe ser específico e inequívoco. Debe existir un procedimiento de obtención y uso de los datos que puedan contener el currículum del candidato. Los currículums que no se conserven, deben destruirse de manera correcta y segura.
Únicamente serán objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento, por lo tanto, los datos de los empleados sólo deben utilizarse para el fin contractual para el que fueron recabados. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
En el caso de los procesos de selección, una vez finalizados estos, deben destruirse los currículums, si no existe un motivo para su conservación. Sin embargo, si el candidato forma parte de una bolsa de empleo o bien se inscribe en una ETT para tener acceso a los trabajos eventuales que puedan surgir, el periodo de mantenimiento del currículum sería indefinido o hasta el momento en que el candidato decida darse de baja.
Recibos de salario
Al externalizar la gestión de la plantilla de trabajadores, la empresa encargada pasa a tener la consideración de encargado del tratamiento de estos datos, debiendo quedar reflejadas en un contrato las obligaciones que esta empresa adquiere. En este contrato, además, se deberá establecer que los datos serán tratados siguiendo las instrucciones del responsable del fichero y que no se utilizarán para una finalidad distinta a la establecida en el objeto del contrato.
Supervisión y control empresarial
Las empresas pueden utilizar los medios tecnológicos que consideren necesarios para controlar la actividad de sus empleados. No es necesario un consentimiento previo del trabajador, pero sí es imprescindible informarle del tratamiento de sus datos y de las actuaciones que la empresa permite o prohíbe. Las medidas de control deben ser proporcionales y adecuadas al objetivo perseguido por la empresa y resulta necesario que todos los trabajadores afectados por estas medidas conozcan, de forma clara y concreta, las instrucciones que sobre esta materia debe facilitar la empresa.
Con respecto a las cámaras de videovigilancia, deben cumplir los siguientes requisitos:
- Existencia de un cartel explicativo, en lugar visible, de las zonas videovigiladas.
- Respetar el principio de proporcionalidad y el derecho a la intimidad.
- Las grabaciones se pueden conservar durante un plazo máximo de un mes desde su obtención.
Calle Las Mercedes, 31 - 3º 48930, Getxo
(+34) 944 800 500
sbal@sbal.net