Normalmente, cuando hablamos de protección de datos, las empresas suelen pensar en sus clientes, pero una parte importante de la protección de datos implica gestionar correctamente los datos personales de sus empleados y, sobre todo, hacerlo cumpliendo con la normativa.

En Mayo, la AEPD publicó una guía sobre protección de datos y relaciones laborales para ayudar a las empresas a cumplir correctamente con los preceptos del RGPD y la LOPD-GDD.

Para facilitar las cosas, distinguiremos tres situaciones:

  • Antes de la relación laboral
  • Durante la relación laboral
  • Una vez finalizada la relación laboral

Antes de la relación laboral

No solo deben protegerse los datos personales de los trabajadores, sino también de aquellas personas que se postulan en un proceso de selección o que nos dejan un curriculum en la empresa.

Si iniciamos un proceso para buscar empleados, debemos tener en cuenta que en el anuncio que pongamos deben incluirse los siguientes datos:

  • La identidad y dirección del Responsable en materia de protección de datos
  • La finalidad del tratamiento
  • Los derechos que pueden ejercer los interesados

Si alguien se presenta por propia iniciativa y nos deja un curriculum en la empresa, es necesario entregarle un documento que deje constancia de la recepción del CV y le informe de para qué se van a utilizar sus datos, el tiempo de conservación, sus derechos, etc. Si recibimos el curriculum por email, es conveniente tener una cuenta de correo específica (del tipo rrhh@tuempresa.com) que incluya un autorespondedor con la misma información del documento que entregamos en mano, para que responda de manera automática con dicha información.

Aunque es un comportamiento que se ve de manera habitual, dar referencias laborales o facilitar el curriculum de un candidato o extrabajador a otras empresas que lo soliciten, no puede hacerse sin el consentimiento previo y expreso del interesado.

Tampoco se puede exigir la vida laboral del candidato, pues es un documento confidencial. En este caso, la empresa puede solicitarlo y el candidato puede valorar su entrega de manera voluntaria.

Durante la relación laboral

Una vez que el candidato se convierte en empleado, también hay que cumplir una serie de requisitos para garantizar la protección de datos del trabajador, así como la de nuestros clientes.

  • En cuanto a los datos del trabajador:

Lo más recomendable es que en el momento de la firma del contrato con el empleado se le entregue un impreso donde se le informe de:

  • Los datos que se van a utilizar y su finalidad
  • La legitimación que tiene la empresa para tratarlos y a quién pueden ser comunicados (mutuas, gestoría laboral, administraciones públicas, etc.)
  • Los derechos que puede ejercer sobre sus datos personales

Además, si en el lugar de trabajo se hace uso de cámaras de videovigilancia para el ejercicio de las funciones de control por parte del empresario, o se geolocaliza al trabajador porque es necesario debido a la función realizada (por ejemplo, en empresas de transporte o de seguridad), también debe de informarse de ello en este documento.

Si se van a tratar datos biométricos de los empleados (como una huella dactilar) para el acceso a la empresa o para control horario, se deberá solicitar el consentimiento del trabajador. Si el empleado no presta su consentimiento, puede facilitarse otro sistema para acceder como el uso de una tarjeta personal, un código de acceso, etc.

No obstante, es necesario matizar esto.

El tratamiento de estos datos está expresamente permitido por la normativa cuando el empresario cuente con una base legitimadora, como es el propio contrato de trabajo, por lo que bastaría con la mera información previa al trabajador de que se requerirán sus datos biométricos para acceder a la oficina.

Sin embargo, los datos biométricos, son datos sensibles y por ello requieren de unas medidas de protección más amplias. Por ello, si no se desea solicitar el consentimiento del empleado para el tratamiento de sus datos biométricos, y solo se le va a informar de su uso, se deberá garantizar el cumplimiento previo de los siguientes requisitos:

  1. Se ha realizado una EIPD antes de implementar el sistema de control biométrico.
  2. Se respetan los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos.
  3. Los datos biométricos deberán almacenarse como plantillas biométricas siempre que sea posible.
  4. El sistema biométrico utilizado y las medidas de seguridad elegidas deberán garantizar que no es posible reutilizar los datos biométricos para otra finalidad.
  5. Se deberán utilizar mecanismos basados en tecnologías de cifrado, para evitar la lectura, copia, modificación o supresión no autorizadas de los datos biométricos.
  6. Posibilidad de anonimizar los datos.
  7. Utilización de formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
  8. Supresión de los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento. Además, si fuera posible, deberán implementarse mecanismos automatizados de supresión de datos.

Por otro lado, si se pretenden publicar imágenes de los empleados en la web de la empresa o redes sociales, para publicidad, etc. será necesario también obtener su consentimiento previo.

Además, el empresario deberá cumplir con la protección de datos en las nóminas de los empleados. Las nóminas son confidenciales, y por ello se debe garantizar que no existe acceso a esos datos por personas no autorizadas, que no pueden modificarse sin autorización, y que el trabajador tendrá acceso a las nóminas cuando lo necesite.

Lo habitual es que las empresas tengan externalizado el servicio de gestión de nóminas. En ese caso está obligada a firmar con la empresa encargada de prestar ese servicio el correspondiente contrato, a través del cual se asegura de que ese tercero va a aplicar las medidas de seguridad necesarias para proteger esos datos, y los demás requisitos exigidos por la normativa de Protección de Datos (Registro de actividades de tratamiento, análisis de riesgos, notificación de brechas de seguridad, etc.).

Para poder enviar al trabajador la nómina a través de su email personal es necesario que este haya dado su consentimiento expreso para ello, sino la empresa debe facilitarle otro medio alternativo para el envío de esas nóminas que no supongan el tratamiento de su email.

  • Respecto a los datos de los clientes:

Como el empleado va a tratar a su vez datos de los clientes de la empresa, es necesario que firme también un compromiso de confidencialidad y hacerle entrega de un manual con las obligaciones básicas que tendrá como trabajador en materia de protección de datos. Entre las que se encuentran:

  • La obligación de mantener el secreto de los datos personales que maneja.
  • Hacer uso de los datos únicamente para los fines para los cuales han sido recabados.
  • No divulgar las contraseñas que tengan para acceder a los equipos informáticos o a los documentos que contengan datos de carácter personal.
  • Solicitar las autorizaciones necesarias para el tratamiento de dichos datos, siempre que se refieran a salidas o entradas de soportes informáticos
  • No utilizar con fines privados los sistemas informáticos de la empresa, sin autorización del empresario.

Una vez finalizada la relación laboral

El empresario sigue teniendo una serie de obligaciones respecto a la protección de datos de sus extrabajadores.

Al finalizar la relación laboral debe modificar o eliminar al usuario de las cuentas corporativas, servicios, aplicaciones y canales para evitar que pueda llevarse información de la empresa. Y también, eliminar los datos de carácter personal del trabajador, pues ya han dejado de ser necesarios para la finalidad para la cual fueron recabados.

No obstante, se podrán conservar durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de la relación jurídica o de la ejecución del contrato. Una vez cumplido ese período, los datos sólo podrán ser conservados previa disociación de estos.

 

Desde ExpertosLOPD® te recordamos que, si necesitas ayuda para implantar todas estas medidas en tu empresa, y garantizar el correcto cumplimiento en el tratamiento de los datos de tus trabajadores, puedes contar con nosotros para adaptarte a la normativa. ¡Contáctanos y te facilitaremos un presupuesto ajustado a tus necesidades!