La protección de datos en las relaciones laborales
publicado el 17 junio 2021
Categorías: Abogados TICs / Protección de Datos
La Agencia Española de Protección de Datos (AEPD) ha publicado la guía de «Protección de Datos en las Relaciones Laborales» con la colaboración del Ministerio de Trabajo y Economía Social y de organizaciones empresariales (CEOE y CEPYME) y sindicales (CCOO y UGT), con el objetivo de analizar aspectos de la protección de datos que resultan esenciales como consecuencia de la aplicación y el cumplimiento normativo. La guía pretende también realizar una orientación práctica dirigida a los responsables del tratamiento de datos o a las personas o entidades que realicen esta función, para facilitarles el cumplimiento de la legislación.
Dentro de los temas abordados por la guía destacamos los relativos a la videovigilancia, el control de la actividad laboral, el control de acceso a las instalaciones y la vigilancia sanitaria.
En lo relativo a la videovigilancia, la base jurídica para realizar este control es el contrato de trabajo y las capacidades legales de control otorgadas al empleador, por lo que no es necesario el consentimiento de la persona trabajadora. Su uso debe producirse sólo en los casos en los que no sea posible emplear otros medios que causen menos impacto en la privacidad del trabajador y estos deben ser informados sobre la adopción de esta medida por parte de la empresa. Se producirá un tratamiento de datos en los casos en los que las cámaras graben imágenes y en las que reproduzcan en tiempo real. Sin embargo, la normativa de protección de datos no se aplicará si utilizan cámaras simuladas.
En lo que respecta al control de la actividad laboral, no es necesario el consentimiento del trabajador dado que la base jurídica para establecer medidas de control de las personas trabajadoras y realizar el tratamiento de los datos personales derivados de esa situación se encuentra recogida en el artículo 20.3 del ET, que indica que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”. Debido a la implantación de nuevas tecnologías como medidas de control y al incremento que supone su uso en la afectación de los derechos de los trabajadores, es necesario realizar un test de proporcionalidad en el que se valorará: si la medida es susceptible de alcanzar el objetivo propuesto; si es necesario y si no hay otra medida menos invasiva con igual eficacia; y su es ponderada o equilibrada. Si supera el test, el empleador podrá hacer uso de las medidas de control respetando siempre el derecho a la protección de datos si se produjese un tratamiento de datos personales.
Sobre el control de acceso a las instalaciones, la guía indica que no se necesita el consentimiento de los trabajadores para establecer los controles que estimen necesarios, pero estos deben respetar los derechos fundamentales. La base jurídica para el tratamiento de los datos puede ser el contrato de trabajo, cuando el propósito sea el control de los trabajadores, pero puede ser también el interés legítimo del empleador si el objetivo fuese distinto, como por ejemplo la protección de los bienes empresariales. En el caso de que se emplearán datos biométricos para realizar dicho control, es necesario diferenciar los supuestos de identificación biométrica, de los supuestos de verificación o autenticación biométrica. Cuando se traten datos biométricos, la AEPD recomienda emplear sistemas de verificación o autenticación biométrica. Aconsejan también que los sistemas biométricos se basen en la lectura de los datos biométricos almacenados como plantillas cifradas en soportes cuya conservación sea exclusiva de las personas trabajadoras, como sería el caso de las tarjetas inteligentes. En el caso de que decidieran emplear un sistema de identificación biométrica, es necesario que realicen una evaluación de impacto.
En lo que respecta al control sanitario, el ET autoriza que las empresas realicen controles médicos a los trabajadores que falten al trabajo por enfermedad o accidente. La comprobación del estado de enfermedad supone un tratamiento de datos de salud, que se considera una categoría especial de datos y su base jurídica es el contrato de trabajo (art.6.2.b del RGPD). La empresa no puede conocer los detalles concretos del reconocimiento médico, sino únicamente la conclusión de la misma, si la persona trabajadora puede o no reincorporarse a su puesto de trabajo. Además, la vigilancia de los datos de salud mediante dispositivos inteligentes, está prohibida salvo que se establezca por ley o reglamentariamente. Según indica el art.22.1 de la LPRL, el empresario garantizará la vigilancia periódica del estado de salud de sus trabajadores, atendiendo a los riesgos inherentes al trabajo, siempre que estos presten su consentimiento. No obstante, el RGPD permite el tratamiento de datos de salud, sin que se requiera del consentimiento, en situaciones de interés público en el entorno de la salud pública y la realización de las obligaciones legales en el ámbito laboral que se deriven de esas circunstancias. Es importante destacar que en el contexto actual de emergencia sanitaria, el tratamiento de datos personales sigue realizándose atendiendo a la normativa de datos personales (RGPD y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
Además de los temas mencionados anteriormente, la guía también trata otras materias sobre las que es importante que las empresas reciban un buen asesoramiento, como son la selección del personal y las redes sociales, la protección de la privacidad de las víctimas de acoso en el trabajo y de la violencia de género, las decisiones automatizadas o los sistemas internos de denuncias o “whistleblowing”.