¿Qué recomienda la AEPD para los tratamientos de datos en el proceso de selección?

La gestión de datos personales en el área de los recursos humanos, la prevención de los riesgos laborales, los controles empresariales, los canales de denuncias internas o «Whistleblowing», y las relaciones con la representación legal de las personas trabajadoras son los temas más sensibles y que en la práctica habitual generan mayor problemática en relación con la protección de datos en el ámbito laboral, lo que impulsó al legislador a abordar mediante la Ley de Protección de Datos y Garantías de Derechos Digitales la garantía de los derechos digitales, mediante una serie de preceptos con especial relevancia en las relaciones laborales:

• Derecho a la intimidad y uso de los dispositivos digitales en el ámbito laboral (artículo 87).
• Derecho a la desconexión digital en el ámbito laboral (artículo 88).
• Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo (artículo 89).
• Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (artículo 90).
• Derechos digitales en la negociación colectiva (artículo 91).

La AEPD ha publicado una guía con recomendaciones para la aplicación de la LOPDGDD y RGPD en la selección y contratación, distintos aspectos de la relación laboral, vigilancia de la salud, registro de jornada o canal whistleblowing entre otros. El documento «La protección de datos en las relaciones laborales», se orienta a responsables y encargados del tratamiento de datos personales pretendiendo servir de orientación sobre el contenido del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, general de protección de datos (en adelante (en adelante, RGPD)  y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) sobre aspectos de la actividad laboral asociados a los “derechos digitales”.

Dentro de las 80 páginas que componen la Guía no vinculante destacamos:

SELECCIÓN Y CONTRATACIÓN

Utilizando como base jurídica el art. 6.1.b) del RGPD, la Agencia nos indica una serie de cautelas en el tratamiento de datos personales durante la fase previa a la contratación, es decir, en el proceso de selección:

• Principios de minimización y limitación de la finalidad: únicamente cabe solicitar datos relevantes para el desempeño del puesto de trabajo y no información indiscriminada
• Modelo tipo para el currículo: Es conveniente contar con un procedimiento para su entrega por las personas candidatas, ya que ello permite no sólo informar adecuadamente, sino también definir con precisión el tipo de datos a tratar, establecer las medidas de seguridad, etc. Si el currículo se presenta directamente por la persona candidata sin habérsele solicitado, deben fijarse procedimientos de información que supongan algún acuse o confirmación de que se han conocido las condiciones en las que se desarrollará el tratamiento.
• Anuncio o convocatoria pública del puesto ofertado: debería incluirse en ella la información del art. 13 del RGPD.
• El deber de información deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.
• La empresa es responsable de la custodia de la documentación entregada por la persona candidata.

CUESTIÓN

¿Cómo tratar el informe de la vida laboral?

La AEPD es conocedora de que los empleadores solicitan el informe de la vida laboral a las personas candidatas durante el proceso de selección. Sobre este aspecto:

a) La empresa no está legitimada para obtener ese informe directamente de la Seguridad Social.
b) El consentimiento no es una base jurídica válida en este caso, pues no es completamente libre para la persona trabajadora. La empresa podría acreditar un interés legítimo para solicitar el informe de vida laboral, a los efectos de comprobar la veracidad y la experiencia que la persona candidata refleja en su solicitud.
c) El informe que eventualmente se entregue no necesariamente debe ser completo, sino adaptado al interés legítimo que el empleador demuestre (principio de minimización de datos).

JURISPRUDENCIA

STS, rec. 6188/1996, de 31 de octubre, ECLI:ES:TS:2000:7922

Se consideran datos personales las impresiones o valoraciones subjetivas de quienes llevan a cabo el proceso de selección), por lo que debe garantizarse la transparencia en el tratamiento de esos datos, incluyendo la posibilidad del ejercicio de los derechos de acceso, rectificación, oposición y supresión.

SELECCIÓN DE PERSONAL Y REDES SOCIALES

Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, se recalca por parte del organismo que las personas candidatas y las personas trabajadoras no están obligadas a permitir la indagación del empleador en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato.

La indagación en los perfiles de redes sociales de las personas candidatas a un empleo sólo se justifica si están relacionados con fines profesionales y respetando el derecho a ser informada sobre ese tratamiento de la persona trabajadora.

Con base en el Dictamen 2/2017 sobre el tratamiento de datos en el trabajo del Grupo de Trabajo del Artículo 29, la empresa no está legitimada para solicitar «amistad» a personas candidatas ni la información que éste comparta con otras personas a través de las redes sociales.

ENTREVISTAS DE TRABAJO

Los datos obtenidos mediante las respuestas de una entrevista, directamente o mediante deducciones (por ejemplo, creencias religiosas o afiliación sindical o política), no pueden ser objeto de tratamiento si no se dispone de una base jurídica (datos necesarios para la ejecución del contrato, interés legítimo o consentimiento).

Se recuerda en este punto la penalización como infracción administrativa muy grave en la Ley sobre Infracciones y Sanciones en el Orden Social, aprobado por Real Decreto Legislativo 5/2000, de 4 de agosto (TRLISOS) de la solicitud de datos de carácter personal en los procesos de selección, dando lugar a discriminaciones contrarias al principio de igualdad.

UTILIZACIÓN DE AGENCIAS DE COLOCACIÓN, EMPRESAS DEDICADAS A LA SELECCIÓN DE PERSONAS TRABAJADORAS, O ETTS.

En relación con la responsabilidad del tratamientos de datos se diferencia entre agencia de colocación y ETT: 

• La agencia de colocación localizará a las personas candidatas interesadas en ese puesto y la base jurídica del tratamiento será el art. 6.1.b) del RGPD, al ser necesario para la celebración del contrato de trabajo, y no el consentimiento. Una vez que desaparece esta base jurídica que legitima el tratamiento de datos, éstos deberán ser destruidos o devueltos al responsable del tratamiento.
• Las empresas de trabajo temporal (ETT) serán responsables del tratamiento, pues son empleadoras directas de las personas trabajadoras.

En aquellos casos en que las agencias de colocación y empresas de selección contacten con las personas candidatas antes de disponer de ofertas de empleo concretas, y por tanto sin un contrato como encargadas del tratamiento previamente celebrado con otra empresa, serán consideradas responsables del tratamiento de los datos de la persona candidata.

Por último, será necesario el consentimiento de la persona candidata para que la empresa donde solicita trabajo ceda sus datos.

TOMA DE DECISIONES BASADAS EN TRATAMIENTO AUTOMATIZADO

Como recuerda la AEPD, el RGPD prohíbe la toma de decisiones basadas «únicamente en el tratamiento automatizado, incluida la elaboración de perfiles» cuando produzca «efectos jurídicos en el interesado o le afecte significativamente de modo similar». Es decir, cuando las decisiones para la celebración o ejecución de un contrato se lleven a cabo por esta vía ha de ser tratada como una excepción a las regla general y debe ser interpretada restrictivamente. 

"El procedimiento debe contemplar algún mecanismo de intervención humana si la persona afectada así lo solicita, además de un cauce para que esta persona exprese su opinión y, en su caso, impugne la decisión. Asimismo, tendrá derecho a recibir una explicación de la decisión tomada después de tal evaluación (considerando 71 del RGPD). Para ser considerada como intervención humana, el responsable del tratamiento debe garantizar que cualquier supervisión de la decisión sea significativa, en vez de ser únicamente un gesto simbólico.

Debe llevarse a cabo por parte de una persona autorizada y competente para modificar la decisión. Como parte del análisis, debe tener en cuenta todos los datos pertinentes."

Con base jurídica en el art. 35.3 del RGPD, se entiende que el diseño e implementación del algoritmo deberá realizarse una evaluación de impacto.

Recordar en este punto al reciente «Ley riders» obligando al suministro de información a los sindicatos sobre los algoritmos y los sistemas de inteligencia artificial que determinen las condiciones laborales.

DATOS ESPECIALMETE SENSIBLES

El art. 4.15 del RGPD, cataloga como datos especialmente protegidos los datos personales «relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud». Matizándose por la AEPD:

• Reconocimientos médicos (art. 9.2.h) del RGPD): el tratamiento de datos con fines de «medicina preventiva o laboral» y «evaluación de la capacidad laboral del trabajador no requiere el consentimiento. Se recuerda que una persona solicitante de empleo sólo puede ser interrogada sobre su estado de salud y/o ser examinado médicamente para indicar su idoneidad para el empleo futuro o cumplir los requisitos de la medicina preventiva.
• Test psicotécnicos o psicológicos: el tratamiento de datos obtenidos exige el consentimiento de la persona afectada. Antes de recabar este tipo de datos es necesario analizar la proporcionalidad del tratamiento y la base jurídica para el mismo, por tratarse n datos especialmente sensibles, por lo que exigen medidas para garantizar la privacidad y la confidencialidad reforzadas. La persona candidata deberá ser informada, teniendo derecho a acceder a los resultados y conocer los criterios de selección utilizados por la empresa. 

CONSERVACIÓN DE DATOS EN CASO DE NO CONTRATACIÓN

Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de datos, por lo que sería necesario su consentimiento para un futuro tratamiento (por ejemplo, incorporación a una bolsa de trabajo), salvo que el empleador pueda demostrar un interés legítimo. En caso contrario, debe destruir el currículum y proceder a la supresión y bloqueo de los datos personales.

FUENTE: Guía «La protección de datos en las relaciones laborales». AEPD. Mayo 2021