Infracciones sobre la protección de datos personales de las personas trabajadoras

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Laboral
  • Fecha última revisión: 27/05/2020

Las personas trabajadoras por cuenta ajena poseen una serie de derechos o intereses específicos sobre sus datos personales recogidos tanto por el RGPD, como por la reciente LOPDGDD, y que van desde el momento anterior a la contratación, como pudiera ser la gestión de datos personales en el área de los recursos humanos, a derechos específicos como el de prevención de los riesgos laborales, la intimidad, la imagen, la desconexión digital, o en relación a posibles denuncias de incumplimientos como los canales de denuncias internas o «Whistleblowing», y las relaciones con la representación legal de las personas trabajadoras (arts. 87-91 de la LOPDGDD).

Las personas trabajadoras por cuenta ajena poseen una serie de derechos o intereses específicos sobre sus datos personales recogidos tanto por el RGPD, como por la reciente LOPDGDD, y que van desde el momento anterior a la contratación, como pudiera ser la gestión de datos personales en el área de los recursos humanos, a derechos específicos como el de prevención de los riesgos laborales, la intimidad, la imagen, la desconexión digital, o en relación a posibles denuncias de incumplimientos como los canales de denuncias internas o «Whistleblowing», y las relaciones con la representación legal de las personas trabajadoras (arts. 87-91 de la LOPDGDD).

En este contexto, la nueva LOPDGDD ha sido mucho más precisa y clara con respecto al régimen sancionador que la LISOS estableciendo los hechos constitutivos de infracciones y las sanciones, así como los plazos de prescripción de ambas, y los sujetos responsables en el Título IX de la norma. Mientras que la LISOS, sólo contiene dos infracciones en las que encajar las conductas empresariales contrarias a las exigencias de intimidad y adecuado tratamiento de datos personales de los trabajadores:

  1. Los actos del empresario que fueren contrarios al respeto de la intimidad y consideración debida a la dignidad de los trabajadores (art. 8.11 de la LISOS, infracción muy grave en materia de relaciones laborales individuales y colectivas)
  2.  Incumplir el deber de confidencialidad en el uso de los datos relativos a la vigilancia de la salud de los trabajadores, en los términos previstos en el apartado 4 del artículo 22 de la Ley de Prevención de Riesgos Laborales (art. 13.5 LISOS, infracción muy grave en materia de prevención de riesgos laborales).

Téngase en cuenta que la empresa, en este caso, será sancionada en virtud de su condición de responsable de los tratamientos de datos, dividiéndose las infracciones en: Muy graves (art. 72 de la LOPDGDD), Graves (art. 73 de la LOPDGDD) y Leves (art. 74 de la LOPDGDD) que prescribirán a los 3, 2 y 1 años respectivamente, si bien la iniciación del procedimiento sancionador, con conocimiento del interesado, interrumpirá la prescripción, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor. A modo de resumen:

- Las infracciones muy graves son aquellas que suponen una vulneración sustancial del tratamiento, en función de lo establecido en el art. 83.5 del RGPD, y que tienen que ver con el uso de los datos para una finalidad diferente de la indicada, la omisión del deber de informar al interesado, la exigencia de un pago para poder acceder a los datos propios almacenados, la realización de transferencias internacionales sin garantía, o por ejemplo, entre muchas otras conductas, la vulneración del deber de confidencualidad del artículo 5 de la LOPDGDD.

- Las infracciones graves son aquellas que supongan una vulneración sustancial del tratamiento, en función de lo establecido en el art. 83.4 del RGPD, y que tengan que ver con datos de un menores recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, entre muchas otras, la contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas.

- Las infracciones leves son aquellas de carácter meramente formal, es decir, el resto de infracciones que no estén contempladas en las dos anteriores, y entre ellas podemos encontrar supuestos tales como la no transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por el RGPD, la exigencia del pago de un canon para facilitar al afectado la información obligatoria, disponer de un registro de actividades incompleto o, por ejemplo, entre muchas otras, no publicar los datos de contacto del Delegado de protección de datos cuando su nombramiento sea exigible.

Asimismo, en cuanto a las sanciones, se establecen plazos de prescripción en base al importe de la misma. Dichos plazos comenzarán a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Dada la gran cantidad de infracciones tipificadas en la LOPDGDD a las que no encontrando acomodo en la LISOS, éstas serán objeto de sanción a través de la normativa para la protección de datos personales.

En relación al derecho a desconexión digital, uno de los principales reproches que pudiéramos hacer al legislador es que la LOPDGDD no ofrece elemento alguno que permita concretar las medidas en las que se traduce éste nuevo derecho y tampoco establece las consecuencias de su incumplimiento. De esta forma, recae en las organizaciones la obligación de establecer políticas internas de desconexión, informando previamente sobre su contenido a los representantes legales de los Trabajadores, si los hay. Así, la ley únicamente exige que las políticas emitidas por las empresas se dirijan a trabajadores ordinarios y directivos, definiendo las modalidades de desconexión, así como las acciones de formación y sensibilización en materia de desconexión digital. (1)

En el ámbito sancionador, encontraríamos dos supuestos relacionados con la desconexión digital:

  • a) Sanciones a las empresas por incumplimiento de las condiciones de trabajo y las obligaciones legales en materia de descanso de los trabajadores basadas en los arts. 7.10 LISOS (“Establecer condiciones de trabajo inferiores a las establecidas legalmente o por convenio colectivo, así como los actos u omisiones que fueren contrarios a los derechos de los trabajadores reconocidos en el artículo 4 de la Ley del Estatuto de los Trabajadores, salvo que proceda su calificación como muy graves, de acuerdo con el artículo siguiente”) o 7.5 LISOS (“La transgresión de las normas y los límites legales o pactados en materia de jornada, trabajo nocturno, horas extraordinarias, horas complementarias, descansos, vacaciones, permisos, registro de jornada y, en general, el tiempo de trabajo a que se refieren los artículos 1223 y 34 a 38 del Estatuto de los Trabajadores”).
  • b) La inexistencia de un protocolo para desconexión digital de los trabajadores, a falta de incardinación en algún hecho sancionable que pudieran establecer los Tribunales, podría sancionarse en materia de prevención de riesgos laborales si existe conexión entre esta falta de ese protocolo en la empresa y una concreción en algún trabajador de este riesgo psicosocial como podría ser Burnout, tecnoestrés (2), etc… (3)

En el ámbito disciplinario, en relación a un posible derecho de las personas trabajadoras a la desconexión fuera de horario laboral, surgen dudas en relación con una posible nulidad o improcedencia del despido efectuado por el ejercicio del mismo. A pesar de que la norma no clarifica la consideración del nuevo Derecho como Fundamental, y a falta de mejor criterio doctrinal, podemos considerar, que con base al art. 18.4 CE (4) es un derecho fundamental integrado en el derecho a la salud.

Una eventual sanción por el ejercicio del derecho, por consiguiente, también sería nula, habilitando a la persona trabajadora para denunciar ante la Inspección de Trabajo, quedando a potestad del Inspector sancionar administrativamente a la empresa por vulneración del Derecho analizado.

(1) Helena Monzón Pérez. “Una desconexión digital descafeinada”. Diario “Cinco Días”. 7 de diciembre de 2018.

(2) Concepto relacionado con los efectos psicosociales negativos del uso de las Tecnologías de la información y la comunicación (TIC).

(3) Adrián Todolí. El Derecho a la Desconexión Digital aprobada por la LOPDGDD y la Prevención de riesgos laborales. 17 de enero de 2019. 

(4)“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

No hay versiones para este comentario

Datos personales
Representación legal
Trabajador por cuenta ajena
Protección de datos
Riesgos laborales
Plazo de prescripción
Whistleblowing
Prevención de riesgos laborales
Tratamiento de datos personales
Dignidad del trabajador
Expediente sancionador
Procedimiento sancionador
Omisión
Falta de consentimiento
Sin consentimiento
Responsable del tratamiento
Condiciones de trabajo
Delegado de protección
Derecho de información
Política interna
Derechos de los trabajadores
Convenio colectivo
Registro de la jornada laboral
Trabajo nocturno
Vacaciones
Horas extraordinarias
Horas complementarias
Derechos fundamentales
Burn out
Horario laboral
Despido improcedente

RDLeg. 2/2015 de 23 de Oct (Estatuto de los Trabajadores) VIGENTE

Boletín: Boletín Oficial del Estado Número: 255 Fecha de Publicación: 24/10/2015 Fecha de entrada en vigor: 13/11/2015 Órgano Emisor: Ministerio De Empleo Y Seguridad Social

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados