Protección de datos personales en las relaciones laborales

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Laboral
  • Fecha última revisión: 21/05/2021

La empresa, o sus asesores, deben conocer y cumplir las exigencias sobre protección de datos recogidas en la normativa actual. Exigencias, que como veremos no solo abarcan en el ámbito laboral formalidades asociadas a la LOPDGDD o RGPD, sino que han de estar presentes desde la fase previa a la contratación (Procesos de selección, gestión del «curriculum vitae», tratamiento informatizado y perfiles de candidatos) hasta la extinción de la relación laboral e incluso con posterioridad a la relación laboral.

Importancia de la protección de datos en las relaciones laborales

La empresa, o sus asesores, deben conocer y cumplir las exigencias sobre protección de datos recogidas en la normativa actual. Exigencias, que como veremos no solo abarcan en el ámbito laboral formalidades asociadas a la LOPDGDD o RGPD, sino que han de estar presentes desde la fase previa a la contratación (Procesos de selección, gestión del «curriculum vitae», tratamiento informatizado y perfiles de candidatos) hasta la extinción de la relación laboral e incluso con posterioridad a la relación laboral.

Antes del análisis de los distintos puntos de interés en esta materia, tan poco abordada desde el punto de vista laboral, hemos de abordar -a modo introductorio-aquellos conceptos sobre los que, tanto inicialmente el Reglamento General de Protección de Datos (en adelante RGPD), como posteriormente la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD), articulan el tratamiento de datos para garantizar su correcta protección. Es necesario conocer los conceptos utilizados por la normativa para poder abordar posteriormente su incidencia en el ámbito laboral.

a) Exactitud de los datos. El art.5.1 apartado d) del RGPD expone que los datos personales serán exactos y, si fuera necesario, actualizados. El considerando 39 reseña que “deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos”. La obligación del responsable de corregir aquellos datos que sean inexactos es correlativa al derecho de rectificación de los interesados expresamente reconocido en el artículo 16 del RGPD. El principio de exactitud de los datos aparece también reconocido en el art. 4 de la LOPDGDD.

El principio de exactitud de los datos determina a su vez la necesidad de articular procedimientos que permitan al responsable realizar la actualización continua de los datos contenidos en el fichero con la finalidad de respetar el citado principio, de tal manera que sean exactos y se ajusten a la realidad del interesado. Téngase en cuenta que este principio está en estrecha relación con el derecho a la limitación del tratamiento regulado en el artículo 18 del RGPD y en el artículo 16 de la LOPDGDD.

b) Deber de confidencialidad. El art. 5.1.f) del RGPD expone que los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad adecuada, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento («principios de integridad y confidencialidad»).

La nueva LOPDGDD, por su parte, regula la confidencialidad en su art. 5 como un deber que atañe a los responsables, encargados y cualquier otra personal que intervenga en cualquier fase del tratamiento. Esta obligación será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable y se mantendrá aun cuando hubiese finalizado la relación del obligado con el responsable o encargado.

c) Tratamiento basado en el consentimiento del afectado. El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".

Sin duda en este apartado encontramos uno de los puntos más importantes que la LOPDGDD ha fijado en base al RGPD, como es el consentimiento expreso del titular de los datos que debe aceptar el tratamiento de los mismos a través de una declaración o acción afirmativa, resultado de una manifestación específica e inequívoca. Es decir, la norma concreta que cuando se soliciten los datos del usuario para diferentes finalidades no será válido que se pida su consentimiento en bloque y de forma tácita, sino que deberá obtenerse de manera diferenciada y específica para cada una de las diferentes finalidades.

En este sentido, el considerando citado ejemplifica -sin ánimo exhaustivo, pero con una clara vocación pedagógica- determinadas formas a través de las cuales el interesado puede expresar su consentimiento , señalando que tal manifestación “podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.”

Por tanto, atendiendo a lo dispuesto en el RGPD, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

Asimismo, la LOPDGDD menciona de lo recogido en el RGPD y excluye por tanto lo que se conocía como "consentimiento tácito", indicando, además, en cuanto al consentimiento del afectado para una pluralidad de finalidades, que será preciso que conste de manera específica e inequívoca que el consentimiento se otorga para todas ellas.

Para que el consentimiento pueda considerase informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. Por tanto, resultará necesario que la información sea facilitada al interesado antes del tratamiento, en caso contrario, el tratamiento no podrá ser considerado lícito. 

En este mismo sentido se ha pronunciado la Guía «La protección de datos en las relaciones laborales» de la AEPD (mayo 2021):

"En el ámbito de las relaciones laborales, la base jurídica principal es la ejecución del contrato de trabajo, porque el consentimiento del afectado no es válido cuando se proporciona en un contexto de «desequilibro claro entre el interesado y el responsable del tratamiento», La posición de desequilibrio entre la empresa y la persona trabajadora exige extremar las cautelas y, en particular, el respeto a los principios de proporcionalidad y de limitación de la finalidad."

RESOLUCIONES RELEVANTES

STJUE, nº. C-397/01, de 5 de octubre de 2014

El consentimiento de las personas trabajadoras, además, debe ser libre y específico, no siendo lícita la sustitución del consentimiento individual por un consentimiento indirecto y plural mediante la negociación colectiva

d) Consentimiento de los menores de edad. En relación con un posible trabajador menor de edad, conforme dispone el citado artículo 8.1 del RGPD, el tratamiento de los datos personales se considerará lícito cuando tenga como mínimo tenga 16 años, por lo que una de las condiciones aplicables al consentimiento del menor, será su edad. En el caso de un menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo da o autoriza el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se da o autoriza.

e) Categorías especiales de datos. Los conocidos como “datos especialmente protegidos” que ya preveía la derogada LOPD, encuentran su encaje en el Reglamento comunitario en lo que se han venido a denominar "categorías especiales de datos".

El tratamiento de datos en el ámbito laboral pertenecientes a categorías especiales como pueden ser la ideología, afiliación sindical, religión, orientación sexual, creencias y origen racial, gozarán de una especial y mayor protección, prevaleciendo la prohibición que marca la ley, con los requisitos de seguridad y confidencialidad necesarios para garantizar un amparo extra.

Como señala el considerando 51 los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, merecen especial protección ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales.

Por otra parte, debemos tener en cuenta que -atendiendo a lo previsto en el considerando 51- el tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física.

Con carácter general tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el Reglamento. Las excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales deben establecerse de forma explícita, -entre otras cosas- cuando el interesado dé su consentimiento explícito o concurran determinadas razones vinculadas al interés público, razones sanitarias, de seguridad, o cuando sea necesario para permitir el ejercicio de libertad fundamentales por razones de interés público.

Lo señalado en el apartado 1 del artículo 9 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

Por lo que respecta a la nueva LOPDGDD, se mantiene la prohibición de consentir tratamientos con la finalidad principal de almacenar información identificativa de determinadas categorías de datos especialmente protegidos, lo que no impide que los mismos puedan ser objeto de tratamiento en los demás supuestos previstos en el RGPD. Así, por ejemplo, la prestación del consentimiento no dará cobertura a la creación de «listas negras» de sindicalistas, si bien los datos de afiliación sindical podrán ser tratados por el empresario para hacer posible el ejercicio de los derechos de los trabajadores al amparo del artículo 9.2.b) del RGPD o por los propios sindicatos en los términos del artículo 9.2.d) de la misma norma europea.

Ya en la LOPDGDD el artículo 9 trata las específicamente las categorías especiales de datos indicando que "[...] el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda".

No hay versiones para este comentario

Protección de datos
Datos personales
Tratamiento de datos personales
Extinción del contrato de trabajo
Categorías especiales de datos
Responsable del tratamiento
Interés publico
Secreto profesional
Limitación del tratamiento de datos
Consentimiento del interesado
Persona física
Derechos fundamentales
Trabajador menor de edad
Afiliación sindical
Menor de dieciséis años
Consentimiento del menor
Menor de edad
Tutela
Patria potestad
Asistencia sanitaria
Tratamiento de categorías especiales
Datos biométricos
Cumplimiento de las obligaciones
Fundaciones
Convenio colectivo
Sin ánimo de lucro
Amenazas
Capacidad laboral
Derechos de los trabajadores
Categorías de datos personales
Productos sanitarios
Sindicatos
Datos de afiliación sindical

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Clases de operaciones sobre protección de datos realizadas por abogados y procuradores

    Orden: Administrativo Fecha última revisión: 21/05/2021

    Son tratamientos de:Datos relativos al funcionamiento del despacho: Contabilidad, videovigilancia en las instalaciones, el personal que desempeñe labores en el despacho...Datos de clientes (también los de turno de oficio), incluyendo aquí también...

  • Categorías especiales de datos en el RGPD y la LOPDGDD

    Orden: Administrativo Fecha última revisión: 01/06/2021

    Los conocidos como “datos especialmente protegidos” que ya preveía la LOPD,  encuentran su encaje en el Reglamento comunitario en lo que se  han venido a denominar  "categorías especiales de datos".¿Cómo deben ser tratados los datos consid...

  • La protección de datos para los profesionales del Derecho

    Orden: Administrativo Fecha última revisión: 21/05/2021

    Son dos las normas principales que regulan el tratamiento de datos personales:Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento...

  • Incidencia de la protección de datos de las personas trabajadoras en el ámbito laboral

    Orden: Laboral Fecha última revisión: 21/05/2021

    La gestión de datos personales en el área de los recursos humanos, la prevención de los riesgos laborales, los controles empresariales, los canales de denuncias internas o «Whistleblowing», y las relaciones con la representación legal de las pe...

  • Consentimiento de los interesados en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 01/06/2021

    El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción af...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados