Protección de datos personales en las relaciones laborales

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Laboral
  • Fecha última revisión: 03/02/2020

La empresa, o sus asesores, deben conocer y cumplir las exigencias sobre protección de datos recogidas en la normativa actual. Exigencias, que como veremos no solo abarcan en el ámbito laboral formalidades asociadas a la LOPDGDD o RGPD, sino que han de estar presentes desde la fase previa a la contratación (Procesos de selección, gestión del «curriculum vitae», tratamiento informatizado y perfiles de candidatos) hasta la extinción de la relación laboral e incluso con posterioridad a la relación laboral.

La empresa, o sus asesores, deben conocer y cumplir las exigencias sobre protección de datos recogidas en la normativa actual. Exigencias, que como veremos no solo abarcan en el ámbito laboral formalidades asociadas a la LOPDGDD o RGPD, sino que han de estar presentes desde la fase previa a la contratación (Procesos de selección, gestión del «curriculum vitae», tratamiento informatizado y perfiles de candidatos) hasta la extinción de la relación laboral e incluso con posterioridad a la relación laboral.

Antes del análisis de los distintos puntos de interés en esta materia, tan poco abordada desde el punto de vista laboral, hemos de abordar -a modo introductorio-aquellos conceptos sobre los que, tanto inicialmente el Reglamento General de Protección de Datos (en adelante RGPD), como posteriormente la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD), articulan el tratamiento de datos para garantizar su correcta protección. Es necesario conocer los conceptos utilizados por la normativa para poder abordar posteriormente su incidencia en el ámbito laboral.

a) Exactitud de los datos. El art.5.1 apartado d) del RGPD expone que los datos personales serán exactos y, si fuera necesario, actualizados. El considerando 39 reseña que “deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos”. La obligación del responsable de corregir aquellos datos que sean inexactos es correlativa al derecho de rectificación de los interesados expresamente reconocido en el artículo 16 del RGPD. El principio de exactitud de los datos aparece también reconocido en el art. 4 de la LOPDGDD.

El principio de exactitud de los datos determina a su vez la necesidad de articular procedimientos que permitan al responsable realizar la actualización continua de los datos contenidos en el fichero con la finalidad de respetar el citado principio, de tal manera que sean exactos y se ajusten a la realidad del interesado.[1]

b) Deber de confidencialidad. El art. 5.1.f) del RGPD expone que los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad adecuada, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento («principios de integridad y confidencialidad»).

La nueva LOPDGDD, por su parte, regula la confidencialidad en su art. 5 como un deber que atañe a los responsables, encargados y cualquier otra personal que intervenga en cualquier fase del tratamiento. Esta obligación será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable y se mantendrá aun cuando hubiese finalizado la relación del obligado con el responsable o encargado.

c) Tratamiento basado en el consentimiento del afectado. El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".

Sin duda en este apartado encontramos uno de los puntos más importantes que la LOPDGDD ha fijado en base al RGPD, como es el consentimiento expreso del titular de los datos que debe aceptar el tratamiento de los mismos a través de una declaración o acción afirmativa, resultado de una manifestación específica e inequívoca. Es decir, la norma concreta que cuando se soliciten los datos del usuario para diferentes finalidades no será válido que se pida su consentimiento en bloque y de forma tácita, sino que deberá obtenerse de manera diferenciada y específica para cada una de las diferentes finalidades.

En este sentido, el considerando citado ejemplifica -sin ánimo exhaustivo, pero con una clara vocación pedagógica- determinadas formas a través de las cuales el interesado puede expresar su consentimiento , señalando que tal manifestación “podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.”

Por tanto, atendiendo a lo dispuesto en el RGPD, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

Asimismo, la LOPDGDD hace mención de lo recogido en el RGPD y excluye por tanto lo que se conocía como "consentimiento tácito", indicando, además, en cuanto al consentimiento del afectado para una pluralidad de finalidades, que será preciso que conste de manera específica e inequívoca que el consentimiento se otorga para todas ellas.

Para que el consentimiento pueda considerase informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. Por tanto, resultará necesario que la información sea facilitada al interesado antes del tratamiento, en caso contrario, el tratamiento no podrá ser considerado lícito. 

Como señalamos, el consentimiento debe ser prestado libremente.  Pues bien, el Grupo de Trabajo del Articulo 29 -en su dictamen 15/2011-, ha expresado que tal libertad consiste que «el interesado puede hacer una elección real y no haya ningún riesgo de engaño, intimidación, coerción o consecuencias negativas significativas en caso de que no consienta. Si las consecuencias del consentimiento socavan la libertad de elección de la persona, el consentimiento no es libre».

En este mismo sentido se ha pronunciado [2] la Agencia Española de Protección de Datos (AEPD) al indicar que un consentimiento libre “supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento”.

En todo caso, y sin perjuicio de que resulte pertinente atender a los criterios mencionados, el propio Reglamento -en el considerando 42- es claro al señalar que el consentimiento no se considerará libremente prestado cuando el interesado no goza de verdadera o libre elección, o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

 Pues bien, al objeto de garantizar que el consentimiento se otorgue libremente, el considerando 43 determina que el consentimiento prestado en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, no constituirá un fundamento jurídico válido para el tratamiento de datos de carácter personal. Este desequilibrio, se aprecia particularmente cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular.

Asimismo, y conforme el citado considerando 43 indica, se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento. Esto podría ocurrir, por ejemplo, - atendiendo al criterio del Grupo de Trabajo del artículo 29- cuando estamos ante un empleado dada la dependencia de éste en la relación laboral, ya que ante el temor de un riesgo real de perjuicio que pudiera tener su negativa a proporcionar su consentimiento, daría un consentimiento viciado. Y aquí es donde deberíamos reflexionar cómo podemos tratar los datos de un futuro empleado con su consentimiento, pero sin relacionarlo al momento de la contratación para evitar que se considere un vicio en el consentimiento; resulta cuanto menos complicado porque para formalizar el contrato se necesitan los datos del empleado.

En todo caso, y como acertadamente ha expresado el Grupo de Trabajo del artículo 29, pueden existir supuestos en los que se produzca un desequilibrio entre las partes, y en los que, para que el consentimiento sea válido, lo esencial será permitir que el interesado pueda ejercer una elección real, sin que haya riesgo de engaño, intimidación, coerción o consecuencias negativas significativas en caso de que no consienta. En este sentido, libre significaría consentir sin estar sometido a condición alguna que interfiera en la manifestación de la voluntad.

d) Consentimiento de los menores de edad. En relación a un posible trabajador menor de edad, conforme dispone el citado artículo 8.1 del RGPD, el tratamiento de los datos personales se considerará lícito cuando tenga como mínimo tenga 16 años, por lo que una de las condiciones aplicables al consentimiento del menor, será su edad. En el caso de un menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dió o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dió o autorizó.

e) Categorías especiales de datos. Los conocidos como “datos especialmente protegidos” que ya preveía la derogada LOPD, encuentran su encaje en el Reglamento comunitario en lo que se han venido a denominar "categorías especiales de datos".

El tratamiento de datos en el ámbito laboral pertenecientes a categorías especiales como pueden ser la ideología, afiliación sindical, religión, orientación sexual, creencias y origen racial, gozarán de una especial y mayor protección, prevaleciendo la prohibición que marca la ley, con los requisitos de seguridad y confidencialidad necesarios para garantizar un amparo extra.

Como señala el considerando 51 los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, merecen especial protección ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales.

Por otra parte, debemos tener en cuenta que -atendiendo a lo previsto en el considerando 51- el tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física.

Con carácter general tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el Reglamento. Las excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales deben establecerse de forma explícita, -entre otras cosas- cuando el interesado dé su consentimiento explícito o concurran determinadas razones vinculadas al interés público, razones sanitarias, de seguridad, o cuando sea necesario para permitir el ejercicio de libertad fundamentales por razones de interés público.

Lo señalado en el apartado 1 del artículo 9 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

Por lo que respecta a la nueva LOPDGDD, se mantiene la prohibición de consentir tratamientos con la finalidad principal de almacenar información identificativa de determinadas categorías de datos especialmente protegidos, lo que no impide que los mismos puedan ser objeto de tratamiento en los demás supuestos previstos en el RGPD. Así, por ejemplo, la prestación del consentimiento no dará cobertura a la creación de «listas negras» de sindicalistas, si bien los datos de afiliación sindical podrán ser tratados por el empresario para hacer posible el ejercicio de los derechos de los trabajadores al amparo del artículo 9.2.b) del RGPD o por los propios sindicatos en los términos del artículo 9.2.d) de la misma norma europea.

Ya en la LOPDGDD el artículo 9 trata las específicamente las categorías especiales de datos indicando que "[...] el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda".

 

Ampliar información en temas administrativo:

- Introducción a la protección de datos. Reglamento General de Protección de Datos (RGPD) y LO 3/2018 de 5 de diciembre (LOPDGDD).

- Categorías de datos personales en la normativa de protección de datos.- 

- Derechos de los interesados y limitaciones en la LO 3/2018 (LOPDGDD) y en el Reglamento General de Protección de Datos (RGPD).

- Responsable del Tratamiento en materia de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 de 5 de diciembre (LOPDGDD).

- Delegado de Protección de Datos (DPO)

- Análisis de algunos tratamientos concretos en la LO 3/2018 de 5 de diciembre (LOPDGDD). 

- Autoridades de Protección de Datos.

- Régimen sancionador en la LO 3/2018 de protección de datos (LOPDGDD) y en el Reglamento General de Protección de Datos (RGPD).

- Garantía de los derechos digitales en la LO 3/2018 de 5 de diciembre (LOPDGDD).

[1] Téngase en cuenta que este principio está en estrecha relación con el derecho a la limitación del tratamiento regulado en el artículo 18 del RGPD y en el artículo 16 de la LOPDGDD.

[2] Informe jurídico sobre los caracteres del consentimiento definido por la ex LOPD.

No hay versiones para este comentario

Protección de datos
Datos personales
Tratamiento de datos personales
Extinción del contrato de trabajo
Categorías especiales de datos
Responsable del tratamiento
Interés publico
Intimidación
Secreto profesional
Consentimiento del interesado
Derechos fundamentales
Persona física
Actividades de tratamiento de datos
Vicios del consentimiento
Afiliación sindical
Asistencia sanitaria
Tutela
Trabajador menor de edad
Menor de dieciséis años
Patria potestad
Consentimiento del menor
Menor de edad
Tratamiento de categorías especiales
Datos biométricos
Cumplimiento de las obligaciones
Categorías de datos personales
Fundaciones
Convenio colectivo
Sin ánimo de lucro
Amenazas
Productos sanitarios
Capacidad laboral
Derechos de los trabajadores
Delegado de protección
Sindicatos
Limitación del tratamiento de datos
Datos de afiliación sindical

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Consentimiento de los interesados en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 28/01/2019

    El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción af...

  • Categorías especiales de datos en el RGPD y la LOPDGDD

    Orden: Administrativo Fecha última revisión: 10/12/2019

    Los conocidos como “datos especialmente protegidos” que ya preveía la LOPD,  encuentran su encaje en el Reglamento comunitario en lo que se  han venido a denominar  "categorías especiales de datos".Como señala el considerando 51 los datos p...

  • Datos relativos a condenas e infracciones penales en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 10/12/2019

    Los datos relativos a infracciones y condenas penales, no se encuentran expresamente incluido en la relación de categorías especiales de datos que podemos consultar en el tema correspondiente. Ahora bien, como veremos, el RGPD establece similares c...

  • Condiciones aplicables al consentimiento en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 30/01/2019

    Atendiendo a lo expuesto en el tema general sobre el consentimiento, cabe preguntarse ¿cómo debe prestarse ese consentimiento para entender que pueda constituir una base legal que ampare el tratamiento de datos y que –en consecuencia- pueda consi...

  • Obligaciones en materia de protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 03/02/2020

    Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).1. Registro de acti...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados