Última revisión
Protección de datos personales en las relaciones laborales
Relacionados:
Estado: VIGENTE
Orden: laboral
Fecha última revisión: 21/05/2021
La empresa, o sus asesores, deben conocer y cumplir las exigencias sobre protección de datos recogidas en la normativa actual. Exigencias, que como veremos no solo abarcan en el ámbito laboral formalidades asociadas a la
Importancia de la protección de datos en las relaciones laborales
La empresa, o sus asesores, deben conocer y cumplir las exigencias sobre protección de datos recogidas en la normativa actual. Exigencias, que como veremos no solo abarcan en el ámbito laboral formalidades asociadas a la
Antes del análisis de los distintos puntos de interés en esta materia, tan poco abordada desde el punto de vista laboral, hemos de abordar -a modo introductorio-aquellos conceptos sobre los que, tanto inicialmente el Reglamento General de Protección de Datos (en adelante
a) Exactitud de los datos. El art.5.1 apartado d) del
El principio de exactitud de los datos determina a su vez la necesidad de articular procedimientos que permitan al responsable realizar la actualización continua de los datos contenidos en el fichero con la finalidad de respetar el citado principio, de tal manera que sean exactos y se ajusten a la realidad del interesado. Téngase en cuenta que este principio está en estrecha relación con el derecho a la limitación del tratamiento regulado en el artículo
b) Deber de confidencialidad. El art.
La nueva
c) Tratamiento basado en el consentimiento del afectado. El "consentimiento del interesado" es definido por el
Sin duda en este apartado encontramos uno de los puntos más importantes que la
En este sentido, el considerando citado ejemplifica -sin ánimo exhaustivo, pero con una clara vocación pedagógica- determinadas formas a través de las cuales el interesado puede expresar su consentimiento , señalando que tal manifestación “podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.”
Por tanto, atendiendo a lo dispuesto en el
Asimismo, la
Para que el consentimiento pueda considerase informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. Por tanto, resultará necesario que la información sea facilitada al interesado antes del tratamiento, en caso contrario, el tratamiento no podrá ser considerado lícito.
En este mismo sentido se ha pronunciado la Guía «La protección de datos en las relaciones laborales» de la AEPD (mayo 2021):
"En el ámbito de las relaciones laborales, la base jurídica principal es la ejecución del contrato de trabajo, porque el consentimiento del afectado no es válido cuando se proporciona en un contexto de «desequilibro claro entre el interesado y el responsable del tratamiento», La posición de desequilibrio entre la empresa y la persona trabajadora exige extremar las cautelas y, en particular, el respeto a los principios de proporcionalidad y de limitación de la finalidad."
RESOLUCIONES RELEVANTES
STJUE, nº. C-397/01, de 5 de octubre de 2014
El consentimiento de las personas trabajadoras, además, debe ser libre y específico, no siendo lícita la sustitución del consentimiento individual por un consentimiento indirecto y plural mediante la negociación colectiva
d) Consentimiento de los menores de edad. En relación con un posible trabajador menor de edad, conforme dispone el citado artículo
e) Categorías especiales de datos. Los conocidos como “datos especialmente protegidos” que ya preveía la derogada
El tratamiento de datos en el ámbito laboral pertenecientes a categorías especiales como pueden ser la ideología, afiliación sindical, religión, orientación sexual, creencias y origen racial, gozarán de una especial y mayor protección, prevaleciendo la prohibición que marca la ley, con los requisitos de seguridad y confidencialidad necesarios para garantizar un amparo extra.
Como señala el considerando 51 los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, merecen especial protección ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales.
Por otra parte, debemos tener en cuenta que -atendiendo a lo previsto en el considerando 51- el tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física.
Con carácter general tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el Reglamento. Las excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales deben establecerse de forma explícita, -entre otras cosas- cuando el interesado dé su consentimiento explícito o concurran determinadas razones vinculadas al interés público, razones sanitarias, de seguridad, o cuando sea necesario para permitir el ejercicio de libertad fundamentales por razones de interés público.
Lo señalado en el apartado 1 del artículo 9 no será de aplicación cuando concurra una de las circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,
j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
Por lo que respecta a la nueva
Ya en la
Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda".