La AEPD ha publicado esta guía sobre protección de datos y relaciones laborales en colaboración con el Ministerio de Trabajo, la patronal y las organizaciones sindicales.
La AEPD ha publicado a mediados de este mes una guía que busca ofrecer una herramienta práctica que ayude a las organizaciones públicas y privadas a cumplir con el marco normativo de protección de datos en vigor. En su preparación, la AEPD ha contado con la participación del Ministerio de Trabajo, la patronal y las organizaciones sindicales. La guía se centra en el cumplimiento con el RGPD y la LSSI, con un foco específico en las novedades relativas a los derechos de los trabajadores y la recogida y uso de sus datos por parte de las empresas. El documento abarca un amplio rango de materias, desde la protección de los datos de los trabajadores dentro de la empresa hasta el acceso por parte de la misma a las redes sociales de los trabajadores, sistemas de denuncia interna y privacidad para las víctimas y presuntos autores del acoso en el entorno de trabajo.
La guía desarrolla las bases generales para un tratamiento legítimo de los datos de los empleados.
Las directrices de la AEPD giran en torno a la importancia de que se respeten los derechos de los trabajadores en el entorno laboral y subraya la necesidad de aplicar el principio de minimización de datos. Se destaca el hecho de que un contrato de trabajo no concede automáticamente a las empresas acceso a toda la información personal de los empleados, con lo que la guía realiza un recorrido por la información que podría ser esencial y la que no. Asimismo, el documento fija los límites del tratamiento de datos en el proceso de selección, y también durante el curso de la relación laboral. La AEPD explica que debido a los deberes de secreto y seguridad, los datos personales deberían ser conocidos únicamente por las partes afectadas y aquellos que dentro de la organización tengan competencias para utilizar, consultar o modificar los datos.
La AEPD recomienda emplear el sistema menos invasivo posible para controlar el registro de la jornada laboral.
Conforme a la guía publicada por la AEPD, en lo que respecta al registro de jornada obligatorio, se debería adoptar el método menos invasivo. Esta información no puede ser de acceso público o localizarse en un lugar visible. Además, los datos que registran estos sistemas no pueden utilizarse para ninguna otra finalidad que no sea el control de la jornada laboral. Por ejemplo, en el caso de un trabajador que tiene que viajar para desempeñar sus funciones, el sistema sólo debería registrar información sobre cuándo comienza y termina su jornada laboral, pero no rastrear su localización de manera continua. El tratamiento de datos de geolocalización requiere una base legítima específica.
La guía también abarca el acceso a los perfiles de redes sociales de los empleados y a los datos de tecnología como relojes inteligentes por parte de las organizaciones.
La AEPD explica que los empleados no están obligados a permitir que la empresa tenga acceso a sus perfiles de redes sociales, lo que se extiende desde el inicio del proceso de selección hasta el fin del contrato de trabajo. Incluso en los casos en que un candidato a un determinado puesto tenga un perfil público en las redes sociales, la empresa no debería tratar datos obtenidos por dicha vía, salvo que exista una base legítima para hacerlo, en cuyo caso la empresa tendría que informar al trabajador debidamente y demostrar la aplicación de la base legítima argumentada, incluida la relevancia para el desempeño del puesto.
Las recomendaciones también alcanzan la tecnología wearable, especialmente en lo que respecta a la monitorización de datos de salud a través de dispositivos como relojes inteligentes. En general, este tipo de control está prohibido por varias razones, pues infringe el principio de proporcionalidad al rastrear continuamente datos de categoría sensible y podría suponer que la empresa pueda acceder a datos específicos de salud y no sólo evaluar la capacidad del empleado para desempeñar su trabajo.
The AEPD incluye orientaciones específicas para los sistemas internos de denuncias o whistleblowing y la privacidad de las víctimas y de los presuntos autores.
En los casos de violencia de género o acoso, los datos personales y en concreto la identidad se consideran datos de categoría especial, con lo que se requiere protección adicional. La guía recomienda que se asigne un código a los presunta víctima y el presunto autor. Cuando sea necesario tratar los datos para cumplir con una obligación legal, la empresa podrá hacerlo porque se relaciona con una situación de violencia de género o acoso. Cuando se trate de acoso en el trabajo, la identidad tanto de la víctima como del presunto autor o autores deben protegerse.
La guía también incluye el derecho del comité de empresa a ser informado de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial.
Dado que el uso de inteligencia artificial es cada vez más habitual en estos entornos, la guía incluye un derecho innovador del comité de empresa a ser informado por parte de la compañía sobre el marco en el que se emplean los algoritmos o sistemas de IA en la misma, el cual está compuesto, entre otros elementos, por el derecho a recibir explicaciones sobre cómo podrían incidir en las condiciones, el acceso y el mantenimiento del empleo, lo cual se introdujo como novedad en el reciente Real Decreto-ley 9/2021 que modifica el Estatuto de los Trabajadores e introduce en el proceso un nivel adicional de transparencia.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI, también en lo que respecta a los datos de tus trabajadores? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Infórmate aquí.
