Esta semana planteamos a los alumnos varias cuestiones sobre la Protección de Datos de los Empleados de la Empresa:
· ¿Se puede mantener la foto de un antiguo empleado en la web de la empresa?
· Aplicación del RGPD sobre los datos personales de los trabajadores de una empresa
· Tratamiento de la vigilancia por cámaras
· Tratamiento de datos en la selección
· ¿Cómo denunciar el uso indebido de nuestra imagen en Internet?
· Derechos ARCO y Cesión de Datos
· Confidencialidad, Cesión Geolocalización de los datos y empleados
· Control horario y Desconexión Digital
· Datos de Extrabajadores
· Nóminas digitales
· Preguntas frecuentes
· ¿Por qué el Perito Informático es el único que puede certificar las imágenes de Internet?
¿Se puede mantener la foto de un antiguo empleado en la web de la empresa?
Cada vez es una práctica más común que las empresas realicen publicaciones de fotografías de sus empleados en sus plataformas digitales, ya sea en la página web corporativa o vía o redes sociales, pudiendo afectar a la privacidad de los trabajadores. En este sentido es importante que las entidades tengan en cuenta tanto la normativa en materia de protección de datos, como las resoluciones al respecto. El derecho a la imagen se encuentra reconocido en los siguientes preceptos:
· Constitución Española (CE), en concreto en su artículo 18.1.
¿Cómo denunciar el uso indebido de nuestra imagen en Internet?
Cuando descubrimos que alguien ha subido nuestra imagen sin autorización en redes sociales, es importante saber qué acciones legales se pueden tomar. En primer lugar, es fundamental conocer la legislación que se aplica en este tipo de casos. La protección de los derechos de imagen está respaldada por la ley y es importante que las personas conozcan sus derechos y cómo puede defenderlos. En el caso concreto de la denuncia por uso indebido de la imagen en web y redes sociales, es necesario presentar una denuncia formal. Esta denuncia debe ser fundamentada y respaldada por pruebas sólidas. Es aquí donde entra en juego el papel del perito informático experto en peritar imágenes, páginas web y redes sociales.
¿Por qué el Perito Informático es el único que puede certificar las imágenes de Internet?
El perito informático es el único profesional que puede realizar la pericial informática de las imágenes en cuestión. Las capturas de pantalla impresas a papel, o con la firma de un notario no son pruebas sólidas en un juicio. Nuestra labor como perito judicial informático consiste en certificar la existencia de estas imágenes en internet y demostrar que han estado presentes durante un periodo de tiempo. La peritación de imágenes en redes sociales y páginas web es un proceso minucioso. Por ello nuestro perito informático utiliza herramientas y técnicas especializadas para recopilar y analizar las pruebas necesarias. En este caso, se llevó a cabo un análisis exhaustivo de las imágenes y se documenta cualquier evidencia relevante en el informe pericial que se presenta como prueba en el juicio. Esta peritación es fundamental para respaldar la denuncia del trabajador y demostrar el uso indebido de su imagen por parte de la empresa. Es importante destacar las consecuencias que pueden existir si no se realiza la peritación médica en este tipo de casos. Si el trabajador no cuenta con las pruebas necesarias respaldadas por un perito informático, su denuncia podría carecer de solidez y ser desestimada. Además, la empresa podría continuar utilizando las imágenes sin autorización, lo que podría tener repercusiones legales aún mayores.
Aplicación del RGPD sobre los datos personales de los trabajadores de una empresa
Una de las principales obligaciones de las empresas en esta materia es la de regular correctamente las relaciones con sus trabajadores. Con el fin de evitar riesgos inherentes a estas relaciones. El RGPD establece ciertas obligaciones en materia de protección de datos personales de los empleados. En primer lugar, el empleador tiene la obligación de informar al personal acerca de:
· Datos que se van a recabar.
· Identidad del responsable o encargado del tratamiento.
· Base legal y finalidad del tratamiento.
· Plazo de conservación de los datos.
· Cesión de datos a terceros.
· Medios disponibles para ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
Una novedad importante que ha introducido el Reglamento Europeo de Protección de Datos en las relaciones jurídico-laborales es la facultad otorgada a cada uno de los Estados miembros para que establezcan normas específicas sobre el tratamiento de los datos personales de los trabajadores.
Aplicación de la LOPDGDD a los datos de un trabajador
La nueva LOPDGDD regula también las obligaciones que tienen los empresarios para la protección de datos en el ámbito laboral. Así como el deber de secreto y confidencialidad que deben cumplir los empleados. En general, establece la misma obligaciones sobre el deber de informar que el RGPD. Pero además incluye una serie de derechos digitales que afectan a los datos de un trabajador, por ejemplo::
· Derecho a la desconexión laboral
· Derecho a la intimidad en el uso de dispositivos de videovigilancia y geolocalización en el trabajo.
Al establecer las obligaciones de la empresa respecto a la protección de los datos personales de los trabajadores debemos distinguir tres situaciones:
1. Antes de la relación laboral
2. Durante la relación laboral
3. Una vez finalizada la relación laboral (ex-trabajadores)
Previas a la Relación laboral
No solo deben protegerse los datos personales de los trabajadores, la normativa exige también una protección antes de comenzar una relación laboral, cuando recibimos un currículum o realizamos un proceso de selección.
Procesos de selección de personal
Debemos disponer de modelos de impresos tipo para la formalización del currículum y de un procedimiento de formalización y entrega de los mismos por los candidatos. Ello permite no sólo informar adecuadamente sino definir con precisión el tipo de datos a tratar, establecer las medidas de seguridad etc.
Si para la selección de personal se realiza algún tipo de anuncio o convocatoria pública debería incluirse en ella la información sobre:
· Identidad y dirección del responsable del fichero,
· Finalidad del tratamiento y
· Posibilidad de ejercer los derechos ARCO.
Tratamiento de CV de los candidatos
Si el currículum se presenta directamente por el candidato sin habérsele solicitado deben fijarse procedimientos de información que supongan algún acuse o confirmación de conocer las condiciones en las que se desarrollará el tratamiento. Puedes descargar nuestro modelo para protección de datos en currículum.
Protección de Datos en la relación laboral
Debemos tener en cuenta que, tanto en el momento de contratar un trabajador como durante el tiempo que dure esa relación laboral, tenemos que cumplir unos requisitos para garantizar la Protección de los datos del propio trabajador y de nuestros clientes. Es recomendable contar con un modelo de protección de datos trabajadores, que luego se podrá adaptar según los requerimientos de cada puesto de trabajo.
Deber de informar
La cláusula de protección de datos en el contrato ha de ofrecer información sobre los tratamientos directamente relacionados con la prestación laboral. También será necesario informar de todos aquellos casos en los que se produzcan cambios que afecten al tratamiento de los datos personales de un trabajador, como la aparición de nuevas finalidades o de nuevos tratamientos. Es importante también disponer en la empresa de una circular informativa donde se recogen las obligaciones que tienen los empleados en relación a la protección de los datos que manejan. Y en la utilización de los bienes y recursos de la empresa. En esta Circular informativa deben indicarse las instrucciones de la empresa respecto al uso por los empleados de Internet, dispositivos móviles y correo electrónico. Igualmente se les informará sobre el acceso a datos, el uso de contraseñas y la destrucción de documentos.
El consentimiento del trabajador
Para poder tratar los datos personales de un empleado en una empresa será necesario solicitar y obtener el consentimiento del trabajador. Tanto a nivel interno de la empresa como para publicarlos o cederlos a terceros que presten servicios a esta. Puedes descargar nuestro modelo de consentimiento para protección de datos.
Tratamiento de la vigilancia por cámaras
El Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales. Los sistemas de videovigilancia para control empresarial sólo se adoptarán cuando exista una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las imágenes. Y no haya otra medida más idónea.
La nueva ley de Protección de Datos (LOPDGDD) introduce expresamente la prohibición de instalar cámaras en zonas de ocio y descanso de los trabajadores. Por ejemplo, en comedores, salas de descanso, vestuarios y aseos. No obstante, el tratamiento de las imágenes obtenidas con esas cámaras solo podrá realizarse para el ejercicio de las funciones de control por parte del empresario. Y siempre dentro del marco legal y los límites inherentes a ese control. Por eso se establece la obligación de informar a los trabajadores de forma expresa y concisa de la instalación de cámaras de videovigilancia en el trabajo.
Derechos ARCO
Una de las obligaciones básicas que la normativa impone a las empresas es la de atender las solicitudes de ejercicio de derechos de acceso, rectificación, cancelación y oposición tanto de clientes como de sus empleados. Los derechos ARCO se pueden ejercer de muchas maneras,
· A través del servicio de atención que proporciona nuestra empresa,
· Por correo electrónico o
· A través del teléfono, dependiendo en cada caso.
Siempre es necesaria la acreditación de la identidad.
El RGPD introduce dos nuevos derechos para los usuarios que son:
· Derecho a la portabilidad de los datos y
· Derecho al olvido (similar al de cancelación pero referido a los datos que figuran en Internet).
Confidencialidad de los datos
Destaca especialmente en este ámbito el papel de los empleados.
Son usuarios habituales y continuos de toda la información que circula por la empresa, incluyendo por supuesto una gran cantidad de datos de carácter personal. Y están por tanto afectados por las obligaciones impuestas tanto por el RGPD como por la LOPD.
Una de estas obligaciones respecto a la protección de datos de los trabajadores sería la del Deber de Secreto:
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Es por eso que la empresa deberá recoger el compromiso de confidencialidad y las políticas de privacidad. Incluyendo el manejo de material informático por parte de los usuarios en algún momento de la propia relación laboral:
· En el contrato de trabajo, como parte del clausulado general.
· En el momento de la adecuación a la normativa con algún tipo de documento ad-hoc.
Cesión de datos
Es habitual que las empresas trabajen con varios terceros que, para prestarles un servicio, pueden tener acceso a los datos de un trabajador en una empresa, como es el caso de:
· Gestoría que elabora las nóminas de los empleados.
· Empresas de mantenimiento informático que tienen acceso a sus aplicaciones en las que almacenan bases de datos.
· Entidades de almacenamiento externo y destrucción de documentación.
· Empresas de prevención de riesgos laborales.
· Entidades de seguridad y vigilancia, etc.
Para poder realizar esa cesión de datos es necesario firmar un contrato de encargado de tratamiento:
· Entre la empresa cedente y el tercero cesionario.
· Entre el trabajador que cede sus datos y la empresa.
En muchos casos, la cesión de datos del trabajador no requiere el consentimiento de este puesto que está amparada por la ley. Pero eso no impide que la empresa informe a sus empleados de a quién y para qué se realizarán esas cesiones.
Geolocalización
Geolocalizar a los trabajadores supone tratar sus datos personales ya que los datos de localización se refieren a una persona física identificada. En el caso de que la empresa se plantee instalar un GPS en los vehículos de empresa para conocer la ubicación de sus trabajadores durante la jornada laboral debe cumplir varios requisitos:
· Información. No es necesario que los trabajadores autoricen a instalar estos dispositivos. Pero sí es necesario informarles previamente de que se van a controlar sus desplazamientos. Indicando la finalidad del control y el sistema de geolocalización utilizado.
· Necesidad. El control por geolocalización debe ser necesario para una finalidad legítima. En consecuencia, sólo puede geolocalizarse a los trabajadores cuyas funciones hagan necesario este tipo de control. La ley no aclara los supuestos en los que se considera que existe una finalidad legítima pero algunos ejemplos serían:
o Transporte. Si se instala en el vehículo de los transportistas para saber la ubicación de los vehículos y coordinar las distintas entregas de mercancía.
o Seguridad. Si se instala en los vehículos de vigilantes de seguridad para conocer dónde se encuentran el vehículo y el trabajador, pues la empresa necesita saber en qué momento y lugar se están realizando las labores de vigilancia.
Control horario
A partir de mayo las empresas tendrán la obligación de llevar un registro del inicio y fin de la jornada de cada trabajador. La finalidad de ese registro es garantizar el cumplimiento de la jornada laboral y facilitar un control por parte de la Inspección de trabajo. No se impone una forma específica de realizar ese registro de horas, sino que se deja a la decisión de la empresa. Lo que sí se exige es que conste la hora de entrada y la hora de salida del trabajador. En caso de no cumplirse esta obligación, se impondrán multas a las empresas que pueden superar los 6.000 euros. La empresa debe guardar esos registros durante un periodo de cuatro años. Y deberán facilitárselo a la Seguridad Social, Inspección de trabajo o a los trabajadores que lo soliciten.
Desconexión digital
Uno de los derechos digitales recogidos en la LOPDGDD es el derecho a la desconexión digital en el ámbito laboral. Esto supone que los trabajadores tienen derecho a desconectarse de cualquier dispositivo digital en sus periodos de descanso del trabajo o de vacaciones. La finalidad es garantizar la intimidad de los trabajadores y mejorar la conciliación personal y familiar. La empresa tiene la obligación de elaborar, junto con los representantes de los trabajadores, una política interna de desconexión digital donde especificará las medidas que llevará a cabo para garantizar ese derecho. También debe incluir actividades formativas dirigidas a los trabajadores sobre una utilización responsable de los dispositivos digitales.
Una vez finalizada la relación laboral
Una vez finalizada la relación laborar, el empresario sigue teniendo una serie de obligaciones respecto a la protección de datos de trabajadores, en este caso, ex-trabajadores.
Conservación de datos personales de los extrabajadores
La LOPD establece que los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato. O de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido ese período, los datos sólo podrán ser conservados previa disociación de los mismos.
Accesos a datos de la empresa por parte de ex-empleados
Al finalizar la relación laboral se debe modificar o eliminar al usuario de las cuentas corporativas, servicios, aplicaciones y canales para evitar que pueda llevarse información de la empresa. Eso sí es frecuente que durante cierto tiempo nos interese, por ejemplo, acceder al correo del antiguo empleado. En éste caso únicamente debemos modificar la contraseña.
Obligaciones de los empleados en materia de protección de datos
Los trabajadores también tienen una serie de obligaciones en materia de Protección de Datos, entre las que están:
· Conocer la privacidad de todos los datos que manejan y, por lo tanto, su obligación de mantener el secreto de dicha información.
· Hacer uso de los datos únicamente para los fines para los cuales han sido recabados.
· No divulgar las contraseñas de que dispongan para acceder tanto a los sistemas informáticos como a los ficheros que contengan datos de carácter personal.
· Solicitar las autorizaciones necesarias para el tratamiento de dichos datos siempre que se refieran a salidas o entradas de soportes informáticos
· No utilizar con fines privados los sistemas informáticos de la empresa, sin autorización del empresario.
Nóminas y protección de datos
Al igual que con el resto de datos personales de los empleados, es necesario que la empresa cumpla el principio de responsabilidad activa a la hora de cumplir con la protección de datos en nóminas.
Esto significa que debe demostrar que está aplicando las medidas de seguridad RGPD para proteger esos datos como: pseudonimización o minimización de los datos, cifrado o limitación del acceso. Hay que tener en cuenta que la nómina es confidencial. Se debe garantizar que no existen accesos a esos datos por personas no autorizadas, que los datos no pueden modificarse sin autorización y que podemos acceder a ellos cuando lo necesitemos. Lo normal es que la mayoría de las empresas tenga externalizado el servicio de gestión de nóminas. En ese caso está obligada a firmar con la empresa encargada de prestar ese servicio el correspondiente contrato de encargo del tratamiento. A través de ese contrato se asegura de que ese tercero va a aplicar las medidas de seguridad necesarias para proteger esos datos y los demás requisitos exigidos por la normativa de Protección de Datos (Registro de actividades de tratamiento, análisis de riesgos, notificación de brechas de seguridad, etc.).
Envío de nóminas por email
Siempre ha existido polémica sobre la solicitud por parte de la empresa del teléfono móvil y correo electrónico del trabajador. Hay varias sentencias de nuestros tribunales en las que se considera que esos datos no son necesarios para la realización del contrato y la prestación de sus servicios por los empleados. Y se considera abusiva la cláusula del contrato que obligue a facilitar esos datos. Para poder enviar al trabajador la nómina a través de email es necesario que este haya dado su consentimiento expreso para ello. Por ello, en caso de usar el correo electrónico, se deber formalizar un modelo de autorización para el envío nóminas por email. Sin embargo, en este ámbito laboral, debido a la situación de desigualdad en la que se encuentra en trabajador respecto al empresario, en varios informes de la AEPD y del Comité europeo de Protección de datos se ha considerado insuficiente ese consentimiento. Se considera que no existe el requisito de la libertad, exigido por el RGPD para un consentimiento válido. Por tanto, para considerar válido el consentimiento del empleado para tratar su correo electrónico personal para enviarle las nóminas, la empresa debe facilitarle otro medio alternativo para el envío de esas nóminas que no supongan el tratamiento de su email.
¿A qué sanciones nos exponemos si incumplimos la normativa de protección de datos en el ámbito laboral?
Con el Reglamento General de Protección de Datos las cuantías de las sanciones RGPD por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual (no se excluye de las multas a las Administraciones Públicas, aunque los Estados Miembros pueden acordarlo así). El nuevo RGPD, en su título VIII, prevé una serie de cambios muy relevantes en el campo del régimen sancionador persiguiendo la protección efectiva de los datos de carácter personal, reforzando y especificando tanto los derechos de los interesados como las obligaciones de aquellas entidades y empresas que traten datos personales.
Preguntas frecuentes
¿Se puede pedir o dar referencias laborales sin el consentimiento del trabajador?
No. Es habitual que las empresas pidan referencias de un candidato antes de contratarle a las empresas donde ha trabajado anteriormente. La empresa a la que se piden esas referencias no deben darlas sin el consentimiento de su ex-trabajador. Se trata de una cesión de datos que no es necesaria para el desempeño del nuevo puesto de trabajo por lo que, de no tener su autorización expresa, estaríamos infringiendo la normativa de Protección de datos. Esto se considera una cesión ilícita de datos personales y una vulneración del deber de secreto.
Por tanto, para poder facilitar las referencias de un ex-empleado debemos poder demostrar que esta persona nos dio su consentimiento para facilitar sus datos personales con la finalidad de dar referencias a un tercero dentro de un proceso de selección. Esta cláusula puede incluirse en el documento de cesión de datos firmado por los trabajadores.
¿Puedo pedir la vida laboral a los empleados?
La respuesta es No, salvo excepciones. La vida laboral es un documento confidencial donde se indican las empresas donde una persona ha trabajado y los años cotizados. La empresa solo podría solicitar la vida laboral de un trabajador dentro del periodo de tiempo en que se encuentre en esa empresa. Pero no conocería las empresas anteriores para las que ha trabajado ni los años de cotización. Y, en el caso de que ese empleado esté realizando a la vez otro trabajo, la empresa sí podría conocer esa situación. Existe una excepción en la que la empresa podría solicitar ese informe de vida laboral del trabajador: cuando sea necesario para hacer algún curso o conseguir una acreditación en la que se deba comprobar los años de experiencia exigidos. Aparte de este caso, no se puede solicitar la vida laboral de los empleados. Pero estos pueden entregársela a la empresa voluntariamente. A veces las empresas solicitan ese informe de vida laboral en las entrevistas de trabajo para confirmar la experiencia que el candidato a puesto en su currículum, pero no es obligatorio entregarlo.
¿Puedo publicar en Internet datos personales de mis trabajadores?
Siempre será necesario el consentimiento expreso del trabajador. El consentimiento para la comunicación masiva por Internet de los datos de sus empleados, incluidas las evaluaciones sobre los mismos, no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre. La publicación de contenidos con información y datos respecto de trabajadores no puede ser realizada si éstos no han autorizado expresamente su publicación. Pudiendo incurrir en un tratamiento y cesión no autorizada pudiéndose solicitar su retirada de forma inmediata. Lo mismo ocurre con las publicaciones corporativas o en redes sociales. Puedes saber más en nuestro artículo sobre consentimiento para el uso de fotografías.
¿Me permite la ley acceder a los correos electrónicos de los empleados?
El Tribunal Europeo de Derechos Humanos de Estrasburgo publicó una sentencia en la que considera legal que una empresa revise los correos electrónicos de su plantilla. Esto siempre que se refiera a los mensajes enviados desde el correo corporativo (en horario laboral). Y los que se transmitan a través de cuentas privadas, pero operadas desde el ordenador del trabajo. En nuestro país se establece que el trabajador tiene que ser notificado antes de que se le monitorice el ordenador. Si la autorización está firmada, el empresario puede examinar las comunicaciones del empleado cuando le plazca. Pero en el caso de los correos corporativos no hace falta autorización alguna. Al ser una herramienta de la empresa, esta es la dueña y responsable de todo lo que desde ella se dice.
¿Necesito consentimiento por escrito para grabar a los trabajadores?
El Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana. Entre estas medidas puede estar la captación y/o tratamiento de imágenes sin consentimiento. Es necesario informar al trabajador de esas grabaciones. Pero no es necesario solicitar su consentimiento siempre que las cámaras instaladas pretendan contribuir a la seguridad y control laboral. Puedes descargar aquí un modelo para comunicación a los trabajadores de la instalación de cámaras en 2021. Por tanto, es legal poner cámaras en el trabajo siempre y cuando se informe al trabajador, pero no es necesario que éste otorgue su consentimiento.
¿Qué datos personales pueden incluirse en una tarjeta identificativa de un empleado?
La AEPD considera que, aparte del nombre y apellidos del trabajador, puede incluirse el DNI en la tarjeta identificativa, ya que pueden existir varias personas con el mismo nombre y apellidos. Esto no vulneraría el principio de proporcionalidad, al no resultar dicho tratamiento excesivo para la finalidad de identificación del personal. Respecto a la inclusión de la fotografía del empleado, la finalidad que justifica esa inclusión es garantizar su identificabilidad en el desempeño de sus funciones. Por lo tanto, no es necesario recabar el consentimiento de los afectados. Sin perjuicio del necesario cumplimiento del deber de informar a los mismos.
¿Se necesita consentimiento de los trabajadores para que la empresa ceda datos de empleados a terceros?
Se ha de informar al trabajador en el contrato laboral sobre el tratamiento de datos que se va a realizar, incluyendo si los datos personales del trabajador solo se usarán de forma interna o si van a ser cedidos a terceros, por ejemplo, una asesoría para la gestión de nóminas. El firmar el contrato, el trabajador está otorgando su consentimiento para que la empresa realice este tratamiento de datos.
REFERENCIAS Y FUENTES
https://www.boe.es/buscar/act.php?id=BOE-A-1978-31229
https://www.boe.es/buscar/act.php?id=BOE-A-1982-11196
https://www.boe.es/doue/2016/119/L00001-00088.pdf
https://www.boe.es/boe/dias/2018/12/06/pdfs/BOE-A-2018-16673.pdf
https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-board_es
https://www.boe.es/doue/2016/119/L00001-00088.pdf
https://www.poderjudicial.es/search/documento/AN/9459975/derecho mercantil/20210323
https://www.boe.es/buscar/act.php?id=BOE-A-1982-11196
https://ayudaleyprotecciondatos.es/2020/12/01/proteccion-datos-empleados/
https://tecnolawyer.com/es/publicas-fotos-de-tus-trabajadores-en-la-web-o-en-las-redes-sociales/