LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 12:50:51

LegalToday

Por y para profesionales del Derecho

Blog PRODAT

Tratamiento de datos personales en el ámbito laboral: análisis del Dictamen 2/2017 GT artículo 29

Abogada. Responsable Jurídico Prodat Cataluña

Protección Datos

El Dictamen 2/2017 del Grupo de Trabajo del artículo 29, de 8 de Junio de 2017 sobre tratamiento de datos en el trabajo, complementa el Dictamen 8/2001 sobre el tratamiento de los datos personales en el contexto del empleo y el documento de trabajo de 2002 sobre la vigilancia de las comunicaciones electrónicas en el lugar de trabajo. El desarrollo de nuevas tecnologías que permiten un procesamiento más sistemático de los datos personales de los trabajadores en el trabajo, plantea importantes desafíos a la privacidad por lo que el GT29 hace una nueva evaluación del equilibrio entre los intereses legítimos de los empleadores y las expectativas razonables de los empleados. Manteniendo plenamente la aplicación de los principios sentados en la Directiva 95/46, el GT29 recuerda que las Bases jurídicas para el tratamiento, (dejando a un lado el consentimiento que no podrá constituir base legal para el tratamiento en la mayoría de los casos debido a la naturaleza de la relación laboral), podrán ser:

  • la ejecución de un contrato
  • obligaciones impuestas por el Derecho Laboral que impliquen tratamiento de datos del empleado, en cuyo caso éste deberá ser informado de dicho tratamiento salvo excepción aplicable.
  • intereses legítimos del empleador (artículo 7 f), la finalidad del tratamiento debe ser legítima. El método o la tecnología elegida deben ser necesarios, proporcionados y aplicados de la manera menos intrusiva posible, junto con la capacidad de permitir al empleador demostrar que se han adoptado las medidas adecuadas para garantizar un equilibrio con los derechos y libertades fundamentales de los trabajadores. El GT29 recuerda que el trabajador podrá oponerse a dicho tratamiento en virtud del artículo 14 Directiva 95/46 (derecho de oposición).

El GT29 también recuerda que el artículo 15 de la Directiva concede a los interesados el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado.

En relación al RGPD (Reglamento UE 2016/679) que sustituirá a la Directiva 95/46, el GT29 destaca que introduce nuevas obligaciones para los empleadores:

  • Protección desde el diseño: el art. 25 del RGPD exige que los responsables implementen la protección de datos por diseño y por defecto. Por ejemplo, si se facilita un dispositivo a los empleados, deberán elegirse las opciones más respetuosas con la privacidad del empleado. También se debe tener en cuenta la minimización de datos.
  • Evaluación de impacto: el art. 35 del RGPD establece los casos en los que un responsable del tratamiento de datos deberá llevar a cabo una evaluación del impacto de la protección de datos, como por ejemplo cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas; o cuando se realice una evaluación sistemática y exhaustiva de aspectos personales basada en un tratamiento automatizado, como la elaboración de perfiles. El responsable deberá consultar a la Autoridad de control antes de proceder al tratamiento cuando la evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

El RGPD prevé (art 88) que los Estados miembros establezcan normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral. En caso de adoptarse estas medidas, deberán notificarse a más tardar el 25 de mayo de 2018 y cualquier modificación posterior de las mismas.

A continuación, el GT29 analiza diferentes supuestos en los que se produce un tratamiento de datos de los empleados que potencialmente pueden suponer un alto riesgo para la privacidad de éstos:

1-Tratamiento de datos durante un proceso de selección:

En relación a la posibilidad de que el empleador consulte los perfiles de los candidatos en redes sociales, no por el hecho de que éstos sean públicos quiere decir que pueden tratarse para fines propios del empleador, deberá haber un fundamento legal para dicho tratamiento, como por ejemplo el interés legítimo.

El GT29 resalta que no existe un fundamento legal para que un empleador exija a los candidatos que le acepten como "amigo", o que de alguna otra forma le proporcionen acceso al contenido de sus perfiles. Sólo en el caso de que fuera necesario para el trabajo revisar la información de un candidato en las redes sociales y los candidatos sean correctamente informados (por ejemplo, en el texto del anuncio de empleo), el empleador podrá tener una base legal en virtud del Artículo 7 (f) para revisar la información pública disponible sobre los candidatos.

2-Tratamiento de datos de redes sociales de los empleados:

El tratamiento de los perfiles de los empleados en redes sociales, por norma general, no debería realizarse. Tampoco debería exigirse la utilización de un perfil corporativo facilitado por la empresa, y en el caso de que se prevea de forma específica este requisito, el empleado deberá conservar la opción de utilizar un perfil "no laboral" y no público que puedan utilizar en lugar del "oficial" corporativo.

En el caso de antiguos empleados, podrán tratarse datos provenientes de redes sociales de empleo siempre que el empleador pueda demostrar que tal vigilancia es necesaria para proteger sus intereses legítimos (ejemplo, salvaguarda de la cláusula de no competencia), que no existen otros medios menos invasivos y que los antiguos empleados han sido debidamente informados. En este caso la base legal podrá ser el interés legítimo.

3-Tratamiento de datos derivado de la monitorización de las tecnologías de comunicación e información en el trabajo:

El GT29 mantiene la validez de las conclusiones obtenidas en el documento de trabajo de 2002 sobre la vigilancia de las comunicaciones electrónicas en el lugar de trabajo. No obstante, afirma que los nuevos desarrollos tecnológicos permiten nuevas formas de monitorización más intrusivas e invasivas y recuerda que el interés legítimo debe cumplir determinados requisitos para constituir un fundamento legal para el tratamiento, con independencia de la tecnología utilizada. De este modo, las medidas adoptadas deben ser proporcionales y debe analizarse si se pueden adoptar medidas adicionales para mitigar o reducir el impacto y escala de dicho tratamiento, por ejemplo, a través de una Evaluación de Impacto. Además, deben comunicarse a los empleados las políticas de uso de los sistemas en el trabajo.

En general, el GT29 afirma que la prevención debe tener mucho más peso que la detección: es más conveniente evitar un uso indebido por medios técnicos que utilizar los recursos para detectar el uso indebido.

4-Tratamiento de datos derivado de la monitorización de las tecnologías de comunicación e información fuera del lugar de trabajo:

Trabajo desde casa o en remoto:

Para mitigar el riesgo que implica trabajar desde casa o en remoto, deben adoptarse las medidas técnicas adecuadas, pero ello no supone que el empleador pueda implantar medidas de seguridad tales como un software que registre pulsaciones de teclas y movimientos del ratón, qué aplicaciones y durante cuánto tiempo se han utilizado etc  El GT29 sostiene que se trataría de un uso desproporcionado que difícilmente podría quedar amparado por el interés legítimo del empleador.

Utilización de herramientas propias (BYOD, Bring your own device):

En el caso de que se permita la utilización de herramientas propias del empleado para uso laboral, existe una clara posibilidad de que los empleadores traten información no corporativa sobre esos empleados (direcciones MAC o acceso al dispositivo para realizar un análisis de seguridad). Para evitar el control de la información privada, deben establecerse medidas adecuadas para distinguir entre el uso privado y corporativo del dispositivo. En este punto queda patente la importancia de la realización de un informe de evaluación de riesgos y de evaluación del impacto en la privacidad del empleado. 

Gestión de dispositivos móviles (MDM, Mobile Device Management):

La gestión de dispositivos móviles permite localizar dispositivos, implementar configuraciones y/o aplicaciones así como  eliminar datos de forma remota. El GT29 sostiene que deberá realizarse un Informe de Evaluación de Impacto antes de implantar una tecnología de este tipo, con el objetivo de determinar si la tecnología MDM es necesaria y, en caso afirmativo, si el tratamiento de datos resultante cumple con los principios de proporcionalidad y subsidiariedad; es decir, que los datos recopilados como parte de esta capacidad de localización remota se procesen con un propósito específico y no como parte de un programa más amplio que permita un seguimiento permanente de los empleados.

Los empleados cuyos dispositivos están inscritos en los servicios de MDM deberán estar plenamente informados sobre qué seguimiento se está llevando a cabo y las consecuencias que tiene para ellos.

Dispositivos "llevables" (wearable):

El uso de estos dispositivos por parte de los empleados, podría conllevar el tratamiento de datos de salud, el cual está prohibido por el artículo 8 de la Directiva. Además, el consentimiento expreso del empleado difícilmente podrá legitimar dicho tratamiento, dada la desigualdad inherente a la relación laboral y la naturaleza sensible de los datos de salud, como afirma el GT29. Incluso si el empleador utilizase un tercero para recopilar los datos de salud, que sólo proporcionase información agregada sobre la evolución general de la salud al empleador, el tratamiento seguiría siendo ilegal.

5-Tratamiento de datos derivado de sistemas de videovigilancia:

La reducción del tamaño de las cámaras junto con el aumento de sus capacidades y los nuevos tratamientos que pueden realizarse a través de imágenes (análisis de expresiones faciales, patrones de movimiento etc), aumentan exponencialmente los riesgos derivados de la videovigilancia ya que podría implicar la creación de perfiles y, posiblemente, la toma de decisiones automatizada.

El GT29 considera desproporcionado este tipo de tratamientos con respecto a los derechos y libertades de los empleados y, por lo tanto, ilícito. El GT29 afirma que puede haber algunas excepciones a esta regla, pero tales escenarios no pueden usarse para invocar una legitimación general del uso de tal tecnología.

6-Tratamiento de datos derivado del uso de vehículos:

Además de los datos derivados de la ubicación del vehículo (y del empleado), puede recogerse cantidad de información,  como por ejemplo el comportamiento de conducción, productividad etc.

Los fundamentos jurídicos que pueden fundamentar este tipo de tratamientos pueden ser diversos: cumplimiento de una obligación legal del Responsable (ejemplo, para asegurar la seguridad del empleado), interés legítimo en localizar los vehículos, pero en cualquiera de estos supuestos, primero debe evaluarse si el tratamiento para estos fines es necesario y si la aplicación efectiva cumple los principios de proporcionalidad y subsidiariedad. Por ejemplo, si se permite el uso privado de un vehículo corporativo, el trabajador deberá poder desactivar las medidas de monitorización. Lógicamente, deberá informarse claramente a los empleados sobre los dispositivos de seguimiento instalados y todas sus finalidades. El GT29 sugiere que preferiblemente, dicha información sea exhibida en cada coche, a la vista del conductor.

En el caso de que los empleados puedan utilizar vehículos de la empresa fuera del horario de trabajo para uso personal, es poco probable que exista una base legal para el seguimiento de la ubicación de los vehículos pero, en caso de que exista tal necesidad, deberá ser proporcional a los riesgos. Por ejemplo, que la localización del coche no se registre fuera de las horas de trabajo, salvo que el vehículo salga de un círculo definido previamente.

7-Tratamientos que impliquen la cesión de datos a terceros:

Cada vez es más común que las empresas faciliten datos de sus empleados a sus clientes y estos datos pueden resultar excesivos. El consentimiento del empleado no podría considerarse libre y por tanto, no podría legitimar dicho tratamiento. El GT29 sostiene que para que el tratamiento de datos tenga un fundamente jurídico válido, dicho tratamiento de datos deberá ser proporcional.

Como puede apreciarse, los requisitos comunes a todo tratamiento de datos en el ámbito laboral, son la proporcionalidad, transparencia, minimización de datos y en el caso de utilizar el interés legítimo como fundamento jurídico, que el tratamiento resulte estrictamente necesario para un fin legítimo y se ajuste a los principios de proporcionalidad y subsidiariedad. Esto no hace sino poner de manifiesto la gran importancia de las Evaluaciones de Impacto exigidas por el RGPD así como las Evaluaciones de riesgos, en relación con el Principio de Responsabilidad activa del Responsable del tratamiento, a la hora de decidir la implantación de determinados tipos de tratamientos de datos en la empresa.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

Blog

Logo PRODAT

Te recomiendo

Correo electrónico: info@prodat.es
Web: www.prodat.es

PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.

PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.

Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.