Cuando se habla de protección de datos, hay un área de la gestión empresarial que sabe mucho de eso. Se trata de los Departamentos de Recursos Humanos de las empresas. En ellos, se gestionan, bien insitu o bien por parte de terceros autorizados, los datos personales correspondientes a los trabajadores que forman parte de la estructura, pero también aquellos datos de candidatos a algún puesto de trabajo dentro de la empresa.
Hoy quiero dar un pequeño repaso a algunos aspectos a tener en cuenta en lo relativo a la gestión de los datos personales delpersonal.
- Información del tratamiento: como en cualquier otro tipo de tratamiento de datos, el afectado, en este caso el trabajador, tiene que tener información completa del tipo de datos que se van a recopilar, el uso que se va a dar y de la identidad del responsable del tratamiento, según determina el artículo 5 de la LOPD. Esta información puede darse en dos momentos muy diferenciados:
- Durante el procedimiento de selección del personal: en este caso, la AEPD recomienda la existencia de procedimientos de formalización y entrega de los CV, además de algún modelo de CV normalizado, para que se pueda incluir la información requerida por el artículo 5 de la LOPD.
- Además, deberá acreditarse la información y el consentimiento a este tratamiento por parte del afectado. Si el CV, va a formar parte de una base de datos de un grupo de empresa, la información entregada al afectado, deberá reflejar este punto.
- En el momento de la contratación: con el inicio de la relación laboral, se volverá a informar al usuario de lo previsto en el punto anterior, y recabando de nuevo su consentimiento para ello si a la firma del contrato, se incluyen algún tipo de servicios extras: descuentos en compras, mutualidades, etc., que no formen parte de la relación laboral puramente dicha.
- Durante el desarrollo de la función laboral, si se modifican algunos aspectos de la misma o se ncluyen nuevos elementos, como por ejemplo una cuota sindical, se deberá informar y recoger su consentimiento.
- Datos especialmente protegidos: cuando sea necesario recoger datos de tipo incluidos en el artículo 7 de la LOPD, (religión, salud, vida sexual, ideología, etc.), será necesario revisar la necesidad y la proporcionalidad de este tipo de tratamiento, asignándoles el máximo nivel de protección, salvo en los casos excepcionales previstos por la ley.
- Si se crea algún tipo de gestión de denuncias internas, se deberán crear sistemas que permitan una completa identificación del denunciante, primando eso sí, el criterio de proporcionalidad y garantizando en todo caso los principios de la norma. Igualmente, si el análisis de las denuncias se tiene que llevar a cabo por una empresa externa, se considerará esta como una cesión de datos, guardando todas las garantías que la norma prevé en estos casos.
- En el caso de que la empresa incluya seguros de vida u otro tipo para sus trabajadores y familiares, los datos recopilados, previo consentimiento e información, incluirán de nuevo el principio de proporcionalidad y deberán ceñirse únicamente a los necesarios para la gestión de dichos servicios. En todo caso, según recomendación de la AEPD, lo más adecuado sería informar a los trabajadores de la existencia de estos servicios y que sea él mismo, el responsable de contratar el servicio.
- Si la gestión de nóminas está externalizada, será necesario informar del hecho al afectado y suscribir con el tercero autorizado un contrato de Encargado de Tratamiento, como indica el artículo 12 de la LOPD, que regule la relación entre la empresa y el responsable de la gestión de las nóminas. Este contrato, incluirá el alcance del mismo, las obligaciones que suscriben ambas partes y de qué forma se tratarán los datos personales de los trabajadores.
- Si bien la prevención de riesgos laborales, está implícita en la relación laboral, la vigilancia de la salud puede ser voluntaria. En este caso, ser requerirá información y consentimiento para la gestión de los datos del trabajador a la hora de llevar a cabo acciones de vigilancia de la salud.
- El acceso a los datos de los trabajadores por parte de la empresa u otras figuras que formen parte de la misma: responsables de prevención, delegados sindicales o incluso la misma dirección; deberá llevarse a cabo bajo los mismos criterios de proporcionalidad y discreción que permita evaluar algún hecho concreto sin exceder en la información a la que se accede.
- La legitimación del control de la empresa de los recursos informáticos puestos a disposición del trabajador, está implícita en la relación laboral. Pero cabe tener en cuenta que el objeto de este control no puede ser otro que el dispuesto por el Estatuto de los Trabajadores cuando indica en el artículo 20.3-T, “verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”. Ese y solo ese puede ser el motivo de dicho control. El trabajador tiene que ser informado a su incorporación de cuáles son las grandes líneas de las políticas de seguridad relacionadas con las TIC y cuáles son los límites y obligaciones: uso de recursos para temas personales, almacenamiento de información privada, etc.
- Cuando sea necesaria la publicación de datos personales en tablones informativos al uso, se deberán tener en cuenta los criterios antedichos de proporcionalidad y calidad de los datos que se muestren. Además, será necesario que esta información solo esté disponible al personal de la empresa y nunca pueda ser accedida por terceros: visitas, clientes, etc.
- Cuando tenga que ser cedida información a sindicatos, esta deberá basarse en el criterio de mínima información necesaria y únicamente se cederá a las personas directamente relacionadas y bajo el criterio de proporcionalidad, con información previa de las cesiones previstas.
- Los trabajadores deberán guardar el obligado deber de secreto, artículo 10 de la LOPD, y salvaguardar la seguridad de la información a la que accedan. Habrán sido debidamente informados en el momento de la incorporación en la empresa.
- Como vemos, son múltiples los aspectos de la gestión de recursos humanos, que están relacionados con la aplicación práctica de la Ley de Protección de Datos. Es sin duda, una de las áreas de la empresa que gestiona información más sensible y por ello la vigilancia de estos tratamientos, cobra especial importancia.
