La protecció de dades a les relacions laborals


Manuel Castilleja Toscano     16/06/2021

Resum de la Guia sobre la protecció de dades en les relacions laborals, publicada per l'AEPD el 18/05/2021.

Document original: https://www.aepd.es/es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf

1. ASPECTES GENERALS


1.1. BASES JURÍDIQUES PER AL TRACTAMENT DE DADES PERSONALS (art. 6 GDPR)

  • Relació contractual, necessari per a l'execució d'un contracte en el qual l'interessat és part.
  • Obligació legal, necessari per al compliment d'una obligació legal aplicable el responsable del tractament (per exemple: cotització a la Seguretat Social, obligacions tributàries, registre de jornada, informació i consulta amb els representants de les persones treballadores, etc. o per un conveni col·lectiu).
  • Interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que sobre aquests interessos no prevalguin els interessos o els drets i llibertats fonamentals de l'interessat:
    • la finalitat de el tractament ha de ser legítima.
    • el mètode elegit o la tecnologia específica han de ser necessaris, proporcionats i aplicats de la manera menys intrusiva possible, i l'empresari ha de poder demostrar que s'han adoptat les mesures adequades per garantir un equilibri amb els drets i llibertats fonamentals dels treballadors.
  • Interessos vitals de l'afectat o d'una altra persona física.
  • Consentiment, lliure i específic, és a dir, separat del contracte de treball. (Per exemple: una empresa formalitza un conveni gràcies a el qual la persona treballadora obté avantatges per a certes compres, però requereix confirmació de la identitat de la persona beneficiària).
    El tractament basat en el consentiment s'ha d'utilitzar excepcionalment, atès que no serà lícit quan:
    • es proporciona en un context de desequilibri clar entre l'interessat i el responsable del tractament,
    • un determinat tractament excedeixi el necessari per al compliment del contracte, no hagi obligació legal i no sigui possible la legitimació a través de l'interès legítim o vital.
    • se substitueix el consentiment individual per un consentiment indirecte i plural mitjançant la negociació col·lectiva.


1.2. INFORMACIÓ SOBRE EL TRACTAMENT DE DADES PERSONALS (art. 13 i 14 GDPR)

L'ocupador, ha d'informar les persones treballadores, de manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, sobre el tractament de dades que està duent a terme.

La inclusió de clàusules informatives de protecció de dades en el contracte de treball, o en un annex a la mateixa, és un mitjà adequat per complir amb el dret d'informació de les persones treballadores.


1.3. DRETS DE PROTECCIÓ DE DADES EN L'ÀMBIT LABORAL

  • Dret d'accés, rectificació, portabilitat i supressió de les seves dades, i de limitació o oposició al seu tractament.
  • Dret a no ser objecte de decisions individuals automatitzades (DIA), perfilat, llevat que sigui necessària per a la celebració o execució d'un contracte o es basi en el consentiment explícit de l'afectat (en aquests casos el responsable ha de garantir el dret de l'afectat a obtenir intervenció humana, expressar el seu punt de vista i impugnar la decisió), o estigui autoritzat per llei
  • Dret a retirar el consentiment en qualsevol moment, quan la legitimació del tractament es basi en això.
  • Dret a presentar una reclamació davant l'Autoritat de control si considera que el tractament no s'ajusta a la normativa vigent.


1.4. EL PRINCIPI DE MINIMITZACIÓ (art. 5 GDPR), I EL SEU IMPACTE EN LA RELACIÓ LABORAL

Les dades personals han de ser adequades, pertinents i limitats al que és necessari en relació amb els fins per als quals són tractats de manera que només s'hauran de tractar les dades necessàries per al normal desenvolupament de la relació laboral (per exemple: nom i cognoms, sexe, DNI/NIE, número d'afiliació a la Seguretat Social, nacionalitat, discapacitat, data de naixement, etc.).

Tot i que la relació laboral precisi que el personal proporcioni a l'empresa alguna forma de contacte, el contracte de treball no la legitima per demanar a la persona treballadora dades personals en relació amb l'adreça de correu electrònic o el número de telèfon personal. És a dir, la necessitat del tractament haurà de ponderar cas per cas, pel que serà necessari analitzar la base jurídica al·legada, la finalitat pretesa i les dades que es pretenen tractar.


1.5. DEURES I OBLIGACIONS EN L'ACCÉS A DADES PERSONALS: SECRET I SEGURETAT

El GDPR i la LOPDGDD inclouen el deure de seguretat juntament amb el deure de confidencialitat i secret dins dels principis de la protecció de dades (art. 5.1.f i 32.1 GDPR i art. 5 LOPDGDD). Per això és molt recomanable:

  • Dissenyar les funcions i responsabilitats de el personal en funció de la seva relació amb el tractament de dades personals.
  • Formar el personal segons el seu diferent grau de responsabilitat, garantint que coneguin els seus deures de seguretat i secret. La formació ha de contribuir a crear una cultura de compromís amb la protecció de dades.
  • Advertir i formar el personal que, sense tenir permís d'accés a dades, pugui posar en perill el secret o la seguretat dels mateixos (per exemple: personal de neteja).
  • Valorar la conveniència de designar un delegat de protecció de dades (DPO) que pugui assessorar en el compliment de la normativa i el principi de responsabilitat proactiva.


2. SELECCIÓ PRÈVIA A LA CONTRACTACIÓ


2.1. LÍMITS AL TRACTAMENT DE DADES

La base jurídica del tractament durant el procés de selecció és la intenció de concloure un contracte laboral (art. 6.1.b GDPR), de manera que no necessitarà obtenir el consentiment de la persona interessada.

La informació del tractament s'ha d'incloure en els mitjans disposats per a la formalització del currículum, ja sigui en format imprès si es lliura presencialment o en format digital si es realitza algun tipus d'anunci o convocatòria pública. En qualsevol cas, s'ha de poder acreditar que la informació ha estat facilitada a l'interessat.

L'organització és responsable de la custòdia de la documentació lliurada per la persona candidata. S'han de respectar els principis de minimització i limitació de la finalitat, de manera que només cal sol·licitar dades rellevants per a l'exercici de el lloc de treball i no informació indiscriminada.

Les impressions o valoracions subjectives dels que porten a terme el procés de selecció, es consideren també dades personals.

En el cas que els ocupadors sol·licitin l'informe de la vida laboral a les persones candidates durant el procés de selecció, han de tenir en compte el següent:

  • L'empresa no està legitimada per obtenir aquest informe directament de la Seguretat Social.
  • Ho podrà demanar a la persona candidata si acredita un interès legítim a l'efecte de comprovar la veracitat i l'experiència que reflecteix en la seva sol·licitud. El consentiment no és una base jurídica vàlida, ja que no és completament lliure per a la persona treballadora.
  • L'informe que eventualment es lliuri no necessàriament ha de ser complet, sinó adaptat a l'interès legítim que l'ocupador demostri (principi de minimització de dades).
  • L'exigència de la vida laboral no es justificaria si les persones candidates puguin demostrar aquesta experiència per altres mitjans menys invasius, com pot ser aportar una carta de recomanació que descrigui l'experiència que es requereix (principi de proporcionalitat).


2.2. SELECCIÓ DE PERSONAL I XARXES SOCIALS

Les persones candidates i les persones treballadores no estan obligades a permetre la indagació de l'ocupador en els seus perfils de xarxes socials, ni durant el procés de selecció ni durant l'execució de l'contracte.

Tot i que el perfil a les xarxes socials sigui d'accés públic, l'empresari no pot efectuar un tractament de les dades obtingudes per aquesta via si no compta amb una base jurídica vàlida, per exemple, quan pugui demostrar que el tractament és necessari i pertinent per exercir el treball. Si fos el cas, el personal afectat tindrà dret a ser informat sobre aquest tractament.

L'empresa no està legitimada per:

  • sol·licitar "amistat" a persones candidates perquè aquestes, per altres mitjans, proporcionin accés als continguts dels seus perfils.
  • sol·licitar a una persona treballadora o candidata a una ocupació, la informació que aquest comparteixi amb altres persones a través de les xarxes socials.


2.3. ENTREVISTES DE TREBALL

Les dades obtingudes en les entrevistes de treball, directament o mitjançant deduccions, no poden ser objecte de tractament si no es disposa d'una base jurídica adequada.

El tractament de dades que pugui donar lloc a discriminacions contràries a el principi constitucional d'igualtat, podria incórrer en una infracció administrativa molt greu tipificada en el Text refós de la Llei sobre infraccions i sancions en l'ordre social, aprovat per Reial Decret Legislatiu 5/2000 , de 4 d'agost (TRLISOS).


2.4. COL·LABORACIÓ ENTRE EMPRESES

Les agències de col·locació i les empreses de selecció intervindran com a encarregades de el tractament quan hagin celebrat prèviament un contracte amb l'empresa que busca persones treballadores. En el cas que contactin amb les persones candidates abans de disposar d'ofertes de feina concretes (sense contracte d'encarregat de tractament) intervindran com a responsables del tractament.

Les empreses de treball temporal (ETT) intervindran com a responsables del tractament, ja que són ocupadores directes de les persones treballadores.

Serà necessari el consentiment de la persona candidata perquè l'empresa on sol·licita treball cedeixi les seves dades a una altra empresa, encara que aquesta formi part d'un mateix grup empresarial.


2.5. DECISIONS AUTOMATITZADES

El GDPR prohibeix amb caràcter general, la presa de decisions basades únicament en un tractament automatitzat, inclosa l'elaboració de perfils, quan produeixi efectes jurídics en l'interessat o li afecti significativament de manera similar (per exemple, ser descartat d'un procés de selecció) .

No obstant això, aquestes decisions es podran dur a terme quan siguin necessàries per a la contractació o en el transcurs de la relació de treball, ja que podrien ser determinants per a les persones treballadores que tenen dret a un ascens o sobre la renovació o extinció de contractes.

Les decisions basades en la utilització d'algoritmes i l'elaboració de perfils no poden produir discriminació. Quan el resultat de la decisió vulneri drets fonamentals, el disseny de l'algoritme ha de ser modificat. En el disseny i implementació de l'algoritme s'ha de fer una avaluació d'impacte.

El procediment ha de contemplar algun mecanisme d'intervenció humana si la persona afectada així ho sol·licita, a més d'una via perquè aquesta persona expressi la seva opinió i, si escau, impugni la decisió. Així mateix, tindrà dret a rebre una explicació de la decisió presa després d'aquesta avaluació.


2.6. CATEGORIES ESPECIALS DE DADES PERSONALS

Durant el procés de selecció de personal podrien demanar dades especialment sensibles, com:

  • Reconeixements mèdics:
    • Amb caràcter general, són voluntaris per a les persones treballadores, llevat que per llei s'estableixi com a obligatoris (per exemple, activitats amb risc de malaltia professional).
    • No requereixen el consentiment, ja que l'art. 9.2.h GDPR admet la recollida i tractament de dades amb fins de medicina preventiva o laboral i avaluació de la capacitat laboral de treballador.
  • Proves psicotècniques, de personalitat o psicològiques:
    • Abans de recollir aquest tipus de dades és necessari analitzar la proporcionalitat del tractament i la base jurídica de la mateixa.
    • Requereixen el consentiment de la persona afectada, ja que són dades relatives a la salut.
    • La persona candidata, a més de ser informada, té dret a:
      • Accedir als resultats d'aquestes proves psicotècniques o psicològiques.
      • Conèixer els criteris de selecció utilitzats per l'empresa.
  • Test genètics:
    • Són inadmissibles, perquè no són compatibles amb el principi de minimització de dades.


2.7. CONSERVACIÓ DE DADES EN CAS DE NO CONTRACTACIÓ

Una vegada conclòs el procés de selecció, si la persona candidata no és contractada, desapareix la base jurídica per al tractament de dades, pel que seria necessari el seu consentiment per a un futur tractament (per exemple, incorporació a una borsa de treball), llevat que l'empresari pugui demostrar un interès legítim. En cas contrari, ha de destruir el currículum i procedir a la supressió i bloqueig de les dades personals.


3. DESENVOLUPAMENT DE LA RELACIÓ LABORAL


3.1. LA PROTECCIÓ DE DADES COM A DRET DINÀMIC

  • Informació del tractament: s'ha d'informar a les persones treballadores en els quals es produeixin canvis que afectin el tractament de les seves dades personals.
  • Principi de minimització: les dades han de ser adequades, pertinents i limitats al que és necessari en relació amb els fins per als quals són tractats. Aquest principi s'ha de posar en relació amb el principi de limitació de la finalitat, que suposa que les dades han de ser recollits amb fins determinats, explícits i legítims, i no poden ser tractats posteriorment de manera incompatible amb aquestes finalitats.
  • Principi de proporcionalitat: també és un límit al tractament de dades o a determinades ordres empresarials.


3.2. IDENTIFICACIÓ DE PERSONES TREBALLADORES DAVANT CLIENTS

L'ocupador pot exigir que les persones treballadores portin targetes identificatives on constin el seu nom i cognoms quan la finalitat sigui garantir la seva identificabilitat en l'exercici de les seves funcions.

El tractament es pot considerar emparat en el marc de l'execució d'un contracte i sense perjudici de l'acompliment de el dret d'informació amb les següents cauteles:

  • Ha de tractar-se d'activitats de cara a el públic o per raons de seguretat.
  • La informació inclosa a la targeta ha de ser la mínima imprescindible per facilitar la identificació.
  • Incloure fotografies, sense necessitat de consentiment de la persona treballadora, sempre que es respecti el principi de limitació de la finalitat.


3.3. PUBLICACIÓ DE DADES DE PRODUCTIVITAT

Per això s'ha de tenir en compte el següent:

  • La base jurídica és la satisfacció d'interessos legítims, art. 6.1.f GDPR.
  • L'apreciació de la necessitat del tractament exigeix una ponderació entre els interessos de l'empresari i els interessos i drets de les persones afectades.
  • La publicitat de les dades de productivitat no pot ser indiscriminada, sinó que s'ha de limitar a les persones autoritzades.
  • La publicació s'ha de fer de la manera que resulti menys perjudicial per a la persona afectada.
  • S'ha de garantir que les dades de productivitat no puguin ser utilitzats per a futurs tractaments amb finalitat incompatible d'aquella que va motivar la seva recollida.


3.4. NÒMINES

A les nòmines no ha de figurar:

  • Informació supèrflua o addicional, diferent a la relació d'ingressos i deduccions derivades del contracte de treball.
  • Cap menció a l'afiliació sindical, sent recomanable que l'eventual descompte de la quota sindical s'identifiqués de manera que no permetés a tercers conèixer aquesta informació, ja que la nòmina és exigida habitualment per entitats públiques i privades per realitzar determinats tràmits.


3.5. CATEGORIES ESPECIALS DE DADES PERSONALS

Per defecte, el tractament de categories especials de dades personals està prohibit.

Com a excepció (art. 9.2.b GDPR), s'admet el seu tractament quan és necessari per al compliment d'obligacions i l'exercici de drets específics del responsable de l'tractament o de l'interessat en l'àmbit del Dret laboral i de la seguretat i protecció social, això és per al compliment de l'art. 20.3 ET.

El tractament de categories especials de dades ha d'estar sotmès a majors cauteles de les ordinàries i la seva publicació no ha de permetre la identificació de la persona interessada (dades dissociades).


DADES BIOMÈTRIQUES

Les dades biomètriques sotmesos a un tractament tècnic:

  • es consideren de categoria especial, quan es destinen a la identificació biomètrica de la persona afectada entre altres dades biomètriques d'altres persones (un-a-diversos).
  • no es consideren de categoria especial quan es destinen a la verificació/autenticació biomètrica d'una única persona prèviament identificada (un-a-un).

En qualsevol cas, aquests tractaments s'han de fer d'acord amb les garanties del GDPR, en particular:

  • El personal ha de ser informat sobre aquests tractaments en els termes exposats.
  • Els fabricants han d'implementar la protecció de dades des del disseny (supressió automàtica de les dades brutes un cop calculada la plantilla, o utilització del xifrat per a l'emmagatzematge de les dades biomètriques).
  • Les dades biomètriques s'han d'emmagatzemar com plantilles biomètriques sempre que sigui possible. La plantilla haurà extreure d'una manera que sigui específica per al sistema biomètric en qüestió i no utilitzada per altres responsables del tractament de sistemes similars, per tal de garantir que una persona només pugui identificar en els sistemes biomètrics que comptin amb una base jurídica per aquesta operació.
  • L'emmagatzematge es realitzarà preferentment en un dispositiu personal, abans d'acudir a un emmagatzematge centralitzat. Haurà d'utilitzar una clau d'encriptat específica per als dispositius de lectura per tal de protegir efectivament aquestes dades contra tot accés no autoritzat.
  • El sistema biomètric utilitzat i les mesures de seguretat elegides hauran de assegurar-se que no és possible la reutilització de les dades biomètriques en qüestió per a una altra finalitat.
  • S'han d'utilitzar mecanismes basats en tecnologies de xifrat, per tal d'evitar la lectura, còpia, modificació o supressió no autoritzades de dades biomètriques.
  • Els sistemes biomètrics s'han de dissenyar de manera que es pugui revocar el vincle d'identitat.
  • Haurà optar-se per utilitzar formats de dades o tecnologies específiques que impossibiliten la interconnexió de bases de dades biomètriques i la divulgació de dades no comprovada.
  • Les dades biomètriques han de ser suprimides quan no es vinculin a la finalitat que va motivar el seu tractament i, si fos possible, s'han d'implementar mecanismes automatitzats de supressió de dades.
  • Si s'opta per un sistema d'identificació biomètrica (un-a-diversos), serà necessari dur a terme una avaluació d'impacte.


3.6. SISTEMES INTERNS DE DENÚNCIES O ‘WHISTLEBLOWING’

La base jurídica per al tractament de dades és l'interès públic (art. 6.1.e GDPR).

Tant els denunciants com els potencials denunciats han d'haver estat informats prèviament de l'existència d'aquests sistemes i de el tractament de les dades que comporta la formulació d'una denúncia. La informació pot proporcionar-se per diverses lleres:

  • Directament en el contracte de treball.
  • Individual o col·lectivament a l'implementar o modificar el sistema.
  • Mitjançant circulars informatives a el personal i a la seva representació informant de l'existència i finalitat d'un tractament de dades relacionat amb aquests sistemes de denúncies.

Si es preveu comunicar dades a tercers per investigar els fets denunciats, s'haurà d'informar d'això tant a l'denunciant com a el denunciat. De la mateixa manera s'ha d'informar, si escau, de la possible transferència internacional de dades, tot i que aquesta es realitzi a altres empreses de el grup.

Ha de respectar el principi de limitació de la finalitat, de manera que no cap utilitzar la informació obtinguda per aquesta via amb fins diferents dels que van motivar la implementació de sistema.

S'admeten sistemes de denúncies anònimes (art. 24 LOPDGDD). En cas que la denúncia no sigui anònima, la confidencialitat de la informació del denunciant ha de quedar fora de perill, no facilitant la seva identificació a l'denunciat.

L'accés a les dades ha de limitar exclusivament als que desenvolupin les funcions de control intern i de compliment, o a l'encarregat del tractament, que eventualment es designi a aquest efecte. Únicament serà lícit l'accés d'altres persones, o fins i tot la seva comunicació a tercers, quan resulti necessari per a l'adopció de mesures disciplinàries (dpt. RRHH) o per a la tramitació dels procediments judicials que, si s'escau, siguin procedents.

La conservació de la dada s'ha de limitar a el temps necessari per a la investigació dels fets i, només en cas que d'aquella es desprengui l'adopció de determinades mesures contra el denunciat, seria possible conservar les dades per un termini superior havent d'eliminar en cas contrari.

En tot cas, les dades han de suprimir transcorreguts tres mesos des de la seva introducció en el sistema de denúncies sense que s'apliqui l'obligació de bloqueig, llevat que la finalitat de la conservació sigui deixar evidència de l'funcionament de el model de prevenció de la comissió de delictes per la persona jurídica. Les denúncies a les quals no s'hagi donat curs, només podran constar de forma anonimitzada.

Hauran de garantir els drets d'accés, rectificació, supressió i oposició del denunciat, sense que això impliqui revelar la identitat de l'denunciant. En tot cas, el denunciat hauria de poder conèixer en el menor temps possible el fet que se li imputa a fi de poder defensar degudament els seus interessos. S'ha de facilitar al denunciat aquesta informació després d'un temps prudencial en què es dugui a terme la investigació preliminar dels fets.


3.7. REGISTRE DE JORNADA

El registre de jornada laboral té la seva base jurídica en una obligació legal que regula l'art. 34.9 ET i el Reial decret llei 8/2019, de 8 de març, de mesures urgents de protecció social i de lluita contra la precarietat laboral a la jornada de treball.

Els registres de temps de treball han de ser conservats durant quatre anys i romandre a disposició de les persones treballadores, dels seus representants legals i de la Inspecció de Treball i Seguretat Social, i vàlid qualsevol mitjà de conservació sempre que es garanteixi la seva preservació i la fiabilitat i invariabilitat a posteriori del seu contingut, tant si es tracta de suport físic o qualsevol altre que asseguri les mateixes garanties.

El registre de jornada laboral no pot ser d'accés públic.


3.8. REGISTRE DE SALARIS

El registre de salaris té la seva base jurídica en una obligació legal, regulada en l'art. 28.2 ET i el Reial Decret 902/2020, de 13 d'octubre, d'igualtat retributiva entre dones i homes.

L'obligació legal no justifica el tractament de dades personals, ja que en aquest registre no ha de constar el salari de cada persona treballadora, sinó els valors mitjans dels salaris, els complements salarials i les percepcions extrasalarials de la plantilla, desagregades per sexe i distribuïts per grups professionals, categories professionals o llocs de treball iguals o d'igual valor.

En el registre no han de figurar dades personals, ni informació que permeti identificar una persona, és a dir han de figurar dades dissociades, però, la dada dissociat podria convertir-se en dada personal respecte d'aquelles categories o grups professionals amb un reduït nombre de persones treballadores .

Quan no resultés identificable la persona treballadora:

  • no es contempla el dret a la informació, ni l'exercici de drets d'accés, rectificació, oposició i supressió, ja que no es produeix un tractament de dades personals.

Quan si resultés identificable la persona treballadora:

  • El registre hauria de comptar amb les mesures de seguretat basades en l'anàlisi de riscos d'acord amb el GDPR.
  • L'ocupador hauria d'informar a les persones treballadores del tractament de dades personals i de la seva finalitat.
  • Els representants de les persones treballadores estarien obligats a respectar la confidencialitat sobre aquesta informació.

Pel que fa a la consulta d'el registre salarial, l'art. 5.3 de Reial Decret 902/2020, assenyala que en les empreses que comptin amb representació legal de les persones treballadores, l'accés al registre es facilitarà a aquestes a través de l'esmentada representació, tenint dret a conèixer el contingut íntegre de la mateixa. I, quan se sol·liciti l'accés al registre per part de la persona treballadora per inexistència de representació legal, la informació que es faciliti per part de l'empresa no serà de les dades mitjanats respecte a les quanties efectives de les retribucions que consten en el registre , sinó que la informació a facilitar es limitarà a les diferències percentuals que existissin en les retribucions amitjanades d'homes i dones, que també hauran d'estar desagregades en atenció a la naturalesa de la retribució i el sistema de classificació aplicable.


3.9. CONCESIÓ D'AJUDES D'ACCIÓ SOCIAL

La sol·licitud de la persona treballadora d'ajudes d'acció social implica un tractament de dades vinculat a les càrregues familiars i a les rendes, la base jurídica és el mateix contracte de treball i el compliment de les obligacions legals o les previsions dels convenis col·lectius corresponents.

L'ocupador ha de facilitar tota la informació relativa a aquest tractament a la persona treballadora afectada.

Els representants de les persones treballadores tenen dret, segons disposa l'art. 64.7.b ET a participar en la gestió o tramitació de l'ajut social de l'empresa i, per això, a accedir a un llistat de les persones treballadores beneficiàries, el que succeirà quan el conveni col·lectiu els concedís un paper en la gestió o tramitació de l'ajuda social de l'empresa.

No obstant això, el principi de minimització de dades aconsella no procedir a una informació massiva o indiscriminada, sinó que només procedirà la comunicació d'aquelles dades personals que siguin necessaris per a desenvolupar la comesa que tenen atribuït i en la mesura que resulti imprescindible per a l'exercici de les seves funcions.

En altres casos serà suficient la cessió d'informació degudament dissociada que permeti als representants conèixer les circumstàncies la vigilància li ha estat encomanada.

En relació amb la publicitat a la concessió d'aquests ajuts, s'han de distingir dos escenaris:

  • En aquells processos que no siguin de concurrència competitiva i, per tant, sense un nombre màxim de sol·licituds a acceptar per part l'empresa, la notificació haurà de ser individualitzada, de manera que les dades personals no han de ser accessibles per tercers.
  • En processos de concurrència competitiva, és a dir, quan l'empresa limiti el nombre màxim d'ajudes en atenció a l'acompliment de determinats requisits, els sol·licitants (i mai els tercers a l'procediment) podran conèixer el llistat d'adjudicació de les ajudes, però no podran tenir accés a dades supèrflues o no imprescindibles (per exemple, el número de DNI).

En el cas que les ajudes es vinculin amb categories especials de dades (per exemple, ajudes per fills discapacitats) la publicitat de la concessió de l'ajut no ha de permetre la identificació de l'afectat (dades dissociades), per la qual cosa no es podrà publicar cap dada que permeti aquesta identificació (nom, nombre de el DNI, passaport, etc.).


3.10. DRETS E CONCILIACIÓ I CORRESPONSABILITAT

Pel que fa a la cessió de dades de tercers aliens a la relació laboral i que són subjectes causants de l'exercici dels drets de conciliació i corresponsabilitat per la persona treballadora, l'exigència legal d'acompanyar a la sol·licitud que realitzi el treballador aquells elements suficients perquè l'empresa pugui ponderar la idoneïtat del seu gaudi implica que aquesta tingui accés a les dades personals que justifiquen aquests drets.

Així passa, per exemple, en l'acreditació de la necessitat d'adaptar la jornada laboral a les necessitats dels fills o filles menors de 12 anys i les de la vida familiar de l'art. 34.8 ET, o en les excedències de l'art. 46.3 ET per a la cura de familiars que pateixin un accident, malaltia o discapacitat. Per tant, pot implicar el tractament de categories especials de dades.

La base jurídica vindrà legitimada per resultar un tractament necessari per a l'execució d'un contracte en el qual la persona treballadora és part en relació amb el compliment d'una obligació legal aplicable el responsable de l'tractament.

Pel que fa a el tractament de categories especials de dades, es basarà en l'excepció prevista en l'art. 9.2.b GDPR.

En aplicació del principi de minimització de dades, s'han de demanar les dades estrictament necessàries per a ponderar i justificar l'exercici de el dret.


3.11. CONTRACTACIÓ D'ASSEGURANCES DE VIDA I PENSIONS

La base jurídica del tractament de dades depèn de la circumstància que motivi la contractació de l'assegurança i serà fruit de:

  • el pacte entre ocupador i la persona treballadora pel qual aquell es comprometi a aquesta contractació; o
  • l'obligació que derivi d'un conveni col·lectiu, en aquest cas, el consentiment no és necessari per a aquest tractament de dades.

L'empresa pot realitzar diferents tipus de tractaments:

  • La comunicació de les dades d'identificació i contacte de la persona treballadora a l'empresa asseguradora o la gestora de el pla de pensions.
  • La recollida de dades vinculades a l'contracte a celebrar per al seu trasllat a l'asseguradora o gestora d'el pla de pensions.

En qualsevol cas, cal informar les persones treballadores en la recollida de dades, tenint en compte l'existència de diferents possibilitats:

  • En el contracte de treball. Cal recordar que quan es requereixi el consentiment, per no fonamentar el tractament en els deures o obligacions de les parts en una relació laboral, el contracte no és l'instrument més idoni. Si s'utilitza, s'ha d'informar expressament dels termes en què s'ha d'exercir el dret d'oposició.
  • Mitjançant l'elaboració d'informació específica adreçada a persones treballadores.

Els tractaments que afecten familiars o persones relacionades amb les persones treballadores, quan aquestes hagin de designar beneficiaris de l'assegurança o de el pla de pensions, es legitimaran per l'existència de la relació laboral, si bé cal recordar que les dades han de ser estrictament els necessaris (minimització) i únicament en relació amb la contractació de l'assegurança o pla de pensions (limitació de la finalitat).

S'ha de definir amb precisió el procediment per a la captació i tractament de les dades personals, optant pel mètode més eficaç per garantir els drets dels afectats.

Des del punt de vista d'un tractament absolutament respectuós amb el dret fonamental, l'opció òptima consisteix a cedir a l'asseguradora, o la gestora de el pla de pensions, únicament les dades dels assegurats o partícips de el pla de pensions, deixant a les seves mans el desenvolupament d'ulteriors gestions i informant prèviament a les persones treballadores.


3.12. CESSIÓ DE DADES A ALTRES EMPRESES


GRUPS D'EMPRESES

Amb caràcter general, la comunicació de les dades entre empreses de el mateix grup exigirà acreditar un interès legítim bé del responsable del tractament, o bé del tercer a què es comuniquen les dades. Aquest interès legítim pot consistir en la centralització de les activitats de caràcter administratiu.

La base jurídica dins dels grups d'empreses podria ser el compliment de l'contracte de treball en els següents casos:

  • Quan el grup o diverses de les seves empreses ocupin la posició d'ocupador únic en la relació laboral, depenent de el cas concret. Caldrà prendre en consideració factors com l'estructura de el grup d'empreses (horitzontal o jerarquitzat), la finalitat de l'tractament de dades o la mobilitat de la persona treballadora per diferents empreses de el grup.
  • En grups jerarquitzats, i en particular quan l'empresa matriu prengui decisions directament, pot ser necessari que disposi de la informació pertinent, i entre ella de dades com el tipus de contracte, el salari, la jornada, la productivitat, l'antiguitat i altres de caràcter professional que puguin ser rellevants per a la presa de decisions.
  • En grups que oculten una realitat empresarial única, però únicament cal el tractament de les dades imprescindibles per al concret procés de presa de decisions (minimització).
  • Quan es produeix una prestació de serveis indiferenciada en diverses empreses de el grup. La comunicació d'aquestes dades ha de respectar el principi de minimització i no poden ser utilitzats amb una finalitat incompatible.

En qualsevol cas, la persona treballadora ha de ser informada.

Es considera com a bona pràctica la creació de procediments interns dins de el grup perquè l'exercici dels drets d'accés, rectificació, oposició i supressió per part de la persona treballadora en una empresa tingui efectes generals a tot el grup. En aquesta línia, l'art. 88 GDPR encomana als convenis col·lectius la tasca d'incorporar normes relatives a la transparència del tractament i la transferència de les dades personals dins d'un grup empresarial o d'una unió d'empreses dedicades a una activitat econòmica conjunta.


TRANSMISIÓ D'EMPRESES

La comunicació de dades no requereix consentiment dels afectats en supòsits de subrogació empresarial:

  • La base jurídica no és el consentiment de la persona treballadora, sinó l'obligació establerta en l'art. 44 de l'ET, el conveni col·lectiu o el plec de clàusules, segons els casos.
  • El nou ocupador té dret a conèixer i tractar dades personals de les persones treballadores imprescindibles per a l'execució i manteniment del contracte.
  • La cessió de dades no és lícita si la persona treballadora rebutja la subrogació i decideix romandre en l'empresa cedent.
  • Les persones treballadores i els seus representants legals han de ser informats de la cessió de dades.


SUBCONTRACTACIÓ

El contractista principal té l'obligació legal de respondre solidàriament juntament amb l'empresa subcontractada de les obligacions salarials i de la Seguretat Social, en els termes previstos en l'art. 42 ET, mentre duri el període de vigència de la contracta, per això, la cessió dels documents de cotització i nòmines està emparada en aquesta obligació legal (art. 6.1.c GDPR) imposada a l'ET i el propi TRLGSS.

Aquesta legitimació aconseguiria als documents de cotització i nòmines de les persones treballadores que poden contenir dades de salut i també dades relatives a l'afiliació sindical de el personal, sent aquest últim necessari perquè l'ocupador dedueixi en la nòmina la quota sindical de la persona treballadora . L'excepció per tractar categories especials de dades seria l'art. 9.2.b), de manera que resulta necessari per al compliment d'una obligació legal i l'exercici dels drets del responsable en l'àmbit del Dret laboral i de la seguretat i protecció social.

En tot cas, la comunicació de dades ha de respectar el principi de minimització, de manera que l'accés per part de contractista s'ha de limitar a les dades relacionades amb les persones treballadores subcontractades i no a qualssevol persones treballadores de l'empresa subcontractada.


3.13. ACCÉS A DADES D'ALTRES PERSONES CANDIDATES A UN LLOC DE TREBALL (ACCÉS A L'OCUPACIÓ O PROMOCIÓ PROFESSIONAL)

En els processos de concurrència competitiva el perjudicat tindria dret a conèixer, si així ho reclama, informació sobre la qualificació professional de les altres persones candidates i, en particular, dels que han obtingut major valoració.

L'accés a aquesta informació no requereix el consentiment dels afectats, ja que la base jurídica del tractament és la satisfacció dels interessos legítims perseguits pel responsable del tractament o per un tercer (art. 6.1.f GDPR). En la mesura del possible, s'han de proporcionar dades dissociades.

No s'ha de permetre l'accés com a regla general a la següent informació: nom, fotografia, adreça postal o de correu electrònic. En canvi, depenent de quina sigui la finalitat de la reclamació (discriminació per raó de sexe, de raça, d'edat, etc.), la persona treballadora pot accedir a dades personals com l'edat, el país de naixement, la raça o el sexe de la persona candidata escollida, però no necessàriament a totes aquestes dades simultàniament, sinó solament als veritablement rellevants.

En general, l'empresari no pot difondre dades personals d'una persona treballadora entre els seus companys sense consentiment de l'afectat.


3.14.PROTECCIÓ DE LA PRIVACITAT DE LES VÍCTIMES D'ASSETJAMENT AL TREBALL I DE LES DONES SUPERVIVENTS A LA VIOLÈNCIA DE GÈNERE

La posada en marxa de procediments sancionadors a l'empresa davant de l'assetjador no requereix de el consentiment de la persona assetjada. La base jurídica és el compliment d'una obligació legal (art. 6.1.c GDPR).

L'obligació de l'empresa està lligada a la seva posició de garant de salut i seguretat en el treball, ja que les persones treballadores tenen dret a una protecció eficaç en matèria de seguretat i salut en el treball, d'acord els art. 4.2.d ET i 14 de la Llei 31/1995, de 8 de novembre, de prevenció de riscos laborals (LPRL).

Quan la persona assetjada ha rebut assistència sanitària derivada d'aquesta situació per part dels serveis mèdics de l'empresa, les dades mèdiques constitueixen dades personals de categoria especial que només poden ser objecte de tractament amb una finalitat vinculada a l'assetjament.

L'empresa ha de garantir la confidencialitat:

  • La identitat de la víctima només serà revelada davant les persones amb interès en el procediment, i no és admissible una publicitat massiva o indiscriminada sense consentiment de la víctima, ni tampoc l'accés a les dades de persones no legitimades.
  • Haurà d'assignar un codi identificatiu tant a la persona suposadament assetjada com a la suposadament assetjadora, a fi de preservar la identitat d'aquestes.
  • La víctima ha de prestar el seu consentiment per declarar o testificar en els procediments sancionadors davant l'assetjador.

L'empresa ha d'informar sobre el tractament de dades a la persona assetjada ia la suposadament assetjadora.

  • Si l'empresa decideix sancionar l'assetjador, no es pot exercir el dret de supressió, ja que en aquest cas la base jurídica del tractament no serà el consentiment, sinó el compliment d'una obligació legal i l'execució del contracte de treball, en el qual s'inclou l'exercici de la potestat sancionadora.

La cessió de les dades de la víctima requereix el seu consentiment, excepte previsió legal en contra.

Condició de "dona supervivent a la violència de gènere":

  • L'ocupador podrà conèixer i tractar les dades d'una treballadora vinculats a la condició de dona supervivent quan així resulti necessari per al compliment de les obligacions legals pertinents: modificació de el temps de treball, trasllat, reordenació de el temps de treball, suspensió o extinció de el contracte , bonificacions per contractes d'interinitat per substituir les treballadores supervivents a la violència de gènere.
  • El tractament de dades personals només procedeix quan la treballadora sol·licita exercir un dret reconegut per aquesta condició de supervivent, o quan l'ocupador té un interès legítim i sempre que aquesta condició s'hagi comunicat voluntàriament per part de la treballadora.
  • La condició de supervivent no serà revelada per l'ocupador sense consentiment de la treballadora si no és exigència per al compliment de les obligacions corresponents.
  • La documentació de l'empresa ha d'evitar l'expressió "supervivent a la violència de gènere" i substituir-la per un codi o referència que no permeti que tercers puguin associar amb la supervivent aquesta condició.
  • A diferència de les situacions d'assetjament, la supervivent pot exercir el dret de supressió en qualsevol moment.


3.15. EXTINCIÓ DE LA RELACIÓ LABORAL

A la finalització de la relació laboral ha de procedir-se a el bloqueig de les dades (art. 32 LOPDGDD). No obstant això, el tractament de dades després de l'extinció de el contracte podria ser admissible si hi ha una altra base jurídica, per exemple, si l'empresari demostra un interès legítim.

L'ocupador podrà demanar el consentiment de la persona treballadora per contactar amb ella en el futur. L'ocupador ha d'informar d'aquesta circumstància, que podria optar per no prestar el seu consentiment. La comunicació de dades d'un antic ocupador a un futur ocupador també requereix el consentiment de la persona treballadora.


3.16. CESSIÓ DE DADES DE PERSONES EXTREBALLADORES A EMPRESES DE RECOL·LOCACIÓ

La comunicació de dades entre l'empresa que procedeix a l'acomiadament i l'empresa de recol·locació és un tractament de dades que no exigeix el consentiment de la persona treballadora, ja que la base jurídica és el compliment d'una obligació legal.

El tractament d'altres dades que puguin ser necessaris per desenvolupar el pla de recol·locació serà lícit una vegada que la persona treballadora hagi acceptat participar-hi.


4. CONTROL DE L'ACTIVITAT LABORAL


4.1. CONTROL EMPRESARIAL I PROTECCIÓ DE DADES

La base jurídica per a la implantació de mesures de control i el tractament de les dades personals de el personal serà l'execució de l'contracte en relació amb l'art. 20.3 ET: "L'empresari pot adoptar les mesures que consideri més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració deguda a la seva dignitat humana i tenint en compte la capacitat real dels treballadors disminuïts, si escau."

La implantació de mesures de control exigeix ??realitzar un test de proporcionalitat en què s'ha de valorar si la mesura de control:

  • És susceptible d'aconseguir l'objectiu proposat (judici d'idoneïtat).
  • És necessària, en el sentit que no hi hagi una altra mesura més moderada per a la consecució d'aquest propòsit amb igual eficàcia (judici de necessitat).
  • És ponderada o equilibrada, per derivar-se'n més beneficis o avantatges per a l'interès general que perjudicis sobre altres béns o valors en conflicte (judici de proporcionalitat en sentit estricte).

L'art. 88 GDPR atribueix al conveni col·lectiu un paper rellevant per establir mesures més protectores per a la persona treballadora en el tractament de dades que es produeix a l'implantar sistemes de supervisió en el lloc de treball.


4.2. CONTROL D'ACCÉS A LES INSTAL·LACIONS

La base jurídica pot diferir segons la finalitat del tractament:

  • per al control de les persones treballadores, podria ser el contracte de treball, en relació amb l'art. 20.3 ET.
  • per a la protecció dels béns empresarials, podria ser l'interès legítim de l'empresari.

Han d'evitar sistemes d'accés especialment invasius dels drets fonamentals de les persones treballadores si hi ha altres igualment eficaços que resultin menys intrusius.

En cas d'utilització de dades biomètriques, s'ha de tenir en compte el que s'ha exposat en l'apartat 3.5. relatiu a la verificació/identificació.


4.3. VIDEOVIGILÀNCIA

El tractament de dades amb fins de videovigilància es regula en l'art. 22 LOPDGDD, i específicament per a funcions de control laboral en l'art. 89.

La base jurídica per al control de el personal mitjançant videovigilància és el contracte de treball i les facultats legals de control concedides a l'ocupador (art. 20.3 ET).

La videovigilància només s'ha d'utilitzar quan no sigui possible acudir a altres mitjans que causin menys impacte en la privacitat; no es pot utilitzar en combinació amb altres tecnologies, com el reconeixement facial, perquè en aquest cas el control resulta desproporcionat.

L'empresa ha d'informar el personal i, si escau, als seus representants, amb caràcter previ, i de forma expressa, clara i concisa, sobre aquesta mesura.

En el cas que s'hagi captat la comissió flagrant d'un acte il·lícit per les persones treballadores, s'entén complert el deure d'informar quan s'hagi col·locat un dispositiu informatiu en lloc prou visible concretant, al menys, l'existència d'el tractament, la identitat de l'responsable i la possibilitat d'exercitar els drets.

Tractament de dades de videovigilància:

  • En càmeres que reprodueixen imatges en temps real, hi ha un tractament de dades.
  • En càmeres simulades, no existeix un tractament de dades.
  • En càmeres desactivades que poden ser activades sense esforços excessius, encara que no hi hagi un tractament de dades, s'han d'aplicar els principis de protecció de dades i la normativa sectorial que sigui aplicable, com si existís un tractament de dades.

Es podran conservar les gravacions durant un període màxim d'un mes des de la captació, excepte quan hagin de ser conservades per acreditar la comissió d'actes que atemptin contra la integritat de persones, béns o instal·lacions. En aquest cas, les imatges han de ser posades a disposició de l'autoritat competent en un termini màxim de setanta-dues hores des que es tingui coneixement de l'existència de l'enregistrament.

Està prohibida la instal·lació de sistemes d'enregistrament d'imatge i/o so en llocs destinats al descans o esbarjo de les persones treballadores, com ara vestuaris, lavabos, menjadors i anàlegs.

La utilització de sistemes de gravació de sons en el lloc de treball s'admetrà únicament quan s'acreditin riscos per a la seguretat de les instal·lacions, béns i persones derivats de l'activitat que es desenvolupi en el centre de treball i sempre respectant els principis de proporcionalitat i d'intervenció mínima, així com les garanties indicades per a la videovigilància.


4.4. GEOLOCALITZACIÓ

El tractament de dades amb fins de geolocalització per a funcions de control laboral es regula en l'art. 90 LOPDGDD.

La base jurídica per al control de el personal mitjançant geolocalització és el contracte de treball i les facultats legals de control concedides a l'ocupador (art. 20.3 ET).

L'empresa ha d'informar el personal i, si escau, als seus representants, amb caràcter previ, i de forma expressa, clara i concisa, sobre l'existència i característiques d'aquests dispositius.

Si la finalitat de la geolocalització és el registre horari, les dades no podran ser utilitzats per a verificar la ubicació de la persona treballadora en cada moment, sinó les hores d'inici i fi de l'activitat, que és el que permet la base jurídica de l'registre horari (art. 34.9 ET).

La geolocalització aplicada a l'eina comporta també la geolocalització i el control del propi treballador/a.

No és lícit imposar a la persona treballadora l'obligació de proporcionar mitjans personals per facilitar la geolocalització (per exemple, telèfon mòbil).

Els registradors de dades d'incidències són mecanismes de control que poden ser especialment invasius, i la seva licitud requereix l'acreditació d'un fi legítim i el respecte als principis de proporcionalitat i minimització.


4.5. CONTROL DE FALTA D'ASSISTÈNCIA PER MALALTIA O ACCIDENT

La base jurídica per al tractament d'aquestes dades és el contracte de treball i les facultats legals de control concedides a l'ocupador (art. 20.4 ET): "l'empresari pot verificar l'estat de malaltia o accident del treballador que sigui al·legat per aquest per justificar seves faltes d'assistència a la feina, mitjançant reconeixement a càrrec de personal mèdic. La negativa del treballador a aquests reconeixements pot determinar la suspensió dels drets econòmics que hi pugui haver a càrrec de l'empresari per aquestes situacions".

L'empresa no està legitimada per conèixer els detalls concrets de l'reconeixement mèdic, sinó únicament la conclusió, és a dir, si la persona treballadora està o no en condicions psicofísiques de reincorporar al seu lloc de treball. La incorporació de dades de salut a un fitxer amb l'única finalitat de realitzar controls de l'absentisme resulta desproporcionada.

L'empresa sí està legitimada per elaborar estadístiques sobre l'índex d'absentisme i les seves causes. Aquestes estadístiques no han de contenir dades personals, sinó dades dissociades que no permetin la identificació concreta de el personal.

  • El comitè d'empresa té dret a ser informat "de les estadístiques sobre l'índex d'absentisme i les causes, els accidents de treball i malalties professionals i les seves conseqüències, els índexs de sinistralitat, els estudis periòdics o especials de medi ambient laboral i els mecanismes de prevenció que s'utilitzin" (art. 64 ET).

Els delegats de prevenció tenen dret a accedir "a la informació i documentació relativa a les condicions de treball que siguin necessàries per a l'exercici de les seves funcions" (art. 36 LPRL).


4.6. DETECTIUS PRIVATS

L'ocupador està habilitat per adoptar mesures de control i vigilància de molt diferent intensitat, inclusivament recórrer a un detectiu privat (art. 20.3 ET). Aquesta mesura, com qualsevol altra de control, exigeix la superació de el test de proporcionalitat.

La base jurídica per al tractament d'aquestes dades és el contracte de treball és el contracte de treball i les facultats legals de control concedides a l'ocupador (art. 20.3 ET).

En l'informe del detectiu privat únicament es farà constar informació directament relacionada amb l'objecte i finalitat de la investigació contractada (art. 49 de la Llei 5/2014, de 4 d'abril).

Hauran de conservar, si el menys, durant tres anys, les imatges i els sons gravats durant les investigacions, llevat que estiguin relacionades amb un procediment judicial, una investigació policial o un procediment sancionador.


5. REPRESENTACIÓ UNITÀRIA I SINDICAL DE LES PERSONES TREBALLADORES


5.1. TRACTAMENT DE DADES PER PART DELS REPRESENTANTS DE LES PERSONES TREBALLADORES

El compliment de les obligacions i l'exercici dels drets dels representants de les persones treballadores permeten el tractament de dades personals de les persones treballadores sense el consentiment d'aquestes.

Els convenis col·lectius, en els termes previstos en l'art. 64.9 ET, podrien ser base jurídica per a la lícita cessió de dades personals als representants de les persones treballadores.

Respecte de l'absentisme, l'empresa ha d'informar sobre les causes i conseqüències de les baixes per incapacitat temporal (IT), però no de les patologies mèdiques concretes de les persones treballadores que, d'altra banda, tampoc hauria de conèixer l'empresa.


5.2. PUBLICACIÓ DE DADES PERSONALS A TAULERS D'ANUNCIS

Els representants unitaris i sindicals tenen dret a disposar d'un tauler d'anuncis que permeti facilitar informació que pugui interessar a el personal i, en el cas de tauler d'anuncis dels delegats i seccions sindicals, als afiliats a l'sindicat (art. 81 ET i 8.2 LOLS).

La publicació de notes informatives, anuncis, convocatòries, declaracions i fins i tot sentències en aquest tipus de taulers constitueix una pràctica habitual. L'evolució tecnològica ha donat lloc a taulers línia.

Quan aquestes notes, anuncis o documents contenen dades personals, la simple publicació constitueix un tractament que pot comportar l'accés a dades per tercers mancats de legitimació, pel que en aquest cas, hauran d'implementar mesures per impedir l'accés de tercers no autoritzats a aquesta informació, llevat que prevalguin les llibertats d'expressió i informació pròpies de la llibertat sindical.


5.3. ACCÉS A DADES PER ALS REPRESENTANTS DE LES PERSONES TREBALLADORES

Distintas normas legales y reglamentarias laborales, entre ellas, el ET, atribuyen un amplio haz de facultades a los representantes de las personas trabajadoras y en particular al comité de empresa y a los delegados sindicales (art. 10.3 LOLS). En algunos casos, el ejercicio de estas facultades puede comportar tratamientos de datos.

Únicamente podrán comunicarse datos cuando resulte estrictamente necesario para el cumplimiento de los deberes que el ET establece para la empresa. En este sentido:

  • No hace falta el consentimiento del personal para entregar la copia básica del contrato:
  • En todos aquellos casos en los que la información pueda presentarse de modo estadístico o anonimizado permitiendo al comité cumplir con sus funciones, se optará por este método.
  • No se justifica que los representantes conozcan el domicilio particular del personal, por ejemplo, para enviar propaganda electoral. En cambio, sí estaría justificado acceder a la lista de miembros de una bolsa de empleo.
  • El conocimiento por parte de los representantes de cierta información personal (importe de la retribución, datos personales que aparecen en el contrato, etc.) no vulnera al derecho a la intimidad, máxime cuando esa “copia” no puede contener los datos personales que expresamente excluye el art. 8.4 ET.
  • La copia básica no habilita la comunicación de todos los datos de la persona trabajadora, sino únicamente de aquellos que permiten desempeñar la función de control asignada a la representación de las personas trabajadoras.
  • La persona trabajadora puede negarse a que datos ajenos a la relación de trabajo, como la situación familiar, aparezcan en la copia básica.


5.4. DESCOMPTE DE LA QUOTA SINDICAL

El sindicat pot procedir a la comunicació de la dada d'afiliació a l'empresa a efectes de el descompte de la quota sindical sobre la base de l'art. 11.2 LOLS: "L'empresari procedirà a el descompte de la quota sindical sobre els salaris ia la corresponent transferència a sol·licitud de l'sindicat de l'treballador afiliat i prèvia conformitat, sempre, d'aquest".

La base legitimadora serà el consentiment de la persona afiliada, i per al tractament de dades de categoria especial, l'excepció de l'art. 9.2.b GDPR, quan és necessari per al compliment d'obligacions i l'exercici de drets específics del responsable del tractament o de l'interessat en l'àmbit del Dret laboral i de la seguretat i protecció social.

Un cop obtingut el consentiment per a aquest tractament i en base a l'acompliment d'una obligació legal del responsable, l'empresa ha de comunicar al sindicat:

  • les persones treballadores a les que corresponen les quotes que ingressa, així com les dades del pagament.
  • les quotes impagades identificant a la persona treballadora concreta.


5.5. COMUNICACIONS PER CORREU ELECTRÒNIC

L'enviament d'informació sindical a través de l'correu electrònic implica un tractament de dades personals, ja que una adreça electrònica és una dada personal.

L'enviament d'aquest tipus de missatges de correu electrònic constitueix un dret dels representants emparat pel dret fonamental de llibertat sindical, de manera que els representants podrien utilitzar la infraestructura de l'empresa, que al seu torn hauria de proporcionar-los la direcció de correu electrònic de les persones treballadores. No obstant això, s'han de donar aquestes condicions:

  • que l'empresa disposi del servei de correu electrònic corporatiu
  • que els enviaments es realitzen de manera proporcional
  • que no es perjudiqui el normal funcionament de l'organització

Quan es donin les circumstàncies anteriors, existirà legitimació perquè es produeixi una comunicació de dades personals als representants. No obstant això, s'han de tenir en compte les següents consideracions:

  • L'existència de procediments automatitzats que permeten satisfer el dret a la llibertat sindical sense necessitat de realitzar una cessió de dades personals.
  • La utilització de llistes de distribució, que permet que el sindicat remeti la informació a una adreça corporativa del tipus listasindical@empresa.es, sense accés a les dades.
  • La incorporació de la informació del tractament en els peus dels correus i automatitzar la supressió i l'oposició als tractaments mitjançant les baixes en les llistes, a petició de l'usuari.

El sindicat ha de respectar el dret d'oposició dels trabadores, llevat del supòsit d'eleccions sindicals, moment en el qual preval la llibertat sindical respecte de el dret a la protecció de dades. La celebració d'eleccions sindicals legitima les comunicacions de les dades censals necessaris per permetre el sindicat remetre informació electoral i participar en el procés electoral.


5.6. VIOLÈNCIA DE GÈNERE I ASSETJAMENT AL TREBALL

Els representants de les persones treballadores únicament podran conèixer la identitat de les dones supervivents de la violència de gènere quan sigui imprescindible per a l'exercici de les seves tasques de representació.

El principi de minimització de dades exigeix que sigui necessari que els representants coneguin la identitat de la víctima.

La mateixa regla s'ha d'aplicar en supòsits d'assetjament. En aquestes situacions la necessitat de conèixer la identitat de la víctima i de l'presumpte assetjador per part dels representants pot resultar imprescindible i més fàcil de demostrar.


5.7. PERÍODES DE CONSULTES (TRASLLATS, MODIFICACIONS SUBSTANCIALS DE CONDICIONS DE TREBALL, SUSPENSIONS I ACOMIADAMENTS COL·LECTIUS)

Aquesta informació pot incloure dades personals de les persones treballadores, com el seu nom i cognoms i el lloc que ocupen.

S'ha d'informar sobre els criteris que l'ocupador pretén utilitzar per a seleccionar el personal afectat per la mesura, com poden ser l'edat, l'antiguitat o la productivitat, depenent de el cas.

La persona treballadora té dret a sol·licitar el barem i els criteris utilitzats a través de el dret d'informació sobre el tractament de les seves dades personals.

Les dues parts han de respectar la confidencialitat de les dades personals, de manera que la difusió de les negociacions en temps real o el seu enregistrament requeriran el consentiment dels afectats.


6. VIGILÀNCIA DE LA SALUT


6.1. BASES JURÍDIQUES PER AL TRACTAMENT DE DADES

Tant si el reconeixement mèdic és voluntari com si és obligatori, la base jurídica per al tractament de dades personals derivats d'aquesta vigilància de la salut seria l'execució del contracte de treball (art. 6.1.b GDPR) i el compliment de les obligacions legals en matèria de prevenció.

El reconeixement ha de vincular-se a l'aptitud laboral, sense que pugui donar a l'empresari cap altre tipus d'informació.


6.2. L'ACCÉS A LES DADES PER L'EMPRESA I ELS DELEGATS DE PREVENCIÓ

La legislació de prevenció de riscos laborals admet en certs casos les comunicacions de dades personals. Així, la legislació legitima i obliga a comunicar dades a:

  • Delegats de prevenció
  • Autoritat sanitària
  • Inspecció de Treball i Seguretat Social
  • Autoritat laboral
  • Si és el cas, els requerits per jutges i Tribunals