Resum de la Guia sobre la protecció de dades en les relacions laborals, publicada per l'AEPD el 18/05/2021.
Document original: https://www.aepd.es/es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf
1.1. BASES JURÍDIQUES PER AL TRACTAMENT DE DADES PERSONALS (art. 6 GDPR)
1.2. INFORMACIÓ SOBRE EL TRACTAMENT DE DADES PERSONALS (art. 13 i 14 GDPR)
L'ocupador, ha d'informar les persones treballadores, de manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, sobre el tractament de dades que està duent a terme.
La inclusió de clàusules informatives de protecció de dades en el contracte de treball, o en un annex a la mateixa, és un mitjà adequat per complir amb el dret d'informació de les persones treballadores.
1.3. DRETS DE PROTECCIÓ DE DADES EN L'ÀMBIT LABORAL
1.4. EL PRINCIPI DE MINIMITZACIÓ (art. 5 GDPR), I EL SEU IMPACTE EN LA RELACIÓ LABORAL
Les dades personals han de ser adequades, pertinents i limitats al que és necessari en relació amb els fins per als quals són tractats de manera que només s'hauran de tractar les dades necessàries per al normal desenvolupament de la relació laboral (per exemple: nom i cognoms, sexe, DNI/NIE, número d'afiliació a la Seguretat Social, nacionalitat, discapacitat, data de naixement, etc.).
Tot i que la relació laboral precisi que el personal proporcioni a l'empresa alguna forma de contacte, el contracte de treball no la legitima per demanar a la persona treballadora dades personals en relació amb l'adreça de correu electrònic o el número de telèfon personal. És a dir, la necessitat del tractament haurà de ponderar cas per cas, pel que serà necessari analitzar la base jurídica al·legada, la finalitat pretesa i les dades que es pretenen tractar.
1.5. DEURES I OBLIGACIONS EN L'ACCÉS A DADES PERSONALS: SECRET I SEGURETAT
El GDPR i la LOPDGDD inclouen el deure de seguretat juntament amb el deure de confidencialitat i secret dins dels principis de la protecció de dades (art. 5.1.f i 32.1 GDPR i art. 5 LOPDGDD). Per això és molt recomanable:
2.1. LÍMITS AL TRACTAMENT DE DADES
La base jurídica del tractament durant el procés de selecció és la intenció de concloure un contracte laboral (art. 6.1.b GDPR), de manera que no necessitarà obtenir el consentiment de la persona interessada.
La informació del tractament s'ha d'incloure en els mitjans disposats per a la formalització del currículum, ja sigui en format imprès si es lliura presencialment o en format digital si es realitza algun tipus d'anunci o convocatòria pública. En qualsevol cas, s'ha de poder acreditar que la informació ha estat facilitada a l'interessat.
L'organització és responsable de la custòdia de la documentació lliurada per la persona candidata. S'han de respectar els principis de minimització i limitació de la finalitat, de manera que només cal sol·licitar dades rellevants per a l'exercici de el lloc de treball i no informació indiscriminada.
Les impressions o valoracions subjectives dels que porten a terme el procés de selecció, es consideren també dades personals.
En el cas que els ocupadors sol·licitin l'informe de la vida laboral a les persones candidates durant el procés de selecció, han de tenir en compte el següent:
2.2. SELECCIÓ DE PERSONAL I XARXES SOCIALS
Les persones candidates i les persones treballadores no estan obligades a permetre la indagació de l'ocupador en els seus perfils de xarxes socials, ni durant el procés de selecció ni durant l'execució de l'contracte.
Tot i que el perfil a les xarxes socials sigui d'accés públic, l'empresari no pot efectuar un tractament de les dades obtingudes per aquesta via si no compta amb una base jurídica vàlida, per exemple, quan pugui demostrar que el tractament és necessari i pertinent per exercir el treball. Si fos el cas, el personal afectat tindrà dret a ser informat sobre aquest tractament.
L'empresa no està legitimada per:
2.3. ENTREVISTES DE TREBALL
Les dades obtingudes en les entrevistes de treball, directament o mitjançant deduccions, no poden ser objecte de tractament si no es disposa d'una base jurídica adequada.
El tractament de dades que pugui donar lloc a discriminacions contràries a el principi constitucional d'igualtat, podria incórrer en una infracció administrativa molt greu tipificada en el Text refós de la Llei sobre infraccions i sancions en l'ordre social, aprovat per Reial Decret Legislatiu 5/2000 , de 4 d'agost (TRLISOS).
2.4. COL·LABORACIÓ ENTRE EMPRESES
Les agències de col·locació i les empreses de selecció intervindran com a encarregades de el tractament quan hagin celebrat prèviament un contracte amb l'empresa que busca persones treballadores. En el cas que contactin amb les persones candidates abans de disposar d'ofertes de feina concretes (sense contracte d'encarregat de tractament) intervindran com a responsables del tractament.
Les empreses de treball temporal (ETT) intervindran com a responsables del tractament, ja que són ocupadores directes de les persones treballadores.
Serà necessari el consentiment de la persona candidata perquè l'empresa on sol·licita treball cedeixi les seves dades a una altra empresa, encara que aquesta formi part d'un mateix grup empresarial.
2.5. DECISIONS AUTOMATITZADES
El GDPR prohibeix amb caràcter general, la presa de decisions basades únicament en un tractament automatitzat, inclosa l'elaboració de perfils, quan produeixi efectes jurídics en l'interessat o li afecti significativament de manera similar (per exemple, ser descartat d'un procés de selecció) .
No obstant això, aquestes decisions es podran dur a terme quan siguin necessàries per a la contractació o en el transcurs de la relació de treball, ja que podrien ser determinants per a les persones treballadores que tenen dret a un ascens o sobre la renovació o extinció de contractes.
Les decisions basades en la utilització d'algoritmes i l'elaboració de perfils no poden produir discriminació. Quan el resultat de la decisió vulneri drets fonamentals, el disseny de l'algoritme ha de ser modificat. En el disseny i implementació de l'algoritme s'ha de fer una avaluació d'impacte.
El procediment ha de contemplar algun mecanisme d'intervenció humana si la persona afectada així ho sol·licita, a més d'una via perquè aquesta persona expressi la seva opinió i, si escau, impugni la decisió. Així mateix, tindrà dret a rebre una explicació de la decisió presa després d'aquesta avaluació.
2.6. CATEGORIES ESPECIALS DE DADES PERSONALS
Durant el procés de selecció de personal podrien demanar dades especialment sensibles, com:
2.7. CONSERVACIÓ DE DADES EN CAS DE NO CONTRACTACIÓ
Una vegada conclòs el procés de selecció, si la persona candidata no és contractada, desapareix la base jurídica per al tractament de dades, pel que seria necessari el seu consentiment per a un futur tractament (per exemple, incorporació a una borsa de treball), llevat que l'empresari pugui demostrar un interès legítim. En cas contrari, ha de destruir el currículum i procedir a la supressió i bloqueig de les dades personals.
3.1. LA PROTECCIÓ DE DADES COM A DRET DINÀMIC
3.2. IDENTIFICACIÓ DE PERSONES TREBALLADORES DAVANT CLIENTS
L'ocupador pot exigir que les persones treballadores portin targetes identificatives on constin el seu nom i cognoms quan la finalitat sigui garantir la seva identificabilitat en l'exercici de les seves funcions.
El tractament es pot considerar emparat en el marc de l'execució d'un contracte i sense perjudici de l'acompliment de el dret d'informació amb les següents cauteles:
3.3. PUBLICACIÓ DE DADES DE PRODUCTIVITAT
Per això s'ha de tenir en compte el següent:
3.4. NÒMINES
A les nòmines no ha de figurar:
3.5. CATEGORIES ESPECIALS DE DADES PERSONALS
Per defecte, el tractament de categories especials de dades personals està prohibit.
Com a excepció (art. 9.2.b GDPR), s'admet el seu tractament quan és necessari per al compliment d'obligacions i l'exercici de drets específics del responsable de l'tractament o de l'interessat en l'àmbit del Dret laboral i de la seguretat i protecció social, això és per al compliment de l'art. 20.3 ET.
El tractament de categories especials de dades ha d'estar sotmès a majors cauteles de les ordinàries i la seva publicació no ha de permetre la identificació de la persona interessada (dades dissociades).
DADES BIOMÈTRIQUES
Les dades biomètriques sotmesos a un tractament tècnic:
En qualsevol cas, aquests tractaments s'han de fer d'acord amb les garanties del GDPR, en particular:
3.6. SISTEMES INTERNS DE DENÚNCIES O ‘WHISTLEBLOWING’
La base jurídica per al tractament de dades és l'interès públic (art. 6.1.e GDPR).
Tant els denunciants com els potencials denunciats han d'haver estat informats prèviament de l'existència d'aquests sistemes i de el tractament de les dades que comporta la formulació d'una denúncia. La informació pot proporcionar-se per diverses lleres:
Si es preveu comunicar dades a tercers per investigar els fets denunciats, s'haurà d'informar d'això tant a l'denunciant com a el denunciat. De la mateixa manera s'ha d'informar, si escau, de la possible transferència internacional de dades, tot i que aquesta es realitzi a altres empreses de el grup.
Ha de respectar el principi de limitació de la finalitat, de manera que no cap utilitzar la informació obtinguda per aquesta via amb fins diferents dels que van motivar la implementació de sistema.
S'admeten sistemes de denúncies anònimes (art. 24 LOPDGDD). En cas que la denúncia no sigui anònima, la confidencialitat de la informació del denunciant ha de quedar fora de perill, no facilitant la seva identificació a l'denunciat.
L'accés a les dades ha de limitar exclusivament als que desenvolupin les funcions de control intern i de compliment, o a l'encarregat del tractament, que eventualment es designi a aquest efecte. Únicament serà lícit l'accés d'altres persones, o fins i tot la seva comunicació a tercers, quan resulti necessari per a l'adopció de mesures disciplinàries (dpt. RRHH) o per a la tramitació dels procediments judicials que, si s'escau, siguin procedents.
La conservació de la dada s'ha de limitar a el temps necessari per a la investigació dels fets i, només en cas que d'aquella es desprengui l'adopció de determinades mesures contra el denunciat, seria possible conservar les dades per un termini superior havent d'eliminar en cas contrari.
En tot cas, les dades han de suprimir transcorreguts tres mesos des de la seva introducció en el sistema de denúncies sense que s'apliqui l'obligació de bloqueig, llevat que la finalitat de la conservació sigui deixar evidència de l'funcionament de el model de prevenció de la comissió de delictes per la persona jurídica. Les denúncies a les quals no s'hagi donat curs, només podran constar de forma anonimitzada.
Hauran de garantir els drets d'accés, rectificació, supressió i oposició del denunciat, sense que això impliqui revelar la identitat de l'denunciant. En tot cas, el denunciat hauria de poder conèixer en el menor temps possible el fet que se li imputa a fi de poder defensar degudament els seus interessos. S'ha de facilitar al denunciat aquesta informació després d'un temps prudencial en què es dugui a terme la investigació preliminar dels fets.
3.7. REGISTRE DE JORNADA
El registre de jornada laboral té la seva base jurídica en una obligació legal que regula l'art. 34.9 ET i el Reial decret llei 8/2019, de 8 de març, de mesures urgents de protecció social i de lluita contra la precarietat laboral a la jornada de treball.
Els registres de temps de treball han de ser conservats durant quatre anys i romandre a disposició de les persones treballadores, dels seus representants legals i de la Inspecció de Treball i Seguretat Social, i vàlid qualsevol mitjà de conservació sempre que es garanteixi la seva preservació i la fiabilitat i invariabilitat a posteriori del seu contingut, tant si es tracta de suport físic o qualsevol altre que asseguri les mateixes garanties.
El registre de jornada laboral no pot ser d'accés públic.
3.8. REGISTRE DE SALARIS
El registre de salaris té la seva base jurídica en una obligació legal, regulada en l'art. 28.2 ET i el Reial Decret 902/2020, de 13 d'octubre, d'igualtat retributiva entre dones i homes.
L'obligació legal no justifica el tractament de dades personals, ja que en aquest registre no ha de constar el salari de cada persona treballadora, sinó els valors mitjans dels salaris, els complements salarials i les percepcions extrasalarials de la plantilla, desagregades per sexe i distribuïts per grups professionals, categories professionals o llocs de treball iguals o d'igual valor.
En el registre no han de figurar dades personals, ni informació que permeti identificar una persona, és a dir han de figurar dades dissociades, però, la dada dissociat podria convertir-se en dada personal respecte d'aquelles categories o grups professionals amb un reduït nombre de persones treballadores .
Quan no resultés identificable la persona treballadora:
no es contempla el dret a la informació, ni l'exercici de drets d'accés, rectificació, oposició i supressió, ja que no es produeix un tractament de dades personals.
Quan si resultés identificable la persona treballadora:
Pel que fa a la consulta d'el registre salarial, l'art. 5.3 de Reial Decret 902/2020, assenyala que en les empreses que comptin amb representació legal de les persones treballadores, l'accés al registre es facilitarà a aquestes a través de l'esmentada representació, tenint dret a conèixer el contingut íntegre de la mateixa. I, quan se sol·liciti l'accés al registre per part de la persona treballadora per inexistència de representació legal, la informació que es faciliti per part de l'empresa no serà de les dades mitjanats respecte a les quanties efectives de les retribucions que consten en el registre , sinó que la informació a facilitar es limitarà a les diferències percentuals que existissin en les retribucions amitjanades d'homes i dones, que també hauran d'estar desagregades en atenció a la naturalesa de la retribució i el sistema de classificació aplicable.
3.9. CONCESIÓ D'AJUDES D'ACCIÓ SOCIAL
La sol·licitud de la persona treballadora d'ajudes d'acció social implica un tractament de dades vinculat a les càrregues familiars i a les rendes, la base jurídica és el mateix contracte de treball i el compliment de les obligacions legals o les previsions dels convenis col·lectius corresponents.
L'ocupador ha de facilitar tota la informació relativa a aquest tractament a la persona treballadora afectada.
Els representants de les persones treballadores tenen dret, segons disposa l'art. 64.7.b ET a participar en la gestió o tramitació de l'ajut social de l'empresa i, per això, a accedir a un llistat de les persones treballadores beneficiàries, el que succeirà quan el conveni col·lectiu els concedís un paper en la gestió o tramitació de l'ajuda social de l'empresa.
No obstant això, el principi de minimització de dades aconsella no procedir a una informació massiva o indiscriminada, sinó que només procedirà la comunicació d'aquelles dades personals que siguin necessaris per a desenvolupar la comesa que tenen atribuït i en la mesura que resulti imprescindible per a l'exercici de les seves funcions.
En altres casos serà suficient la cessió d'informació degudament dissociada que permeti als representants conèixer les circumstàncies la vigilància li ha estat encomanada.
En relació amb la publicitat a la concessió d'aquests ajuts, s'han de distingir dos escenaris:
En el cas que les ajudes es vinculin amb categories especials de dades (per exemple, ajudes per fills discapacitats) la publicitat de la concessió de l'ajut no ha de permetre la identificació de l'afectat (dades dissociades), per la qual cosa no es podrà publicar cap dada que permeti aquesta identificació (nom, nombre de el DNI, passaport, etc.).
3.10. DRETS E CONCILIACIÓ I CORRESPONSABILITAT
Pel que fa a la cessió de dades de tercers aliens a la relació laboral i que són subjectes causants de l'exercici dels drets de conciliació i corresponsabilitat per la persona treballadora, l'exigència legal d'acompanyar a la sol·licitud que realitzi el treballador aquells elements suficients perquè l'empresa pugui ponderar la idoneïtat del seu gaudi implica que aquesta tingui accés a les dades personals que justifiquen aquests drets.
Així passa, per exemple, en l'acreditació de la necessitat d'adaptar la jornada laboral a les necessitats dels fills o filles menors de 12 anys i les de la vida familiar de l'art. 34.8 ET, o en les excedències de l'art. 46.3 ET per a la cura de familiars que pateixin un accident, malaltia o discapacitat. Per tant, pot implicar el tractament de categories especials de dades.
La base jurídica vindrà legitimada per resultar un tractament necessari per a l'execució d'un contracte en el qual la persona treballadora és part en relació amb el compliment d'una obligació legal aplicable el responsable de l'tractament.
Pel que fa a el tractament de categories especials de dades, es basarà en l'excepció prevista en l'art. 9.2.b GDPR.
En aplicació del principi de minimització de dades, s'han de demanar les dades estrictament necessàries per a ponderar i justificar l'exercici de el dret.
3.11. CONTRACTACIÓ D'ASSEGURANCES DE VIDA I PENSIONS
La base jurídica del tractament de dades depèn de la circumstància que motivi la contractació de l'assegurança i serà fruit de:
L'empresa pot realitzar diferents tipus de tractaments:
En qualsevol cas, cal informar les persones treballadores en la recollida de dades, tenint en compte l'existència de diferents possibilitats:
Els tractaments que afecten familiars o persones relacionades amb les persones treballadores, quan aquestes hagin de designar beneficiaris de l'assegurança o de el pla de pensions, es legitimaran per l'existència de la relació laboral, si bé cal recordar que les dades han de ser estrictament els necessaris (minimització) i únicament en relació amb la contractació de l'assegurança o pla de pensions (limitació de la finalitat).
S'ha de definir amb precisió el procediment per a la captació i tractament de les dades personals, optant pel mètode més eficaç per garantir els drets dels afectats.
Des del punt de vista d'un tractament absolutament respectuós amb el dret fonamental, l'opció òptima consisteix a cedir a l'asseguradora, o la gestora de el pla de pensions, únicament les dades dels assegurats o partícips de el pla de pensions, deixant a les seves mans el desenvolupament d'ulteriors gestions i informant prèviament a les persones treballadores.
3.12. CESSIÓ DE DADES A ALTRES EMPRESES
GRUPS D'EMPRESES
Amb caràcter general, la comunicació de les dades entre empreses de el mateix grup exigirà acreditar un interès legítim bé del responsable del tractament, o bé del tercer a què es comuniquen les dades. Aquest interès legítim pot consistir en la centralització de les activitats de caràcter administratiu.
La base jurídica dins dels grups d'empreses podria ser el compliment de l'contracte de treball en els següents casos:
En qualsevol cas, la persona treballadora ha de ser informada.
Es considera com a bona pràctica la creació de procediments interns dins de el grup perquè l'exercici dels drets d'accés, rectificació, oposició i supressió per part de la persona treballadora en una empresa tingui efectes generals a tot el grup. En aquesta línia, l'art. 88 GDPR encomana als convenis col·lectius la tasca d'incorporar normes relatives a la transparència del tractament i la transferència de les dades personals dins d'un grup empresarial o d'una unió d'empreses dedicades a una activitat econòmica conjunta.
TRANSMISIÓ D'EMPRESES
La comunicació de dades no requereix consentiment dels afectats en supòsits de subrogació empresarial:
SUBCONTRACTACIÓ
El contractista principal té l'obligació legal de respondre solidàriament juntament amb l'empresa subcontractada de les obligacions salarials i de la Seguretat Social, en els termes previstos en l'art. 42 ET, mentre duri el període de vigència de la contracta, per això, la cessió dels documents de cotització i nòmines està emparada en aquesta obligació legal (art. 6.1.c GDPR) imposada a l'ET i el propi TRLGSS.
Aquesta legitimació aconseguiria als documents de cotització i nòmines de les persones treballadores que poden contenir dades de salut i també dades relatives a l'afiliació sindical de el personal, sent aquest últim necessari perquè l'ocupador dedueixi en la nòmina la quota sindical de la persona treballadora . L'excepció per tractar categories especials de dades seria l'art. 9.2.b), de manera que resulta necessari per al compliment d'una obligació legal i l'exercici dels drets del responsable en l'àmbit del Dret laboral i de la seguretat i protecció social.
En tot cas, la comunicació de dades ha de respectar el principi de minimització, de manera que l'accés per part de contractista s'ha de limitar a les dades relacionades amb les persones treballadores subcontractades i no a qualssevol persones treballadores de l'empresa subcontractada.
3.13. ACCÉS A DADES D'ALTRES PERSONES CANDIDATES A UN LLOC DE TREBALL (ACCÉS A L'OCUPACIÓ O PROMOCIÓ PROFESSIONAL)
En els processos de concurrència competitiva el perjudicat tindria dret a conèixer, si així ho reclama, informació sobre la qualificació professional de les altres persones candidates i, en particular, dels que han obtingut major valoració.
L'accés a aquesta informació no requereix el consentiment dels afectats, ja que la base jurídica del tractament és la satisfacció dels interessos legítims perseguits pel responsable del tractament o per un tercer (art. 6.1.f GDPR). En la mesura del possible, s'han de proporcionar dades dissociades.
No s'ha de permetre l'accés com a regla general a la següent informació: nom, fotografia, adreça postal o de correu electrònic. En canvi, depenent de quina sigui la finalitat de la reclamació (discriminació per raó de sexe, de raça, d'edat, etc.), la persona treballadora pot accedir a dades personals com l'edat, el país de naixement, la raça o el sexe de la persona candidata escollida, però no necessàriament a totes aquestes dades simultàniament, sinó solament als veritablement rellevants.
En general, l'empresari no pot difondre dades personals d'una persona treballadora entre els seus companys sense consentiment de l'afectat.
3.14.PROTECCIÓ DE LA PRIVACITAT DE LES VÍCTIMES D'ASSETJAMENT AL TREBALL I DE LES DONES SUPERVIVENTS A LA VIOLÈNCIA DE GÈNERE
La posada en marxa de procediments sancionadors a l'empresa davant de l'assetjador no requereix de el consentiment de la persona assetjada. La base jurídica és el compliment d'una obligació legal (art. 6.1.c GDPR).
L'obligació de l'empresa està lligada a la seva posició de garant de salut i seguretat en el treball, ja que les persones treballadores tenen dret a una protecció eficaç en matèria de seguretat i salut en el treball, d'acord els art. 4.2.d ET i 14 de la Llei 31/1995, de 8 de novembre, de prevenció de riscos laborals (LPRL).
Quan la persona assetjada ha rebut assistència sanitària derivada d'aquesta situació per part dels serveis mèdics de l'empresa, les dades mèdiques constitueixen dades personals de categoria especial que només poden ser objecte de tractament amb una finalitat vinculada a l'assetjament.
L'empresa ha de garantir la confidencialitat:
L'empresa ha d'informar sobre el tractament de dades a la persona assetjada ia la suposadament assetjadora.
La cessió de les dades de la víctima requereix el seu consentiment, excepte previsió legal en contra.
Condició de "dona supervivent a la violència de gènere":
3.15. EXTINCIÓ DE LA RELACIÓ LABORAL
A la finalització de la relació laboral ha de procedir-se a el bloqueig de les dades (art. 32 LOPDGDD). No obstant això, el tractament de dades després de l'extinció de el contracte podria ser admissible si hi ha una altra base jurídica, per exemple, si l'empresari demostra un interès legítim.
L'ocupador podrà demanar el consentiment de la persona treballadora per contactar amb ella en el futur. L'ocupador ha d'informar d'aquesta circumstància, que podria optar per no prestar el seu consentiment. La comunicació de dades d'un antic ocupador a un futur ocupador també requereix el consentiment de la persona treballadora.
3.16. CESSIÓ DE DADES DE PERSONES EXTREBALLADORES A EMPRESES DE RECOL·LOCACIÓ
La comunicació de dades entre l'empresa que procedeix a l'acomiadament i l'empresa de recol·locació és un tractament de dades que no exigeix el consentiment de la persona treballadora, ja que la base jurídica és el compliment d'una obligació legal.
El tractament d'altres dades que puguin ser necessaris per desenvolupar el pla de recol·locació serà lícit una vegada que la persona treballadora hagi acceptat participar-hi.
4.1. CONTROL EMPRESARIAL I PROTECCIÓ DE DADES
La base jurídica per a la implantació de mesures de control i el tractament de les dades personals de el personal serà l'execució de l'contracte en relació amb l'art. 20.3 ET: "L'empresari pot adoptar les mesures que consideri més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració deguda a la seva dignitat humana i tenint en compte la capacitat real dels treballadors disminuïts, si escau."
La implantació de mesures de control exigeix ??realitzar un test de proporcionalitat en què s'ha de valorar si la mesura de control:
L'art. 88 GDPR atribueix al conveni col·lectiu un paper rellevant per establir mesures més protectores per a la persona treballadora en el tractament de dades que es produeix a l'implantar sistemes de supervisió en el lloc de treball.
4.2. CONTROL D'ACCÉS A LES INSTAL·LACIONS
La base jurídica pot diferir segons la finalitat del tractament:
Han d'evitar sistemes d'accés especialment invasius dels drets fonamentals de les persones treballadores si hi ha altres igualment eficaços que resultin menys intrusius.
En cas d'utilització de dades biomètriques, s'ha de tenir en compte el que s'ha exposat en l'apartat 3.5. relatiu a la verificació/identificació.
4.3. VIDEOVIGILÀNCIA
El tractament de dades amb fins de videovigilància es regula en l'art. 22 LOPDGDD, i específicament per a funcions de control laboral en l'art. 89.
La base jurídica per al control de el personal mitjançant videovigilància és el contracte de treball i les facultats legals de control concedides a l'ocupador (art. 20.3 ET).
La videovigilància només s'ha d'utilitzar quan no sigui possible acudir a altres mitjans que causin menys impacte en la privacitat; no es pot utilitzar en combinació amb altres tecnologies, com el reconeixement facial, perquè en aquest cas el control resulta desproporcionat.
L'empresa ha d'informar el personal i, si escau, als seus representants, amb caràcter previ, i de forma expressa, clara i concisa, sobre aquesta mesura.
En el cas que s'hagi captat la comissió flagrant d'un acte il·lícit per les persones treballadores, s'entén complert el deure d'informar quan s'hagi col·locat un dispositiu informatiu en lloc prou visible concretant, al menys, l'existència d'el tractament, la identitat de l'responsable i la possibilitat d'exercitar els drets.
Tractament de dades de videovigilància:
Es podran conservar les gravacions durant un període màxim d'un mes des de la captació, excepte quan hagin de ser conservades per acreditar la comissió d'actes que atemptin contra la integritat de persones, béns o instal·lacions. En aquest cas, les imatges han de ser posades a disposició de l'autoritat competent en un termini màxim de setanta-dues hores des que es tingui coneixement de l'existència de l'enregistrament.
Està prohibida la instal·lació de sistemes d'enregistrament d'imatge i/o so en llocs destinats al descans o esbarjo de les persones treballadores, com ara vestuaris, lavabos, menjadors i anàlegs.
La utilització de sistemes de gravació de sons en el lloc de treball s'admetrà únicament quan s'acreditin riscos per a la seguretat de les instal·lacions, béns i persones derivats de l'activitat que es desenvolupi en el centre de treball i sempre respectant els principis de proporcionalitat i d'intervenció mínima, així com les garanties indicades per a la videovigilància.
4.4. GEOLOCALITZACIÓ
El tractament de dades amb fins de geolocalització per a funcions de control laboral es regula en l'art. 90 LOPDGDD.
La base jurídica per al control de el personal mitjançant geolocalització és el contracte de treball i les facultats legals de control concedides a l'ocupador (art. 20.3 ET).
L'empresa ha d'informar el personal i, si escau, als seus representants, amb caràcter previ, i de forma expressa, clara i concisa, sobre l'existència i característiques d'aquests dispositius.
Si la finalitat de la geolocalització és el registre horari, les dades no podran ser utilitzats per a verificar la ubicació de la persona treballadora en cada moment, sinó les hores d'inici i fi de l'activitat, que és el que permet la base jurídica de l'registre horari (art. 34.9 ET).
La geolocalització aplicada a l'eina comporta també la geolocalització i el control del propi treballador/a.
No és lícit imposar a la persona treballadora l'obligació de proporcionar mitjans personals per facilitar la geolocalització (per exemple, telèfon mòbil).
Els registradors de dades d'incidències són mecanismes de control que poden ser especialment invasius, i la seva licitud requereix l'acreditació d'un fi legítim i el respecte als principis de proporcionalitat i minimització.
4.5. CONTROL DE FALTA D'ASSISTÈNCIA PER MALALTIA O ACCIDENT
La base jurídica per al tractament d'aquestes dades és el contracte de treball i les facultats legals de control concedides a l'ocupador (art. 20.4 ET): "l'empresari pot verificar l'estat de malaltia o accident del treballador que sigui al·legat per aquest per justificar seves faltes d'assistència a la feina, mitjançant reconeixement a càrrec de personal mèdic. La negativa del treballador a aquests reconeixements pot determinar la suspensió dels drets econòmics que hi pugui haver a càrrec de l'empresari per aquestes situacions".
L'empresa no està legitimada per conèixer els detalls concrets de l'reconeixement mèdic, sinó únicament la conclusió, és a dir, si la persona treballadora està o no en condicions psicofísiques de reincorporar al seu lloc de treball. La incorporació de dades de salut a un fitxer amb l'única finalitat de realitzar controls de l'absentisme resulta desproporcionada.
L'empresa sí està legitimada per elaborar estadístiques sobre l'índex d'absentisme i les seves causes. Aquestes estadístiques no han de contenir dades personals, sinó dades dissociades que no permetin la identificació concreta de el personal.
Els delegats de prevenció tenen dret a accedir "a la informació i documentació relativa a les condicions de treball que siguin necessàries per a l'exercici de les seves funcions" (art. 36 LPRL).
4.6. DETECTIUS PRIVATS
L'ocupador està habilitat per adoptar mesures de control i vigilància de molt diferent intensitat, inclusivament recórrer a un detectiu privat (art. 20.3 ET). Aquesta mesura, com qualsevol altra de control, exigeix la superació de el test de proporcionalitat.
La base jurídica per al tractament d'aquestes dades és el contracte de treball és el contracte de treball i les facultats legals de control concedides a l'ocupador (art. 20.3 ET).
En l'informe del detectiu privat únicament es farà constar informació directament relacionada amb l'objecte i finalitat de la investigació contractada (art. 49 de la Llei 5/2014, de 4 d'abril).
Hauran de conservar, si el menys, durant tres anys, les imatges i els sons gravats durant les investigacions, llevat que estiguin relacionades amb un procediment judicial, una investigació policial o un procediment sancionador.
5.1. TRACTAMENT DE DADES PER PART DELS REPRESENTANTS DE LES PERSONES TREBALLADORES
El compliment de les obligacions i l'exercici dels drets dels representants de les persones treballadores permeten el tractament de dades personals de les persones treballadores sense el consentiment d'aquestes.
Els convenis col·lectius, en els termes previstos en l'art. 64.9 ET, podrien ser base jurídica per a la lícita cessió de dades personals als representants de les persones treballadores.
Respecte de l'absentisme, l'empresa ha d'informar sobre les causes i conseqüències de les baixes per incapacitat temporal (IT), però no de les patologies mèdiques concretes de les persones treballadores que, d'altra banda, tampoc hauria de conèixer l'empresa.
5.2. PUBLICACIÓ DE DADES PERSONALS A TAULERS D'ANUNCIS
Els representants unitaris i sindicals tenen dret a disposar d'un tauler d'anuncis que permeti facilitar informació que pugui interessar a el personal i, en el cas de tauler d'anuncis dels delegats i seccions sindicals, als afiliats a l'sindicat (art. 81 ET i 8.2 LOLS).
La publicació de notes informatives, anuncis, convocatòries, declaracions i fins i tot sentències en aquest tipus de taulers constitueix una pràctica habitual. L'evolució tecnològica ha donat lloc a taulers línia.
Quan aquestes notes, anuncis o documents contenen dades personals, la simple publicació constitueix un tractament que pot comportar l'accés a dades per tercers mancats de legitimació, pel que en aquest cas, hauran d'implementar mesures per impedir l'accés de tercers no autoritzats a aquesta informació, llevat que prevalguin les llibertats d'expressió i informació pròpies de la llibertat sindical.
5.3. ACCÉS A DADES PER ALS REPRESENTANTS DE LES PERSONES TREBALLADORES
Distintas normas legales y reglamentarias laborales, entre ellas, el ET, atribuyen un amplio haz de facultades a los representantes de las personas trabajadoras y en particular al comité de empresa y a los delegados sindicales (art. 10.3 LOLS). En algunos casos, el ejercicio de estas facultades puede comportar tratamientos de datos.
Únicamente podrán comunicarse datos cuando resulte estrictamente necesario para el cumplimiento de los deberes que el ET establece para la empresa. En este sentido:
5.4. DESCOMPTE DE LA QUOTA SINDICAL
El sindicat pot procedir a la comunicació de la dada d'afiliació a l'empresa a efectes de el descompte de la quota sindical sobre la base de l'art. 11.2 LOLS: "L'empresari procedirà a el descompte de la quota sindical sobre els salaris ia la corresponent transferència a sol·licitud de l'sindicat de l'treballador afiliat i prèvia conformitat, sempre, d'aquest".
La base legitimadora serà el consentiment de la persona afiliada, i per al tractament de dades de categoria especial, l'excepció de l'art. 9.2.b GDPR, quan és necessari per al compliment d'obligacions i l'exercici de drets específics del responsable del tractament o de l'interessat en l'àmbit del Dret laboral i de la seguretat i protecció social.
Un cop obtingut el consentiment per a aquest tractament i en base a l'acompliment d'una obligació legal del responsable, l'empresa ha de comunicar al sindicat:
5.5. COMUNICACIONS PER CORREU ELECTRÒNIC
L'enviament d'informació sindical a través de l'correu electrònic implica un tractament de dades personals, ja que una adreça electrònica és una dada personal.
L'enviament d'aquest tipus de missatges de correu electrònic constitueix un dret dels representants emparat pel dret fonamental de llibertat sindical, de manera que els representants podrien utilitzar la infraestructura de l'empresa, que al seu torn hauria de proporcionar-los la direcció de correu electrònic de les persones treballadores. No obstant això, s'han de donar aquestes condicions:
Quan es donin les circumstàncies anteriors, existirà legitimació perquè es produeixi una comunicació de dades personals als representants. No obstant això, s'han de tenir en compte les següents consideracions:
El sindicat ha de respectar el dret d'oposició dels trabadores, llevat del supòsit d'eleccions sindicals, moment en el qual preval la llibertat sindical respecte de el dret a la protecció de dades. La celebració d'eleccions sindicals legitima les comunicacions de les dades censals necessaris per permetre el sindicat remetre informació electoral i participar en el procés electoral.
5.6. VIOLÈNCIA DE GÈNERE I ASSETJAMENT AL TREBALL
Els representants de les persones treballadores únicament podran conèixer la identitat de les dones supervivents de la violència de gènere quan sigui imprescindible per a l'exercici de les seves tasques de representació.
El principi de minimització de dades exigeix que sigui necessari que els representants coneguin la identitat de la víctima.
La mateixa regla s'ha d'aplicar en supòsits d'assetjament. En aquestes situacions la necessitat de conèixer la identitat de la víctima i de l'presumpte assetjador per part dels representants pot resultar imprescindible i més fàcil de demostrar.
5.7. PERÍODES DE CONSULTES (TRASLLATS, MODIFICACIONS SUBSTANCIALS DE CONDICIONS DE TREBALL, SUSPENSIONS I ACOMIADAMENTS COL·LECTIUS)
Aquesta informació pot incloure dades personals de les persones treballadores, com el seu nom i cognoms i el lloc que ocupen.
S'ha d'informar sobre els criteris que l'ocupador pretén utilitzar per a seleccionar el personal afectat per la mesura, com poden ser l'edat, l'antiguitat o la productivitat, depenent de el cas.
La persona treballadora té dret a sol·licitar el barem i els criteris utilitzats a través de el dret d'informació sobre el tractament de les seves dades personals.
Les dues parts han de respectar la confidencialitat de les dades personals, de manera que la difusió de les negociacions en temps real o el seu enregistrament requeriran el consentiment dels afectats.
6.1. BASES JURÍDIQUES PER AL TRACTAMENT DE DADES
Tant si el reconeixement mèdic és voluntari com si és obligatori, la base jurídica per al tractament de dades personals derivats d'aquesta vigilància de la salut seria l'execució del contracte de treball (art. 6.1.b GDPR) i el compliment de les obligacions legals en matèria de prevenció.
El reconeixement ha de vincular-se a l'aptitud laboral, sense que pugui donar a l'empresari cap altre tipus d'informació.
6.2. L'ACCÉS A LES DADES PER L'EMPRESA I ELS DELEGATS DE PREVENCIÓ
La legislació de prevenció de riscos laborals admet en certs casos les comunicacions de dades personals. Així, la legislació legitima i obliga a comunicar dades a: