El nuevo marco normativo que configura el Reglamento Europeo de protección de datos (en adelante, RGPD) junto con la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) ha introducido numerosos cambios en la regulación, que exigen, entre las cuestiones que nos atañen hoy, una adaptación de las circunstancias a la realidad legislativa. Para ello, la Agencia Española de Protección de datos (en adelante, AEPD) ha publicado recientemente la guía de Protección de datos y relaciones laborales, dividida en seis epígrafes: aspectos generales, selección y contratación, desarrollo laboral, control laboral, representación unitaria y vigilancia de la salud, en aras de ofrecer una herramienta de ayuda dirigida a entidades tanto públicas como privadas para un correcto cumplimiento normativo.
En este primer artículo analizaremos además de los aspectos generales, el primer tratamiento de datos personales que se produce en cualquier entidad, esto es, normalmente, cuando el candidato se encuentra en el proceso de selección para el puesto de trabajo, es decir, la fase previa a la contratación, así como la firma final del mismo.
Como sabemos, la legislación de protección de datos es plenamente aplicable al tratamiento de datos efectuados por los empleadores respecto de los trabajadores, sin perjuicio de que el art. 88 del RGPD disponga que, mediante disposiciones legales o convenios colectivos, se podrán establecer normas más específicas con el fin de mejorar la adaptación de la normativa de protección de datos en el campo de las relaciones laborales.
Al igual que cualquier otro tratamiento de datos personal, no puede llevarse a cabo discrecionalmente, sino que exige que el responsable del tratamiento cuente con una base jurídica que le legitime para ello. En esta materia, la base legítima principal es la ejecución del contrato de trabajo (art. 6.1.b) RGPD), ya que no podemos olvidar que el consentimiento del afectado no es válido cuando se proporciona en un contexto de desequilibro evidente entre el trabajador y el empleador (Dictamen 2/2017 sobre el tratamiento de datos en el trabajo del Grupo de Trabajo del Artículo 29). Este posible desequilibrio exige extremar la prudencia y, en especial, atender a los principios de proporcionalidad y de limitación de la finalidad (STS 817/2017, de 2 de febrero, Sala de lo Social). Por ello, de forma excepcional, si podemos encontrar el consentimiento como base jurídica legitimadora, por ejemplo, en el tratamiento de imágenes de los empleados en la entidad, apartado sobre el que ya hemos escrito y que puede visualizar aquí.
En segundo lugar, el tratamiento de datos también sería lícito cuando se trate del cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c) RGPD). Esta base legitimadora permite el tratamiento de datos de los trabajadores cuando haya que cumplir exigencias legales esto es, cotización a la Seguridad Social, obligaciones tributarias, registro de jornada o imposiciones por convenio colectivo.
En tercer lugar, también podemos encontrar, en este caso, como base jurídica para el tratamiento de datos la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado (art. 6.1.f) RGPD y art. 19.1 LOPDGDD). Por ejemplo, el tratamiento de datos de contacto del empleado y en su caso, los relativos a la función que desempeña en la entidad siempre que se cumplan los requisitos establecidos.
Con respecto al cumplimiento del principio de transparencia, el empleador debe informar a las personas trabajadoras, de manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre el tratamiento de datos que esté llevando a cabo (arts. 13 y 14 del RGPD). Este deber es garantía esencial y forma parte del contenido propio del derecho a la protección de datos como tal. Para su ejecución, se plantea un modelo de información por capas, con una primera capa de información breve y sencilla y una segunda capa con información más detallada. Así, el medio más adecuado para su cumplimiento incluiría una cláusula informativa de protección de datos como anexo al propio contrato de trabajo. En todo caso debemos tener en cuenta que la información no equivale al consentimiento, por lo que la incorporación en el contrato de trabajo de la información relativa a un determinado tratamiento no es por sí misma una base jurídica. Por ello, es importante separar del contrato de trabajo aquellos documentos a través de los cuales el empleador solicite a la persona trabajadora el consentimiento para poder realizar tratamientos no comprendidos dentro de la ejecución de la concreta relación laboral de que se trate en cada caso.
Pero, ¿qué datos personales se pueden tratar en el marco de una relación laboral?
Como anteriormente hemos mencionado, la ejecución del contrato de trabajo es la principal base legitimadora del tratamiento de datos personales en cualquier relación laboral, pero ello no implica que el empleador pueda conocer cualquier dato personal de los interesados, en parte porque el principio de minimización de datos exige que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (art. 5 del RGPD). Al hilo de ello y dadas las circunstancias tecnológicas en las que estamos inmersos, no resultan imprescindibles para la ejecución de dicho contrato por ejemplo nuestro usuario en redes sociales. Tampoco el contrato de trabajo legitima a la empresa para solicitar a la persona trabajadora cualquier dato de contacto, exigirá la concurrencia de una base jurídica legitimadora diferente a la ejecución del contrato, como puede ser el interés legítimo, que habrá que demostrarse debidamente atendiendo a los principios de ponderación y proporcionalidad.
A mayor abundamiento, el RGPD, así como la LOPDGDD, incluye el deber de seguridad y el deber de secreto dentro de los principios de protección de datos. A tal efecto, el art. 32.1 del RGPD establece que las medidas técnicas y organizativas establecidas por las organizaciones han de gestionar el riesgo para los derechos y libertades de las personas físicas independientemente de la seguridad que tenga la propia entidad (STSJ CV 5238/2015 de 11 de noviembre, Sala de los Social). Así, para el oportuno cumplimiento de estos deberes surge inevitablemente que se disponga de una correcta política de gestión de personal, así como de procedimientos para la formación del personal. De ahí que a raíz de esto la AEPD haya considerado recomendar lo siguiente:
- Fijar las funciones y responsabilidades del personal en función de los tratamientos de datos personales que se realicen.
- Formación adecuada para los empleados valorando su grado de responsabilidad, así como contribuir a crear una cultura de compromiso con la protección de datos.
- Informar a los trabajadores que, aunque no tengan una relación directa con los datos personas de la entidad o con los sistemas de información, es decir, que tengan un potencial acceso a datos, que sean conscientes de los deberes de seguridad y secreto.
- Considerar la designación de un delegado de protección de datos que pueda asesorar en el cumplimiento normativo y en el principio de responsabilidad proactiva, la entidad tiene que estar en condiciones de poder demostrar el cumplimiento.
SELECCIÓN Y CONTRATACIÓN DE PERSONAL
El tratamiento de datos personales durante el proceso de selección no exige el consentimiento de la persona candidata siendo la base jurídica el art. 6.1.b) del RGPD, esto es, “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales” En ese mismo momento, se informará adecuadamente del tratamiento de datos, en el caso de que la oferta de empleo haya sido colocada en un portal o través de una convocatoria sería oportuno colocar ahí las exigencias del art 13 del RGPD (STS 7922/2000, de 31 de octubre, Sala de lo Contencioso). Desde ese mismo momento, la organización ya será la responsable de la custodia de dicha documentación.
Otra de las exigencias importantes en esta materia es cumplir el principio de minimización y limitación de la finalidad, esto es, solicitar únicamente los datos imprescindibles para la realización del tratamiento y no más, así como valorar que el tratamiento de datos con otros fines exigirá otra base jurídica legitimadora (ejemplo mandar publicidad de la entidad al posible candidato exigirá su previo consentimiento). Un ejemplo muy clarificador es que las organizaciones puedan llegar a solicitar a los candidatos el informe de vida laboral durante el proceso de selección. Es importante saber varias cosas: que no pueden solicitarlo directamente a la Seguridad Social, que el consentimiento no es una base jurídica legitimadora en este caso, al no ser la persona completamente “libre” y que el propio informe no tiene por qué estar completo, indicando únicamente los datos necesarios para la finalidad perseguida (SAN 4494/2018, de 7 de diciembre, Sala de lo Social).
SELECCIÓN DE PERSONAL Y REDES SOCIALES
A este respecto, la AEPD se pronuncia sobre la posible indagación por parte del empleado en las redes sociales durante el proceso de selección y posteriormente ya como empleado de la entidad. Aunque el perfil de los usuarios en las redes sociales sea de acceso público, el empleador no está legitimado para realizar un tratamiento de datos por esta vía si no consigue una base jurídica válida (Dictamen 2/2017 sobre el tratamiento de datos en el trabajo del Grupo de Trabajo del Artículo 29). Única y exclusivamente se justificará la indagación en los perfiles si está relacionado con fines profesionales. Las entidades tampoco estarán legitimadas para solicitar “amistad” a los posibles candidatos para así poder tener acceso al contenido, así como a la información que comparta en el caso de que sea un perfil privado.
Otra cuestión que también el organismo quiere dejar clara es que, aunque en la entrevista de trabajo puedan realizarse numerosas preguntas al candidato sobre sus datos, esto no equivale al consentimiento para tratar los mismos. Es decir, que los datos obtenidos por esta vía no pueden ser objeto de tratamiento si no se cuenta con una base jurídica legitimadora (STSJ ICA 1799/2014, de 7 de abril, Sala de lo Social)
En otro orden de cosas y con carácter general, la toma de decisiones basadas «únicamente en el tratamiento automatizado, incluida la elaboración de perfiles» cuando produzca «efectos jurídicos en el interesado o le afecte significativamente de modo similar» (por ejemplo, ser descartado de un proceso de selección) ha sido prohibida por el RGPD. Sin embargo, también matiza que estas decisiones se podrán llevar a cabo cuando sean necesarias para la celebración o ejecución de un contrato, pero siempre interpretándolo restrictivamente y dando la oportunidad a los interesados de impugnar la decisión, así como de recibir una explicación de la decisión misma (Considerando 71 del RGPD).
Por último, hay que señalar que, es posible que en un proceso de selección se recaben datos de carácter sensible, destacamos en este caso: el reconocimiento médico que únicamente podrá ser utilizado para valorar su idoneidad en su futuro empleo y las pruebas psicotécnicas o psicológicas, que suelen ser frecuentes en las entrevistas de trabajo pero que solo podrán realizarse con el consentimiento del afectado. La persona candidata tendrá derecho en todo momento a acceder a los resultados, así como a conocer los criterios de selección adoptados por la empresa.
En ningún caso serán válidas las pruebas genéticas a los candidatos, ni hay en su caso base jurídica legitimadora ni sería una medida proporcional para la finalidad perseguida.
Concluido el proceso de selección la entidad procederá a la destrucción de los datos y únicamente podrá tratar los mismos en un futuro con el consentimiento del interesado.
En el próximo artículo seguiremos analizando la incidencia en protección de datos en el desarrollo de la relación laboral.