Retomamos el análisis realizado en anteriores publicaciones sobre las situaciones específicas del tratamiento de datos personales en el ámbito laboral, recogido en el artículo 88 del Reglamento General de Protección de Datos (RGPD).
Como ya hemos indicado, el artículo 88, habilita a los Estados miembros a crear normas más concretas, que incluyan las medidas adecuadas y específicas al respecto, prestando especial atención a:
1. la transparencia del tratamiento,
2. la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta,
3. los sistemas de supervisión en el lugar de trabajo.
Los dos primeros puntos ya han sido objeto de nuestro análisis, por lo que nos centraremos hoy en el punto tres.
En nuestro ordenamiento jurídico, encontramos normativa específica relativa a los sistemas de supervisión en el lugar de trabajo. Nuestro Estatuto de los Trabajadores (ET), contempla esta cuestión en su artículo 20 al atribuir facultades concretas a los empresarios para controlar el desarrollo de la prestación laboral por parte de sus empleados.
En este sentido, las empresas podrán:
-Adoptar medidas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, respetando debidamente su dignidad humana. Pensemos en los sistemas de videovigilancia.
-Verificar el estado de enfermedad o accidente alegado por el trabajador para justificar sus faltas de asistencia al puesto de trabajo, mediante reconocimiento médico. La negativa a tal reconocimiento podrá determinar la suspensión de los derechos económicos que pudieran existir a cargo del empresario.
Por su parte, si recurrimos de nuevo como ya hemos hecho en ocasiones anteriores, a la Guía sobre protección de datos en las relaciones laborales, publicada por la AEPD en 2009, ésta recoge en su contenido un apartado relativo a los “controles empresariales” donde detalla aquellas cuestiones más importantes en materia de protección de datos y que nosotros pasamos a abordar completándolo con lo establecido en el RGPD y en el Proyecto de la nueva LOPD:
• CONTROLES BASADOS EN EL USO DE TECNOLOGÍAS DE LA INFORMACIÓN:
Sin duda, el uso de las TIC amplía las posibilidades de control y obliga a adoptar medidas que respeten la dignidad y los derechos fundamentales de los empleados, como el derecho a la protección de sus datos.
En cuanto a la legitimación para este tratamiento, la actual LOPD 15/1999 se limita a indicar que no se necesita recabar el consentimiento del empleado, pues la legitimación para el control empresarial deriva de la existencia de una relación laboral (artículo 6.2).
Por su parte, el Proyecto de LOPD, por un lado, contempla que, salvo prueba en contrario, se presumirá que la base de la legitimación es el interés legítimo del responsable cuando el tratamiento se refiera a los datos necesarios para su localización profesional, o cuando el fin sea la propia relación laboral (artículo 19.1); y por otro, legitima al empresario a tratar datos con fines de videovigilancia para el control laboral, siempre y cuando se informe a los empleados sobre dicha medida (artículo 22).
En relación con el principio de transparencia del artículo 5.1.a) RGPD, y con el derecho a ser informado del artículo 12 y 13 RGPD, el trabajador deberá ser informado del tratamiento de los datos, así como de la finalidad de este. La Guía señala al respecto, que las empresas deben informar a sus trabajadores tanto respecto a su política empresarial, como de la existencia del control que se va a realizar.
Además, los datos obtenidos y almacenados deberán ser exactos y no pueden conservarse más tiempo del necesario, que, en el caso de la videovigilancia, se establece el plazo máximo de un mes desde su captación (art. 22 Proyecto LOPD e Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos).
• CONTROLES SOBRE EL ABSENTISMO LABORAL
Como ya adelantábamos, el ET faculta al empresario para realizar controles en caso de enfermedad o accidente de trabajo para justificar las faltas de asistencia al puesto de trabajo de sus empleados, pero por su parte, la Guía indica que, no puede utilizar sus datos de salud para fines distintos, pudiendo resultar desproporcionado que se utilicen para realizar controles de absentismo.
La Guía contempla que, este tipo de control es especialmente relevante cuando se realiza contratando a un prestador de servicios porque, además de cumplir con sus obligaciones como encargado del tratamiento, si va a incorporar datos de salud de un trabajador a una historia clínica, necesita su consentimiento expreso.
Estamos llegando al fin de nuestro pormenorizado análisis del articulado del RGPD, pero continuaremos analizando el resto de las situaciones específicas de tratamiento, como son las garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, las obligaciones de secreto, y las normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas.
