Guia para el tratamiento de datos personales en el ámbito laboral
La Agencia Andorrana de Protección de Datos (APDA) es una autoridad nacional para la promoción y sensibilización sobre la gestión de riesgos, la normalización y la protección de datos.
Esta guía sobre la privacidad de los datos y las relaciones laborales ofrece un breve resumen en el que se esbozan orientaciones prácticas sobre la forma en que los procesadores pueden cumplir los requisitos.
¿Qué es la protección de los datos personales?
La protección de los datos personales es un derecho esencial de la Constitución andorrana. La protección de datos se está convirtiendo en una preocupación crítica en todas partes, especialmente en el lugar de trabajo.
Esto hace que las empresas tengan plena conciencia de la ley de protección de datos existente y de los reglamentos que la desarrollan, ya que el incumplimiento podría dar lugar a fuertes sanciones.
El instrumento regulador más importante que rige la protección de datos es la Ley 29/2021, del 28 de octubre cualificada de protección de datos personales (LQPD).
Ahora bien, hay que tener en cuenta que la legislación andorrana en materia de protección de datos, sirgue las directrices establecidas por la Unión Europea en el GDPR.
¿A qué nos referimos al hablar de “tratamiento”?
En este contexto se define como cualquier operación que se realice en relación con los datos, ya sea automatizada o no.
Es decir, ya sea enviar, guardar, procesar o simplemente destruir los datos personales, se considera realizar un tratamiento de datos personales.
¿Qué es un dato personal?
En esta guía te vamos a detallar qué es exactamente un dato personal.
Los datos personales incluyen datos sobre la persona física identificada de cualquier manera, ya sea directamente o de forma indirecta.
Esto significa información personal para identificar a una persona. Algunos tipos de estadísticas se refieren a los datos relativos a la raza, la ideología, la religión, la genética y la biometría, etc.
El RGPD establece principios que rigen la protección de datos, incluyendo: Privacidad, lealtad y transparencia. El derecho al tratamiento de datos debe ajustarse al apartado 5 del artículo 6 si el tratamiento es legítimo: el consentimiento debe ser libre, específico, informado e inequívoco.
Ahora bien, existen muchas categorias diferentes de datos personales como por ejemplo los datos identificativos, económicos -financieros, datos relativos a la opinión política, de la salud, de profesión y conocimiento, etc.
Pero existen una serie de datos que están considerados como datos de categorias especiales y que deben tener una mayor protección.
Este tipo de datos personales de categorías especiales hace referencia a datos:
- De origen étnico o racial.
- Opiniones políticas.
- Convicciones religiosas o filosóficas o afiliación sindical.
- Datos genéticos.
- Datos biométricos destinados a identificar a una persona de manera inequívoca.
- Datos relativos a la salud.
- Datos relativos a la vida sexual u orientación sexual de una persona física.
Estos datos, dentro y fuera del ámbito laboral, exigen una mayor protección. Así tanto la Agencia andorrana de protección de datos como la agencia española de protección de datos coinciden en esta categorización de tratamiento de datos.
Por lo tanto, cualquier empresa, deberá tener especial cuidado a la hora de realizar un contrato laboral y no pedir o bien tener una base suficientemente justificada para solicitar ese tipo de tratamiento de datos.
¿Cómo impacta al derecho al honor, a la intimidad personal y familiar y a la propia imagen?
La privacidad es un elemento fundamental de una persona y está muy estrechamente relacionada.
Es frecuente que numerosas empresas utilicen cámaras de videovigilancia para cuestiones relativas a la seguridad de sus sistemas y organizaciones.
Ahora bien, el uso de sistemas de videovigilancia puede controlar el comportamiento de los trabajadores en los lugares de trabajo, así como el cumplimiento de sus obligaciones.
Esto no puede implicas una limitación de ningún derecho o libertad de las personas trabajadoras, por lo que el uso de esas cámaras y sistemas de videovigilancia, debe cumplir ciertos requisitos para evitar denuncias por parte de los trabajadores o incluso de terceros ajenos a las organizaciones.
En esta guía te explicamos cómo debes hacerlo.De esta manera también existe la opción de grabar conversaciones telefónicas y utilizarlas para verificar el historial disciplinario de un trabajador e informar sobre la infracción laboral.
En todo caso, se debe proporcionar la información tanto a las personas trabajadoras como a los terceros que no sea ningún trabajador de la empresa por cuestiones de seguridad de cualquier persona en materia de protección de datos.
Esto se traduce en el establecimiento de un cártel a la vista de todos de que se utilizan por parte de la empresa sistemas de videolvigilancia y los datos de la primera capa que establece la agencia andorrana de protección de datos.
Si tienes dudas sobre qué tipo de información establecer, puedes contactar con nosotros sin problema para completar la presente guía.
¿Es posible la instalación de cámaras de videovigilancia y grabación de conversaciones en el espacio de trabajo?
El artículo 20 de la LQPD prevé la posibilidad de establecer cámaras de videovigilancia. No especifica que estas deban servir para vigilar las personas trabajadoras, sino que sirven para poder prever posibles robos y delitos.
No hace referencia ni a delitos de violencia de género ni al acoso laboral. Por lo tanto, no se debería vincular a estos tratamientos de datos.
Ahora bien, la Agencia española de protección de datos sí que contempla este supuesto y establece que específicamente, el artículo 89 dice que los empleadores pueden usar imágenes de cámara para vigilar a los empleados siempre y cuando tales acciones se realicen dentro de contextos legales. Sin embargo, la importancia de mencionar es la necesidad de que los empleadores informen a los trabajadores con antelación sobre este procedimiento.
En este tipo de situaciones lo más importante para la protección de datos será que el tratamiento de datos en cuestión haya sido informado tanto al trabajador como al resto de personas que puedan estar sujetas a esta grabación.
¿En qué consiste la protección de datos en el teletrabajo?
La pandemia ha aumentado la necesidad de teletrabajo. De hecho, en el Reino Unido hay más empresas que trabajan a distancia que de manera presencial.
Aumentar el crecimiento de las empresas tecnológicas creó una serie de puestos de trabajo y ayudó a impulsar el uso de tecnologías en los lugares de trabajo.
En diciembre de 2022 se emitió una famosa ley sobre empresas de startup. Entre estos problemas figura la protección de la información personal en condiciones de movilidad de los trabajadores. La agencia española de protección de datos tiene un informe que incluye una lista de recomendaciones sobre cómo proteger los datos en un entorno móvil que puede ser consultado en su página web.
Deberes de secreto y confidencialidad
Las personas cuyas responsabilidades y secretos estén protegidos deben garantizar la disponibilidad continua de información y confidencialidad, lo que incluye preservar su integridad.
El derecho de una persona a los datos es un principio crucial de cualquier empresa y los datos que proporciona pueden ser vulnerables.
Informar a la persona afectada
Es necesario informar a los titulares de los datos del tratamiento y redactarlos de manera clara y concisa y en términos claros y de fácil acceso.
El contrato de trabajo contiene cláusulas que también pueden incluir documentos en los que se comunica el trato. La Agencia advierte contra el uso del documento firmado si otorga el consentimiento para el uso de información no necesaria para el cumplimiento de un acuerdo de empleo.
Se recomienda que la recogida y la base del consentimiento de las personas trabajadoras no sea siempre el consentimiento, sino el cumplimiento de un contrato o bien obligaciones legales.
Selección de personal y redes sociales
Se puede permitir que los empleadores compartan su información en las redes sociales con otras empresas. La decisión se finalizará tanto en el proceso de selección como durante el proceso de publicación.
La posibilidad de analizar el perfil de LinkedIn de un candidato sólo puede justificarse con un propósito profesional.
Si hay pruebas de que dicho tratamiento debe ser realizado, y el empleador debe tener la información para realizar este tratamiento para la campaña de comercialización para la empresa o contratar influencers.
Ahora bien, por lo que respecta a las redes sociales, se puede fijar por contrato el uso de las mismas y de si las personas trabajadoras van a aparecer en las redes sociales de la empresa. En ese caso, la publicación de la imagen en las redes sociales de la empresa comporta un tratamiento de datos que debe ser consentido expresamente por el trabajar en un documento concreto.
El trabajador deberá firmar específicamente ese tratamiento de datos, y ese documento será la base de legitimación de la empresa.
Algunos principios del tratamiento de datos
La minimización de datos requiere un propósito limitado. A menos que se especifique lo contrario, el propósito del tratamiento es justificable, a menos que haya optado por no utilizarlo.
El principio de proporcionalidad consiste en solicitar la información necesaria y adecuada al tratamiento de datos en cuestión.
Por ejemplo, a los empleadores se les impide exigir a los empleados que creen una página personal de Facebook cuando lo hacen. La misma línea incluye las tarjetas de identificación que los empleados pueden necesitar cuando llevan a cabo actividades públicas, y esta información recopilada es mínimamente importante.
El proceso de contratación
Varios otros tipos de acciones, pruebas o planes de negocios determinan el candidato que se incorporará a la empresa.
En el proceso de entrevistar a los candidatos, el candidato no está obligado a responder a ciertas preguntas que pueden conllevar a una denuncias sobre sus derechos personales.
Es importante que a la hora de contratar a una persona, las personas trabajadoras que realicen el registro y proceso de selección, estén debidamente formadas en materia de protección de datos para tener en cuenta cuales son los límites en base a una entrevista laboral.
En algunas ocasiones, los trabajadores pueden solicitar el secreto respecto a ciertas preguntas sobre relaciones laborales ya que ese dato concreto se considera secreto y revelarlo podría conllevar denuncias por parte de los trabajadores (víctimas).
¿Y si colaboran dos empresas para encontrar el candidato idóneo?
Una estrategia actual para encontrar personas con talento es emplear consultores de ETT.
Las agencias de protección de datos sostienen que las empresas de selección actuarán en este caso como controladores con bases legales establecidas para los procedimientos precontractuales.
Hasta ese momento, los datos deben eliminarse y reactivarse o devolverse al responsable del tratamiento (usuarios) de conformidad con el acuerdo. También podría ser necesario preservarlas en situaciones en que se cumplan los requisitos legales. Al igual que otros empleadores, la ETT es directamente responsable de tratar a los empleados.
¿Cómo se relaciona la protección de datos y el registro de la jornada de trabajo?
La legislación laboral exige que las empresas registren el día de trabajo. Por ejemplo, el registro de la jornada laboral se formaliza a través de huellas dactilares. Posteriormente, en España la AEPD examinó las huellas dactilares por razones jurídicas. Por lo tanto, la AEPD dice que el sistema de huellas dactilares biométricas es necesario para demostrar la necesidad y proporcionalidad de su uso. Además, es esencial que el proceso de redacción consista en un debate sobre las formas de reducir la infiltración.
No obstante, en Andorra, el uso de huellas dactilares se podrá realizar, siempre y cuando no exista otra base o medio suficiente para poder controlar el horario del trabajador. En otras palabras, debe ser la última opción por parte de la empresa. La APDA considera este método, un método de control que debe realizarse con las medidas suficientes para no vulnerar las personas trabajadoras de la empresa mediante el registro de sus huellas dactilares.
¿En qué consiste la protección de datos y el registro salarial?
Por lo que se refiere a la obligación legal de las empresas de registrar los salarios, la agencia aclara que no es necesario el consentimiento de los trabajadores.
Esta actualización introdujo una nueva definición de responsabilidad activa, también denominada responsabilidad proactiva, que se introdujo en 2018.
Bajo los cambios descritos, una empresa debe desarrollar un programa de cumplimiento para la nómina. La protección de datos es necesaria para el registro de empleo a través del registro salarial.
Datos personales especiales
El tratamiento de estos datos es legal si los datos se procesan sin perjuicio de la ley o del consentimiento de la persona interesada.
Del mismo modo, estos datos pueden utilizarse cuando sea necesario para cumplir una obligación o “el ejercicio de derechos particulares del responsable del tratamiento o del interesado en los ámbitos del derecho laboral, la seguridad social y la protección” para salvaguardar intereses vitales o si los datos son hechos públicos por el propio interesado.
Los derechos una vez iniciada la relación contractual
Los derechos una vez iniciada la relación contractualAdemás, la ley otorga a los usuarios el derecho de acceso para obtener una copia de la información objeto de tratamiento; la capacidad de rectificar datos inexactos o incompletos; la capacidad de eliminar los datos no necesarios.
Se han establecido otros derechos, como la limitación del tratamiento y la portabilidad de los datos, pero el derecho más importante y probablemente más pertinente es el de impedir la automatización.
Sistemas internos de denuncias o «whistleblowing»
Los sistemas pueden estar permitidos en virtud de la legislación sobre protección de datos.
El funcionamiento de un buzón de correo centralizado o canal de denúncias de la empresa se lleva a cabo utilizando buzones de correo internos que pueden quejarse de una violación del contrato o de la ley.
La responsabilidad de la empresa es que sea consciente de la existencia de este sistema de correo o de un sistema de reclamación por adelantado y que procese la información necesaria para presentar la denuncia del demandante.
Este tipo de métodos y medidas de cumplimiento de la ley se establece para que los trabajadores no terminen siendo víctimas del control por parte de la empresa en el ámbito de la protección de datos en las relaciones laborales.
La transferencia internacional de datos
El RGPD simplifica el sistema de transferencia y la notificación a la agencia en cuestión no es una obligación dependiendo del tipo de país en el cual se va a realidad la transferencia.
Andorra está equiparado a la UE en base a las obligaciones respecto las transferencias internacionales, por lo que las obligaciones de control en este ámbito deben ser las mismas que se aplican a empresas de la UE.
Cesión de datos a otras empresas
Cada empresa es la responsable de su plantilla y de todos sus trabajadores así como de la legalidad aplicada y la confidencialidad de sus trabajadores.
Cuando varias empresas del grupo compartan información, deberán demostrar un interés legítimo del responsable del tratamiento.
Desde el punto de vista jurídico, el contrato puede entrañar la ejecución del acuerdo si una empresa determinada o sus miembros ocupan el puesto de empleador único en la relación laboral.
Control por enfermedad, accidente o falta de asistencia
La compañía puede realizar exámenes de salud para los empleados desaparecidos de su trabajo debido a enfermedades y accidentes.
Estas medidas están impulsadas por el desarrollo de la relación contractual, ya que no se requiere ese consentimiento.
Sin embargo, la empresa no es capaz de conocer los detalles del reconocimiento, a menos que la empresa sólo puede saber su conclusión final, o si son capaces de conseguir un empleo. No es proporcional usar datos de salud en un archivo para detectar el absentismo. La empresa podría producir datos sobre las tasas de absentismo, en particular.
Víctimas de acoso en el trabajo y violencia de género
Los datos relativos a la violencia de género y el acoso en el lugar de trabajo pertenecen a la categoría especial de datos que requieren una mayor seguridad.
Los procedimientos para sancionar a un acosador abusivo se basan únicamente en la ley. La empresa debe eliminar el acoso en el lugar de trabajo e impedir que ocurra y tiene una responsabilidad.
La compañía debe proporcionar a la víctima números de identificación para identificar a la víctima y también darle números de identificación para el agente acosador.
El delegado de prevención
Se enumeran los datos personales a los que se puede acceder a través de estas cifras y los datos que recopilan.
Aquí puedes encontrar toda la información sobre el delegado de protección de datos y los requisitos que debe cumplir.
Sin embargo, los datos tratados por los proveedores de atención médica autorizados no están disponibles sin el consentimiento de dichos proveedores de atención médica autorizados, a menos que sea necesario. Casi todas las acciones deben mantenerse confidenciales.
