¿Cómo funciona la protección de datos en el ámbito laboral?

Con la globalización y la nueva era digital, el mundo cada vez se está volviendo más digitalizado hasta el punto de qué todos nuestros datos están en alguna parte de la nube. Es decir, las nuevas tecnologías han afectado a la protección de nuestros datos y los de nuestros trabajadores. Por ello y cada vez más, la Agencia Española de Protección de Datos trabaja arduamente en que todas las empresas cumplan los requisitos mínimos entorno al tratamiento de datos de sus empleados.

¿Conoces cómo se tratan estos datos? ¿Sabes cómo actúa una empresa ante una brecha de información de datos personales? En el artículo de hoy, te explicaremos todo lo necesario sobre la protección de datos en el ámbito laboral.

¿Qué es la protección de los datos personales?

La protección de datos personales, junto a la privacidad y confidencialidad, es un derecho fundamental que se regula en el artículo 18 de la Constitución Española. 

La protección de datos se ha convertido en una cuestión de suma importancia en todos los ámbitos, entre ellos, el ámbito laboral. Por ende, es imprescindible que las empresas conozcan al detalle la normativa al respecto, pues su incumplimiento puede suponer sanciones muy graves y de elevado coste. 

La normativa imprescindible que regula la protección de datos es  el Reglamento General de Protección de Datos (RGPD) a nivel europeo y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD o LOPD).  Por su parte, la Agencia Española de Protección de Datos (AEPD) publica en su web recomendaciones, notas y directrices acerca de la protección de datos que causan gran impacto en este sector. 

¿Qué es un dato personal?

Se entiende como dato personal cualquier información relativa a personas físicas identificadas o identificables, tanto directa como indirectamente. Es decir, se trata de información privada sobre la identidad de un individuo. Existen categorías especiales de datos, referidas a aquellos datos sobre raza, ideología, religión, datos genéticos o biométricos, etc. 

El RGPD recoge los principios en los que se fundamenta la protección de datos:

• Licitud

• Lealtad

• Transparencia

• Determinación

• Minimización

• Exactitud

• Delimitación

• Integridad

• Confidencialidad.

Para que el tratamiento de los datos sea lícito debe cumplirse alguna de las condiciones del artículo 6 del RGPD: entre ellas el consentimiento debe ser libre, específico, informado e inequívoco. Normalmente, los datos personales se almacenan, tratan y transfieren masivamente a través de Internet. Incluso se venden entre empresas con fines publicitarios y de marketing. En la mayoría de casos, esta circulación se produce sin el consentimiento del afectado.

¿Cómo impacta la Protección de datos en el ámbito laboral?

Por todo ello, es altamente recomendable que todas las empresas establezcan una política de protección de datos que garantice la protección de estos. En términos generales, la figura encargada de esta responsabilidad es lo que se conoce como un Delegado de Protección de Datos. A pesar de que no es una figura obligatoria dentro de las empresas, si es recomendable que exista en la plantilla. 

Así pues, la realidad es que la protección de datos afecta de muchas maneras. En este post solo veremos algunas de ellas, pero puedes encontrar más en protección de datos y firma digital.

¿Cómo impacta al derecho al honor, a la intimidad personal y familiar y a la propia imagen?

La protección de datos y el derecho al honor, a la intimidad personal y familiar y a la propia imagen están muy relacionados. Por ejemplo, la instalación de cámaras de videovigilancia está permitido para comprobar que los trabajadores se comportan correctamente en su puesto de trabajo y además, cumplen con sus obligaciones. En esa misma línea, también existe la posibilidad de grabar conversaciones telefónicas para después ser utilizadas para la acreditación de incumplimientos laborales.

Posiblemente, te estarás preguntando ¿Es esto legal? Así es, el artículo 20.3 del Estatuto de los Trabajadores legitima al empresario a adoptar todas aquellas medidas que considere oportunas para verificar el cumplimiento de las obligaciones y deberes del trabajador. Cabe recordar que, estas medidas siempre tienen que salvaguardar por la dignidad del trabajador. Por su parte, el artículo 87 de la LOPD establece el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral. Concretamente, establece que los trabajadores tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.

Sin embargo, el empleador podrá utilizar medios digitales que haya facilitado a sus trabajadores para controlar el cumplimiento de las obligaciones laborales.  Pero estas prácticas se deben llevar a cabo respetando unos mínimos de protección de la intimidad de los trabajadores. Además, los trabajadores deberán ser informados de los criterios de utilización de estos dispositivos como por ejemplo mediante la colocación de estos carteles:

¿Es posible la instalación de cámaras de videovigilancia y grabación de conversaciones  en el espacio de trabajo?

El artículo 89 de la LOPD regula el derecho a la intimidad frente al uso de dispositivos de videovigilancia en el trabajo y de grabación de sonidos. Es decir, este artículo establece que los empleadores podrán tratar las imágenes obtenidas a través de cámaras para controlar a los trabajadores, siempre que estas funciones se ejerzan dentro del marco legal. 

No obstante, es importante mencionar que los empleadores tienen que informar a los trabajadores acerca de esta medida:

• Previamente a su aplicación

• De forma expresa, clara y concisa

Es importante saber que no se admite la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso de los trabajadores ni en vestuarios, aseos, comedores, etc. 

A continuación, te dejamos con una sentencia del Tribunal Constitucional de 04 de octubre de 2021 en torno a la posible vulneración por una posibilidad de grabación de las conversaciones telefónicas. Un trabajador que era asesor comercial fue despedido disciplinariamente debido a una deficiente atención a los clientes que constaba en unas grabaciones telefónicas. Sin embargo, el tribunal se pronunció concluyendo que no se había vulnerado el derecho a la protección de datos ya que la empresa había informado previamente sobre la posibilidad de grabación de las conversaciones telefónicas. Por lo que, el tribunal descartó la existencia de vulneración del derecho a la protección de datos personales que había alegado el trabajador despedido.

Por ende, entendemos que la utilización de cámaras de vigilancia como medio de prueba para acreditar incumplimientos laborales es una actividad lícita. Pero se deben cumplir estos requisitos: 

• Idoneidad

• Necesidad

• Proporcionalidad

¿En qué consiste la protección de datos en el teletrabajo?

A raíz de la pandemia, hemos observado que se ha experimentado un aumento del teletrabajo. Anteriormente a la pandemia y al confinamiento, una pequeña proporción de empresas eran las minoritarias en disponer en la modalidad del teletrabajo.

El crecimiento de las startups y sus valores tecnológicos han creado numerosos puestos de trabajo y han impulsado el uso de herramientas tecnológicas en los espacios de trabajo. De hecho, en diciembre de 2022 se ha publicado la famosa Ley de Startups.

Uno de los retos que surge al respecto es la  protección de los datos personales en situaciones de movilidad de trabajadores. 

La Agencia Española de Protección de Datos ha publicado unas recomendaciones al respecto, entre las que se encuentra la definición de una política de protección de la información en situaciones de movilidad. 

Igualmente, la AEPD recomienda informar a los trabajadores de:

• Los mecanismos de monitorización de los dispositivos digitales.

• Cómo debe utilizarse un equipo corporativo (regulando el acceso a redes sociales o el uso del correo electrónico personal).

• Las pautas sobre el derecho a la intimidad, la desconexión digital y el deber de confidencialidad del trabajador.

¿Cómo se relaciona la protección de datos y el registro de la jornada de trabajo?

El Estatuto de los Trabajadores obliga a la empresa a realizar el registro de la jornada laboral. Pues bien, el registro de la jornada de trabajo se tiene que formalizar mediante, por ejemplo, la huella digital. No obstante, la huella digital ha sido cuestionado legalmente por la AEPD ya que se trata de una categoría de datos especial, como hemos mencionada antes. Por ende, la AEPD establece que para el uso de huellas biométricas hay que justificar y acreditar que el sistema utilizado es necesario y proporcionado. Es más, habrá que ponderar si existen medidas técnicas que puedan ser menos intrusivas.

¿En qué consiste la protección de datos y el registro salarial?

En relación con la obligación empresarial de realizar un registro de salarios, la AEPD ha aclarado que, al ser una obligación legal, el empleador no requiere del consentimiento de los trabajadores.

En 2018, el Reglamento General de Protección de Datos (RGPD) experimentó modificaciones significativas para incorporar nuevas disposiciones destinadas a fortalecer la salvaguarda de los datos personales de los empleados, introduciendo así el concepto de responsabilidad activa, también conocido como responsabilidad proactiva.

En virtud de estas modificaciones, las empresas están obligadas a demostrar la implementación de medidas de seguridad específicas en el tratamiento de las nóminas. Pues bien, para poder llevar a cabo la protección de datos por medio del registro salarial es necesario que se tomen medidas. Entre ellas se incluyen la seudonimización, asegurando que, en caso de brechas de seguridad, la identidad de los individuos no sea revelada; el cifrado, que exige la utilización de códigos cifrados en los sistemas y programas de gestión de nóminas para garantizar la protección de la información personal; la restricción en el acceso, esencial para prevenir que terceros accedan a las nóminas o bases de datos con información confidencial; y la minimización de datos, que insta a almacenar y procesar únicamente la información personal indispensable para llevar a cabo las liquidaciones.

¿Cómo funcionan las comunicaciones comerciales de las empresas respecto a la Protección de Datos?

Es una práctica muy común que las empresas tengan una base de datos con correos electrónicos de clientes o potenciales clientes a los que envían por email comunicaciones comerciales. Pero cuidado, es importante tener presente que esto puede vulnerar la protección de los datos personales. 

Por ello, hay que tener en cuenta dos aspectos:

1. El tipo de comunicación que se manda 

2. El destinatario al que se manda

En los casos que se trate de una comunicación comercial, habrá que analizar el caso concreto. Es decir, la normativa es distinta según sean comunicaciones comerciales o no comerciales. Por ejemplo, la AEPD ha concluido en varias ocasiones que el simple logo de la empresa es una comunicación comercial. En principio y siguiendo la normativa de protección de datos, se necesita el consentimiento expreso del destinatario. El uso de datos personales (en este caso, direcciones de email) deben tratarse en base a los fines para los que se hayan recogido e informado o comunicado. 

Por ejemplo, si una empresa compra una base de datos a otra, la empresa vendedora tendría que haber informado a los propietarios de esas cuentas de correo que su dirección de email se iba a utilizar para recibir comunicaciones comerciales, entre otros usos. Si, no se informó  de esto pero, sin embargo, son destinatarios de comunicaciones comerciales, entonces se estará actuando fraudulentamente, pues no se están usando los datos conforme a lo que se había informado.

En el caso de que se quiera realizar una venta de base de datos hay que hacer un examen muy exhaustivo de si se están cumpliendo todas las formalidades para ello. Es decir, en principio sólo se pueden enviar comunicaciones comerciales a los destinatarios que hayan expresado su consentimiento.  Sin embargo, si el destinatario no ha expresado su consentimiento pero ya es un cliente de la empresa o ha hecho compras de productos iguales o similares, entonces la ley también permite el envío de estas comunicaciones a este destinatario. Además, siempre hay que incluir al final de la comunicación comercial un apartado que permita la posibilidad de darse de baja. Esto es imprescindible.  

En definitiva, el uso de las nuevas tecnologías en el ámbito empresarial debe ser riguroso con la normativa. La protección de datos en el entorno laboral es una cuestión cada vez más importante dentro de las empresas y, por ello, debe realizarse un análisis detenido de todos los intereses que están en juego. Por lo tanto, establecer una política de protección de datos y unas buenas prácticas empresariales al respecto, es primordial.  

En PayFit, la seguridad es una de nuestras prioridades en el desarrollo de la plataforma. Es una parte integral de nuestro producto. Debido a la naturaleza de nuestro negocio, es decir, la gestión de nóminas y la gestión de equipos, lidiamos con datos sensibles de las empresas y sus trabajadores, personales y confidenciales. ¡Es por eso que garantizamos un producto seguro! Por ello, cada año pasamos por una auditoria para contar con la Certificación ISO 27001, la cual confirma que nuestro programa de gestión de la seguridad es exhaustivo y sigue las mejores prácticas en materia de confidencialidad, integridad y disponibilidad.

💻 ¿Quieres que tus datos y los de tus empleados se traten según lo establecido en la Ley de Protección de Datos? Solicita una demostración gratuita y...¡Únete a la transformación digital de tu empresa!