Читать книгу Las categorías especiales de datos del trabajador - Elisa Sierra Hernáiz - Страница 15

Ante la falta de una regulación legal específica para el tratamiento de los datos personales de los trabajadores, más allá de que sí son de aplicación los principios generales de protección de los datos personales, se hace necesario establecer una serie de principios básicos de tutela en este ámbito13. Pues bien, dichos principios podrían ser los previstos en la Recomendación CM/ Rec (2015) 5 sobre el tratamiento de datos personales en el ámbito del empleo cuyo objetivo principal es proporcionar un nivel adecuado de protección del tratamiento de los datos personales de los trabajadores14, teniendo en cuenta que, además, los principios y objetivos en él formulados son también principios y objetivos previstos en el RGPD para el tratamiento de los datos personales.

Así, y tal y como se señala en la Exposición de motivos, el procesamiento de los datos personales de los trabajadores debe estar basado en el principio de minimización de los riesgos por el impacto que pudiera tener sobre los derechos fundamentales y libertades públicas, en particular respecto del derecho a la intimidad, aplicándose sus principios tanto para el sector público como privado y teniendo en cuenta que dicho tratamiento se realiza en un contexto caracterizado por el aumento del uso de tecnologías de la información y la comunicación (TIC) y la globalización de empleo y los servicios. Por ello, su objetivo es el respeto y salvaguarda de los derechos humanos, la dignidad y los derechos y libertades fundamentales durante el tratamiento del dato personal con fines laborales, especialmente para permitir el libre desarrollo de la personalidad del empleado y las relaciones individuales y sociales en el lugar de trabajo (Principio 3).

En la Parte I se establece que los principios generales de actuación enumerados en la Recomendación que se aplican tanto para el sector público como privado, incluidas las agencias de empleo salvo que los ordenamientos jurídicos nacionales dispongan otra cosa (Principio 1).

En cuanto al concepto de datos personales por tal hay que entender cualquier información relacionada con una persona identificada o identificable (el interesado) mientras que el tratamiento del mismo hace referencia a cualquier operación o conjunto de operaciones que se realice sobre datos personales, en particular, la recopilación, almacenamiento, preservación, alteración, recuperación, divulgación, puesta a disposición, borrado o destrucción de datos, o la realización de operaciones lógicas y/o aritméticas sobre datos. Si no existe tratamiento automatizado el procesamiento hace referencia a las operaciones realizadas dentro de un conjunto estructurado de acciones bajo cualquier criterio que permita la búsqueda de datos personales (Principio 2).

Por lo que respecta a los sistemas de información se hace referencia a cualquier dispositivo o grupo de dispositivos interconectados o relacionados, uno o más de los cuales, de conformidad con un programa, realiza el procesamiento automatizado de datos informáticos, así como los datos informáticos alma-cenados, procesados, recuperados o transmitidos por ellos para el propósito de su funcionamiento, uso, protección o mantenimiento. En lo referido a los fines de empleo son el conjunto de relaciones entre empleadores y empleados en materias como la contratación, el cumplimiento del contrato de trabajo, la gestión, incluido el cumplimiento de las obligaciones establecidas por la ley o por los convenios colectivos, así como la planificación y el funcionamiento de un organización y la extinción de la relación laboral, pudiendo extenderse las consecuencias de la relación contractual más allá de la duración del contrato de trabajo. Finalmente, empleador es todas persona física o jurídica, pública o privada o agencia de empleo que tenga responsabilidad legal de la empresa o establecimiento mientras que empleado es la persona física que mantenga una relación laboral con el empleador (Principio 2).

En lo referente a la aplicación de los principios del tratamiento de los datos los empresarios deben, en primer lugar, minimizar el procesamiento de datos personales únicamente a los datos necesarios para cada objetivo perseguido y, en segundo lugar, deben adoptar las medidas adecuadas para garantizar que se respetan los principios y obligaciones relacionados con el tratamiento de datos con los fines laborales, así como poder demostrar su cumplimiento en la práctica. Dichas medidas deberían adaptarse al volumen y la naturaleza de los datos procesados, el tipo de actividades que se desempeñan y también tener en cuenta las posibles implicaciones para los derechos y libertades fundamentales de los trabajadores (Principio 4).

Por lo que se refiere a la recopilación y almacenamiento de datos, el empresario deberá recopilar los datos personales directamente del interesado y en el caso de que el dato se obtenga de un tercero, como por ejemplo sucede con las cartas de recomendación, el trabajador deberá ser debidamente informado con antelación (Principio 5.1). A su vez, la recopilación de datos ha de ser proporcionada con el fin perseguido (tipo de trabajo y necesidades de información del empresario (Principio 5.2). Como principio general se establece que no se pueda solicitar en los procesos de selección o entrevistas información que se pueda compartir en abierto, especialmente en las redes sociales (Principio 5.3) y los datos de salud únicamente podrán ser recogidos para los fines establecidos en el punto 9 (Principio 5.4). En último lugar, el almacenamiento de datos solo será admisible si cumplen con los requisitos establecidos en los principios 4, 9 y 14 a 20 y solo por el tiempo necesario, debiendo de ser datos pertinentes, adecuados y no excesivos. En el caso de que se trate de datos relacionados con las capacidades profesionales del trabajador dichos datos solo podrán utilizarse para evaluar competencias profesionales (Principio 5.5).

En cuanto al uso de los datos personales recopilados para fines laborales solo podrán ser utilizados para dichos fines por el empresario (Principio 6.1), debiendo adoptar medidas específicas de la protección de los datos a nivel interno de la empresa (Principio 6.2). En el caso de que con carácter excepcional el dato sea utilizado para un fin diverso del inicialmente previsto, el empresario deberá tomar las medidas necesarias para evitar un uso incorrecto del mismo, informando al trabajador de ello (Principio 6.3), mere-ciendo especial protección el tratamiento de los datos en el caso de que se produzca una transmisión o cambio de empresario, debiendo comunicarse a los interesados (Principio 6.4).

El principio 7 se refiere a la comunicación de datos y el uso de las TIC por los representantes de los trabajadores. Así, dicha comunicación deberá hacerse de conformidad con las disposiciones legales o convencionales, pero solo si los datos son necesarios para el ejercicio de las funciones representativas o de las obligaciones fijadas en los convenios colectivos (7.1), debiendo ser objeto de acuerdos específicos que deberán fijar los criterios de transparencia y confidencialidad para proceder al tratamiento del dato (7.2). Por lo que se refiere a la comunicación de los datos fuera de la empresa solo podrá hacerse a los organismos públicos para el cumplimiento de las obligaciones empresariales marcadas por la ley conforme a las disposiciones legales de cada país miembro (Principio 8.1).

Fuera del cumplimiento de estas obligaciones, la comunicación de los datos personales solo podrá realizarse cuando sea necesario para fines de empleo, siempre que no exista una incompatibilidad con la finalidad inicial para la cual fue recabado el dato y siempre que el trabajador o sus representantes sean informado de ello por adelantado (Principio 8.2.a); si existe consentimiento expreso, libre e informado del trabajador (Principio 8.2.b) o si así está previsto en la normativa nacional y, en particular, cuando sea necesario para el cumplimiento de obligaciones legales o convencionales (Principio 8.2.c). En el caso de que los datos sean comunicados deberá garantizarse de manera apropiada los derechos a la intimidad y a la protección de datos de los trabajadores (Principio 8.3), debiendo adoptarse las medidas adecuadas para que solo los datos relevantes y exactos sean de acceso público (Principio 8.4).

Respecto al principio de transparencia del tratamiento es necesario que el empresario ponga a disposición de los trabajadores toda la información relativa a sus datos personales a través de los medios apropiados (Principio 10.1), en concreto toda la información relativa a las categorías de datos personales que se procesen y una descripción de los fines del tratamiento; los destinatarios o categorías de destinatarios de los datos personales; los medios que tienen de ejercer los derechos establecidos en el principio 11 de la presente recomendación, sin perjuicio que la legislación nacional mejore dichas previsiones y cualquier otra información necesaria para garantizar un tratamiento leal y lícito (Principio 10.2). En lo referente a las categorías de datos personales que pueden ser recogidos mediante TIC, incluyendo videovigilancia y su posible uso, debe proporcionarse una descripción clara y completa de dicho uso (Principio 10.3). La información debe facilitarse en un formato accesible y debe mantenerse actualizada y deberá proporcionarse con la antelación suficiente (Principio 10.4).

Para el correcto ejercicio de los derechos de acceso, rectificación y oposición, los trabajadores deberán poder obtener previa solicitud y dentro de un tiempo razonable la confirmación del tratamiento de sus datos personales, que deberá realizarse de manera inteligible, incluir toda la información sobre el origen de los datos, así como cualquier otra información que sea necesaria para garantizar la transparencia del tratamiento (Principio 11.1). A su vez, los trabajadores tienen el derecho a que sus datos personales sean rectificados, bloqueados o borrados si son inexactos y/o si los datos se han elaborado contraviniendo la ley o los principios enunciados en la presente recomendación, incluido el derecho de oposición en cualquier momento al tratamiento de sus datos personales, a menos que sea necesario el tratamiento por motivos laborales o exista otra imposición legal (Principio 11.2). El derecho de acceso también debe garantizarse en relación con los datos de evaluación de la actividad del trabajador, incluido su rendimiento o capacidad laboral que podrán ser impugnadas conforme a la legalidad vigente (Principio 11.3), sin que un trabajador pueda verse afectado por una decisión empresarial fundamentada únicamente en un tratamiento automatizado de datos si su opinión no ha sido tenida en consideración (Principio 11.4). Igualmente, un trabajador podrá obtener la información que subyace en el tratamiento de datos y cuyos resultados se le aplican (Principio 11.5). Las excepciones a estos principios deberán ser aprobadas legalmente alegando las justificaciones señaladas en el principio 11.6. Finalmente, el trabajador tiene que tener derecho a elegir y designar a una persona para que lo asista en el ejercicio de su derecho de acceso, rectificación y de oposición, pudiendo delegar el ejercicio de estos derechos en la persona que designe (Principio 11.8).

En el principio 12 se garantiza la seguridad de los datos y las revisiones periódicas de evaluación de riesgos de la organización, especialmente contra la modificación accidental o no autorizado, pérdida o destrucción de los datos personales, así como contra el acceso no autorizado, difusión o divulgación de estos datos (12.1), especialmente en el uso de las TIC (12.2), debiendo informar a todas las personas involucradas en el tratamiento de los datos de dichas medidas y de la necesidad de mantener la confidencialidad (12.3).

Finalmente, el principio 13 regula aspectos concernientes a la conservación de datos, que no podrán ser conservados más que el tiempo justificado para el tratamiento de los datos conforme al principio 2 o existan intereses empresariales específicos (13.1). Los datos proporcionados para una oferta de empleo deberán eliminarse una vez que la misma finalice y en el caso de que sea necesario almacenarlos el interesado deberá ser informado, pudiendo solicitar su eliminación (13.2), salvo que sea necesaria su conservación para el ejercicio de acciones judiciales o cualquier otro propósito legítimo. pero solo durante el tiempo necesario para el cumplimiento de dichos fines (13.3). En el caso de los datos personales tratados por el empresario para investigaciones internas sin que exista sanción deben suprimirse transcurrido un plazo razonable, sin perjuicio del derecho de acceso del empleado hasta que ocurra la eliminación (13.4).

De todo lo expuesto se deduce que las reglas generales para el tratamiento de los datos personales de los trabajadores en el ámbito laboral son la licitud, lealtad y transparencia; que los datos recogidos sean para fines determinados, explícitos y legítimos; adecuados, pertinente y limitados a lo necesario en relación con los fines con los que son tratados; exactos, mantenidos durante el tiempo estrictamente necesario para los fines del tratamiento y se ha de garantizar la seguridad de los mismos, con la finalidad de que para el trabajador le quede bien claro para qué y por qué se están recogiendo, utilizando, consultando y tratando sus datos personales, así como la medida en que dichos datos son tratados15.