Guía del RGPD para Recursos Humanos

A partir de este viernes 25/5/18 entra en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”).

Por este motivo, es conveniente repasar las cuestiones más comunes que se plantean en el tratamiento de datos personales realizado por los Departamentos de Recursos Humanos, entre las que se encuentran las siguientes:

• ¿Cuáles son los derechos incluidos en el RGPD que afectan a los trabajadores? Los empleados tienen los mismos derechos que cualquier otro interesado (Acceso, Rectificación, Olvido, Limitación del Tratamiento, Portabilidad de los Datos, Oposición y No Ser Objeto de Decisiones Individualizadas). Sin embargo, los mismos vienen condicionados por las características de propias de la relación laboral, como se expone a continuación.
• ¿Es necesario recabar el consentimiento de los trabajadores para tratar sus datos? Cuando se tratan datos personales cuyo uso está justificado, por ser necesarios para el mantenimiento de la relación laboral (ej. nombre y edad), no es necesario recabar el consentimiento de los trabajadores. Por el contrario, aquellos datos que pueden considerarse no necesarios para la prestación de servicios (ej. cuenta de correo electrónico personal) requerirán recabar el consentimiento de los trabajadores.
• ¿Se tiene que informar al trabajador acerca del tratamiento de datos? En todo caso, los trabajadores deberían recibir información específica sobre:

1. El tipo de datos personales que están siendo tratados por la empresa, así como la finalidad de su tratamiento y la base legal para el mismo, así como las transferencias de datos a terceros que puedan producirse dentro y fuera de la Unión Europea (ej., el envío de datos a una gestoría o a una empresa del grupo).
2. En el mismo sentido, si hubiera datos que requieran el consentimiento de los trabajadores para su tratamiento, es necesario que este sea recabado de forma clara, específica e informada.
3. Por último, se tiene que proporcionar información sobre los derechos que asisten a los trabajadores, junto con los datos de contacto de la empresa y de quienes hayan sido designados para responder las cuestiones planteadas por los trabajadores (si la empresa tuviera un Delegado de Protección de Datos, se pondrían sus datos).

• ¿Durante cuanto tiempo pueden conservarse los datos personales de los trabajadores y/ o candidatos? Es necesario evaluar caso por caso, tanto el tipo de datos personales como la finalidad del tratamiento realizado para determinar el periodo de conservación específico, puesto que en el ámbito laboral existen plazos muy diversos en función del tratamiento realizado (normalmente hablamos de plazos de 1, 3, 4 o 5 años en función de los datos y del tratamiento).
• ¿Los trabajadores pueden denunciar las infracciones en materia de protección de datos personales? La protección de datos de carácter personal constituye un derecho constitucional, por lo que los trabajadores pueden solicitar a los tribunales del orden social su protección frente a la empresa, pretendiendo tanto el cese de la conducta que atenta contra su derecho como una reparación por los daños causados. Adicionalmente, al tratarse de un derecho sometido a tutela específica, los trabajadores pueden comunicar los incumplimientos a la Agencia Española de Protección de Datos, lo cual puede suponer la imposición de sanciones de carácter administrativo.
• ¿Puede exigirse a los trabajadores que velen por el adecuado tratamiento de datos personales? Los trabajadores tienen un deber de buena fe en el cumplimiento de sus obligaciones, por ello, es posible exigirles que realicen un adecuado tratamiento de los datos personales con los que entran en contacto con motivo de su relación laboral. Sin perjuicio de ello, ante la ausencia de normativa laboral específica en la materia, es recomendable incluir las obligaciones de secreto y conservación de datos personales de forma específica, tanto en los contratos de trabajo como en las políticas de Empresa (como pueden ser, políticas de uso de medios informáticos, políticas de seguridad, códigos éticos o manuales del empleado).

Aunque en la mayor parte de los casos las medidas que deben adoptarse a partir de este 25/5/18 serán determinadas por quienes coordinen la implementación del RGPD en la empresa, las cautelas mínimas que deberían adoptarse respecto al área de Recursos Humanos son: (i) identificar los datos personales que son tratados y su finalidad, así como los plazos de conservación en cada caso, (ii) implementar medidas de comprobación activa del tratamiento de datos personales; y (iii) verificar que los trabajadores han recibido información adecuada sobre sus derechos y obligaciones en cuanto al tratamiento de datos personales (contratos de trabajo y políticas internas), y que se ha recabado su consentimiento específico cuando sea necesario para realizar el tratamiento.

En JAUSAS tanto el Departamento de TMT como el Departamento Laboral estamos colaborando con nuestros clientes para facilitar su adaptación al RGPD, ello sin olvidar que aún queda pendiente la aprobación de la nueva Ley Orgánica de Protección de Datos de Carácter Personal en la que se concretarán algunos aspectos del tratamiento de datos personales que afectan al ámbito laboral (ej. videovigilancia y canales de denuncias).