4. El deber de información y consentimiento en la relación laboral

4.1 Deber de información

Con motivo de la formalización de la relación laboral, y de forma similar a como se ha realizado con los potenciales trabajadores o candidatos, es necesario con carácter previo al tratamiento de los datos de los trabajadores informar de las circunstancias del mismo, en el propio contrato laboral o en un formulario establecido al efecto de conformidad con lo establecido en el artículo 5 de la LOPD. De esta manera se deberá informar en el contrato o anexo al contrato:

  • De la existencia de un fichero o tratamiento de datos de carácter personal.
  • De la finalidad de la recogida.
  • De los destinatarios de la información.
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

 

4.1.1 Acreditación del cumplimiento del deber de información

Desaparición de la Exigencia de formalidades para acreditar el cumplimiento del principio de información.

El artículo 18 del RLOPD establecía que el deber de información debería llevarse a cabo a través de un medio que permitiera acreditar su cumplimiento y que debería conservarse mientras persistiera el tratamiento de los datos del afectado. (En plasmación de lo expuesto en SAN 24-1-2003 y SAN 20-1-2006).

El Responsable del tratamiento debía conservar el soporte en que constase el cumplimiento del deber de información (ficha/factura/contrato/…) pudiendo utilizar medios informáticos o telemáticos (posibilidad de escanear soportes en papel siempre que se garantice que en su automatización no ha mediado alteración).

Una Sentencia del Tribunal Supremo suprime totalmente el artículo 18 al estimar que establece una obligación adicional al margen de la Ley de Protección de Datos, de este modo, aunque la carga de la prueba siga estando del lado del responsable del tratamiento de los datos, ésta deja de estar sometida a exigencias formales.

4.1.2 Información al inicio de la relación laboral

4.1.2.1 Comunicación al trabajador de normativa interna en materia de LOPD

Además de la información señalada, existen otros aspectos relativos a la seguridad de los datos de los que debe informarse a los trabajadores. Podemos decir por tanto, que para una correcta gestión en materia de protección de datos es imprescindible que los usuarios o trabajadores colaboren en la misma, por ello han de estar informados en todo momento de los protocolos y medios existentes establecidos en la empresa tendentes a garantizar la confidencialidad y seguridad del tratamiento así como la seguridad del dato personal. Por ello resulta recomendable informar de la siguiente documentación:

  • Medidas de Seguridad y Manual de Usuario.
    Reparto a los trabajadores con acceso a datos de carácter personal responsabilidad de la empresa, de la normativa interna en materia de seguridad en el tratamiento de datos personales con indicación de las medidas de seguridad aplicables al tratamiento de los que sean participes, junto con las indicaciones para su correcta ejecución. En muchas ocasiones y dependiendo del tipo de tratamiento de datos a realizar es recomendable la impartición de sesiones de sensibilización sobre la protección de datos así como formación en materia de seguridad.
  • Compromiso de confidencialidad.
    Además del traslado de la normativa interna en materia de seguridad en el tratamiento de datos, es necesario recabar el compromiso de confidencialidad del trabajador sobre los datos a los que en el desempeño de sus funciones tenga conocimiento. Por ello es recomendable al inicio de la relación laboral hacer firmar al trabajador compromisos de confidencialidad que pueden estar incluidos en el propio contrato de trabajo o a través de los correspondientes anexos.

4.1.2.1 Trabajadores externos

Si bien con los trabajadores de la empresa parece claro y evidente que los mismos deben de ser informados de los derechos que les asisten así como de la normativa de seguridad que deben de cumplir a la hora de tratar el dato personal, no ocurre lo mismo con los trabajadores subcontratados o que presten servicios en instalaciones de la empresa. En la actualidad el acceso de los trabajadores externos al tratamiento de datos responsabilidad de la empresa, no queda convenientemente regulado de forma similar a como si de un trabajador interno se tratara. En los supuestos de subcontratación de servicios o prestación de servicios que impliquen acceso a datos a través de los sistemas de información de la empresa bien físicamente en modo local o bien informáticamente en modo remoto, los trabajadores externos deberán adquirir los mismos compromisos que los trabajadores internos en la medida en que puedan acceder a datos de carácter personal en el desempeño de sus funciones. Se deberá por tanto establecer en el contrato de subcontratación o prestación de servicios con el proveedor externo cuales son las condiciones de acceso y las obligaciones del personal externo en materia de seguridad para el tratamiento de datos personales responsabilidad de la empresa contratante. Uno de los frecuentes errores que se encuentran en el cumplimiento de estas medidas es la obligación de otorgar accesos personalizados e individualizados para cada trabajador externo que acceda en modo remoto. En la actualidad es frecuente otorgar accesos genéricos a los sistemas de información por parte de las empresas receptoras de los servicios, produciéndose incumplimientos en materia de Seguridad ya que según el art. 85, relativo al acceso a datos a través de redes de comunicaciones, establece que:

“Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local”.

En este sentido el art. 93 del RLOPD es claro al establecer en su apartado segundo que:

“El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado”.

Es por tanto recomendable prestar especial atención a las medidas de seguridad que deben de ser trasladadas al personal externo que acceda los sistemas de información de la empresa debiéndose ser considerado a los efectos del cumplimiento de la normativa interna en materia de seguridad como un usuario más de los sistemas de información de la empresa. Así se ha visto reflejado en el RLOPD que traslada la obligación de identificar en el documento de seguridad todos aquellos supuestos de acceso a datos por cuenta del responsable que supongan un acceso físico en modo local o informático en modo remoto a los sistemas de información de la empresa, a los efectos de garantizar la seguridad de la información del datos personal ya no sólo respecto del acceso de los trabadores propios si no respecto del acceso de trabajadores externos.

 

4.2 Consentimiento para el tratamiento de datos de los trabajadores

Como hemos comentado anteriormente la ley exceptúa la necesidad del consentimiento para el tratamiento de datos “con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento”. (art.10.3.b, RD 1720/2007).

Por tanto no será necesario el consentimiento de los trabajadores para el tratamiento de sus datos, lo que no debe confundirse con el deber de informar, que es obligatorio siempre para todos los trabajadores de la empresa.

Por otro lado tampoco sería necesario el consentimiento cuando:

  • Se autorice por una norma con rango legal (art.10.2.a RD1720/2007).
  • Resulte necesario para la prevención o diagnósticos médicos, prestación de asistencia sanitaria o gestión de servicios sanitarios. ( art. 10.3 c) RD 1720/2007 y art. 7.6 LOPD).

Esta excepción no es una regla general para cualquier tratamiento en el ámbito de la relación laboral, si no que ésta debe interpretarse en sentido restringido, por lo que el tratamiento de los datos para una finalidad distinta de la expresamente excepcionada requerirá de la autorización del trabajador. En este sentido, debe recordarse que el tratamiento de datos por la empresa sin el consentimiento del trabajador, en los casos en que sea necesario, es considerado como una infracción grave y en caso de que además sean cedidos a terceros como una infracción muy grave.

 

4.2.1 Datos especialmente protegidos

Como hemos comentado anteriormente se consideran datos especialmente protegidos los relativos a la salud, al origen racial, a la vida sexual, ideología, creencias, religión y afiliación sindical según el art. 7 de la LOPD.

Por tanto con carácter general la recogida y tratamiento de estos datos exigirá:

  • Contar con el consentimiento expreso (y por escrito para los datos de afiliación sindical, ideología, religión o creencias) del afectado.
  • Adopción de medidas de seguridad de nivel alto.

En el ámbito laboral se producen una serie de excepciones respecto de los requisitos exigidos para el tratamiento de datos especialmente protegidos, así, no es preciso obtener el consentimiento expreso del afectado cuando:

  • Se establezca por una norma con rango de Ley. Son los casos por ejemplo de la prestación de planes de pensiones o seguros que son impuestos legalmente y que por tanto no necesitan el consentimiento del trabajador ya que en caso contrario debe requerirse el consentimiento. En este sentido es recomendable contar con el consentimiento del trabajador para el tratamiento de datos que no vengan excepcionados legalmente y que no sean necesarios para el mantenimiento de la relación laboral.

Por otro lado conviene señalar respecto al tratamiento de datos especialmente protegidos que no es preciso adoptar las medidas de seguridad de nivel alto en determinados supuesto:

  • Respecto de aquellos datos de salud referentes al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
  • Realización de transferencias a las entidades de las que los afectados sean asociados o miembros (Detracción de la Cuota Sindical).

Ambos supuestos han sido introducidos por el RLOPD y suponen un avance significativo en la gestión de protección de datos en el departamento de RRHH de la empresa. Con anterioridad a la entrada en vigor del RLOPD, el nivel de seguridad aplicable a los ficheros de personal generalmente era de nivel alto debido a la existencia de trabajadores discapacitados. Al ser un dato de salud y por tanto de especial protección, requería el cumplimiento de medidas de seguridad de nivel alto en la gestión de RRHH con los consiguientes esfuerzos económicos por llegar al cumplimiento de las medidas de seguridad de nivel alto, y en particular por el cumplimiento de la medida de seguridad de “Registro de Accesos” que suponía la obligación de establecer procedimientos técnicos e control de acceso a las aplicaciones de RRHH capaces de registrar la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Con la publicación del RLOPD dicha obligación de aplicación de medidas de seguridad de nivel alto cambia en el supuesto de cumplimiento de deberes públicos (grado de discapacidad) y en los supuestos de realización de transferencias dinerarias que revelen datos de nivel alto (detracción de la cuota sidical)

 

4.2.2. Necesidad de consentimiento para el tratamiento de datos para finalidades especiales

Como hemos comentado anteriormente será necesario recabar el consentimiento del trabajador para aquellos tratamientos de datos que no vengan excepcionados legalmente y que no sean necesarios para el mantenimiento o gestión de la relación laboral. En este sentido podemos encontrarnos con distintos supuestos que requerirán el correspondiente consentimiento del trabajador para el tratamiento de sus datos de carácter personal.

4.2.2.1 Seguros médicos

Será necesario el consentimiento del empleado para el tratamiento de sus datos con el fin de contratar un seguro médico, y para la comunicación de los mismos a las compañías de seguros, siempre que se trate de seguros médicos voluntarios y no seguros obligatorios establecidos por ley, ya que si existe obligación legal o la contratación del seguro viene regulada por convenio colectivo, estaríamos ante la excepción del art. 10,2 a) del RDLOP. No obstante lo anterior, debe de tenerse siempre en consideración que habrá que informar al trabajador tanto del tratamiento como de la cesión de los datos que se va a producir.

4.2.2.2 Uso de fotos identificativas

En el supuesto de fotos identificativas, al considerarse la imagen como un dato de carácter personal, será necesario informar del tratamiento al trabajador y si la imagen se utiliza con finalidades que no sean estrictamente el mantenimiento o cumplimiento de la relación laboral, será necesario recabar también el consentimiento. Las tarjetas o carnets con foto identificativa de control de acceso a las instalaciones o locales del responsable de fichero se considerarán necesarias para el mantenimiento de la relación laboral, no siendo por tanto necesario recabar el consentimiento para el tratamiento, pero si informar de su fianlidad y tratamiento. En estos casos, el acto de posar no puede considerarse un consentimiento genérico para tratar la imagen. El consentimiento que se deduce del acto de posar solo será válido para la finalidad que justificó ese posado, es decir la tarjeta de acceso, no se podrá utilizar con fines diferentes (memorias, página web etc.).

4.2.2.3 Revistas internas, publicaciones y actividades lúdicas

En estos casos estamos fuera del estricto marco de la relación laboral por lo que será necesario el consentimiento del trabajador para publicar cualquiera de sus datos en publicaciones internas, en las que por ejemplo se informe de cumpleaños, bodas, nacimientos, etc. o participación en actividades lúdicas o sociales de cualquier tipo.

Comments are closed.