- 26 maig, 2021
- Category: Economia, Empreses, Laboral, Protecció de Dades
L’informem que l’Agència Espanyola de Protecció de Dades (AEPD) ha publicat una guia amb recomanacions per a l’aplicació de la Llei orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD) i del Reglament General de Protecció de Dades (RGPD) en la selecció i contractació, diferents aspectes de la relació laboral, vigilància de la salut, registre de jornada o canal whistleblowing entre altres.
Mitjançant la seva guia no vinculant l’AEPD pretén donar una sèrie d’orientacions als responsables del tractament de dades personals i a les persones o entitats que se n’encarreguen. En aquesta ocasió l’Agència aborda, entre altres, aspectes com la selecció de personal (inclosa l’aplicació d’algoritmes), registre de jornada i salari, els sistemes interns de denúncies, dret a desconnexió digital, la vigilància de la salut, o el tractament de dades per part dels representants dels treballadors.
Malgrat ser recomanacions la importància del document és notòria donada l’actualitat dels temes que aborda:
Selecció de personal
Utilitzant com a base jurídica l’art. 6.1.b) del RGPD, l’Agència ens indica una sèrie de cauteles en el tractament de dades personals durant la fase prèvia a la contractació, és a dir, en el procés de selecció:
- Principis de minimització i limitació de la finalitat.
- Model tipus per al currículum.
- Anunci o convocatòria pública del lloc ofert.
- El deure d’informació i conservació mentre persisteixi el tractament de les dades de l’afectat. Una vegada conclòs el procés de selecció, si el candidat no és contractat, desapareix la base jurídica per al tractament de dades, per la qual cosa seria necessari el seu consentiment per a un futur tractament.
- L’empresa és responsable de la custòdia de la documentació lliurada pel candidat.
Encara que el perfil a les xarxes socials d’un candidat a una ocupació sigui d’accés públic, es recalca per part de l’organisme que els candidats i els treballadors no estan obligats a permetre la indagació de l’ocupador en els seus perfils de xarxes socials, ni durant el procés de selecció ni durant l’execució del contracte.
Igualment trobem referència a les dades obtingudes mitjançant les respostes d’una entrevista i el seu tractament.
En aquells casos en què les agències de col·locació i empreses de selecció contactin amb els candidats abans de disposar d’ofertes d’ocupació concretes, i per tant sense un contracte com a encarregades del tractament prèviament celebrat amb una altra empresa, seran considerades responsables del tractament de les dades del candidat.
L’AEPD recorda que el RGPD prohibeix la presa de decisions basades «únicament en el tractament automatitzat, inclosa l’elaboració de perfils» quan produeixi «efectes jurídics en l’interessat o l’afecti significativament de manera similar». És a dir, quan les decisions per a la celebració o execució d’un contracte es duguin a terme per aquesta via ha de ser tractada com una excepció a la regla general i ha de ser interpretada restrictivament.
Finalment, respecte a reconeixements mèdics i les respostes a test psicotècnics o psicològics, els primers no requereix el consentiment (art. 9.2. h) RGPD), les dades obtingudes en el cas dels tests exigeixen el consentiment de l’afectat.
Registre de jornada i salari
Des de la perspectiva del dret a la protecció de dades els registres de jornada impliquen complir 13 punts segons l’AEPD, que van des del dret del treballador a ser informat i, si escau, a exercitar els drets d’accés, rectificació, oposició i supressió, amb independència que el registre sigui més o menys sofisticat, al fet que el registre de jornada ha d’estar inclòs en el Registre de les Activitats del Tractament (art. 30 RGPD).
En atenció al nombre de treballadors i al concret format emprat (per exemple, dades biomètriques) podria ser necessari realitzar una avaluació d’impacte (art. 35.3 RGPD).
Igualment respecte al registre de salaris, des de la perspectiva del dret a la protecció de dades s’ha de tenir en compte:
El registre de salaris no justifica el tractament de dades personals i la norma que el regula no és una base jurídica per a això, perquè en aquest registre no ha de constar el salari de cada treballador, sinó els «valors mitjans» dels salaris, els complements salarials i les percepcions extrasalarials de la plantilla «desagregats per sexe i distribuïts per grups professionals, categories professionals o llocs de treball iguals o d’igual valor». És a dir, no es contempla un dret a la informació, ni l’exercici de drets d’accés, rectificació, oposició i supressió, perquè no es produeix un tractament de dades personals.
En relació amb la implantació de mesures de control empresarial sobre el desenvolupament de l’activitat laboral, s’exigeix realitzar un test de proporcionalitat en el qual s’ha de valorar si la mesura de control:
a) És susceptible d’assolir l’objectiu proposat (judici d’idoneïtat).
b) És necessària, en el sentit que no existeixi una altra mesura més moderada per a la consecució d’aquest propòsit amb igual eficàcia (judici de necessitat).
c) És ponderada o equilibrada, per derivar-se d’ella més beneficis o avantatges per a l’interès general que perjudicis sobre altres béns o valors en conflicte (judici de proporcionalitat en sentit estricte).
QÜESTIÓ
Què succeeix quan a l’empresa existeixen categories o grups professionals amb un reduït nombre de treballadors?
Com a exemple l’AEPD aborda una possible incidència, quan només existeixin una o fins i tot dos treballadors de diferent sexe, la qual cosa suposaria que fossin perfectament identificables per mera deducció per a tot el que pogués accedir al registre. Quan això succeís:
El registre hauria de comptar amb les mesures de seguretat basades en l’anàlisi de riscos conforme al RGPD.
L’ocupador hauria d’informar els treballadors del tractament de dades personals i de la seva finalitat.
Els representants dels treballadors estarien obligats a respectar la confidencialitat sobre aquesta informació.
Concessió de suspensió i excedències, permisos i modificacions de jornada
El tractament de dades personals del treballador per part de l’empresa és necessari per a la concessió i gestió de sol·licituds relatives a la suspensió del contracte (suspensió i excedències, arts. 45-47 ET), permisos (art. 37 ET) i modificacions de jornada (art. 34.8 ET), que tenen com a finalitat l’articulació de drets de conciliació de la vida laboral, personal i familiar.
El tractament d’aquestes dades es considera imprescindible per al compliment de les obligacions de l’empresa quant a la concessió i gestió de l’exercici d’aquests drets de conciliació i corresponsabilitat dels treballadors.
Aquesta informació pot implicar el tractament de categories especials de dades:
La base jurídica d’aquests tractaments vindrà legitimada per resultar un tractament necessari per a l’execució d’un contracte en el qual el treballador és part en relació amb el compliment d’una obligació legal aplicable al responsable del tractament (arts. 6.1.b) i c) del RGPD).
Quant al tractament de categories especials de dades, la circumstància que exceptua la prohibició general del seu tractament és la prevista en l’article 9.2.b) del RGPD. Els convenis col·lectius podran establir garanties específiques per al respecte dels drets fonamentals i dels interessos dels afectats.
Sistemes interns de denúncies
Aquests sistemes se solen configurar mitjançant la creació de bústies internes a través de les quals els treballadors de la companyia, generalment mitjançant un procediment en línia, posen de manifest la comissió, en el seu si o en l’actuació de tercers que hi contractin, d’actes o conductes contraris a la llei o al conveni col·lectiu (art. 24, LOPDGDD).
Per a l’Agència aquests sistemes estan permesos sempre que es respectin els principis bàsics de la protecció de dades. La base jurídica per al tractament de dades és l’interès públic (art. 6.1.e) del RGPD). Es recalca:
- La possibilitat de sistemes de denúncies anònimes.
- S’ha de facilitar al denunciat aquesta informació després d’un temps prudencial en què es dugui a terme la recerca preliminar dels fets.
Les dades personals relatives a les víctimes d’assetjament a la feina i a les dones supervivents a la violència de gènere, i en particular la seva identitat, tenen, amb caràcter general, la consideració de categories especials de dades personals i, en tot cas, són dades sensibles que exigeixen una protecció reforçada.
QÜESTIÓ
Qui pot tenir accés a les dades de les denúncies internes?
L’accés a les dades s’ha de limitar exclusivament als qui desenvolupin les funcions de control intern i de compliment, o a l’encarregat del tractament, que eventualment es designin a aquest efecte.
S’haurà de garantir els drets d’accés, rectificació, supressió i oposició del denunciat, sense que això impliqui revelar la identitat del denunciant. En tot cas, el denunciat hauria de poder conèixer en el menor temps possible el fet que se li imputa a fi de poder defensar degudament els seus interessos.
Nòmines
En les nòmines no ha de figurar informació supèrflua o addicional, diferent de la relació d’ingressos i deduccions derivades del contracte de treball. En particular, no s’hauria d’incloure l’esment a l’afiliació sindical en el rebut de salaris, sent recomanable que l’eventual descompte de la quota sindical s’identifiqués de manera que no permetés a tercers conèixer aquesta informació, puix que la nòmina és exigida habitualment per entitats públiques i privades per a realitzar determinats tràmits.
Vigilància de la salut
L’Agència repassa les bases jurídiques del tractament de dades, l’accés a les dades per empresa i delegats de prevenció, o la relació entre empresa-servei de prevenció entre altres aspectes.
Tractament de dades per part dels representants dels treballadors
El compliment de les obligacions i l’exercici dels drets dels representants dels treballadors permeten el tractament de dades personals dels treballadors sense el seu consentiment. S’aborden els límits:
Només podran ser objecte de tractament les dades necessàries per a l’exercici d’aquestes funcions de representació.
L’ocupador no ha de cedir als representants més dades de les imprescindibles per realitzar les seves funcions
Les dades no podran ser utilitzades amb finalitats diferents de les de l’exercici de les tasques representatives.
Sempre que els representants dels treballadors facin ús dels mitjans proporcionats per l’empresa per a l’exercici de les seves funcions, se’ls consideraran aplicables les polítiques de seguretat de l’entitat, tant per al treball en els locals de l’entitat, com en situació de mobilitat o teletreball.
El tractament de dades requereix complir l’obligació d’informar els treballadors.
Els representants han de respectar la confidencialitat d’aquestes dades.
Font: AEPD
Es poden posar en contacte amb aquest despatx professional per qualsevol dubte o aclariment que puguin tenir sobre aquest tema.
JDA/SFAI