PremiumRelaciones laborales y protección de datos
Relaciones laborales y protección de datos
Introducción
La protección de datos personales es una materia que ha ido ganando protagonismo en las organizaciones, cada vez más conscientes de la importancia que tiene para su negocio un activo como la información, y más conocedoras de la normativa de protección de datos y las implicaciones que suponen las infracciones de su articulado.
Si bien, el primer pensamiento de un directivo sobre cuáles son los principales datos a proteger en su negocio siempre han sido los que hacen referencia a su cartera de clientes, no debemos perder de vista la protección de los datos de los empleados, cuyo tratamiento implica nuevos retos jurídicos que se plantean cada día en las empresas.
Y es que la Ley Orgánica 15/99 de Protección de Datos de Carácter Personal, o más conocida como LOPD, pretende regular y proteger toda información que haga referencia a una persona física y sea tratado por una organización responsable del fichero que la contenga, ya sea el dato de un cliente, proveedor, candidato, colaborador, usuario de la web, o por supuesto, de un empleado.
Pero la riqueza de las relaciones laborales que se desarrollan entre empresa y trabajador no se limita, en el entorno de la protección de datos, al respeto y protección de los datos de los empleados por la empresa, sino que también hay que considerar la importancia que tienen los actos de los empleados como usuarios de sistemas de información y manejadores de todo tipo de información de la compañía en el desarrollo de sus funciones, para lograr un debido cumplimiento de los requisitos que la LOPD establece para los responsables de ficheros.
Así pues, enfocaremos el presente artículo desde los dos puntos de vista: a) garantías de la empresa al tratar los datos de sus empleados y b) medidas que debe tomar la empresa para que sus trabajadores que accedan a información personal, desarrollen su trabajo cumpliendo con las exigencias que dispone la LOPD y su Reglamento de desarrollo (RD 1720/2007).
Tratamiento de datos de empleados
Para cualquier empleado, el dato de su nómina posiblemente sea uno de los que considera más confidenciales y que, de ningún modo, le gustaría que se distribuyese entre el resto de sus compañeros. No obstante al ser un dato puramente económico, la LOPD no lo protege con las más altas garantías y es que la normativa española, y europea, lógicamente no permite que la persona decida los niveles de protección de su información, sino que establece las categorías de datos que existen acompañando cada categoría de un nivel distinto de seguridad: nivel básico, medio y alto, entre los que se encuentran los datos de salud, afiliación sindical, creencias, vida sexual, raza, etc.
Mientras que desde el año 1992 con la LORTAD y posteriormente en 1999 con la LOPD los problemas prácticos y reales de la protección de datos de los empleados se limitaban al deber de información y obtención del consentimiento (arts. 5, 6 y 7 LOPD), actualmente han proliferado una cantidad importante de casuísticas, debido en gran medida al tremendo desarrollo de los departamentos de RRHH y gestión del talento, la consideración de la protección de datos como un derecho fundamental por el Tribunal Constitucional, así como por la aparición de nuevos problemas y tensiones entre empresa y trabajador inexistentes o ignorados previamente.
Y es que existen muchas compañías donde la base de datos de empleados es mucho mayor y contiene mucha más información que la de clientes. Pensemos en la cantidad de tratamientos que se realizan de tales datos: selección de personas, solicitud de documentación y titulación previa, fase de contratación, gestión de medios y puesto de trabajo, confección de nómina, reconocimientos médicos, gestión de altas y bajas médicas, gestión de carrera profesional, fabricación de tarjeta de entrada al edificio, entrega de tickets restaurant, formación, huella biométrica para control de acceso a determinadas salas, datos de contacto en la intranet, detracción de la cuota sindical, control de horas sindicales en su caso, publicación de su CV en propuestas ante pliegos de contratación, vigilancia de la salud y control del absentismo, videovigilancia, envío de información de empleados a casa matriz fuera de Europa, monitorización informática de eventos en la red corporativa, retenciones de nómina y pago a Hacienda y Seguridad Social, entre otros.
La casuística de las relaciones más tradicionales se multiplica cuando además se llevan a cabo acciones más innovadoras como entrega de nómina vía correo, la publicación del empleado del mes, valoraciones de empleados por sus compañeros, felicitación de cumpleaños corporativa, concursos entre empleados, ofertas ventajosas de compañías con las que se llega a un acuerdo, etc.
Todos esos procedimientos conllevan en la mayoría de ocasiones un tratamiento de datos personales. Las 2 preguntas que la compañía debe hacerse de forma previa son sencillas, pero muchas veces difíciles de resolver: ¿El tratamiento que la compañía quiere hacer de los datos se puede entender que está dentro de la relación laboral y por tanto, no es necesario el consentimiento de la persona según el art.6 LOPD? y por otro lado, ¿todos los datos que trato son realmente necesarios o realmente podría prescindir de alguno de ellos para lograr los fines definidos previamente en cumplimiento del art.4 LOPD?
Con independencia de la necesidad de consentimiento para unos tratamientos u otros, resulta una buena práctica de las empresas aplicar la transparencia en el deber de información a los empleados, debiendo describir todas esas finalidades en la vía de información que se decida, ya sea un anexo al contrato laboral, un dossier de entrega obligada a todo el personal o una pantalla LOPD de bienvenida al nuevo usuario que vaya a arrancar el sistema operativo.
Mención especial merece la problemática cada vez más común de la monitorización de usuarios de su navegación por Internet o control del correo electrónico, cuestión no suficientemente regulada, donde se encuentran intereses y derechos como el control del empresario sobre el empleado y los bienes de la empresa, y por otro lado, el derecho a la intimidad y las comunicaciones de los trabajadores. Esta situación que cada vez genera más conflictos en el día a día de la empresa ha llegado al Tribunal Supremo donde en una sentencia de 26 de septiembre de 2007 se recogen los criterios que una empresa debe contemplar para realizar este tipo de controles, y que se condensan en la idea de desarrollar y difundir de forma clara una política sobre el uso que permite hacerse de las herramientas de trabajo que se ponen a disposición de los usuarios, en este caso, ordenador, cuenta de correo corporativa y acceso a Internet. De nuevo, una solución práctica suele ser una política equilibrada donde el trabajador no abuse de los medios de la empresa para temas personales en horario laboral, con el coste en tiempo que ello conlleva, y el empresario aplique los controles con la flexibilidad que una relación laboral sana requiere.
Medidas para vincular a los trabajadores con el cumplimiento de la LOPD
En relación con las medidas que una organización debe implantar para lograr una involucración por parte de los trabajadores para que la empresa responsable del fichero cumpla con los requisitos de la LOPD y su Reglamento en el tratamiento diario de información, tenemos que ser conscientes de que estamos ante el aspecto cultural de la seguridad y uno de sus eslabones más débiles, el propio humano.
Crear una cultura corporativa que incluya la seguridad de la información entre sus prioridades ya no sólo es una cosa de hospitales y despachos de abogados, sino que cualquier empresa que trate datos de carácter personal debe fortalecer el mensaje de la importancia de la seguridad a la hora de tratar información para que sus empleados asuman ese compromiso como algo inherente al trabajo que desempeñan.
La fórmula debe basarse en acciones de formación, divulgación y sensibilización por un lado, y la implantación de controles internos que nos den indicadores de los niveles de seguimiento de esas políticas que se quieren implantar. Es importante preparar correctamente este tipo de acciones ya que en cualquier organización tendremos empleados con diverso enfoque hacia la seguridad: el buen trabajador que desconoce sus obligaciones en seguridad aunque las asumirá tras conocerlas, el buen trabajador con resistencia al cambio y a nuevas medidas y el trabajador que únicamente vea la seguridad y la protección de datos como una debilidad de la empresa y arma arrojadiza en caso de necesitarlo en un conflicto con la empresa.
Si bien desde el Reglamento de Medidas de Seguridad de 1999 (RD 994/99), las organizaciones securizaron sus sistemas corporativos donde se almacenaba gran parte de la información, con el nuevo Reglamento de desarrollo de la LOPD nos encontramos ante nuevas medidas de seguridad cuyo objetivo es la seguridad de información en soporte manual o papel. A nadie escapa la dificultad de implantar medidas en entornos tan distribuidos donde el éxito o no del cumplimiento de las medidas depende en gran parte de la voluntad o conocimiento del empleado de las medidas a aplicar sobre la información que tiene en su mano.
Conviene recordar en este punto, que la LOPD establece en su articulado una lista de derechos para las personas físicas cuya otra cara de la moneda es una serie de obligaciones, sobre todo para organizaciones públicas o privadas, para el tratamiento de datos personales, pero es de destacar que una de las pocas obligaciones que afectan como sujeto de obligado cumplimiento a una persona física es la que establece el art.10 LOPD, el deber de confidencialidad. Suele ser una buena práctica que esta obligación sea recordada por parte del empresario al empleado, incluso dentro de las cláusulas de información en cumplimiento del art. 5 LOPD o de la divulgación de políticas sobre uso de Internet y e-correo, ya que afecta a cualquier persona con acceso a información de carácter personal.
Conclusiones
La complejidad de las relaciones laborales y el enfrentamiento entre derechos de empresario y empleado implica una especial atención a diversos aspectos controvertidos de protección de datos, los cuales están generando una serie de casuísticas y retos jurídicos en relación con el tratamiento de los datos de empleados por la entidad y las responsabilidades de los empleados como sujeto tratador de datos dependiente de la entidad responsable de ficheros ante la Agencia Española de Protección de Datos.
Por Carlos Alberto Saiz Peña
Socio de Ecija
Responsable de IT Compliance
