El pasado 25 de mayo la AEPD publicó su nueva Guía relativa al cumplimiento de protección de datos en el ámbito de las relaciones laborales. A continuación, destacamos algunos puntos a tener en cuenta por parte de los responsables de recursos humanos de las organizaciones:
Uso de redes sociales de empleados
La Agencia detalla que los trabajadores y candidatos no están obligados a permitir que el empleador indague en sus perfiles de redes sociales, ni durante los procesos de selección ni durante la ejecución del contrato; de modo que si las empresas desean realizar dichos tratamientos de datos han de informar previamente de todos los elementos informativos requeridos de acuerdo con el art. 13. RGPD.
Las empresas no tienen legitimación para solicitar “amistad” a los candidatos durante los procesos de selección para acceder a sus contenidos en RRSS, tampoco tienen legitimación para indicar a los candidatos ni a los trabajadores que compartan ningún tipo de contenido en sus perfiles de redes sociales.
Las empresas no pueden requerir que sus trabajadores utilicen un perfil en redes sociales facilitado por el empresario, ni siquiera cuando se pretenda justificar por el contenido de su actividad.
Queda claro que las redes sociales de los candidatos y empleados pertenecen a su esfera personal, independientemente de si sus perfiles son privados o públicos, y, por tanto, los empleadores no están legitimados para inmiscuirse en dicha actividad personal que excede la de la relación laboral.
Minimización del tratamiento de datos de empleados
Las empresas solicitarán los mínimos datos personales a los empleados para llevar a cabo la relación laboral; aquellos datos que no sean estrictamente necesarios para el cumplimiento de obligaciones legales o ejecución del contrato (altas en la seguridad social, pago de nóminas etc.), han de interpretarse restrictivamente, analizándose caso por caso. Los datos de contacto personal como número de teléfono o mail personal de los empleados se tratarán restrictivamente, siempre que no exista otra forma posible de comunicación (ej. teléfono corporativo o mail de empresa). Sin embargo, el contrato de trabajo no legitima a la empresa a solicitar a la persona trabajadora todos esos datos, como ya puso de manifiesto el Tribunal Supremo en relación con la dirección de correo electrónico o el número de teléfono personal (STS 4086/2015, de 21 de septiembre, Sala de lo Social). Es decir, la necesidad del tratamiento habrá de ponderarse caso a caso.
Solicitud de vida laboral a candidatos
En cuanto a la solicitud de informe de vida laboral a los candidatos, este se solicitará directamente al candidato afectado, pues no hay legitimación para dicha solicitud a la Seguridad Social. El Informe entregado no tiene que ser completo, informando solo respecto a los puestos de trabajos relacionados con la convocatoria a la que se opta y además no estaría justificada dicha solicitud si existen otras alternativas de valoración menos intrusivas para verificar la experiencia del candidato.
Tratamiento de datos a través del canal de denuncias
Las empresas informarán a sus empleados sobre los tratamientos de datos personales de estos sistemas internos de denuncia, así como si están externalizados o gestionados por alguna otra empresa del grupo empresarial.
Se han de recoger exclusivamente los datos imprescindibles para formular la denuncia, informando sobre qué acciones son susceptibles de denuncia. No cabe utilizar esta información con fines distintos que motivaron la denuncia ni para usos ulteriores. En caso de que la denuncia no sea anónima, no se debe facilitar la identificación del denunciante al denunciado, extremándose las medidas de confidencialidad del denunciante y deber de secreto. El personal de recursos humanos solo podrá acceder a esta información cuando se produzca un procedimiento disciplinario contra un trabajador a causa de una denuncia interna.
Tratamiento de datos en el Registro de jornada laboral
La empresa ha de informar de los tratamientos de datos que lleve a cabo como consecuencia de la herramienta de control de jornada implantada, optándose por la menos invasiva para la privacidad; en función del número de afectados y datos tratados, será necesario realizar una evaluación de impacto en privacidad. Las herramientas de control de jornada no pueden ser de acceso público ni estar situadas en un lugar visible; asimismo, estos datos no podrán ser usados para otras finalidades ulteriores como por ejemplo controlar la ubicación (geolocalización).
Algoritmos y sistemas de I.A
En relación con el uso de algoritmos y sistemas de inteligencia artificial por parte de las empresas que afecten a decisiones en las condiciones de trabajo, acceso y mantenimiento del empleo y elaboración de perfiles de trabajadores, se reconoce el derecho del Comité de empresa a ser informado por la empresa sobre estos parámetros de uso, siguiendo la línea de lo que no es otra cosa que el control empresarial de empleados (RD-ley 9/2021, que modifica el Estatuto de los Trabajadores o “Ley Rider”).
- Puede acceder a la Guía completa de la AEPD, aquí.
Tania Muñoz
Abogada Senior del Área de Nuevas Tecnologías y Protección de Datos
Si desea ampliar la presente información, no dude en ponerse en contacto con nuestro despacho enviando un email a contacto@selierabogados.com o bien llamando al 91.205.44
