Algunas empresas pueden tener dudas sobre si es necesario que tengan una política de privacidad para sus empleados, sobre todo cuando se trata de pequeñas o medianas empresas. Pues bien, es importante saber que todas las empresas que tienen a su disposición datos de carácter personal, incluidos los relacionados con el ámbito laboral, están obligadas a cumplir con la normativa en materia de protección de datos. Por tanto, respetar los datos personales de sus empleados es una de las principales obligaciones de todas las empresas.
En la presente guía, explicaré, en primer lugar, en qué consiste una política de privacidad, y la diferencia entre la política de privacidad para empleados y la política de privacidad para páginas web. En segundo lugar, me centraré en las obligaciones que deben cumplir las empresas para respetar el Reglamento Europeo de Protección de Datos (RGPD), como por ejemplo, cómo debe realizarse el tratamiento de datos de empleados, si es posible instalar cámaras de videovigilancia o un sistema de geolocalización de los trabajadores, los derechos ARCO, y el derecho de desconexión digital, entre otros. En último lugar, se mencionará brevemente el régimen sancionador previsto en el RGPD.
Una política de privacidad para empleados es un documento donde se garantiza la protección de los datos personales de los trabajadores en el ámbito laboral, así como el deber de secreto y confidencialidad que deben cumplir los empleados. Tiene que tratarse de un documento que esté adaptado al Reglamento Europeo de Protección de Datos (RGPD) y a la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Las políticas de privacidad de los trabajadores generalmente son unilaterales, ya que no hay negociación y la empresa simplemente informa al trabajador sobre la recopilación, el uso, el almacenamiento y la retención de datos personales.
¿Qué son los datos personales de un empleado?
Los datos personales son cualquier información que pueda identificar personalmente al trabajador y que la empresa puede recopilar en el curso de la relación laboral, como por ejemplo, el nombre de la persona, su documento de identificación, su domicilio, su teléfono, su correo electrónico, etc.
En una política de privacidad para página web se debe explicar qué datos se van a recoger de los usuarios, cuáles se guardarán y qué uso se les va a dar. Asimismo, se les deberá informar a los usuarios de la posibilidad de acceder, modificar o cancelar dichos datos, y el procedimiento para hacerlo.
Se debe recibir un consentimiento explícito de los usuarios antes de recoger sus datos, por lo que debe aparecer en la página web una casilla que los usuarios deben marcar indicando que están conformes (en ningún caso puede estar marcado por defecto). Esta casilla se puede poner encima o debajo de la primera capa de información que hemos visto en el anterior punto, y debe ir acompañada del típico texto "He leído y acepto la política de privacidad".
Además de lo anterior, se tendrá que cumplir con la Política de cookies, ya que ésta es siempre obligatoria cuando la página web haga uso de cookies. La información deberá aparecer instantáneamente al momento de abrir la página web, debiendo ser visible, y deberá detallar la información que se almacenará en el navegador tras el uso del usuario en la página web.
Si se desea obtener más información sobre la política de privacidad para páginas web, la siguiente guía puede ser de utilidad: Páginas webs: requisitos legales que se deben cumplir.
El RGPD establece ciertas obligaciones en materia de protección de datos personales de los empleados, que a continuación se detallarán:
La primera obligación de la empresa es informar a los empleados acerca de lo siguiente:
Asimismo, será obligado comunicar a los empleados cualquier cambio o modificación que afecte al tratamiento de sus datos personales, así como la aparición de nuevas finalidades o de nuevos tratamientos.
Por último, en caso de que se trate de una empresa cuyos trabajadores hagan uso de internet y dispositivos electrónicos, es fundamental que los empleados reciban una circular informativa con las instrucciones respecto al uso por los empleados de Internet, dispositivos móviles, correo electrónico, uso de contraseñas y la destrucción de documentos.
¿La empresa puede acceder a los correos electrónicos de los empleados?
El Tribunal Europeo de Derechos Humanos de Estrasburgo publicó una sentencia en la que considera legal que una empresa revise los correos electrónicos de su plantilla siempre que sea el correo electrónico corporativo y se hayan realizado en horario laboral. La sentencia también considera legal revisar los correos electrónicos que se hayan realizado a través de cuentas privadas pero realizadas desde el ordenador del trabajo.
En todo caso, según la legislación española, la empresa podrá acceder siempre que quiera, sin necesidad de autorización del empleado, al correo corporativo, ya que la empresa es la dueña de todo lo que se hace desde ella.
El RGPD y la LOPDGDD establecen que para tratar los datos de los trabajadores de una empresa será necesario obtener recabar el consentimiento expreso del empleado, salvo que haya una obligación legal para recopilar los datos personales (ej. la información que se debe dar del trabajador a la Seguridad Social), o por motivos relacionados con el interés legítimo de la empresa (ej. la instalación de cámaras de videovigilancia para controlar el cumplimiento de las obligaciones laborales).
Por tanto, para todo aquello que no esté amparado en una obligación legal o en un motivo relacionado con el interés legítimo de la empresa, siempre será necesario recabar el consentimiento expreso de los empleados. Este consentimiento se suele incluir como anexo junto al contrato de trabajo que se firma entre el empleado y la empresa.
Una de las obligaciones más importantes de una empresa es regular e informar adecuadamente a los trabajadores sobre la instalación de cámaras de videovigilancia en el trabajo.
El Estatuto de los Trabajadores posibilidad a la empresa para adoptar las medidas que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales. Entre esas medidas, las cámaras de videovigilancia son una opción válida para el ejercicio de las funciones de control por parte del empresario, siempre que exista proporcionalidad entre la finalidad perseguida y el modo en que se traten las imágenes, y siempre que no exista otra medida más idónea para conseguir la misma finalidad.
Además, es imprescindible informar a los empleados de forma expresa de la instalación de cámaras de videovigilancia en el trabajo, pero no es necesario que éste otorgue su consentimiento.
Respecto a los límites de dónde se pueden instalar, la ley de Protección de Datos introduce la prohibición de instalar cámaras en zonas de ocio y descanso de los trabajadores (ej. en comedores, salas de descanso, vestuarios y aseos).
¿Qué requisitos se deben cumplir entonces?
- La empresa debe respetar el principio de proporcionalidad (es decir, instalar cámaras debe ser proporcional al fin perseguido);
- Se debe informar a los empleados de la instalación de cámaras de seguridad;
- No se puede grabar en áreas de descanso, aseos o vestuarios;
- Se ha de respetar la intimidad de los empleados;
- La instalación de cámaras de videovigilancia con grabación de audio no está permitida.
Todos los empleados deben tener total control sobre sus datos personales por lo que deben poder dirigirse al responsable de los datos para ejercer los derechos que les reconoce la legislación vigente. A los anteriores derechos llamados ARCO (Acceso, Rectificación, Cancelación y Oposición), se han añadido tres más: el derecho a la limitación del tratamiento, el derecho a la portabilidad, y el derecho al olvido.
En otras palabras, una de las obligaciones básicas que debe cumplir una empresa es facilitar un sistema directo y seguro, como puede ser habilitar una dirección de correo electrónico específica para ello, donde los empleados puedan ejercer sus derechos de acceso, rectificación, cancelación y oposición, y la empresa tiene la obligación de atender las solicitudes de ejercicio dichos derechos.
¿Qué derechos ARCO existen?
- Acceso: se trata del derecho de una persona a solicitar información al responsable sobre si sus datos personales están siendo tratados.
- Rectificación: es el derecho que tiene toda persona a solicitar la modificación de datos que sean inexactos o incompletos.
- Cancelación: es el derecho de solicitar la supresión (la cancelación) de los datos que resulten inadecuados o excesivos, sin perjuicio del deber de bloqueo. Se debe indicar el dato a cancelar y el motivo, aportando documentación justificativa de la cancelación solicitada.
- Oposición: el empleado podrá oponerse al tratamiento de sus datos personales en determinados supuestos.
- Limitación del tratamiento: es el derecho de obtener la limitación del tratamiento de los datos siempre que se den una serie de circunstancias (ej. cuando se impugne la exactitud de datos personales, durante un plazo que permita al responsable su verificación).
- Portabilidad: cuando el tratamiento de datos personales se efectúe por medios automatizados, el empleado puede solicitar que el responsable del tratamiento facilite los datos personales en un formato estructurado a otro responsable.
- Olvido: es el de derecho que tiene cualquier persona a que se suprima todo enlace que contenga información personal en internet, o las copias o réplicas de tales datos, siempre que se cumplan ciertos requisitos.
En cumplimiento con el RGPD, los empleados están obligados a cumplir con el deber de confidencialidad respecto a todos los datos de carácter personal de los que tengan conocimiento. Es decir, los empleados también están afectados por las obligaciones impuestas tanto por el RGPD como por la LOPD.
Por tanto, los empleados deben comprometerse a utilizar los datos personales a los que haya tenido acceso como consecuencia de sus funciones con sigilo y confidencialidad y a no utilizarla para finalidades diferentes a las laborales ni a cederla a un tercero sin autorización.
Además, los trabajadores no podrán extraer documentación de la empresa sin la explícita autorización del Responsable del Tratamiento, así como cualquier tipo de operación que consista copia, transmisión de datos o difusión de estas.
En muchas ocasiones, las empresas trabajan con terceras empresas y que, para prestarles el servicio contratados, deben tener acceso a los datos de un trabajador en una empresa.
Ejemplo:
Una gestoría que elabora las nóminas de los empleados. En este caso, la gestoría tiene que acceder a los datos personales del trabajador (nombre, domicilio, identificación, salario, categoría, etc) para poder elaborar la nómina.
Para poder realizar esta cesión de datos personales conforme a ley, la empresa debe informar al trabajador (y este debe consentirlo), y debe firmar un contrato de acceso a datos personales por cuenta de terceros.
Este contrato sirve para regular el acceso a datos personales entre el responsable del tratamiento y el encargado del tratamiento durante la prestación de servicios que este último presta al primero. En otras palabras, mediante este contrato se establecen las condiciones según las cuales el encargado del tratamiento, durante la prestación de los servicios contratados (ej. una gestoría que se encarga de las nóminas de los empleados), realizará el tratamiento de los datos personales propiedad del responsable del tratamiento.
Los sistemas de geolocalización (GPS) son herramientas que permiten conocer la ubicación de un dispositivo en tiempo real y en un punto geográfico determinado. El uso del GPS como instrumento de control empresarial encuentra su fundamento en el artículo 20.3 del Estatuto de los Trabajadores y faculta a la empresa a realizar un seguimiento más o menos exhaustivo de los desplazamientos de un trabajador. Suele ser común utilizarlo en los vehículo de empresa para conocer la ubicación de sus trabajadores durante la jornada laboral.
Se trata de una cláusula controvertida que debe utilizarse de forma limitada por la empresa ya que se trata de un medio de control muy invasivo pues si no se realiza correctamente podría vulnerar los derechos de los trabajadores. Por ello, es obligación de la empresa informar previamente y de forma expresa, clara e inequívoca a los trabajadores sobre la instalación del GPS, su finalidad y la posibilidad de ejercer sus derechos ARCO. En todo caso, se deben cumplir los siguientes requisitos:
Desde el año 2019, es obligatorio que la empresa adopte un plan para cumplir con el registro de jornada de los empleados, donde se indique el inicio y fin de la jornada de cada trabajador. La finalidad de ese registro es garantizar el cumplimiento de la jornada laboral y facilitar un control por parte de la Inspección de trabajo.
La Ley no impone una forma específica de realizar este registro de horas, sino que será decisión de cada empresa. Algunas empresas hacen el registro mediante firma en papel donde cada trabajador deberá registrar cada día su jornada en el modelo de registro diario, mientras que otras empresas han implantado una herramienta informatizada (ej. fichaje, táctil, ordenador, teléfono móvil, etc). Independientemente de qué tipo de sistema se utiliza, deberá contener la siguiente información: nombre de la empresa; nombre del trabajador; jornada laboral explícita (duración y horas exactas de entrada y salida); distinción entre horas ordinarias y complementarias; firma del Trabajador.
La empresa debe guardar esos registro durante un periodo de cuatro años, y deberá facilitárselo a la Seguridad Social, Inspección de trabajo o a los trabajadores que lo soliciten.
Por último, pero no menos importante, la LOPDGDD recoge el derecho de todos los trabajadores a la desconexión digital en el ámbito laboral como elemento fundamental para respetar la vida personal y familiar del trabajador. La desconexión digital significa que los empleados tienen derecho a desconectarse de cualquier dispositivo digital en sus periodos de descanso del trabajo o de vacaciones, y la empresa deberá procurar no enviar comunicaciones ni realizar llamadas fuera de la jornada laboral.
La empresa tiene la obligación de elaborar, junto con los representantes de los trabajadores, una política interna de desconexión digital donde especificará las medidas que llevará a cabo para garantizar ese derecho. También debe incluir actividades formativas dirigidas a los trabajadores sobre una utilización responsable de los dispositivos digitales.
En caso de incumplimiento de alguno de las anteriores obligaciones, el Reglamento General de Protección de Datos prevé el régimen sancionador que puede llegar a los 20 millones de euros o el 4% de la facturación global anual para los incumplimientos más graves. El objetivo del Reglamento es proteger efectivamente los datos personales de las personas, reforzando los derechos de los interesados.
Las sanciones a empresas por no cumplir la ley de protección de datos de empleados varía en función de la gravedad de la infracción: