Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Protección datos todos, Diapositivas de Derecho de la Unión Europea

Tiene varios apartados donde explicit la protección de datos

Tipo: Diapositivas

2024/2025

A la venta desde 02/12/2025

yadira-belen
yadira-belen 🇪🇸

4.5

(2)

12 documentos

1 / 80

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
La protección de datos
en las relaciones laborales
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37
pf38
pf39
pf3a
pf3b
pf3c
pf3d
pf3e
pf3f
pf40
pf41
pf42
pf43
pf44
pf45
pf46
pf47
pf48
pf49
pf4a
pf4b
pf4c
pf4d
pf4e
pf4f
pf50

Vista previa parcial del texto

¡Descarga Protección datos todos y más Diapositivas en PDF de Derecho de la Unión Europea solo en Docsity!

La protección de datos

en las relaciones laborales

Guía publicada en

mayo 2021

  1. DESARROLLO DE LA RELACIÓN LABORAL 26
    1. LA PROTECCIÓN DE DATOS PERSONALES COMO DERECHO DINÁMICO 26
    2. DECISIONES AUTOMATIZADAS RELATIVAS AL RENDIMIENTO LABORAL 27
    3. IDENTIFICACIÓN DE LAS PERSONAS EMPLEADAS ANTE CLIENTES 27
    4. PUBLICACIÓN DE DATOS DE PRODUCTIVIDAD 28
    5. NÓMINAS 28
    6. CATEGORÍAS ESPECIALES DE DATOS PERSONALES 29
    7. SISTEMAS INTERNOS DE DENUNCIAS O “WHISTLEBLOWING” 32
    8. REGISTRO DE JORNADA 35
    9. REGISTRO DE SALARIOS 37
    10. CONCESIÓN DE AYUDAS DE ACCIÓN SOCIAL 38
    11. DERECHOS DE CONCILIACIÓN Y CORRESPONSABILIDAD 39
    12. CONTRATACIÓN DE SEGUROS DE VIDA Y PENSIONES 40
    13. CESIÓN DE DATOS A OTRAS EMPRESAS (GRUPOS DE EMPRESAS, CONTRATAS Y TRANSMISIÓN DE EMPRESAS)

41

  1. ACCESO DE DATOS DE OTRAS PERSONAS CANDIDATAS A UN PUESTO DE TRABAJO (ACCESO AL EMPLEO O PROMOCIÓN PROFESIONAL)

44

  1. PROTECCIÓN DE LA PRIVACIDAD DE LAS VÍCTIMAS DE ACOSO EN EL TRABAJO Y DE VIOLENCIA DE GÉNERO 45
  2. EXTINCIÓN DE LA RELACIÓN LABORAL 48
  3. CESIÓN DE DATOS DE PERSONAS EXEMPLEADAS A EMPRESAS DE RECOLOCACIÓN 49

Índice

7. PERÍODOS DE CONSULTAS (TRASLADOS, MODIFICACIONES SUSTANCIALES DE CONDICIONES DE TRABAJO,

SUSPENSIONES Y DESPIDOS COLECTIVOS)

    1. PRESENTACIÓN DE LA GUÍA
    1. ASPECTOS GENERALES
        1. CONCEPTO DE TRATAMIENTO DE DATOS PERSONALES
        1. BASES JUDÍRICAS PARA EL TRATAMIENTO DE DATOS PERSONALES
        1. LA INFORMACIÓN SOBRE EL TRATAMIENTO DE DATOS PERSONALES
        1. DERECHOS DE PROTECCIÓN DE DATOS EN EL ÁMBITO LABORAL
        1. EL PRINCIPIO DE MINIMIZACIÓN Y SU IMPACTO EN LA RELACIÓN LABORAL
        1. DEBERES Y OBLIGACIONES EN EL ACCESO A DATOS PERSONALES: SECRETO Y SEGURIDAD
        1. TRANSFERENCIAS INTERNACIONALES DE DATOS
    1. SELECCIÓN Y CONTRATACIÓN
      1. LÍMITES AL TRATAMIENTO DE DATOS PERSONALES
      1. SELECCIÓN DE PERSONAL Y REDES SOCIALES
      1. ENTREVISTAS DE TRABAJO
      1. COLABORACIÓN ENTRE EMPRESAS
      1. DECISIONES AUTOMATIZADAS
      1. CATEGORÍAS ESPECIALES DE DATOS PERSONALES
      1. CONSERVACIÓN DE DATOS EN CASO DE NO CONTRATACIÓN
    1. CONTROL DE LA ACTIVIDAD LABORAL
      1. CONTROL EMPRESARIAL Y PROTECCIÓN DE DATOS
      1. CONTROL DE ACCESO A LAS INSTALACIONES
      1. VIDEOVIGILANCIA
      1. GEOLOCALIZACIÓN
      1. CONTROL DE FALTA DE ASISTENCIA POR ENFERMEDAD O ACCIDENTE
      1. DETECTIVES PRIVADOS
    1. REPRESENTACIÓN UNITARIA Y SINDICAL DE LAS PERSONAS TRABAJADORAS
      1. TRATAMIENTO DE DATOS POR PARTE DE LOS REPRESENTANTES DE LAS PERSONAS TRABAJADORAS
      1. PUBLICACIÓN DE DATOS PERSONALES EN TABLONES DE ANUNCIOS
      1. ACCESO A DATOS POR LOS REPRESENTANTES DE LAS PERSONAS TRABAJADORAS
      1. DESCUENTO DE LA CUOTA SINDICAL
      1. COMUNICACIONES POR CORREO ELECTRÓNICO
      1. VIOLENCIA DE GÉNERO Y ACOSO EN EL TRABAJO
    1. VIGILANCIA DE LA SALUD
      1. BASES JUDÍRICAS PARA EL TRATAMIENTO DE DATOS
      1. EL ACCESO A LOS DATOS POR LA EMPRESA Y LOS DELEGADOS DE PREVENCIÓN
      1. TECNOLOGÍA WEARABLE (DISPOSITIVOS PONIBLES)
      1. RELACIÓN EMPRESA - SERVICIO DE PREVENCIÓN
      1. CAMBIO EN EL SERVICIO DE PREVENCIÓN
      1. HISTORIA CLÍNICA DE LAS PERSONAS TRABAJADORAS
  1. CONCEPTO DE TRATAMIENTO

DE DATOS PERSONALES

El art. 4.1 del RGPD considera dato personal «toda información relativa a una persona física identificada o identificable».

A modo de ejemplo:

◤ Información que puede ser asociada a una persona física concreta: nacimiento, matri- monio, domicilio , etc.

◤ Información^ numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo.

◤ Información sobre la^ infancia , sobre la^ vida académica, profesional o laboral , sobre los hábitos de vida y consumo , sobre las rela- ciones personales o sobre las creencias religiosas e ideologías.

◤ Nombre y apellidos, números de^ identifica- ción , datos de localización , un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psí- quica, económica, cultural o social.

◤ También se consideran datos personales las evaluaciones y apreciaciones que hagan referencia a personas concretas.

Aspectos generales

El art. 9.1 del RGPD considera categorías especiales de datos personales aquellas que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosófi- cas, o la afiliación sindical, los datos genéticos, los datos biométricos dirigidos a identificar de manera unívoca a una persona física y los datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

Con carácter general, el tratamiento de catego- rías especiales de datos personales está prohi- bido. Sin embargo, el art. 9.2 del RGPD admite su tratamiento cuando, entre otros supuestos, es necesario para el cumplimiento de obliga- ciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que esta- blezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.

Ejemplo.

Tratamiento del dato de discapacidad de la persona trabajadora a efectos de reducciones o bonificaciones de cuotas a la Seguridad Social.

ASPECTOS

2. GENERALES

El derecho a la protección de datos ampara a los afectados frente al «tratamiento» de los mismos , que se define en el art. 4.2 del RGPD como cualquier operación sobre datos perso- nales , ya sea por procedimientos automatiza- dos o no, como la recogida, registro, organiza- ción, estructuración, conservación, adaptación o modificación, extracción, consulta, utiliza- ción, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

La legislación de protección de datos es de apli- cación al tratamiento de datos efectuado por un empleador respecto de las personas traba- jadoras , sin perjuicio de que el art. 88 del RGPD permita que, mediante disposiciones legales o convenios colectivos, se establezcan «normas más específicas» con la finalidad de ofrecer una mejor y más adaptada protección del derecho a la protección de datos en el campo de las rela- ciones laborales.

No se considera tratamiento de datos sometido al RGPD y a la LOPDGDD el realizado en el ejer- cicio de actividades exclusivamente persona- les o domésticas (art. 2.2.c) del RGPD).

  1. BASES JURÍDICAS PARA

EL TRATAMIENTO DE DATOS

PERSONALES

El tratamiento de datos personales no puede realizarse por una razón de oportunidad, por la fácil obtención de estos o por si acaso en el futuro pudieran ser de utilidad, sino que exige que el responsable del tratamiento cuente con una « base jurídica » que le legitime para ello.

En el ámbito de las relaciones laborales, la base jurídica principal es la ejecución del contrato de trabajo , porque el consentimiento del afectado no es válido cuando se proporciona en un contexto de « desequilibro claro entre el interesado y el responsable del tratamiento », La posición de desequilibrio entre la empresa y la persona trabajadora exige extremar las cautelas y, en particular, el respeto a los princi- pios de proporcionalidad y de limitación de la finalidad.

«Es muy poco probable que el consenti- miento constituya una base jurídica para el tratamiento de datos en el trabajo, a no ser que los trabajadores puedan negarse sin consecuencias adversas […] Salvo en situaciones excepcionales, los empresarios tendrán que basarse en otro fundamento jurídico distinto del consentimiento, como la necesidad de tratar los datos para su interés legítimo. Sin embargo, un interés legítimo en sí mismo no es suficiente para primar sobre los derechos y libertades de los trabajadores» (Dictamen 2/2017 sobre el tratamiento de datos en el trabajo del Grupo de Trabajo del Artículo 29^1 ).

Ejemplo:En efecto, de conformidad con la doctrina de este Tribunal, la constitu- cionalidad de cualquier medida restric- tiva de derechos fundamentales viene determinada por la estricta observan- cia del principio de proporcionalidad. A los efectos que aquí importan, basta con recordar que para comprobar si una medida restrictiva de un derecho funda- mental supera el juicio de proporcionali- dad, es necesario constatar si cumple los

1 Grupo de trabajo sobre protección de datos del artículo 29 (GT29), Dictamen 02/2017 sobre el tratamiento de datos en el trabajo, WP 249, adoptado el 8 de junio de 2017. El Grupo de Trabajo se creó de conformidad con el artículo 29 de la Directiva 95/46/ CE. Se trata de un órgano consultivo independiente de la UE en materia de protección de datos y privacidad. Sus funciones se describen en el artículo 30 de dicha Directiva y en el artículo 15 de la Directiva 2002/58/CE. El Comité Europeo de Protección de Datos (CEPD), organismo independiente responsable de asegurar la consistente aplicación del RGPD, ha sucedido al GT29.

Aspectos generales

Se presume que es necesario «para la satisfac- ción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero» el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desem- peñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos (art. 6.1.f) del RGPD y art. 19.1 de la LOPDGDD):

a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profe- sional, como el nombre y apellidos, las funcio- nes o puestos desempeñados, así como la direc- ción postal o electrónica, teléfono y número de fax profesionales. No obstante, no se permite el tratamiento de datos que no sean estricta- mente necesarios para cumplir esas finalida- des, como sucedería, con el número de DNI.

Esta base jurídica no se refiere a la relación entre el empleador y las personas trabajadoras, sino que, al tratamiento de datos de contacto, de carácter profesional, de una persona física por parte de un tercero, con el propósito de ponerla en contacto con una persona jurídica, lo que puede requerir la intermediación de esa persona física que actúa a modo de representante o de enlace.

b) Que la finalidad del tratamiento sea única- mente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios (relaciones «business to business», B2B).

“El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente sólo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales” (considerando 50 del RGPD).

La finalidad del tratamiento debe tener una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el fin del tratamiento debe ser diri- girse a la persona jurídica, siendo el dato de contacto de la persona física únicamente el medio para lograr esa finalidad.

Ejemplo: El responsable del tratamiento no está legitimado para utilizar los datos de contacto con el fin de enviar información comercial o publicitaria al “contacto” como persona física, a título individual, sino que el destinatario último ha de ser la persona jurídica.

Cuando, excepcionalmente, la base jurídica del tratamiento sea el consentimiento , éste debe ser inequívoco, de modo que requiere una manifestación del afectado o una clara acción afirmativa, pues el RGPD, a diferencia de la normativa anterior, dispone que el silencio, las casillas ya marcadas o la inacción, no deben constituir consentimiento.

“La configuración por defecto de los dispositivos y/o la instalación de progra- mas informáticos que facilitan el trata- miento electrónico de datos personales no puede calificarse como consentimien- to dado por los trabajadores, ya que el consentimiento requiere una manifesta- ción activa de voluntad. La ausencia de acción (es decir, no cambiar la configu- ración por defecto) no se puede consi- derar, en general, como un consenti- miento específico para permitir dicho tratamiento” (Dictamen 2/2017 sobre el tratamiento de datos en el trabajo del Grupo de Trabajo del Artículo 29).

Aspectos generales

El consentimiento de las personas trabajadoras, además, debe ser libre y específico , no siendo lícita la sustitución del consentimiento indivi- dual por un consentimiento indirecto y plural mediante la negociación colectiva (STJUE (Gran Sala), de 5 de octubre de 2014, C-397/01 a C-403/01 ).

El art. 6 del RGPD menciona otras bases jurídi- cas que podrían excepcionalmente ser invoca- das en el marco de la relación laboral, como la protección de intereses vitales del afectado o de otra persona física.

  1. LA INFORMACIÓN SOBRE

EL TRATAMIENTO DE DATOS

PERSONALES

El responsable del tratamiento, normalmente el empleador, debe informar a las personas traba- jadoras, de forma concisa, transparente, inte- ligible y de fácil acceso, con un lenguaje claro y sencillo , sobre el tratamiento de datos que está llevando a cabo (arts. 13 y 14 del RGPD^2 ).

“La información facilitada a un intere- sado no debe contener lenguaje o termi- nología de naturaleza excesivamente legal, técnica o especializada, y deben evitarse expresiones indefinidas como «podría», «algunos», «frecuentemente» y «posible»” ( Directrices sobre la trans- parencia en virtud del Reglamento 2016/679 del Grupo de Trabajo del Artículo 29^3 ).

El deber de información forma parte del conte- nido esencial del derecho a la protección de datos y constituye una garantía para el afectado, ya que le permite conocer qué datos están siendo tratados sobre su persona, con quién los comparte el empleador y, además, los derechos de los afectados y cómo ejercerlos.

Es recomendable adoptar un modelo de infor- mación por capas , mediante una primera capa con información básica, facilitada en el mismo momento en el que se recojan los datos, y una segunda capa más detallada.

En cuanto a los plazos:

1. Cuando los datos se obtengan del afectado

(por ejemplo, a través del currículum vitae) la información debe proporcionarse en el mismo momento en que el empleador recabe los datos.

2. Cuando los datos no se obtengan del

afectado la información debe proporcionarse dentro de un plazo razonable , y a más tardar en el plazo de un mes , con las siguientes preci- siones:

a) Si los datos personales han de utilizarse

para una comunicación con el afectado, debe informarse a más tardar en el momento de la primera comunicación a dicho afectado.

b) Si está previsto comunicarlos a otro desti-

natario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

En principio, la inclusión de cláusulas informa- tivas de protección de datos en el contrato de trabajo, o en un anexo al mismo, es un medio adecuado para cumplir con el derecho de información de las personas trabajadoras.

(^1) Véanse en el RGPD (^2) Ratificadas por el Comité Europeo de Protección de Datos

Aspectos generales

◤ Cuando los datos personales ya^ no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.

◤ Cuando la base jurídica para el tratamiento de datos sea el consentimiento y la persona trabajadora lo haya retirado.

◤ Cuando el tratamiento de datos sea^ ilícito.

◤ En el caso de que la persona trabajadora se oponga al tratamiento de datos que no sean necesarios para el cumplimiento y eje- cución del contrato de trabajo.

◤ Cuando los datos personales debieran ser suprimidos en cumplimiento de una obliga- ción legal.

Por exigencia legal, cuando se proceda a la rectificación o supresión de los datos perso- nales, éstos deben bloquearse. En concreto, el bloqueo de los datos consiste en la «identi- ficación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsa- bilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas» (art. 32 de la LOPDGDD). Transcurrido ese, plazo es el momento de proceder a la destrucción de los datos.

De este modo, el procedimiento de supresión debe contemplar el período de bloqueo, lo que implica:

a) Una exigencia de concreción sobre el periodo de uso de los datos y el momento en el que cesa la finalidad que legitimó su tratamiento.

Ejemplo. El final de la relación laboral conlleva la desaparición de la base jurídica que justificaba el tratamiento de datos.

b) Una previsión sobre el período de conser- vación de los datos, una vez que desaparece la base jurídica que legitimaba el tratamiento previo, si alguna obligación legal exige dicha conservación. En virtud del art. 17.3.b) del RGPD, en estos supuestos no procederá atender el derecho de supresión.

Ejemplo. El art. 21 del Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social, tipifica como infracción leve “no conservar, durante cuatro años, la documentación o los regis- tros o soportes informáticos en que se hayan transmitido los correspondientes datos que acrediten el cumplimiento de las obligaciones en materia de afilia- ción, altas, bajas o variaciones que, en su caso, se produjeran en relación con dichas materias, así como los docu- mentos de cotización y los recibos justi- ficativos del pago de salarios y del pago delegado de prestaciones”. Durante ese plazo no procede la supresión de los datos.

c) El período de bloqueo , cuya duración está en directa relación con la prescripción de las acciones para la exigencia de responsabilida- des derivadas del tratamiento.

Aspectos generales

Ejemplo. Las obligaciones tributarias prescri- ben a los 4 años. Por tanto, los datos relativos a las retenciones practicadas a las personas trabajadoras deberían bloquearse por un periodo de 4 años a partir de la fecha límite para presen- tar la declaración de cada ejercicio. Cuando este plazo no exista, o cuando sea inferior a un año, se tendrán en cuenta los plazos de prescripción de las infracciones a la LOPDGDD, que en el caso de las muy graves es de tres años (art. 78 LOPDGDD), sin perjuicio de que pudieran derivarse otras obligaciones o responsabilidades, por ejemplo, en el marco de procedimientos administrati- vos o judiciales.

d) Los datos no pueden manipularse ni alte- rarse durante el período de bloqueo. En ese período no se admite el tratamiento de datos, sino únicamente su puesta a disposición de las autoridades competentes, cuando proceda.

Derecho a la limitación

del tratamiento

(art. 18 RGPD)

La limitación del tratamiento consiste en “ el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro ” (art. 4.3 del RGPD) Es un derecho de las personas trabajadoras que se puede ejercer frente al empleador, en las situaciones siguientes:

Inexactitud^ de los datos personales puesta de manifiesto por la persona trabajadora, produciéndose la limitación del tratamiento durante un plazo que permita al responsable la pertinente verificación.

Ilicitud^ del^ tratamiento^ por^ parte^ del empleador con petición de la persona tra- bajadora de limitación de uso y no de supre- sión de los datos.

Cuando los datos personales ya no son necesarios para los fines del tratamiento , pero existe interés de la persona trabajadora en su conservación para la formulación, el ejercicio o la defensa de reclamaciones.

Oposición^ al tratamiento de datos por parte de la persona trabajadora mientras se veri- fica si los motivos legítimos del responsable prevalecen sobre los del afectado.

Las personas trabajadoras tienen derecho a ser informadas acerca de cualquier rectificación o supresión de datos personales o limitación del tratamiento, así como del levantamiento de la limitación.

Derecho a la portabilidad de los datos (art. 20 RGPD)

Cuando la base jurídica del tratamiento sea el consentimiento o la ejecución de un contrato, la persona trabajadora tiene derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamien- to, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilita- do, siempre que el tratamiento se efectúe por medios automatizados.

Este derecho no exige necesariamente que el responsable comunique los datos a las personas trabajadoras en ese formato, sino que se reconoce al afectado el derecho a que los datos se transmitan directamente de respon- sable a responsable cuando sea técnicamente posible.

Derecho de oposición (art. 21 RGPD)

Cuando la base jurídica del tratamiento de las personas trabajadoras sea la satisfacción de

Aspectos generales

Sin embargo, otros datos personales no resultan imprescindibles para la ejecución del contrato de trabajo, como, por ejemplo, el nombre de usuario en las redes sociales o en servicios de mensajería o portales de internet. El tratamiento de estos datos por parte del empleador exige la concurrencia de una base jurídica diferente a la ejecución del contrato, como puede ser el interés legítimo, que habrá de demostrarse debidamente atendiendo a los principios de ponderación y proporcionalidad. No obstante, habrá que analizar las caracterís- ticas de cada relación laboral para determinar qué datos son necesarios para el cumplimiento de ese contrato y cuáles no.

Ejemplo. El Banco de España puede establecer determinadas cautelas e imponer deter- minadas obligaciones para comprobar que las personas que trabajan en él respetan las reglas de compatibilidad y sobre acceso y uso de información privilegiada. Sin embargo, esas cautelas y obligaciones han de resultar idóneas, necesarias y proporcionales, requisitos que no cumpliría una exigencia a las personas trabajadoras que implique facilitar datos fiscales o la declara- ción de IRPF, sin mayores filtros, pues aunque el fin resulte aparentemente legítimo podría dar como resultado que la empresa conozca datos sensibles sin mediar el consentimiento de la persona trabajadora (por ejemplo, aspectos ideológicos o de creencias, como la aportación a la Iglesia Católica o la afiliación sindical). ( SAN 4494/2018, de 7 de diciembre, Sala de lo Social ).

Son datos personales los que permiten a la empresa localizar a las personas trabajado- ras y contactar con ellas , como el domicilio, la dirección de correo electrónico, el número de teléfono (fijo y/o móvil) o la cuenta bancaria. En general, parece necesario para la ejecución del contrato que el empleador disponga de alguna vía de comunicación con las personas traba- jadoras, y es imprescindible que la persona

trabajadora proporcione a la empresa alguna forma de contacto. Sin embargo, el contrato de trabajo no legitima a la empresa para solicitar a la persona trabajadora todos esos datos, como ha puesto de manifiesto el Tribunal Supremo en relación con la dirección de correo elec- trónico o el número de teléfono personal ( STS 4086/2015, de 21 de septiembre, Sala de lo Social ). Es decir, la necesidad del tratamiento habrá de ponderarse caso a caso.

Para ello, será necesario analizar en cada caso la base jurídica alegada –que podría ser el contrato de trabajo, el consentimiento o el interés legítimo del empleador-, la finalidad pretendida y los datos tratados.

La creación de una base interna de datos de contacto de los empleados de una empresa que contenga el nombre, la dirección laboral, el número de teléfono y la dirección de correo electrónico de todos los empleados, para permitir que los empleados puedan ponerse en contacto con sus compañeros de trabajo, puede en determinadas situaciones considerarse como necesario para la ejecución de un contrato en virtud del artículo 7, letra b), pero también podría ser lícito en virtud del artículo 7, letra f),si se demuestra que prevalece el interés del responsable del tratamiento y se toman todas las medidas adecua- das, incluida, por ejemplo, la consulta a los representantes de los empleados ” ( Dictamen 6/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE del Grupo de Trabajo del Artículo 29 ).

Aspectos generales

Por otro lado, el tratamiento de datos de familiares o allegados de la persona trabajadora a modo de persona de contacto “para emergencias” (por ejemplo, accidentes) no es estricta- mente necesario para la ejecución del contrato, por lo que se requiere el consentimiento de las personas traba- jadoras (no el del tercero). Los princi- pios de proporcionalidad y limitación de la finalidad suponen que el trabaja- dor podrá elegir libremente la persona de referencia, sin que deba precisar ante la empresa qué relación le une a ella, y podrá asimismo concretar el modo de contacto (email, teléfono fijo, teléfono móvil), debiendo proporcionar únicamente los datos imprescindibles (por ejemplo, la empresa no necesita conocer el domicilio de esa persona de contacto).

En determinados casos, el empleador puede acreditar un interés legítimo que justifique la necesidad de recoger la dirección de correo electrónico y el número de teléfono particulares de la persona trabajadora, sin que puedan utilizarse posteriormente para fines distintos de aquéllos que motivaron dicha recogida.

En relación con el número de cuenta bancaria , se ha venido admitiendo el tratamiento de ese dato personal ( Dictamen 6/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE del Grupo de Trabajo del Artículo 29 ). Sin embargo, los principios de minimización y limitación de la finalidad implican que la empresa únicamente puede proceder a su tratamiento si el salario se abona mediante transferencia, porque debe disponer de los medios a través de los que hacer efectivas las obligaciones correspondientes. En cambio, no podría exigir esa información a las personas trabajadoras cuando el pago se realiza por otra vía que no implique a la entidad bancaria.

Tampoco es lícita la cesión genérica por contrato de los derechos de imagen , salvo que esa cesión sea necesaria para la ejecución del contrato.

Ejemplo. Prestación laboral de carácter comer- cial que exija videollamadas, habién- dose establecido expresamente en el contrato de trabajo que es con el fin de desarrollar una actividad propia de telemarketing ( STS 1436/2019, de 10 de abril, Sala de lo Social ).

  1. DEBERES Y OBLIGACIONES

EN EL ACCESO A DATOS

PERSONALES: SECRETO Y

SEGURIDAD

El RGPD y la LOPDGDD incluyen el deber de seguridad junto con el deber de secreto dentro de los principios de la protección de datos.

«Los datos personales serán tratados de tal manera que se garantice una seguri- dad adecuada de los datos personales, incluida la protección contra el trata- miento no autorizado o ilícito y contra su pérdida, destrucción o daño acciden- tal, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)» (art. 5.1.f) del RGPD).

En particular, el art. 32.1 del RGPD establece que las medidas técnicas y organizativas estableci- das han de gestionar el riesgo para los derechos y libertades de las personas físicas, más allá de otras consideraciones de seguridad, como la seguridad para propia organización, el Estado u otros posibles intereses.

Aspectos generales

  1. TRANSFERENCIAS

INTERNACIONALES DE DATOS

Por la incidencia que a lo largo del transcur- so de la relación laboral puedan tener, es preciso realizar una mención al régimen de las transferencias internacionales de datos. Tienen tal consideración, las transmisiones de datos personales fuera del Espacio Económico Europeo (EEE), ya constituyan una comunica- ción de datos a otros responsables del trata- miento, en cuyo caso exportador e importador son responsables del tratamiento, ya tengan por objeto la prestación de servicios por un encar- gado del tratamiento establecido fuera del EEE. En este último caso el exportador puede ser un responsable o un encargado del tratamien- to y el importador de los datos un encargado o subencargado del tratamiento.

El RGPD ha venido a simplificar el régimen de transferencias internacionales, lo que ha supuesto un cambio sustancial en el modelo de control que se llevaba a cabo bajo la normati- va anterior. Con el RGPD, se suprime la obliga- ción de notificar a la AEPD las transferencias de datos a países que disponen de una Decisión de adecuación, o si se realizan en aplicación de alguna de las excepciones previstas en el art. 49 del RGPD, salvo cuando, dada su singularidad, las transferencias son realizadas por un respon- sable del tratamiento por motivos legítimos e imperiosos y siempre que, además, se cumplan el resto de los requisitos que se exigen en el art. 49.1. párrafo segundo del RGPD.

Se suprime también, con carácter general, la obligación de obtener la autorización previa de la AEPD cuando las transferencias se basen en la aportación de garantías adecuadas, que sólo será necesaria cuando las garantías aportadas para la transferencia se recojan en un contrato que no se ajuste al clausulado tipo aprobado por la Comisión Europea, o adoptado por una autoridad de control y aprobado también por la Comisión Europea, o cuando las garantías se incluyan en acuerdos administrativos para transferencias entre autoridades u organismos públicos.

Por tanto, las transferencias internacionales de datos se podrán realizar sin necesidad de auto- rización de la Autoridad de Control:

◤ Cuando tengan por destinatario una entidad establecida en alguno de los países o territo- rios declarados de nivel adecuado de protec- ción por la Comisión Europea.

◤ Cuando^ se^ aporten^ garantías^ adecuadas por las que los afectados cuenten con dere- chos exigibles y acciones legales efectivas mediante:

  • Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
  • Normas corporativas vinculantes para el caso de compañías multinacionales
  • Cláusulas contractuales tipo adoptadas por la Comisión Europea, o por una autoridad de control y aprobadas por la Comisión Europea
  • Un código de conducta, o un mecanismo de certificación.

◤ Cuando se diera alguna de las circunstan- cias excepcionales previstas en el art. 49 del RGPD, como el consentimiento explícito del afectado, o cuando la transferencia sea nece- saria para la ejecución de un contrato entre el afectado y el responsable del tratamiento.

◤ Requerirán la autorización previa de la AEPD cuando las garantías adecuadas se aporten mediante:

  • Cláusulas contractuales específicas
  • Acuerdos administrativos entre las autoridades u organismos públicos

De las transferencias internacionales de datos se ha de informar a los afectados e incluirlas en el registro de actividades de tratamiento (arts. 13 y 30 RGPD).

Aspectos generales

  1. LÍMITES AL TRATAMIENTO

DE DATOS

El primer tratamiento de datos personales se producirá normalmente durante la fase previa a la contratación, esto es, en el proceso de selec- ción para un puesto de trabajo.

Para ello deben tenerse en cuenta algunas cautelas:

◤ El tratamiento de datos personales durante el proceso de selección no exige el consen- timiento de la persona candidata. La base jurídica es la del art. 6.1.b) del RGPD.

El tratamiento de datos es lícito cuando resulta necesario para la aplicación a petición de la persona trabajadora de medidas precontractuales o la inten- ción de concluir un contrato (art. 6.1.b RGPD).

El tratamiento «debe ser lícito cuando sea necesario en el contexto de un contrato o de la intención de concluir un contrato» (considerando 44 RGPD).

◤ Es conveniente, cuando los recursos lo per- mitan, disponer de impresos tipo para la formalización del currículo y de un procedi- miento para su entrega por las personas can- didatas, ya que ello permite no sólo informar adecuadamente, sino también definir con precisión el tipo de datos a tratar, establecer las medidas de seguridad, etc.

SELECCIÓN Y

3. CONTRATACIÓN

◤ Si para la selección de personal se realiza algún tipo de anuncio o convocatoria pública , debería incluirse en ella la informa- ción del art. 13 del RGPD.

◤ Si^ el^ currículo^ se^ presenta^ directamente por la persona candidata sin habérsele solicitado, deben fijarse procedimientos de información que supongan algún acuse o confirmación de que se han conocido las condiciones en las que se desarrollará el tratamiento.

Ejemplo. Si el currículum se remitió por correo postal o electrónico y se cuenta con una dirección electrónica facilitada por el propio afectado, puede remitírsele información por ese medio, solicitando confirmación de la recepción y condi- cionando el tratamiento de los datos al acuse de recibo. Si se presentó en un mostrador u oficina de atención, debería ser informado allí por cualquier medio que acredite el cumplimiento de este deber, como por ejemplo carteles o documentos de acuse de recibo.

El deber de información deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado (véase 2.3 ).

La empresa es responsable de la custodia de la documentación entregada por la persona candidata (por ejemplo, el currículum vitae). En caso de pérdida de esa documentación, que contiene datos personales, la empresa incurrirá en infracción del RGPD (principio de integri- dad y confidencialidad).

Selección y contratación