En plena era de la información, los datos de casi cualquier persona están a un golpe de ratón de distancia. Estas referencias personales son prácticamente públicas pero eso no significa que se les pueda dar todo tipo de uso. Esta digitalización que se ha producido en las últimas décadas ha provocado que los Gobiernos hayan tenido que crear una legislación en torno a ella, y la realidad es que muchos ciudadanos y pequeños negocios la desconocen.
Por este motivo, la Agencia Española de Protección de Datos (AEPD) recuerda constantemente los derechos y deberes que tienen las personas respecto a la información. En esta ocasión, la Agencia ha publicado la guía 'Protección de datos y relaciones laborales' con el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación.
Selección de personal y redes sociales
La AEPD es clara respecto a este tema, las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato.
En este sentido, aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta con una base jurídica válida. Para ello, el contratante necesita informar a la persona trabajadora de que va a llevar a cabo este análisis y, además, demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo.
Por otro lado, la empresa no está legitimada para solicitar 'amistad' a los candidatos para que proporcionen acceso a los contenidos de sus perfiles. En caso de llevar a cabo esta acción estaría incurriendo en una infracción contra el Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD).
Sistemas internos de denuncias
En este sentido, la Ley admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado.
Por su parte, la empresa sólo podrá acceder a los datos del denunciante en caso de procedimientos disciplinarios en los que haya que notificar a la autoridad competente. Además, este proceso solo lo podrá llevar a cabo el personal con funciones de gestión y control de recursos humanos.
Registro de jornada obligatorio
La gran mayoría de empresas conviven desde hace dos años con este trámite, aunque algunas todavía sigan evadiendo esta obligación. Respecto a este registro, la Agencia recomienda que se adopte el sistema menos invasivo posible y que no sea de acceso público, ni estar situado en un lugar visible.
Los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Por ejemplo, cuando este procedimiento se realiza por geolocalización.
"La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica", explica la AEPD.
Protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género
Los datos personales, y en particular la identidad, de estas personas tienen la consideración de categorías especiales de datos personales y, por ende, son datos sensibles que exigen una protección reforzada.
Deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas.
Cabe destacar que el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora.
Sanciones por infringir la protección de datos
En el caso de incumplir estas obligaciones, existen tres tipos de infracciones, en función de la gravedad con la que se haya vulnerado la ley, que conllevan una serie de sanciones económicas:
- Infracciones leves: este tipo de infracciones serán sancionadas con cantidades que oscilarán entre 600 euros y 60.100 euros.
- Infracciones graves: multas de entre 60.101 euros y 300.506 euros.
- Infracciones muy graves: En caso de que la infracción sea considerada como muy grave, las sanciones podrían oscilar entre 300.507 euros y 600.000 euros.
