Algunas tiendas pretenden tomar la temperatura de sus clientes en la puerta y denegar el acceso a los que superen los 37 grados. Pero…

¿pueden hacerlo? 

¿Qué pasa con la privacidad?

Sobre todo cuando los datos médicos gozan de una protección especial en nuestro ordenamiento jurídico.

En el otro lado de la balanza, la ley permite limitar ese derecho por razones de salud pública y las empresas deben tomar las medidas de protección necesarias ante una amenaza como el Covid-19.

La respuesta está en alcanzar un equilibrio.

La reciente aprobación del “Plan para la Transición hacia una Nueva Normalidad” -también denominado “plan de desescalada”- por el Consejo de Ministros, junto con la publicación de Directrices de Buenas Prácticas para prevenir el riesgo de exposición laboral al coronavirus por actividades/sectores por parte del INSS ha acelerado la implementación de medidas para asegurar una reanudación de la actividad en un contexto de máxima seguridad, evitando nuevos contagios y, en definitiva, la propagación del COVID-19.

Entre estas medidas, cabe destacar por su relevancia y afectación a la privacidad la toma de temperatura corporal de las personas para que puedan acceder a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos o equipamientos.

CRITERIOS BASICOS

En el comunicado, accesible aquí, se establecen unos criterios básicos que habrán de regir las decisiones tomadas al respecto en todo caso, partiendo de la premisa de que la temperatura es un dato de carácter personal especialmente protegido:

La toma de temperatura a empleados

Podría estar justificada por la obligación de cumplimiento de la Ley de Prevención de Riesgos Laborales.

De todas formas, esta actuación deberá estar sometida a determinados requisitos, como la necesaria participación de personal sanitario, medidas de seguridad, limitación del tratamiento, etc.

La toma de temperatura a clientes o visitantes en comercios

NO podrá estar basada, en ningún caso, en el consentimiento del interesado.

Esto podría producir situaciones de discriminación o vulneradoras de la intimidad de las personas, por lo que no es posible llevarlo a cabo.

Únicamente podría realizarse este tipo de pruebas si se publica una norma de carácter obligatorio por parte de las autoridades de salud que establezca la forma, los requisitos y las medidas de seguridad que se deberán aplicar.

En algún caso, que será necesario analizar de forma individualizada, podría justificarse la toma de temperatura a clientes o visitantes en el cumplimiento de la legislación de prevención de riesgos laborales.

Esto no ocurrirá en todos los casos, sino solo cuando el contacto entre cliente y empleados sea más estrecho y en atención a las demás circunstancias existentes.

Además, será necesario valorar si existen otras medidas menos invasivas de la intimidad.

LO QUE DICE LA AEPD

La Agencia Española de Protección de Datos (“AEPD”) hizo público un comunicado en el que establece determinadas pautas:

Es un dato sensible

La toma de temperatura es un tratamiento de datos sensibles porque afecta a datos relativos a la salud.

No sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos, la infección por coronavirus.

Determinación previa por Sanidad

La toma de temperatura requeriría la determinación previa por parte de las autoridades sanitarias, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados.

No es un dato determinante

Al respecto, se destaca que la toma de temperatura puede que no sea la medida más adecuada, en tanto que hay un porcentaje de personas contagiadas asintomáticas que no presenta fiebre y que, además, puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus.

Especialmente relevante es la afirmación de que, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID-19 debería establecerse atendiendo a la evidencia científica, y no ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas.

Principio de legalidad

La AEPD aclara que la base jurídica no podrá ser, con carácter general, el consentimiento de los interesados, pues éste no sería libre.

En el entorno laboral, la base jurídica sería la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo.

Es relevante que, para la AEPD esta base jurídica “podría ser tenida en cuenta con un alcance amplio, atendiendo a que, aunque un centro o local estén destinados a unas finalidades específicas que impliquen que en ellos se concentren un elevado número de clientes o usuarios ajenos a la empresa que los gestiona, siempre estarán presentes en ellos personas trabajadoras sobre las que el empleador mantiene sus obligaciones”. 

En todo caso, es necesario una adecuada ponderación entre el impacto sobre los derechos de los clientes o usuarios de estas medidas y el impacto en el nivel de protección de las personas empleadas.

Limitación de la finalidad y exactitud de los datos

En este contexto, cobran especial relevancia los principios:

• – de limitación de la finalidad (la temperatura solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas).
• -exactitud (los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes).

Derechos y garantías

Como ha venido recordando la AEPD en sus criterios recientes, en el marco del COVID-19 los afectados siguen manteniendo sus derechos de acuerdo con el Reglamento General de Protección de Datos (“RGPD”) y siguen siendo de aplicación las demás garantías que el RGPD establece.

CAMARAS TERMOGRAFICAS

Por último, la AEPD se refiere a las cámaras termográficas, señalando la relevancia de los principios de limitación de finalidad y minimización de datos, en la medida en que el uso de nuevas tecnologías para la toma de temperatura plantea el riesgo de utilizar los datos obtenidos para finalidades adicionales no vinculadas a la toma de temperatura.

CONCLUSIONES

Limitarse a tomar la temperatura a la entrada de un local de forma automática, sin recoger y tratar esos datos de ninguna forma, sería una práctica a priori legítima, ya que no es invasiva y responde a la necesidad de la empresa de evitar que entren personas que puedan estar contagiadas.

En todo caso, los expertos consideran que sería recomendable que se establezcan pautas o guías desde las autoridades que aclaren cómo deben ser estas medidas de control.

Los controles como el de la temperatura corporal a los clientes deberán eliminarse una vez que no exista amenaza de contagio, ya sea porque no existen casos en el país o porque se descubre y distribuye una vacuna entre la población.

La entrada ¿Te pueden tomar la temperatura? se publicó primero en Gestiona Abogados.

Se conoce como desconexión digital el derecho que los trabajadores tienen a no conectarse a ningún dispositivo digital, de carácter puramente profesional, durante sus períodos de descanso y sus vacaciones.

La  LOPDyGDD alude a ella indicando que los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del horario de trabajo legal o convencionalmente instaurado, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal o familiar.

Derecho a la intimidad

En la actualidad, las nuevas tecnologías están muy presentes en todos los ámbitos de la vida, y es por ello que el derecho a la intimidad ha de ser protegido para salvaguardar la vida laboral, personal y familiar de una persona.

Es un hecho que el uso de dispositivos digitales (móviles, tablets, portátiles…) como consecuencia de las obligaciones laborales afectan, en una medida u otra, a la necesidad de conciliar la vida laboral y familiar.

Por ejemplo, todos conocemos a alguien que lleva consigo dos móviles, uno laboral y otro personal, pero que al final los acaba usando indistintamente. Por lo que, prácticas como la desconexión digital en tiempos de descanso del trabajo podría ayudar a mitigar este problema.

La Ley considera que ha de ser el empresario el que elabore una Política Interna dirigida a todo el personal donde se defina cómo se ha de llevar a cabo el “Derecho a la Desconexión Digital”, con acciones de formación y sensibilización de los empleados con la finalidad de hacer un uso adecuado de las nuevas tecnologías evitando con ello el “riesgo de fatiga informática”.

También los empleados que realicen su trabajo de manera total o parcial a distancia, o que lo desempeñen en su domicilio, tienen el derecho de poner en práctica la desconexión digital, intentando potenciar de esta forma la conciliación de la actividad laboral y la vida personal y familiar, y evitando en la medida de lo posible, molestias fuera de los horarios de trabajo.

Es más, este derecho a la desconexión digital irá unido al derecho del trabajador a no ser “vigilado” o “geolocalizado” con los dispositivos móviles puestos a disposición de la empresa para el desempeño de sus funciones.

La ley matiza que se han de establecer garantías para preservar la intimidad del trabajador, tales como la delimitación del lapso de tiempo que los dispositivos móviles podrán ser usados para fines privados.

El acceso por el empleador al contenido de digitales,  respecto de los que haya admitido su uso con fines privados, requerirá que se especifiquen de modo preciso los usos autorizados,  y que se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados.

Sistemas de geolocalización

En el artículo 90 de la LOPDyGDD se regula el tratamiento que las empresas pueden hacer de los datos de geolocalización para el control de los trabajadores, que deberán ser informados con carácter previo y de forma expresa, clara e inequívoca sobre las características de estos dispositivos.

Estos datos en ningún caso pueden menoscabar la intimidad del propio trabajador.

Un ejemplo sería un vehículo de trabajo que dispone de GPS y el empleado también usa después de su horario laboral.

Los datos de localización fuera del mismo deberán quedar excluidos del tratamiento.

Lo mismo podríamos decir de un móvil de empresa, donde basta tener activado el historial de localizaciones de Google Maps para conocer dónde ha estado su propietario en todo momento.

Este derecho abarca desde el mismo momento en el que el trabajador finaliza su jornada laboral hasta que vuelve a iniciar la siguiente.

¿Qué objetivo persigue  la desconexión digital?

Fundamentalmente, el de acabar con una práctica abusiva habitual en muchas empresas que consiste en mantener a sus trabajadores pegados a su móvil o a su cuenta de correo electrónico una vez finalizada su jornada laboral.

Como es obvio, esas son horas que no están remuneradas ni mucho menos consideradas como horas extraordinarias a efectos de salario y que vulneran el derecho al descanso del empleado.

También pueden provocar problemas en la conciliación de su vida personal y familiar.

Obligaciones de las empresas

Las empresas deberán, una vez acabada la jornada laboral del trabajador, cerrar automáticamente la sesión de sus cuentas de correo electrónico profesionales.

También deberán exigir que los trabajadores dejen en el centro laboral sus teléfonos de empresa.

Realizar cursos de formación con el propósito de concienciar a los trabajadores de eliminar, o al menos reducir, la cantidad de correos electrónicos enviados y llamadas profesionales realizadas fuera de su horario laboral.

Impedir o, en caso de extrema necesidad, limitar el acceso a las cuentas de correo profesionales por parte de los trabajadores fuera de su jornada laboral.

Ventajas de la Desconexión digital

Para el empleado

Estar disponible a todas horas es perjudicial para el empleado, por eso la desconexión digital trae los siguientes beneficios para el trabajador:

• El trabajador desconecta del trabajo fuera del horario laboral.
• Mejora la conciliación familiar.
• Reduce la tensión y el estrés.
• Incrementa la motivación por su trabajo.

Para la empresa

• Mejora la productividad con empleados comprometidos.
• La calidad del trabajo aumenta gracias a contar con empleados descansados y menos estresados.
• Incrementa la capacidad de diálogo entre el empleador y el trabajador.
• Transmite una imagen de marca de empresa que vela por sus empleados.
• Reduce el absentismo laboral.

La entrada DESCONEXIÓN DIGITAL EN EL TRABAJO se publicó primero en Gestiona Abogados.

Hoy veremos otras cuestiones que pueden surgir durante la relación laboral, para que podamos darle la solución adecuada:

NÓMINAS Y RGPD

Al igual que con el resto de datos personales de los empleados, es necesario que la empresa cumpla el principio de responsabilidad activa a la hora de gestionar las nóminas.

Esto significa que debe demostrar que está aplicando las medidas de seguridad adecuadas para proteger esos datos como: pseudonimización o minimización de los datos, cifrado o limitación del acceso.

Es decir, debemos garantizar que no existen accesos a esos datos por personas no autorizadas, que los datos no pueden modificarse sin autorización y que podemos acceder a ellos cuando lo necesitemos.

Lo normal es que la mayoría de las empresas tenga externalizado el servicio de gestión de nóminas.

En ese caso está obligada a firmar con la empresa encargada de prestar ese servicio el correspondiente contrato de encargo del tratamiento.

A través de ese contrato se asegura de que ese tercero va a aplicar las medidas de seguridad necesarias para proteger esos datos y los demás requisitos exigidos por la normativa de Protección de Datos (Registro de actividades de tratamiento, análisis de riesgos, notificación de brechas de seguridad, etc.).

Envío de nóminas por email

Siempre ha existido polémica sobre la solicitud por parte de la empresa del teléfono móvil y del correo electrónico del trabajador.

Hay varias sentencias de nuestros tribunales en las que se considera que esos datos no son necesarios para la realización del contrato y la prestación de sus servicios por los empleados. Y se considera abusiva la cláusula del contrato que obligue a facilitar esos datos.

Para poder enviar al trabajador la nómina a través de email es necesario que este haya dado su consentimiento expreso para ello.

Sin embargo, y debido a la situación de desigualdad en la que se encuentra el trabajador respecto al empresario, en varios informes de la AEPD y del Comité europeo de Protección de datos se ha considerado insuficiente ese consentimiento. Se considera que no existe el requisito de la libertad, exigido por el RGPD para un consentimiento válido.

Es decir, que para considerar válido el consentimiento del empleado con el fin de tratar su correo electrónico personal para enviarle las nóminas, la empresa debe facilitar otro medio alternativo (por ejemplo, la entrega en mano, o el correo ordinario) para el envío de esas nóminas, que no supongan el tratamiento de su email o correo electrónico.

VIDA LABORAL DEL EMPLEADO Y RGPD

¿Puedo solicitar la vida laboral de mis empleados?

La respuesta es No, salvo excepciones.

La vida laboral es un documento confidencial donde se indican todas las empresas donde una persona ha trabajado y los años cotizados.

La empresa solo podría solicitar la vida laboral de un trabajador dentro del periodo de tiempo en que se encuentre en esa empresa. Pero no conocería las empresas anteriores para las que ha trabajado ni los años de cotización.

Sin embargo, si ese empleado está realizando al mismo tiempo otro trabajo, la empresa sí podría conocer esa situación.

También existe otra excepción en la que la empresa podría solicitar ese informe de vida laboral del trabajador: cuando sea necesario para hacer algún curso o conseguir una acreditación en la que se deba comprobar los años de experiencia exigidos.

Aparte de estos casos, no se puede solicitar la vida laboral de los empleados. No obstante, los empleados pueden entregársela a la empresa voluntariamente.

A veces las empresas solicitan ese informe de vida laboral en las entrevistas de trabajo, para confirmar la experiencia que el candidato ha puesto en su curriculum, aunque como hemos dicho, no es obligatorio entregarlo.

¿Puedo pedir o dar referencias de ese trabajador a otras empresas?

No, salvo que tengas el consentimiento del trabajador.

Es habitual que las empresas pidan referencias de un candidato, antes de contratarle, a las empresas donde ha trabajado anteriormente.

La empresa a la que se piden esas referencias no debe darlas sin el consentimiento de su ex-trabajador.

Se trata de una cesión de datos que no es necesaria para el desempeño del nuevo puesto de trabajo, por lo que, de no tener su autorización expresa, estaríamos infringiendo la normativa de Protección de datos.

Facilitar referencias del trabajador, sin su expreso consentimiento se considera una cesión ilícita de datos personales y una vulneración del deber de secreto.

Por tanto, para poder facilitar las referencias de un ex-empleado debemos poder demostrar que esta persona nos dio su consentimiento para facilitar sus datos personales, con la finalidad de dar referencias a un tercero dentro de un proceso de selección.

Esta cláusula puede incluirse en el documento de cesión de datos firmado por los trabajadores.

¿Puedo publicar en Internet datos personales de mis trabajadores?

Siempre será necesario el consentimiento expreso del trabajador.

El consentimiento para la comunicación masiva por Internet de los datos de sus empleados, incluidas las evaluaciones sobre los mismos, no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre.

La publicación de contenidos con información y datos respecto de trabajadores no puede ser realizada si éstos no han autorizado expresamente su publicación.

Se puede incurrir en un tratamiento y cesión no autorizada, y se puede solicitar su retirada de forma inmediata.

¿Puedo acceder a los correos electrónicos de los empleados?

Sí, pero debes informar al trabajador, puesto que puede ser ilegal que se acceda a los mensajes enviados a través de cuentas privadas operadas desde el ordenador del trabajo.

El trabajador tiene que ser notificado antes de que se le monitorice el ordenador. 

Si la autorización está firmada, el empresario puede examinar las comunicaciones del empleado.

En el caso de los correos corporativos no hace falta autorización alguna. Al ser una herramienta de la empresa, esta es la dueña y responsable de todo lo que desde ella se dice.

El acceso por la empresa al contenido de dispositivos digitales sobre los que se hayan permitido usos privados requerirá que el protocolo de utilización de dispositivos digitales indique de modo preciso los usos admitidos y garantías previstas para preservar la intimidad de los trabajadores.

Se informará directamente a los trabajadores de la existencia y contenido de los mencionados protocolos.

¿Puedo grabar a los trabajadores?

Si.

No es necesario su consentimiento, pero es necesario informarles.

El Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana.

Entre estas medidas puede estar la captación y/o tratamiento de imágenes sin consentimiento.

Es necesario informar al trabajador de esas grabaciones y no es necesario solicitar su consentimiento siempre que las cámaras instaladas pretendan contribuir a la seguridad y control laboral.

¿Qué datos personales pueden incluirse en una tarjeta identificativa de un empleado?

La AEPD considera que, aparte del nombre y apellidos del trabajador, puede incluirse el DNI en la tarjeta identificativa, ya que pueden existir varias personas con el mismo nombre y apellidos.

Esto no vulneraría el principio de proporcionalidad, al no resultar dicho tratamiento excesivo para la finalidad de identificación del personal.

Respecto a la inclusión de la fotografía del empleado, la finalidad que justifica esa inclusión es garantizar su identificabilidad en el desempeño de sus funciones.

Por lo tanto, no es necesario recabar el consentimiento de los afectados, sin perjuicio del necesario cumplimiento del deber de informar a los mismos.

¿Puedo espiar a mis trabajadores?

La respuesta es depende.

A la hora de utilizar por parte de la empresa determinadas aplicaciones para controlar a los trabajadores se deben tener en cuenta una serie de principios y requisitos.

Nunca deben convertirse estos controles en una vulneración de los derechos fundamentales de los trabajadores.

Para que esa vigilancia sea legal y legítima deben tenerse en cuenta una serie de principios establecidos en la LOPDyGDD como son:

• Principio de proporcionalidad de los datos
• Exista una justificación para realizarlo
• Principio de información a los interesados
• Consentimiento de los trabajadores afectados

La ley también limita la grabación de sonidos, ya que solo se admitirá cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo.

Y siempre respetando el principio de proporcionalidad, el de intervención mínima y las garantías previstas

Informar a los trabajadores sobre el uso de Internet y correo corporativo

El empresario tiene derecho a implantar las medidas que estime adecuadas para controlar el trabajo de sus empleados, pero siempre y cuando, no se vulneren los derechos fundamentales de los mismos.

En ningún caso esas medidas pueden ir destinadas a “cotillear” sobre la vida privada de los trabajadores.

Mediante la firma de un Anexo al contrato de trabajo podríamos incluir la información necesaria para facilitar al trabajador del uso que debe darse a este tipo de medios.

Hay que tener en cuenta que se trata de medios que son propiedad de la empresa, y que ésta facilita al trabajador para utilizarlos en el cumplimiento de la prestación laboral, por lo que esa utilización queda dentro del ámbito del poder de vigilancia del empresario.

De todas formas, esas medidas deben ser, según el Tribunal Constitucional:

Idóneas: 

Si las medidas restrictivas permiten satisfacer el interés del empresario, que deberá ser específicamente: conocer la conducta laboral de sus empleados.

Necesarias: 

Las medidas impuestas por el empresario serán consideradas necesarias si no existe ninguna otra que, siendo menos agresiva, o limitadora de los derechos del trabajador, pueda aplicarse con la misma eficacia.

Proporcionadas: 

Deben derivarse de ellas más beneficios para el interés general, que perjuicios sobre otros valores en conflicto.

Justificadas: 

Deben responder a motivaciones objetivas y no basadas exclusivamente en lo que conviene al empresario, o a un comportamiento arbitrario o caprichoso del mismo.

La entrada MAS SOBRE EMPLEADOS Y RGPD se publicó primero en Gestiona Abogados.

El Estatuto de los TrabajadoresEnlace añadido por la extensión vLex establece, entre los deberes de los trabajadores, el de cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia debida.

Una de las obligaciones que tiene toda empresa o profesional, que maneje datos personales,  es establecer las medidas de control oportunas para protegerlos.

Una de esas medidas de control es tener firmada una cláusula de confidencialidad, con el fin de evitar la divulgación o uso indebido de la información disponible en la empresa.

RGPD

Esta obligación se regula también en el RGPD. En su artículo 5 se definen los principios relativos al tratamiento de datos personales. Y, dentro de los mismos, se refiere a la integridad y confidencialidad de los datos.

La citada norma alude también a la confidencialidad en otros artículos como el 28, relativo al Encargado del tratamiento y el 32, que se refiere a la seguridad del tratamiento.

«Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de éste estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1 f) del Reglamento (UE) 2016/679.

La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

Las obligaciones establecidas en los apartados anteriores se mantendrán con carácter indefinido, aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento».

CONFIDENCIALIDAD EN EL RGPD

El nuevo Reglamento europeo se refiere a la Confidencialidad como uno de los principios que deben regir el tratamiento de datos personales.

Este principio determina que los datos personales deben ser tratados de tal manera que se garantice una seguridad adecuada. Incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

Ello conlleva la aplicación de las medidas técnicas u organizativas apropiadas, en función de los riesgos inherentes al tratamiento.

Por tanto, se exige a los responsables y encargados del tratamiento, a partir de un análisis sobre el tipo de tratamiento y naturaleza de los datos, que apliquen las “medidas apropiadas” para garantizar la integridad y confidencialidad de los datos personales.

Dentro de esas medidas de seguridad necesarias para asegurar esa confidencialidad, está la firma de los correspondientes acuerdos con los empleados.

INFORMACIÓN CONFIDENCIAL DE LA EMPRESA

Aparte de los datos personales que manejan, todas las empresas disponen de información confidencial, ya sea de carácter técnico o comercial. Esta información:

• No puede ser fácilmente accesible ni conocida por personas no autorizadas a ello.
• Tiene un valor comercial para la empresa.
• La empresa debe haber adoptado medidas adecuadas para mantenerla en secreto.

Para la adecuada gestión de esa información confidencial es importante que los directivos la comuniquen únicamente a las personas que deban conocerla.

El principal supuesto de pérdida de información confidencial por una empresa se produce cuando la persona que tenía acceso a ella deja la empresa y se pasa a la competencia.

Por tanto, se deben adoptar medidas para proteger esa información como poner en los documentos la palabra «Confidencial» o protegerlos mediante contraseñas.

ACUERDO DE CONFIDENCIALIDAD

El contrato de confidencialidad es el documento firmado entre la empresa y el empleado cuyo objetivo es mantener en secreto cierta información reservada de la empresa, durante la relación laboral, y una vez finalizada la misma.

Dentro del mismo debemos incluir:

Duración

La empresa puede pedir que una vez finalizada la relación laboral se siga manteniendo ese compromiso de secreto. Normalmente un par de años después de finalizar la relación contractual.

La explicación del porqué de esta prórroga es para evitar la competencia desleal. Si el trabajador se va a otra empresa de la competencia, y nada se lo impide, puede dar información a ésta nueva empresa de lo que conociera de la anterior.

Tipo de información a proteger

Se deberá indicar qué información no se debe revelar bajo ningún concepto.

Es importante conocer a qué información va a tener acceso el trabajador en su puesto de trabajo y anticiparse a la que,  sin ser de su incumbencia, pueda acabar en sus manos:

• datos financieros de la empresa,
• proyectos que se están llevando a cabo,
• líneas de desarrollo de nuevos productos o investigación,
• datos de estudios de mercado que se hayan realizado por cuenta de la empresa y
• datos de nuestros clientes.

Obligaciones de los empleados

El personal de la empresa estará obligado a:

• Entender la privacidad de todos los datos que manejan y, por lo tanto, su obligación de mantener el secreto de dicha información.
• Hacer uso de los datos únicamente para los fines para los cuales han sido recogidos.
• No divulgar las contraseñas que posean para acceder tanto a los sistemas informáticos como a los ficheros que contengan datos de carácter personal.
• Pedir los consentimientos necesarios para el tratamiento de dichos datos, siempre que se refieran a salidas o entradas de soportes informáticos
• No utilizar con fines privados los sistemas informáticos de la empresa, sin autorización del empresario.

Consecuencias del incumplimiento

Debemos distinguir dos supuestos:

Si el incumplimiento de la cláusula se realiza durante la relación laboral, las consecuencias pueden ser desde sanciones a un despido disciplinario.

Si ese incumplimiento se produce cuando ya ha finalizado la relación laboral, durante el periodo marcado en el que se debería seguir cumpliendo, la empresa deberá acudir a los Tribunales con el fin de  solicitar la correspondiente indemnización por daños y perjuicios.

La excepción al cumplimiento de esta cláusula o pacto de confidencialidad es que sea un organismo judicial o administrativo el que requiera al trabajador o ex-trabajador esa información sensible. En este caso la cláusula no tiene efecto.

Finalidad del acuerdo de confidencialidad

Los principales motivos por los que deben firmarse esos acuerdos de confidencialidad son:

Evitar que el empleado desvele información a terceros

De esta forma, en caso de que dejen de trabajar en la empresa, no pueden llevarse información confidencial o reservada: nuestra base de datos, datos financieros, información de clientes, herramientas de la empresa, etc.

Sirve de prueba en juicios

Es posible utilizar este documento como prueba en un juicio para acreditar que el trabajador conocía su obligación de mantener el secreto y confidencialidad.

Recoger las consecuencias de su incumplimiento

En este documento se incluirán aquellas consecuencias que tendrá el incumplimiento del acuerdo, incorporando también una penalización económica.

El empleado se niega a firmar el acuerdo

Es extraño que un trabajador, al iniciar la relación laboral con la empresa , se niegue a firmar este acuerdo. Pero puede ocurrir.

Aunque el trabajador puede negarse,  está obligado al deber de confidencialidad, con lo que los efectos son los mismos.

La cuestión es que la empresa está obligada a informar de esa obligación de confidencialidad a todos sus trabajadores.

La mejor forma de informar debidamente es en la firma del contrato laboral.

La obligación del trabajador de cumplir el contenido de la misma entra de lleno en la buena fe en su relación laboral.

Es importante destacar que, en caso de que el empleado se niegue a firmar el contrato de confidencialidad y se produzca algún incidente con los datos personales que maneja la empresa, ésta puede ser sancionada por parte de la AEPD.

¿Cuando debe firmarse el acuerdo de confidencialidad?

Es recomendable firmar este contrato de confidencialidad antes de iniciar la relación laboral o al mismo tiempo que al firmar el contrato de trabajo. De este modo, el trabajador sabe, antes de aceptar el trabajo, que es un requisito para el empleo.

Firmarlo después de la contratación provocaría que los empleados sientan como si el empresario cambiara los términos y condiciones de su empleo por lo que algunos se negarán a firmar.

La entrada CONTRATO CON EMPLEADOS Y RGPD se publicó primero en Gestiona Abogados.

Al establecer las obligaciones de la empresa respecto a la protección de los datos de sus trabajadores debemos distinguir tres situaciones:

• Antes de la relación laboral
• Durante la relación laboral
• Una vez finalizada la relación laboral (ex-trabajadores)

Veamos cada una de ellas.

ANTES DE LA RELACIÓN LABORAL

No solo deben protegerse los datos personales de los trabajadores, ya que la normativa exige también una protección antes de comenzar una relación laboral, cuando recibimos un curriculum o realizamos un proceso de selección.

Procesos de selección

Debemos disponer de modelos de impresos tipo para la formalización del currículum y de un procedimiento de formalización y entrega de los mismos por los candidatos.

Ello permite no sólo informar adecuadamente, sino definir con precisión el tipo de datos a tratar, establecer las medidas de seguridad etc.

Si para la selección de personal se realiza algún tipo de anuncio o convocatoria pública debería incluirse en ella la información sobre:

• identidad y dirección del responsable del fichero,
• finalidad del tratamiento y
• posibilidad de ejercer los derechos.

Tratamiento de CV

Si el currículum se presenta directamente por el candidato sin habérsele solicitado deben fijarse procedimientos de información que supongan algún acuse o confirmación de conocer las condiciones en las que se desarrollará el tratamiento.

DURANTE LA RELACIÓN LABORAL

Debemos tener en cuenta que, tanto en el momento de contratar un trabajador como durante el tiempo que dure esa relación laboral, tenemos que cumplir unos requisitos para garantizar la Protección de los datos del propio trabajador y de nuestros clientes.

Información

El contrato de trabajo constituye un medio adecuado para ofrecer información sobre los tratamientos directamente relacionados con la prestación laboral.

También será necesario informar al trabajador en todos aquellos casos en los que se produzcan cambios que afecten al tratamiento de los datos personales como la aparición de nuevas finalidades o de nuevos tratamientos.

Es importante también disponer en la empresa de una circular informativa donde se recogen las obligaciones que tienen los empleados en relación a la protección de los datos que manejan.

En este documento se recogen las funciones que tienen que desempeñar en relación a su puesto de trabajo y la utilización adecuada de todas las instalaciones y bienes de la empresa.

En esta Circular informativa deben indicarse las instrucciones de la empresa respecto al uso por los empleados de Internet, dispositivos móviles y correo electrónico.

Igualmente se les informará sobre el acceso a datos, el uso de contraseñas y la destrucción de documentos.

Derechos

Una de las obligaciones básicas que la normativa impone a las empresas es la de atender las solicitudes de ejercicio de derechos de acceso, rectificación, cancelación, oposición, portabilidad de los datos y derecho al olvido, tanto de clientes como de sus empleados.

Los derechos se pueden ejercer de muchas maneras:

• a través del servicio de atención que proporciona nuestra empresa,
• por correo electrónico o
• a través del teléfono, dependiendo en cada caso.

Siempre es necesaria la acreditación de la identidad.

Cesión de datos

Es habitual que las empresas trabajen con varios terceros que, para prestarles un servicio, pueden tener acceso a datos de su titularidad, como es el caso de:

• Gestoría que elabora las nominas de los empleados.
• Empresas de mantenimiento informático que tienen acceso a sus aplicaciones en las que almacenan bases de datos.
• Entidades de almacenamiento externo y destrucción de documentación.
• Empresas de prevención de riesgos laborales.
• Entidades de seguridad y vigilancia, etc.

Para poder realizar esa cesión de datos es necesario firmar un contrato por escrito:

• Entre la empresa cedente y el tercero cesionario.
• Entre el trabajador que cede sus datos y la empresa.

En muchos casos, la cesión de datos del trabajador no requiere el consentimiento de este puesto que está amparada por la ley.

Eso no impide que la empresa informe a sus empleados de a quién y para qué se realizarán esas cesiones.

DESPUES DE LA RELACIÓN LABORAL

Una vez finalizada la relación laboral, el empresario sigue teniendo una serie de obligaciones respecto a los datos personales de su ex trabajador.

Conservación de datos personales

La normativa de protección de datos establece que los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato.

O incluso de la aplicación de medidas precontractuales solicitadas por el interesado.

Una vez cumplido ese período, los datos sólo podrán ser conservados previa disociación de los mismos.

Eliminar accesos a datos de la empresa

Al finalizar la relación laboral se debe modificar o eliminar al usuario de las cuentas corporativas, servicios, aplicaciones y canales que habitualmente utiliza la empresa para que sus trabajadores puedan operar en conjunto.

Es frecuente que durante cierto tiempo nos interese, por ejemplo, acceder al correo del antiguo empleado. En éste caso únicamente debemos modificar la contraseña.

OTRAS CUESTIONES A TENER EN CUENTA

Otras cuestiones a tener en cuenta durante la relación laboral son:

Videovigilancia

Obligación de informar

El Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

Los sistemas de videovigilancia para control empresarial sólo se adoptarán cuando exista una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las imágenes. Y no haya otra medida más idónea.

No obstante, el tratamiento de las imágenes obtenidas con esas cámaras solo podrá realizarse para el ejercicio de las funciones de control por parte del empresario. Y siempre dentro del marco legal y los límites inherentes a ese control.

Por eso se establece la obligación de informar a los trabajadores de forma expresa y concisa de la instalación de cámaras de videovigilancia en el trabajo.

Prohibición de grabar en zonas de descanso de la empresa

La LOPDyGDD introduce expresamente la prohibición de instalar cámaras en zonas de ocio y descanso de los trabajadores. Por ejemplo, en comedores, salas de descanso, vestuarios y aseos.

Geolocalización

Geolocalizar a los trabajadores supone tratar sus datos personales ya que los datos de localización se refieren a una persona física identificada.

En el caso de que la empresa se plantee  instalar un GPS en los vehículos de empresa para conocer la ubicación de sus trabajadores durante la jornada laboral debe cumplir varios requisitos:

Información.

No es necesario que los trabajadores autoricen a instalar estos dispositivos. Pero sí es necesario informarles previamente de que se van a controlar sus desplazamientos. Indicando la finalidad del control y el sistema de geolocalización utilizado.

Necesidad.

El control por geolocalización debe ser necesario para una finalidad legítima. En consecuencia, sólo puede geolocalizarse a los trabajadores cuyas funciones hagan necesario este tipo de control. La ley no aclara los supuestos en los que se considera que existe una finalidad legítima pero algunos ejemplos serían:

• Transporte . Si se instala en el vehículo de los transportistas para saber la ubicación de los vehículos y coordinar las distintas entregas de mercancía.
• Seguridad. Si se instala en los vehículos de vigilantes de seguridad para conocer dónde se encuentran el vehículo y el trabajador, pues la empresa necesita saber en qué momento y lugar se están realizando las labores de vigilancia.

Desconexión digital

Esto supone que los trabajadores tienen derecho a desconectarse de cualquier dispositivo digital en sus periodos de descanso del trabajo o de vacaciones.

La finalidad es garantizar la intimidad de los trabajadores y mejorar la conciliación personal y familiar.

La empresa tiene la obligación de elaborar, junto con los representantes de los trabajadores, una política interna de desconexión digital donde especificará las medidas que llevará a cabo para garantizar ese derecho.

También debe incluir actividades formativas dirigidas a los trabajadores sobre una utilización responsable de los dispositivos digitales.

Quizá también te interese:

Control horario

La entrada RELACIÓN LABORAL Y RGPD se publicó primero en Gestiona Abogados.