En los últimos post hemos visto las obligaciones de la empresa, y las obligaciones de los empleados, en el RGPD.
Hoy veremos otras cuestiones que pueden surgir durante la relación laboral, para que podamos darle la solución adecuada:
NÓMINAS Y RGPD
Al igual que con el resto de datos personales de los empleados, es necesario que la empresa cumpla el principio de responsabilidad activa a la hora de gestionar las nóminas.
Esto significa que debe demostrar que está aplicando las medidas de seguridad adecuadas para proteger esos datos como: pseudonimización o minimización de los datos, cifrado o limitación del acceso.
Es decir, debemos garantizar que no existen accesos a esos datos por personas no autorizadas, que los datos no pueden modificarse sin autorización y que podemos acceder a ellos cuando lo necesitemos.
Lo normal es que la mayoría de las empresas tenga externalizado el servicio de gestión de nóminas.
En ese caso está obligada a firmar con la empresa encargada de prestar ese servicio el correspondiente contrato de encargo del tratamiento.
A través de ese contrato se asegura de que ese tercero va a aplicar las medidas de seguridad necesarias para proteger esos datos y los demás requisitos exigidos por la normativa de Protección de Datos (Registro de actividades de tratamiento, análisis de riesgos, notificación de brechas de seguridad, etc.).
Envío de nóminas por email
Siempre ha existido polémica sobre la solicitud por parte de la empresa del teléfono móvil y del correo electrónico del trabajador.
Hay varias sentencias de nuestros tribunales en las que se considera que esos datos no son necesarios para la realización del contrato y la prestación de sus servicios por los empleados. Y se considera abusiva la cláusula del contrato que obligue a facilitar esos datos.
Para poder enviar al trabajador la nómina a través de email es necesario que este haya dado su consentimiento expreso para ello.
Sin embargo, y debido a la situación de desigualdad en la que se encuentra el trabajador respecto al empresario, en varios informes de la AEPD y del Comité europeo de Protección de datos se ha considerado insuficiente ese consentimiento. Se considera que no existe el requisito de la libertad, exigido por el RGPD para un consentimiento válido.
Es decir, que para considerar válido el consentimiento del empleado con el fin de tratar su correo electrónico personal para enviarle las nóminas, la empresa debe facilitar otro medio alternativo (por ejemplo, la entrega en mano, o el correo ordinario) para el envío de esas nóminas, que no supongan el tratamiento de su email o correo electrónico.
VIDA LABORAL DEL EMPLEADO Y RGPD
¿Puedo solicitar la vida laboral de mis empleados?
La respuesta es No, salvo excepciones.
La vida laboral es un documento confidencial donde se indican todas las empresas donde una persona ha trabajado y los años cotizados.
La empresa solo podría solicitar la vida laboral de un trabajador dentro del periodo de tiempo en que se encuentre en esa empresa. Pero no conocería las empresas anteriores para las que ha trabajado ni los años de cotización.
Sin embargo, si ese empleado está realizando al mismo tiempo otro trabajo, la empresa sí podría conocer esa situación.
También existe otra excepción en la que la empresa podría solicitar ese informe de vida laboral del trabajador: cuando sea necesario para hacer algún curso o conseguir una acreditación en la que se deba comprobar los años de experiencia exigidos.
Aparte de estos casos, no se puede solicitar la vida laboral de los empleados. No obstante, los empleados pueden entregársela a la empresa voluntariamente.
A veces las empresas solicitan ese informe de vida laboral en las entrevistas de trabajo, para confirmar la experiencia que el candidato ha puesto en su curriculum, aunque como hemos dicho, no es obligatorio entregarlo.
¿Puedo pedir o dar referencias de ese trabajador a otras empresas?
No, salvo que tengas el consentimiento del trabajador.
Es habitual que las empresas pidan referencias de un candidato, antes de contratarle, a las empresas donde ha trabajado anteriormente.
La empresa a la que se piden esas referencias no debe darlas sin el consentimiento de su ex-trabajador.
Se trata de una cesión de datos que no es necesaria para el desempeño del nuevo puesto de trabajo, por lo que, de no tener su autorización expresa, estaríamos infringiendo la normativa de Protección de datos.
Facilitar referencias del trabajador, sin su expreso consentimiento se considera una cesión ilícita de datos personales y una vulneración del deber de secreto.
Por tanto, para poder facilitar las referencias de un ex-empleado debemos poder demostrar que esta persona nos dio su consentimiento para facilitar sus datos personales, con la finalidad de dar referencias a un tercero dentro de un proceso de selección.
Esta cláusula puede incluirse en el documento de cesión de datos firmado por los trabajadores.
¿Puedo publicar en Internet datos personales de mis trabajadores?
Siempre será necesario el consentimiento expreso del trabajador.
El consentimiento para la comunicación masiva por Internet de los datos de sus empleados, incluidas las evaluaciones sobre los mismos, no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre.
La publicación de contenidos con información y datos respecto de trabajadores no puede ser realizada si éstos no han autorizado expresamente su publicación.
Se puede incurrir en un tratamiento y cesión no autorizada, y se puede solicitar su retirada de forma inmediata.
¿Puedo acceder a los correos electrónicos de los empleados?
Sí, pero debes informar al trabajador, puesto que puede ser ilegal que se acceda a los mensajes enviados a través de cuentas privadas operadas desde el ordenador del trabajo.
El trabajador tiene que ser notificado antes de que se le monitorice el ordenador.
Si la autorización está firmada, el empresario puede examinar las comunicaciones del empleado.
En el caso de los correos corporativos no hace falta autorización alguna. Al ser una herramienta de la empresa, esta es la dueña y responsable de todo lo que desde ella se dice.
El acceso por la empresa al contenido de dispositivos digitales sobre los que se hayan permitido usos privados requerirá que el protocolo de utilización de dispositivos digitales indique de modo preciso los usos admitidos y garantías previstas para preservar la intimidad de los trabajadores.
Se informará directamente a los trabajadores de la existencia y contenido de los mencionados protocolos.
¿Puedo grabar a los trabajadores?
Si.
No es necesario su consentimiento, pero es necesario informarles.
El Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana.
Entre estas medidas puede estar la captación y/o tratamiento de imágenes sin consentimiento.
Es necesario informar al trabajador de esas grabaciones y no es necesario solicitar su consentimiento siempre que las cámaras instaladas pretendan contribuir a la seguridad y control laboral.
¿Qué datos personales pueden incluirse en una tarjeta identificativa de un empleado?
La AEPD considera que, aparte del nombre y apellidos del trabajador, puede incluirse el DNI en la tarjeta identificativa, ya que pueden existir varias personas con el mismo nombre y apellidos.
Esto no vulneraría el principio de proporcionalidad, al no resultar dicho tratamiento excesivo para la finalidad de identificación del personal.
Respecto a la inclusión de la fotografía del empleado, la finalidad que justifica esa inclusión es garantizar su identificabilidad en el desempeño de sus funciones.
Por lo tanto, no es necesario recabar el consentimiento de los afectados, sin perjuicio del necesario cumplimiento del deber de informar a los mismos.
¿Puedo espiar a mis trabajadores?
La respuesta es depende.
A la hora de utilizar por parte de la empresa determinadas aplicaciones para controlar a los trabajadores se deben tener en cuenta una serie de principios y requisitos.
Nunca deben convertirse estos controles en una vulneración de los derechos fundamentales de los trabajadores.
Para que esa vigilancia sea legal y legítima deben tenerse en cuenta una serie de principios establecidos en la LOPDyGDD como son:
- Principio de proporcionalidad de los datos
- Exista una justificación para realizarlo
- Principio de información a los interesados
- Consentimiento de los trabajadores afectados
La ley también limita la grabación de sonidos, ya que solo se admitirá cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo.
Y siempre respetando el principio de proporcionalidad, el de intervención mínima y las garantías previstas
Informar a los trabajadores sobre el uso de Internet y correo corporativo
El empresario tiene derecho a implantar las medidas que estime adecuadas para controlar el trabajo de sus empleados, pero siempre y cuando, no se vulneren los derechos fundamentales de los mismos.
En ningún caso esas medidas pueden ir destinadas a “cotillear” sobre la vida privada de los trabajadores.
Mediante la firma de un Anexo al contrato de trabajo podríamos incluir la información necesaria para facilitar al trabajador del uso que debe darse a este tipo de medios.
Hay que tener en cuenta que se trata de medios que son propiedad de la empresa, y que ésta facilita al trabajador para utilizarlos en el cumplimiento de la prestación laboral, por lo que esa utilización queda dentro del ámbito del poder de vigilancia del empresario.
De todas formas, esas medidas deben ser, según el Tribunal Constitucional:
Idóneas:
Si las medidas restrictivas permiten satisfacer el interés del empresario, que deberá ser específicamente: conocer la conducta laboral de sus empleados.
Necesarias:
Las medidas impuestas por el empresario serán consideradas necesarias si no existe ninguna otra que, siendo menos agresiva, o limitadora de los derechos del trabajador, pueda aplicarse con la misma eficacia.
Proporcionadas:
Deben derivarse de ellas más beneficios para el interés general, que perjuicios sobre otros valores en conflicto.
Justificadas:
Deben responder a motivaciones objetivas y no basadas exclusivamente en lo que conviene al empresario, o a un comportamiento arbitrario o caprichoso del mismo.
Buenos días,
En mi empresa nos envían la nómina a través del correo electrónico personal, pero sin ningún tipo de encriptación o cifrado. Me gustaría saber hasta que punto es legal de cara a la Ley Orgánica de Protección de Datos.
Muchas gracias de antemano por su respuesta.
Un cordial saludo.
Siempre ha existido polémica sobre la solicitud por parte de la empresa del teléfono móvil y correo electrónico del trabajador.
Hay varias sentencias de nuestros tribunales en las que se considera que esos datos no son necesarios para la realización del contrato y la prestación de sus servicios por los empleados. Y se considera abusiva la cláusula del contrato que obligue a facilitar esos datos.
Para poder enviar al trabajador la nómina a través de email es necesario que este haya dado su consentimiento expreso para ello.
Sin embargo, en este ámbito laboral, debido a la situación de desigualdad en la que se encuentra en trabajador respecto al empresario, en varios informes de la AEPD y del Comité europeo de Protección de datos se ha considerado insuficiente ese consentimiento. Se considera que no existe el requisito de la libertad, exigido por el RGPD para un consentimiento válido.
Por tanto, para considerar válido el consentimiento del empleado para tratar su correo electrónico personal para enviarle las nóminas, la empresa debe facilitarle otro medio alternativo para el envío de esas nóminas que no supongan el tratamiento de su email.
Si se quiere enviar un regalo, tarjeta de felicitación, cesta de Navidad, etc al domicilio de un empleado, ¿es necesario su consentimiento explícito? Si no se pide consentimiento, ¿se entiende que se vulnera su derecho a la protección de datos de carácter personal?
La comunicación comercial que vaya destinada a una persona física con la que exista una relación contractual no vulnera la Ley de Protección de Datos. Además, el trabajador, si no está contento con que hayas utilizado sus datos personales para mandarle un regalo, siempre puede ejercitar su derecho de oposición a que los utilices.
Si recibes una carta en el ejercicio de su derecho de acceso, rectificación, cancelación u oposición a sus datos personales, debes informar inmediatamente al Responsable de Seguridad, quien se ocupará de dar trámite a dicha solicitud conforme a las normas que rigen el ejercicio de los derechos de los afectados.
Buenos días
¿Puede una mutua, con la que no tengo ninguna relación desde hace años por no trabajar en la misma empresa, tener un informe de mi vida laboral completo hasta la actualidad?
Hola Ana,
Desconozco el motivo por el que la Mutua tiene ese documento, pero en todo caso, puedes solicitar la supresión del mismo para que ya no esté en sus archivos.
Hola,
Actualmente me encuentro de baja. Realizo un trabajo administrativo desde hace 13 años en una gran empresa (+1000
trabajadores)
Mi empresa ha puesto en mi lugar a otra persona para realizar mi trabajo, obligandome a facilitar a esta persona mis claves informáticas
personales de acceso a Windows, al correo electrónico, a la intranet de la empresa, al programa de gestion erp, y al teléfono móvil smartphone facilitado por la empresa.
Por lo tanto esta persona, tiene acceso completo a mis nóminas, mis evaluaciones del desempeño, mis comunicaciones con RRHH y mis
superiores jerárquicos y funcionales, asi como todos mis datos personales y laborales, etc.
Además esta persona que me sustituye por orden de la empresa envía diariamente con mi nombre y apellido decenas de correos
electrónicos para la realización del trabajo diario, por lo que se esta producciendo una suplantación de identidad por parte de la empresa, lo
cual podría hacerme incurrir a mi en responsabilidades de todo tipo cuando yo no he sido quien ha estado usando esos dispositivos ni
tomando las decisiones que estén plasmadas en esos correos electrónicos.
Además acabo de conocer que esta persona que me sustituye va a regresar a su trabajo habitual, y van a poner en mi puesto a una
segunda persona que tendrá acceso a todos mis datos igual que la primera persona que puso la empresa, hasta que finalice mi baja en los próximos meses.
Antes de estar de baja avisé a la empresa de que no me parecía correcta esta forma de proceder, mas cuando unos meses antes me
habían hecho realizar un curso de prevención de riesgos penales asi como firmar todo tipo de documentos de confidencialidad y privacidad
en el uso de dispositivos informáticos, y que bajo mi opinión deberían de crear nuevos usuarios para la persona que iba a sustituirme, pero
me respondieron que esto era mas cómodo para ellos y que lo iban a hacer así.
me gustaría saber si esto es denunciable, si puedo pedir una indeminzación por vulneración de mi intimidad y suplantación de identidad. es un tema que me está afectando psicologicamente ya que me resulta absolutamente humillante.
Si Angel, solicita una indemnización por daños y perjuicios. Cuanta más prueba puedas aportar, mejor!
Hola Angel,
La forma de actuar de la empresa es totalmente desproporcionada, y atenta contra el derecho a la intimidad del trabajador. La empresa debe crear nuevos usuarios para las personas que tengan que sustituirte, y en ningún caso pueden acceder a tus datos personales. Tampoco deben usar tu cuenta de correo electrónico suplantando tu identidad. Haz una reclamación formar a la empresa para que se abstenga de seguir haciendolo, y en caso de que no te atiendan, plantea una denuncia ante el juzgado y ante la Agencia Española de Protección de Datos.