Derivadas laborales del RGPD

El derecho fundamental a la protección de los datos personales ha ido ganando protagonismo, en una tendencia social de fondo que se ha acelerado con la evolución tecnológica y la globalización. Uno de los ámbitos en que ese creciente protagonismo se ha venido notando es el de la gestión de recursos humanos y relaciones laborales. En este contexto, resulta evidente que las empresas recogen datos personales en una escala sin precedentes y, lo que es más importante, son capaces de tratar estos datos de manera cada vez más sofisticada. Cercano el 25 mayo 2018, en que comenzará a aplicarse el Reglamento General de Protección de Datos (Reglamento UE 2016/679; en adelante, RGPD), es oportuno ofrecer algunas reflexiones útiles para el profesional de recursos humanos.

Con carácter previo y general, el cambio cultural que trata de propiciar el RGPD consiste en una especie de “toma de conciencia”, que es a lo que se refiere el vocablo técnico “responsabilidad proactiva”. No se trata propiamente de una responsabilidad al estilo jurídico clásico -que ya existía naturalmente antes del RGPD en materia de protección de datos-, sino del deber de integrar la protección de datos de manera activa, consciente, explícita, a fin de garantizar en la organización el cumplimiento de los principios básicos de la protección de datos:

>> licitud, lealtad y transparencia;

>> limitación de la finalidad del tratamiento y adecuación estricta de este a la finalidad;

>> minimización de datos;

>> exactitud y actualización de los datos;

>> limitación temporal del tratamiento de acuerdo con la finalidad limitada; y

>> seguridad, integridad y confidencialidad de los datos.

Integrar y, sobre todo, hacer explícitos todos estos principios en la organización, de modo que cada proceso que conlleve tratamiento de datos suponga la puesta en acción de todos ellos, es a lo que esencialmente se refiere ese principio cardinal que el RGPD llama “responsabilidad proactiva”. Sus consecuencias prácticas pueden ser innumerables, precisamente porque su esencia es la “proactividad”, la implicación activa y creativa del responsable, que ya no puede guiar su actuación por un listado cerrado y estático de medidas establecido en una norma, sino que ha de moverse en un escenario mucho más dinámico, de manera hasta cierto punto autónoma, y, por tanto, en un entorno algo más incierto.

Por poner un ejemplo tan solo, la elección del encargado del tratamiento de datos (vgr. un proveedor de servicios de nóminas) debe hacerse teniendo en cuenta todos los principios enunciados anteriormente, de modo que se elijan encargados que ofrezcan todas las garantías correspondientes a dichos principios. Lógicamente, las certificaciones, formularios, protocolos y guías de las agencias especializadas supondrán una valiosa ayuda en todo esto.

El RGPD es una norma obligatoria en todos sus elementos y directamente aplicable en todos los Estados miembros. Además, se encuentra en tramitación parlamentaria el proyecto de Ley Orgánica de Protección de Datos, cuya aprobación posible en los próximos meses nos brindará la oportunidad de volver sobre el tema. Dadas las exigencias de brevedad, hemos seleccionado seis claves del RGPD que, en conjunto, nos han parecido destacables desde la perspectiva práctica de gestión de recursos humanos.

Clave 1: la licitud del tratamiento: fundar el tratamiento de datos en la necesidad, no en el mero consentimiento

Lo primero y fundamental en protección de datos es determinar si el tratamiento es lícito. Recuérdese que “tratamiento” es un concepto prácticamente omnicomprensivo, que incluye desde la recogida hasta la destrucción de datos, pasando por su registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación y limitación. Pues bien, con carácter general, el tratamiento es lícito cuando el interesado ha dado su consentimiento al tratamiento (principio del consentimiento); alternativamente, el tratamiento también puede fundarse en el principio de necesidad.

Centrando estas ideas en el ámbito laboral, para un lícito tratamiento de datos personales del trabajador, la empresa debería basarse más en el principio de necesidad que en el principio del consentimiento. Como pauta general de actuación en el ámbito laboral, la empresa debería ser capaz de justificar el tratamiento en el principio de necesidad; lo cual significa, básicamente, que el tratamiento debe ser necesario:

>> para la ejecución del contrato de trabajo, o

>> para la aplicación de medidas precontractuales a petición de un candidato, o

>> para el cumplimiento de una obligación legal de la empresa, o

>> para la satisfacción de intereses legítimos de la empresa o de un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.

Esta pauta de justificar el tratamiento en la necesidad antes que en el consentimiento debe extremarse en situaciones en que el trabajador o un candidato a un puesto puede considerarse especialmente vulnerable. Obtener el consentimiento del trabajador para el tratamiento de datos “innecesarios” supone incurrir en el riesgo de que se entienda que el consentimiento no se ha dado libremente, y esto es más cierto cuanto más se supedite el acceso al empleo o a otras ventajas laborales al hecho de que el trabajador otorgue su consentimiento para dicho tratamiento.

El principio de necesidad se proyecta sobre otros muchos aspectos del tratamiento. Por ejemplo, los datos personales que se traten deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Además, deben conservarse solo por el tiempo estrictamente necesario para tales fines.

Clave 2: Obtener consentimientos claros, separados y específicos

Nada de lo anterior significa que el consentimiento al tratamiento de datos no deba recabarse del trabajador interesado. Debe hacerse, por supuesto. Y si el consentimiento quiere incluirse en un contrato de trabajo (que lógicamente es un documento heterogéneo, en el sentido de que se refiere a asuntos distintos del mero tratamiento de datos), la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. Esto obliga a revisar las cláusulas de protección de datos que se incluyen en documentos que ha de firmar el trabajador. La revisión ha de atender a estas tres pautas: separación, concisión y claridad. Concisión y claridad no requieren grandes explicaciones, más allá de que el redactor ha de esforzarse por evitar términos excesivamente técnicos, remisiones a leyes o la copia de textos legales; el texto tampoco puede ocupar un espacio prolongado, pues la extensión excesiva del texto suele tomarse como un indicio de ilegibilidad para quien no es un profesional jurídico. Por separación se entiende que el consentimiento al tratamiento de datos debe configurarse como pieza autónoma del documento, marcando la diferencia con el resto del clausulado, de manera que destaque o se separe del resto del contenido y pueda, así, ser objeto de suscripción, firma o consentimiento particular y diferenciado.

Clave 3: Transparencia del tratamiento: la información al trabajador o candidato

El trabajador tiene derecho a saber que la empresa recoge, utiliza, consulta o trata de cualquier otra manera sus datos personales. Este derecho se concreta en la exigencia de que la empresa informe al trabajador de manera totalmente comprensible (otra vez, lenguaje sencillo y claro) acerca del tratamiento de sus datos: en lo esencial, quién es el responsable del tratamiento, cuáles son los fines del tratamiento, qué datos se obtienen, cuáles son los derechos del trabajador al respecto, así como el modo en que puede hacerlos valer.

El RGPD detalla en sus artículos 13 y 14 todas las informaciones que la empresa debe proporcionar, tanto en el supuesto de que los datos se recaben del interesado (art. 13) como si no (art. 14). Lo complejo y prolijo de la materia es difícilmente compatible con la exigencia de lenguaje sencillo, claro y conciso; de ahí la recomendación estándar de adoptar un modelo de información en dos niveles o capas. Al respecto puede ser útil la Guía para el Cumplimiento del deber de Informar que han elaborado la Agencia Española, la Autoridad Catalana y la Agencia Vasca.

Clave 4: Enfoque de riesgo

Ponderar la probabilidad y la gravedad de los riesgos que implica el tratamiento de datos es un principio transversal a múltiples operaciones que las empresas deben realizar en materia de protección de datos. La empresa aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, las medidas técnicas y organizativas apropiadas. Lo “apropiado” se valora en función del estado de la técnica, los costes y la naturaleza, ámbito, contexto y fines del tratamiento, así como ponderando los riesgos que entraña el tratamiento para los derechos y libertades de los trabajadores o de los candidatos en un proceso de selección o de otros interesados cuyos datos la empresa maneje.

Medidas técnicas y organizativas apropiadas pueden ser la seudonimización, el cifrado de datos, la limitación de acceso, la resiliencia de los sistemas y servicios de tratamiento o la minimización de datos, siempre teniendo en cuenta que dichas medidas solo son apropiadas si garantizan el nivel de seguridad adecuado al riesgo, teniendo en cuenta su probabilidad y gravedad.

Cuestiones como el plazo de conservación de los datos, las personas que pueden acceder a ellos, la cantidad misma de datos recogidos y la extensión de su tratamiento son relevantes aquí. En todo caso, las medidas técnicas y organizativas apropiadas se revisarán y actualizarán cuando sea necesario.

Cuando sea probable que un tipo de tratamiento entrañe alto riesgo, la empresa deberá realizar, con carácter previo, una evaluación del impacto del tratamiento en la protección de datos personales. Situaciones laborales frecuentes, como la evaluación sistemática y exhaustiva de aspectos personales de personas físicas basada en un tratamiento automatizado sobre cuya base se tomen decisiones que afectan a los trabajadores o candidatos a empleo, dan lugar a la obligación de evaluación de impacto.

La adhesión a códigos de conducta debidamente aprobados por asociaciones y organismos representativos de empleadores o a un mecanismo de certificación puede ser utilizada como elemento para demostrar el cumplimiento de las obligaciones de adoptar medidas por parte de la empresa. La Guía Práctica de Análisis de Riesgos en los tratamientos de datos aprobada por la AEPD ofrece directrices y orientaciones de interés a este respecto.

Clave 5: Registro de las actividades de tratamiento

Todas las actividades de tratamiento efectuadas bajo la responsabilidad de la empresa deben quedan plasmadas en un registro escrito o electrónico que debe contener una serie de informaciones, como los fines del tratamiento, las categorías de interesados y las categorías de datos personales, las categorías de destinatarios a quienes se comunicaron o comunicarán los datos, etc. El registro se configura autónomamente en cada organización, no se inscribe como fichero como hasta ahora, aunque deberá estar a disposición de la autoridad de control.

El registro no es obligatorio si la empresa emplea a menos de 250 empleados, salvo que realice tratamiento no ocasional de datos, o tratamiento que pueda entrañar un riesgo para los derechos y libertades de los trabajadores o tratamiento de categorías especiales de datos (datos relativos a condenas, datos genéticos, datos relativos a la salud, datos de afiliación sindical, etc.). Los ficheros que actualmente se encuentran notificados en el Registro General de Protección de Datos pueden ser aprovechables como punto de partida.

Clave 6: Transferencias de datos entre empresas

Una cuestión práctica importante es la transferencia de datos entre empresas, normalmente vinculadas por pertenencia al mismo grupo empresarial o por realizar actividades productivas con cierto grado de integración (subcontratas, etc.).

El RGPD remite al legislador nacional la cuestión de la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta. En todos estos casos, el presupuesto básico de la actuación es identificar un interés legítimo para la transferencia, que en muchos casos será la necesidad de cumplir determinadas obligaciones legales. En los casos particulares de los grupos de empresas, cabe entender que puede haber relaciones de servicios intragrupales (relación de responsable – encargado del tratamiento) y también que puede haber un interés legítimo en transmitir datos personales dentro del grupo para fines administrativos internos, lo que incluye el tratamiento de datos de empleados.

En todo caso, es clave identificar un fundamento sólido que ampare la transferencia. Es bueno terminar recordando que la idea fuerza del RGPD, que es la responsabilidad proactiva, obliga en particular a limitar riesgos y esto lleva aparejada la limitación del círculo de personas que pueden acceder a los datos personales. Queda, por tanto, vedada cualquier transferencia indiscriminada.

_____

Francisco Gómez Abelleira es profesor de Derecho del Trabajo de la Universidad Carlos III y miembro del Consejo Científico de Future for Work Institute

Imagen Karl Norling bajo licencia Creative Commons