El nuevo Reglamento de Protección de datos y su repercusión en el ámbito laboral y RRHH

El pasado 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos de la Unión Europea (U.E.) 2016/679  (RGPD),  que es directamente aplicable y de obligado cumplimiento para toda empresa que trate datos personales de ciudadanos de la UE.  

Centrándonos, exclusivamente en el ámbito laboral y de los Recursos Humanos, cabe reseñar que el tratamiento de la protección de datos personales es obligado a lo largo de toda la relación laboral. La empresa está legitimada para efectuar el tratamiento de datos personales de sus empleados, no siendo necesario su consentimiento cuando los datos sean de localización profesional, es decir, que el tratamiento de los datos personales debe considerarse lícito cuando sea necesario en el contexto de suscribir un contrato de trabajo o en la intención de extinguir un contrato (art. 6.1.b y 88 del RGPD). Por el contrario está prohibido el tratamiento de datos personales que revelen aspectos de los trabajadores como los que se reseñan a continuación:

-su origen étnico o racial,

-sus opiniones políticas,

-sus convicciones religiosas o filosóficas,

-su afiliación sindical (excepto cuando el interesado haya dado su consentimiento explícito o cuando el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado y así lo autorice el Derecho de la Unión o un convenio colectivo),

-datos genéticos y biométricos dirigidos a identificar de manera unívoca a una persona física,

- datos relativos a la salud (excepto cuando el tratamiento es necesario para fines de medicina preventiva o laboral o por razones de interés público en el ámbito de la salud pública),

-datos relativos a la vida sexual o la orientación sexual de una persona física.

Como excepción a lo anterior, dichos datos especialmente protegidos pueden ser tratados si el trabajador da su consentimiento explícito y cuando sea necesario en el ámbito del Derecho Laboral y de la Seguridad y Protección Social (art. 9 del RGPD).

Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo pueden ser incluidos en ficheros de las Administraciones públicas competentes, en los supuestos previstos en las respectivas normas reguladoras (art. 10 del RGPD).

Se considera que el contrato de trabajo es un medio adecuado para informar al trabajador del tratamiento de sus datos directamente relacionado con sus funciones laborales, pero no para informar de otros tratamientos distintos, pues no debe confundirse la información que debe ofrecer el empleador con una manifestación del consentimiento del trabajador.

En aquellos supuestos de descentralización productiva que sólo supongan una comunicación de datos y no una cesión de los mismos, no requerirá el consentimiento expreso de los trabajadores afectados, por ejemplo en supuestos como la descentralización en la gestión de nóminas del personal, concertación con un servicio externo de las actividades de prevención, externalización de los compromisos por pensiones, concertación de la realización de la formación programada por las empresas para sus trabajadores, etc…

Respecto al tratamiento de imágenes captadas por cámaras o sistemas de videovigilancia se autoriza su uso cuando se haga con la finalidad de preservar la seguridad de las personas, bienes e instalaciones. Los datos se deberán suprimir en el plazo máximo de un mes, salvo cuando dichas imágenes deban servir como prueba de determinados incumplimientos y comportamientos. Asimismo, se deberá colocar un dispositivo informativo visible identificando de su existencia. Por último, el empresario podrá utilizar las grabaciones para ejercer las labores de control del cumplimiento de sus obligaciones por parte de los trabajadores, si bien establece la obligatoriedad de informar previamente  a los trabajadores sobre la medida.

El incumplimiento del nuevo Reglamento General de Protección de Datos acarrea multas administrativas que van de:

- 10.000.000 euros como máximo o, si se trata de una empresa, el 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía en el caso de incumplimientos de las obligaciones del responsable y del encargado, de los organismos de certificación y de la autoridad de control;

- 20.000.000 euros como máximo o, si se trata de una empresa, el 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía en el caso de incumplimientos más graves de los principios y derechos protegidos.

El RGPD no contiene un elenco de infracciones y sanciones, sino que sólo fija unas condiciones generales para la imposición de multas administrativas económicas que podrán imponerse junto con otras medidas de carácter sancionador. Tampoco menciona ningún plazo de prescripción.

Así pues, la RGPD se trata de un reto importante al que tienen que hacer frente las empresas, y más en estos momentos en que el contador ya se ha puesto a cero. Cabe entender que en estos primeros meses de aplicación no habrá una litigiosidad importante por parte de la Administración, y máxime ante la falta de concreción de la norma en sus aspectos sancionadores.