El pasado 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos de la Unión Europea (U.E.) 2016/679 (RGPD), que es directamente aplicable y de obligado cumplimiento para toda empresa que trate datos personales de ciudadanos de la UE.
Centrándonos,
exclusivamente en el ámbito laboral y de los Recursos Humanos, cabe reseñar que
el tratamiento de la protección de datos personales es obligado a lo largo de
toda la relación laboral. La empresa está legitimada para efectuar el
tratamiento de datos personales de sus empleados, no siendo necesario su
consentimiento cuando los datos sean de localización profesional, es decir, que
el tratamiento de los datos personales debe considerarse lícito cuando sea necesario en el contexto de suscribir un contrato de trabajo o en la intención de extinguir un contrato (art. 6.1.b y 88
del RGPD). Por el contrario está prohibido el tratamiento de datos personales
que revelen aspectos de los trabajadores como los que se reseñan a
continuación:
-su origen
étnico o racial,
-sus opiniones políticas,
-sus convicciones religiosas o filosóficas,
-su afiliación sindical (excepto cuando el interesado haya dado su consentimiento
explícito o cuando el tratamiento es necesario para el cumplimiento de
obligaciones y el ejercicio de derechos específicos del responsable del
tratamiento o del interesado y así lo autorice el Derecho de la Unión o un
convenio colectivo),
-datos
genéticos y biométricos dirigidos a identificar de manera unívoca a una persona
física,
- datos
relativos a la salud (excepto cuando el tratamiento es necesario para fines de
medicina preventiva o laboral o por razones de interés público en el ámbito de
la salud pública),
-datos
relativos a la vida sexual o la orientación sexual de una persona física.
Como excepción a lo anterior, dichos datos especialmente protegidos pueden ser tratados si el trabajador da su consentimiento explícito y cuando sea necesario en el ámbito del Derecho Laboral y de la Seguridad y Protección Social (art. 9 del RGPD).
Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo pueden ser incluidos en ficheros de las Administraciones públicas competentes, en los supuestos previstos en las respectivas normas reguladoras (art. 10 del RGPD).
Se considera que el contrato de trabajo es un medio adecuado para informar al trabajador del tratamiento de sus datos directamente relacionado con sus funciones laborales, pero no para informar de otros tratamientos distintos, pues no debe confundirse la información que debe ofrecer el empleador con una manifestación del consentimiento del trabajador.
En aquellos supuestos de descentralización productiva que sólo supongan una comunicación de datos y no una cesión de los mismos, no requerirá el
consentimiento expreso de los trabajadores afectados, por ejemplo en supuestos
como la descentralización en la gestión de nóminas del personal, concertación
con un servicio externo de las actividades de prevención, externalización de
los compromisos por pensiones, concertación de la realización de la formación
programada por las empresas para sus trabajadores, etc…
Respecto al
tratamiento de imágenes captadas por cámaras o sistemas de videovigilancia se
autoriza su uso cuando se haga con la finalidad de preservar la seguridad de
las personas, bienes e instalaciones. Los datos se deberán suprimir en el plazo
máximo de un mes, salvo cuando dichas imágenes deban servir como prueba de
determinados incumplimientos y comportamientos. Asimismo, se deberá colocar un
dispositivo informativo visible identificando de su existencia. Por último, el
empresario podrá utilizar las grabaciones para ejercer las labores de control
del cumplimiento de sus obligaciones por parte de los trabajadores, si bien
establece la obligatoriedad de informar previamente a los trabajadores sobre la medida.
El
incumplimiento del nuevo Reglamento General de Protección de Datos acarrea multas administrativas que van de:
- 10.000.000 euros como máximo o, si se trata de una empresa, el 2% como máximo del volumen de
negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía en el caso de incumplimientos de las obligaciones del
responsable y del encargado, de los organismos de certificación y de la
autoridad de control;
- 20.000.000 euros como máximo o, si se trata de una empresa, el 4% como máximo del volumen de
negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía en el caso de incumplimientos más graves de los principios y
derechos protegidos.
El RGPD no
contiene un elenco de infracciones
y sanciones, sino que sólo fija unas condiciones generales para la imposición
de multas administrativas económicas que podrán imponerse junto con otras
medidas de carácter sancionador. Tampoco menciona ningún plazo de prescripción.
Así pues, la RGPD se trata de un reto importante al que tienen que hacer frente las
empresas, y más en estos momentos en que el contador ya se ha puesto a cero. Cabe entender que en estos primeros meses de aplicación no habrá una
litigiosidad importante por parte de la Administración, y máxime ante la falta
de concreción de la norma en sus aspectos sancionadores.