Reglamento europeo de protección de datosReglamento europeo de protección de datosReglamento europeo de protección de datosReglamento europeo de protección de datos
  • Gestión, RR.HH. e Investigación
  • PRL y Salud
  • Legal
  • Subvenciones
  • Formación
  • Protección de Datos
  • Nuevas Tecnologías
  • Más
    • Entrevistas
    • Vida empresarial
✕
El sector tecnológico, el boom de la formación
18 septiembre, 2018
“Nuestro objetivo no es solamente el resultado, sino también cómo se llega a ese resultado y la repercusión que a futuro tenga esa manera de conseguirlo”
18 septiembre, 2018

Reglamento europeo de protección de datos

18 septiembre, 2018

Derechos y Obligaciones de los trabajadores/as

Desde la entrada en vigor, el pasado 25 de mayo, del nuevo Reglamento Europeo de Protección de Datos (en adelante RGPD), en sustitución del antiguo reglamento y de las normativas nacionales, muchas han sido las consultas sobre cómo este afecta a la relación entre la plantilla y la empresa, cómo debe formalizarse dicha relación, cuáles son los derechos y obligaciones de cada una de las partes y, en definitiva, qué debe hacer la organización para conducir a una correcta adaptación al nuevo marco normativo.

Desde el punto de vista de la empresa, la adecuación al actual RGPD no solo es un reto para el departamento de sistemas de información o marketing, también lo es para el de recursos humanos. La compañía debe proteger en todo momento los derechos de los trabajadores basar su relación en la transparencia en la información y en la protección de sus datos.

El deber de informar, el derecho a estar informado

La empresa, como responsable del tratamiento de los datos de su personal, está obligada a informar correctamente de dicho tratamiento. Así, debe indicar de forma nítida quién es el responsable, la finalidad del tratamiento, la base legitimadora, si se ceden datos a terceros, el plazo de conservación, las medidas de seguridad adoptadas, etc., en definitiva, debe otorgar a la plantilla la misma información que se presupone para sus clientes. Una información transparente, pertinente, clara y sencilla es una de las claves más importantes de este código europeo y que no excluye a las personas trabajadoras en su condición de titulares de datos personales.

La obligación de informar de la compañía se traslada al trabajador/an forma de derechos. Por lo que tienen derecho a conocer cómo son tratados sus datos personales y cómo pueden ejercer sus derechos ante la empresa o ante los organismos oportunos.

La simple tarea de informar no garantiza el conocimiento, por lo que, aun no estando recogido con carácter de obligatoriedad en la normativa, en materia de protección de datos, resulta imprescindible la formación del personal y la generación de guías y protocolos de actuación.

Los ARCO y los nuevos derechos

La actuación de la compañía no puede limitarse a informar, sino que debe establecer los mecanismos adecuados para que el personal pueda ejercer sus derechos e indicar la forma de proceder para comunicar un uso indebido de los mismos, al amparo de la Agencia Española de Protección de Datos.

Son ampliamente conocidos, a nivel global en la sociedad, los derechos ARCO: los derechos de Acceso, Rectificación, Cancelación u Oposición. Estos derechos, ya incluidos en la Ley 15/1999 de Protección de Datos de Carácter Personal, continúan vigentes en el RGPDaciendo junto a ellos tres nuevos conceptos derivados principalmente del actual entorno tecnológico: portabilidad, limitación y olvido.

De estos tres nuevos derechos, los dos primeros están orientados a grandes compañías de servicios. El derecho a portabilidad, pensado inicialmente para el traspaso de datos de usuarios/as entre empresas telefónicas pero que se ha extendido a otras empresas entre las que se pudiese realizar esa transferencia de información de clientela, y el derecho al olvido, que pretende suprimir la indexación de los datos de una persona en los buscadores de internet. Por su parte, el derecho a limitación del tratamiento, recogido en el artículo 18 del RGPD puede hacerse efectivo en el caso de que la persona titular de los datos quiera ejercer la cancelación pero no sea posible, por estar supeditada dicha cancelación a una obligación legal a conservarlos.

En cuanto al empleado/a, el poder ejercer cada uno de los derechos está condicionado por la propia relación laboral. Así, por ejemplo, puede tener un acceso a sus datos identificativos para una actualización de los mismos, pero no una cancelación mientras por imperativo legal la entidad se encuentre en deber de tratarlos para la gestión con la Agencia Tributaria, la Seguridad Social o el SEPE – Servicio Estatal Público de Empleo -. En cambio, si por ejemplo el mismo empleado/a hubiera cedido sus datos para la gestión multimedia de imágenes de las redes sociales de la empresa, podría en cualquier momento revocar dicho consentimiento, cancelando el tratamiento para tal fin, al no existir obligación normativa alguna que prevalezca sobre su solicitud.

Confidencialidad, integridad y disponibilidad

La organización está obligada a establecer las medidas técnicas y organizativas que permitan garantizar la seguridad de los datos personales, incluyendo también los de sus trabajadores/as. Esta garantía de invulnerabilidad para mantener la integridad, confidencialidad y disponibilidad de la información, constituye, del mismo modo, un derecho para el equipo humano de la empresa.

El personal de la empresa debe ser consciente, en relación al puesto que este ocupe, del manejo de datos personales de agentes implicados, o grupos de interés, de la compañía: de sus clientes, proveedores o de otros (de los) empleados/as. Para ello, el personal, además de respetar la implantación de las medidas técnicas y organizativas de seguridad que establezca la organización, debe mantener un comportamiento correcto basado en la confidencialidad y en un tratamiento estrictamente restringido a las finalidades que marque cada registro.

Brechas de seguridad

Las brechas de seguridad son los errores o fallos en el tratamiento de datos de carácter personal. En este contexto, el trabajador tiene la obligación de comunicar dichos fallos cuando los detecte, alertando a la entidad para que ésta pueda tomar decisiones que permitan minimizar el impacto y actuar en base a las reglas previamente diseñadas en los planes de actuación.

En contraposición, es obligación de la empresa habilitar canales y procedimientos adecuados para la comunicación de dichas brechas, e informar a los trabajadores/as sobre el modo de actuar ante un error de seguridad.

¿Cuándo resulta necesario el consentimiento expreso?

Respecto al consentimiento expreso al tratamiento de los datos personales debe indicarse, que no resulta imprescindible para mantener la relación laboral entre el empleado/a y la entidad, siempre y cuando se recaben única y exclusivamente los datos necesarios para la gestión laboral, sean utilizados para los fines derivados de esta relación y se encuentren perfectamente informados/as.

Aun así, es muy frecuente que la entidad solicite información adicional como, por ejemplo, el correo electrónico personal para el envío de nóminas. También es muy común en el ámbito empresarial la utilización de material multimedia de sus empleados\as, bien sea para la difusión en redes sociales, o bien para uso interno como la realización de fichas,  listas de contacto, etc.

Estos ejemplos, muy comunes en todo tipo de organizaciones, generan la necesidad de solicitar la autorización expresa al tratamiento de los datos de los empleados/as para dichos fines, formalizado habitualmente como un anexo al contrato laboral.

En conclusión, la adaptación al RGPD no debe ser percibida como un escollo para la compañía, ya que constituye una garantía de seguridad para empresa y plantilla. Los efectos de la transición al RGPD serán positivos siempre y cuando la corporación sea capaz de crear un sistema seguro en torno a la tipología de datos objeto de tratamiento, estableciendo los protocolos de comunicación apropiados e informando de forma diáfana a través de los contratos, cláusulas y autorizaciones suscritas con el personal. Como siempre, se trata de aplicar el sentido común y el respeto a la legalidad, como valores que deben regir en toda organización.

Iván Dobarro

Consultor en protección de datos

Share

Artículos relacionados

nuevos derechos digitales
20 mayo, 2019

Los nuevos derechos digitales: Ley Orgánica 3/2018

Leer más
3 diciembre, 2018

Protección de datos y derechos fundamentales

Leer más
10 mayo, 2018

Apunte sobre el Reglamento General de Protección de Datos

Leer más
(Re)vista de Consultoría

(Re)vista de Consultoría es una iniciativa de Grupo Isonor para divulgar información relevante en el ámbito empresarial y poner en valor la trayectoria de quienes contribuyen, día a día con su trabajo, a construir una sociedad mejor.

© 2018 Grupo Isonor. Todos los derechos reservados | Aviso Legal | Política de Privacidad
Grupo Isonor no se hace responsable de las opiniones vertidas en los contenidos de la (Re)vista; la finalidad de este espacio es dar cabida a los distintos puntos de vista de cada uno de los aotores/as o personas entrevistadas respetando su profesionalidad y planteamientos. Los contenidos de este blog no podrán ser reproducidos, trasmitidos ni registrados sin permiso expreso de Grupo Isonor.