En las últimas semanas hemos visto como nuestros correos electrónicos se llenaban de mensajes informándonos sobre las nuevas políticas de protección de datos. A todos nosotros nos suena a estas alturas el famoso REGLAMENTO DE PROTECCIÓN DE DATOS (RGPD O GDPR POR SUS SIGLAS EN INGLÉS), REGLAMENTO (UE) 2016/679, DEL PARLAMENTO EUROPEO Y DEL CONSEJO DE 27 DE ABRIL DE 2016, que no es que entrara en vigor la semana pasada, como algunos medios de comunicación nos decían ya que esto sucedió en mayo de 2016, sino que hasta el 25 de mayo de 2018 las empresas tenían plazo para adaptarse a la misma. Es decir, una vacatio legis para las empresas y todos aquellos afectados por el RGPD.Esta norma impuesta desde la Unión Europea supone para las empresas adecuar sus procesos para tratar y almacenar los datos personales. Por lo que respecta a las relaciones laborales, esto supone que se deben identificar y tratar los datos tanto de los candidatos que quieran unirse a una empresa, como los datos de los propios empleados. Dicho de esta manera, a simple vista parece que no ha cambiado nada respecto a la anterior regulación, pero la realidad de todo ello es que la aplicación del nuevo RGPD afecta de manera directa al ámbito de las relaciones laborales y los recursos humanos.Es importante tener en cuenta que el RGPD exige un consentimiento expreso del propio afectado. Esto supone que los trabajadores de una empresa, o los candidatos a la misma, deben firmar un documento donde se les informe de todas las finalidades que van a tener sus datos. Y es que el artículo 5 del RGPD, que lleva por título “principios relativos al tratamiento”, es explícito en este sentido:
“los datos personales serán tratados de manera lícita, leal y transparente […] recogidos con fines determinados, explícitos y legítimos […] adecuados, pertinentes y limitados a lo necesario en relación con los fines para lo que son tratados […] exactos y, si fuera necesario, actualizados […] mantenidos de forma que se permitan la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales […] tratados de tal manera que se garantice una seguridad adecuada de los datos personales […]”.
Y el artículo 6 RGPD expone que para que el tratamiento sea lícito, este deberá cumplir una serie de condiciones, destacándose que el trabajador debe dar su consentimiento -expreso- para el tratamiento de los datos, para uno o varios fines, y que dicho tratamiento es necesario al ser parte de un contrato -laboral- entre otras condiciones que se indican en el precepto.Por otra parte, considerando el artículo 155 del RGPD se abre la puerta a que sean los propios convenios colectivos o los convenios de empresas, los que puedan establecer normas específicas relativas al tratamiento de datos personales de los trabajadores. Como se ve, no solamente existe una norma que impone obligaciones en cuanto al tratamiento de los datos, sino que, a partir de ahora, este tipo de normas las veremos reflejadas en un convenio colectivo o un convenio de empresa, donde los comités de empresa también tendrán un papel activo ya que, como cuestión que afecta de manera directa a los trabajadores, el artículo 64 del Estatuto de los Trabajadores obliga a que éste sea informado en todo momento.
Además, el artículo 88 RGPD hace especial hincapié en que las normas que se establezcan por los propios Estados miembros, “deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados, así como sus intereses legítimos y derechos fundamentales”, prestando una importante atención en: 1) la transparencia del tratamiento, 2) la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica, 3) y a los sistemas de supervisión en el lugar de trabajo.Todo esto transpuesto a las relaciones laborales desemboca en que es sumamente importante el concepto de “transparencia”. Y es que el artículo 12 del RGPD recoge la transparencia de la información como un derecho del interesado, obligando al responsable de facilitar al interesado, en todo momento, la información relativa al tratamiento de los datos personales de forma concisa, transparente, inteligible y de fácil acceso.Esto conlleva que, a partir de ahora, y por poner algunos ejemplos, en los procesos de selección de personal, es importante poner en marcha procedimientos que informen al candidato y, a su vez, supongan una confirmación expresa por parte del candidato de las condiciones en que se recogerán sus datos, el fin del mismo, durante cuánto tiempo se mantendrán y el lugar donde se albergará la información. De lo contrario, podría llegarse a considerar nulo el consentimiento del candidato porque, aunque sea expreso y voluntario, este se da en una relación de desequilibrio entre el titular de los datos personales y quien pide el consentimiento para tratar sus datos (Considerando artículo 43 del RGPD).Otro ámbito donde tiene una verdadera incidencia el nuevo RGPD es durante el desarrollo de la prestación laboral. Las empresas no deben pasar por alto las cláusulas de protección de datos que ya habían firmado sus trabajadores antes de ser efectiva la aplicación del RGPD. Muchas veces hemos visto sentencias emanadas del Tribunal Europeo de los Derecho Humanos donde se condena a España a pagar a ciertas personas por vulnerarse el derecho a la privacidad. Me estoy refiriendo a un caso concreto sin ser el único: la Sentencia del TEDH de 9 enero 2018, “Caso de López Ribalda y otras contra España”. En este caso se condenó a España a pagar a cinco cajeras que fueron despedidas después de que la empresa descubriera que robaban en el establecimiento en el que trabajaban gracias a una cámara oculta de la cual las trabajadoras no sabían nada. El TEDH determinó que se había vulnerado el derecho al respeto de la vida privada, del artículo 8 del Convenio Europeo de Derecho Humanos (CEDH), ya que deberían haber sido informadas de la colocación de estas cámaras ocultas.Este caso, cuya resolución es asombrosa desde mi punto de vista y que bien podríamos entrar a discutir en otro foro, es un claro ejemplo de la manera en que incide el tratamiento de los datos personales durante el desarrollo de la prestación laboral. Y es que podría decirse que en este caso la empresa ha omitido totalmente los artículos 6 y 7 del RGPD, faltando al consentimiento expreso de las trabajadoras, no sabiendo las mismas el fin que tenía la grabación de su imagen en el supermercado, además de no saber la necesidad o interés que desempeñaba la cámara oculta.Como podemos ver, las empresas no pueden pasar por alto el Reglamento General de Protección de Datos ya que, no hacer absolutamente nada, no es una opción que se deba optar porque puede desembocar en una grave incidencia. Y es que últimamente vemos diferentes resoluciones emanadas de los tribunales donde a priori el tema puede estar a favor del empresario, pero que al final, por una cosa u otra, sale condenado del procedimiento. El RGPD ya está en marcha desde el 25 de mayo de 2018, y desde CALDERÓN CORREDERA ABOGADOS aconsejamos a las empresas y empresarios sobre las novedades que implica esta norma, y la importancia de revisar, actualizar, y en su caso modificar, todos los procedimientos en cuanto al tratamiento de datos personales. Si somos preventivos es más probable que no nos llevemos sorpresas.
