Novedades en la Protección de Datos
El nuevo Reglamento General de Protección de Datos (RGPD) es de aplicación directa desde el 25-5-2018. En el ámbito laboral, el tratamiento de la protección de datos personales tiene repercusiones desde el proceso de selección hasta la extinción del contrato, a lo largo de toda la relación laboral. Se aplica a toda empresa que trate datos personales de ciudadanos de la UE, con independencia de dónde esté la sede de la compañía.
Con carácter general, las principales novedades son las siguientes:
1. Se establece como principio del tratamiento de los datos personales el de transparencia y se aclara el de minimización de datos.
2. Se incluye el derecho del interesado al olvido o supresión de sus datos y se indican las condiciones de ejercicio de este derecho, incluida la obligación del responsable del tratamiento que haya difundido los datos personales de informar a los terceros sobre la solicitud del interesado de suprimir todos los enlaces a los datos personales, copias o réplicas de los mismos. Quedan, de este modo, ampliados los derechos ya existentes y conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición).
3. Se establecen las obligaciones del responsable del tratamiento, al que se corresponde, entre otras, la de demostrar que el tratamiento es conforme a este reglamento (principio de responsabilidad proactiva).
4. Se crean dos figuras que comparten la responsabilidad en el tratamiento de la protección de datos personales:
- Responsable del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. En el caso de entes sin personalidad jurídica, se considera responsable del tratamiento a la persona o personas integrantes de los mismos.
- Encargado del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento siguiendo estrictamente sus indicaciones. Está legitimado para realizar todos los tratamientos, automatizados o no, que el responsable del tratamiento le haya encomendado formalmente.
5. Se establece la figura del delegado de protección de datos . Tiene encomendadas las funciones de informar a la entidad o responsable del tratamiento de sus obligaciones legales en materia de protección de datos de carácter personal, así como velar por el cumplimiento de las normas (internas y externas) al respecto, y cooperar con la autoridad de control .
6. El incumplimiento del nuevo Reglamento General de Protección de Datos conlleva multas administrativas que van de:
- 10.000.000 € como máximo o, si se trata de una empresa, el 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía en el caso de incumplimientos de las obligaciones del responsable y del encargado, de los organismos de certificación y de la autoridad de control;
- 20.000.000 € como máximo o, si se trata de una empresa, el 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía en el caso de incumplimientos más graves de los principios y derechos protegidos.
El RGPD no contiene un elenco de infracciones y sanciones, sino que sólo fija unas condiciones generales para la imposición de multas administrativas económicas que podrán imponerse junto con otras medidas de carácter sancionador. Tampoco menciona ningún plazo de prescripción.
Por lo que se refiere a la relación laboral:
1. El tratamiento de la protección de datos personales tiene repercusiones desde el proceso de selección hasta la extinción del contrato, a lo largo de toda la relación laboral, como por ejemplo en la utilización de los medios de control de la actividad de los trabajadores a través de las nuevas tecnologías (videovigilancia, geolocalización, uso de Internet...), los datos referentes a afiliación sindical .
2. La empresa está legitimada para efectuar el tratamiento de datos personales de sus empleados, no siendo necesario el consentimiento cuando los datos de carácter personal sean necesarios para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. Por lo tanto, el tratamiento debe considerarse lícito cuando sea necesario en el contexto de un contrato de trabajo o en la intención de concluir un contrato .
3. Está prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical; datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. Como excepción, dichos datos especialmente protegidos pueden ser tratados si el trabajador da su consentimiento explícito y cuando sea necesario en el ámbito del Derecho Laboral y de la seguridad y protección social.
4. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo pueden ser incluidos en ficheros de las Administraciones públicas competentes, en los supuestos previstos en las respectivas normas reguladoras .
5. El contrato de trabajo es un medio adecuado para informar al trabajador del tratamiento de sus datos directamente relacionado con la prestación laboral, pero no para informar de otros tratamientos distintos, pues no debe confundirse la información que debe ofrecer el empleador con una manifestación del consentimiento del trabajador.
6. El empresario es normalmente el responsable del tratamiento, aunque también puede haber otros responsables, como los sujetos colectivos o los servicios de prevención, mientras que el encargado del tratamiento es la gestoría, asesoría, empresa encargada del mantenimiento informático, hosting o gestión de webs, en definitiva, todo aquel que disponga de información de sus clientes, trabajadores o proveedores considerados datos de carácter personal.
NOTA
1. En el ámbito laboral existe la posibilidad de que los Estados miembros establezcan normas específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores.
2. En España se está tramitando en la actualidad el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal , publicado por el BOCG el día 24-11-17.