LUGAR DE TRABAJO
Responsabilidad por los datos personales
Los empleadores tienen una responsabilidad al procesar datos personales bajo el RGPD (Reglamento General de Protección de Datos de la UE). Entre otras cosas, los empleadores deben garantizar que su tratamiento de los datos personales de los empleados se realice correctamente. Los empleadores deben tratar los datos personales de sus empleados para cumplir sus obligaciones en virtud de la legislación laboral.
¿Quién es el responsable del tratamiento de los datos personales?
La propia empresa como organización es el controlador de datos personales, cuando procesa los datos personales de sus empleados. Por lo tanto, no es el gerente u otra persona de la empresa quien desempeña el papel de «responsable del tratamiento». Sin embargo, los individuos pueden ser controladores de datos en ciertos casos. Por ejemplo, si una persona opera como comerciante único.
¿Es común que los empleadores procesen datos personales sensibles de sus empleados?
Sí, es común que los empleadores procesen diferentes categorías de datos personales sensibles de sus empleados en el contexto del empleo. Ejemplos de datos personales sensibles con arreglo al artículo 9 del RGPD son los datos sanitarios y sindicales.
¿Cuáles son ejemplos de otras razones para que los empleadores procesen datos personales confidenciales sobre sus empleados?
Es importante que los empleadores garanticen un lugar de trabajo seguro y protegido con arreglo a la ley, que sea adecuado y adaptado a las posibles necesidades especiales de los trabajadores.
Por ejemplo, un empleado puede informar a su empleador sobre sus posibles discapacidades o diagnósticos. Estos son ejemplos de datos personales sensibles que el empleador puede necesitar procesar de acuerdo con el RGPD, incluida cualquier otra ley laboral aplicable.
¿Existen normas específicas que se apliquen al tratamiento de datos personales sensibles sobre los empleados?
Sí, y es importante tener en cuenta que el almacenamiento y la transferencia de datos personales sensibles requieren una mayor seguridad que el procesamiento de otras categorías de datos personales. Por lo tanto, por ejemplo, el empleador nunca debe enviar por correo electrónico un recibo de pago sin cifrar, si contiene datos sobre la salud, como la baja por enfermedad.
¿Qué tipo de datos personales sensibles es común que un empleador procese?
Los empleadores suelen tratar datos sobre la salud de sus empleados, por ejemplo, información sobre la baja por enfermedad de los empleados. Además, es común incluir dicha información en la nómina. Es información importante que afecta el tamaño del salario.
¿Cuál es la responsabilidad de los empleadores al procesar datos personales bajo el RGPD?
Los empleadores se asegurarán de que el tratamiento de los datos personales de su personal se lleve a cabo de conformidad con las normas del RGPD. Esto significa, entre otras cosas, que el empleador tiene la obligación de informar a los empleados sobre el procesamiento de sus datos personales. La información que debe divulgarse se regula con más detalle en los artículos 13 y 14 del RGPD.
¿Cómo debe presentarse la información del empleador sobre el procesamiento de los datos personales de sus empleados?
La información debe redactarse por escrito en un aviso de privacidad especial destinado a los empleados. Sin embargo, esto no tiene que publicarse en el sitio web del empleador, sino que puede publicarse o compartirse internamente solo a los empleados.
¿Se considera que los empleados son «interesados» en virtud del RGPD?
Sí, los empleados se consideran «interesados» en virtud del RGPD cuando el empleador trata sus datos personales. Por lo tanto, tienen derecho a diversos derechos, que el empleador está obligado a proporcionar previa solicitud. Por ejemplo, el derecho de acceso y el derecho a la rectificación de sus datos personales procesados por el empleador.
¿Puede el empleador ser responsable de los daños y perjuicios causados a los empleados por el tratamiento ilícito de sus datos personales?
Sí, el empleador puede ser responsable de cualquier daño causado por el procesamiento de los datos personales de los empleados de conformidad con el artículo 82 del RGPD, si el procesamiento se ha llevado a cabo incumpliendo las disposiciones del RGPD.
Empleados que trabajan desde casa
Ya sea que los empleados trabajen desde una oficina física o desde casa, el empleador debe cumplir con las reglas del RGPD. Esto incluye implementar y tener:
Un nivel de seguridad suficientemente elevado,
Una finalidad clara para cada tratamiento individual de datos personales,
Eliminar los datos personales cuando ya no sean necesarios para la finalidad para la que fueron recogidos.
El empleador tuvo que pagar una multa por la vigilancia con cámara de los empleados en lugares inapropiados
Un empleador recibió una multa de 5 000 000 ISK de la autoridad islandesa de protección de datos después de haber tenido vigilancia por cámara en el vestuario del personal. Además, la empresa había incumplido sus obligaciones de informar a los empleados al respecto. Los empleados tampoco tenían otro lugar para cambiarse de ropa que no estuviera bajo vigilancia de la cámara. La autoridad islandesa de protección de datos ordenó a la empresa que cesara la vigilancia con cámara en el vestuario. Además, se les ordenó que eliminaran todo el material grabado.
Los empleadores pueden delegar la ejecución del procesamiento, pero no la responsabilidad del procesamiento.
De acuerdo con el RGPD, los controladores de datos nunca pueden delegar o transferir la responsabilidad real del procesamiento. Sin embargo, es posible delegar la ejecución del procesamiento en otra persona. En tales casos, la empresa que trata datos personales en nombre de la otra empresa es un encargado del tratamiento de datos.
Ejemplos de delegación de actividades de tratamiento a un encargado del tratamiento
Un empleador puede contratar a una empresa de contabilidad para que se encargue de todo lo relacionado con la administración y el pago de salarios en la empresa. En este caso, el empleador es el controlador de datos. Sin embargo, la oficina de contabilidad procesa los datos personales de los empleados del empleador como procesador de datos contratado por el empleador.
¿Es necesario que el responsable y el encargado del tratamiento celebren un acuerdo de tratamiento de datos por escrito?
Sí, todos los controladores y procesadores deben celebrar un acuerdo de procesamiento de datos por escrito entre sí. Este es un requisito en virtud del artículo 28 del RGPD.
MÁS INFORMACIÓN SOBRE LA VIDA DE TRABAJO
Tratamiento de datos personales en relación con la contratación y en bases de datos de competencias
Una empresa procesa datos personales en relación con el proceso de contratación. Además, es común utilizar bases de datos de competencias que contienen datos personales, tanto en la contratación externa como interna. Es importante no tratar más datos personales de los necesarios para la contratación. El interés legítimo suele ser una base jurídica adecuada para dicho tratamiento. El consentimiento como base legal, por otro lado, a menudo no es apropiado de usar, ya que la relación de poder es desigual entre los solicitantes de empleo y los empleadores.