GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

VIDA EMPRESARIAL

Tratamiento de datos personales en el trabajo

El procesamiento de datos personales en el trabajo es muy común. Aquí puede leer un resumen de lo que se aplica a las empresas en tales casos. La información está dirigida principalmente a empresas privadas, y no a actores activos en el sector público. 

¿Qué categorías de datos personales se tratan habitualmente en el lugar de trabajo?

Los siguientes son algunos ejemplos de categorías de datos personales que son comunes para procesar en el trabajo: 

  • Datos de contacto de los empleados.
  • Registro de nóminas. 
  • Listas de direcciones.
  • Información sobre las bajas por enfermedad de los empleados. 

Tratamiento de datos personales sensibles en el trabajo

Según el RGPD, el procesamiento de datos personales sensibles está prohibido por la regla general, pero hay algunas excepciones. Ejemplos de datos personales sensibles son los datos sobre salud, creencias religiosas y afiliación sindical. 

What breaches of the GDPR can lead to an administrative fine?

Otros dos actos de la UE

  • Ley de IA de la UE
  • Ley de Datos de la UE

Los empleadores también pueden procesar datos personales sensibles a la privacidad en el trabajo

Además, hay otros datos personales especialmente dignos de protección, los denominados datos personales «sensibles a la privacidad». Por ejemplo, datos sobre las condiciones sociales y los detalles de la tarjeta. Cuanto más importantes sean los datos personales, mayores serán los requisitos de seguridad, entre otras cosas. 

¿Cómo pueden los datos sobre bajas por enfermedad, que son datos personales sensibles según el RGPD, ser procesados por el empleador?

En el contexto del empleo, suele ser habitual que los empleadores traten la información sobre la baja por enfermedad de los empleados. La información sobre la baja por enfermedad son datos sobre la salud y, por lo tanto, constituyen datos personales sensibles de conformidad con el artículo 9 del RGPD. 

¿Qué base jurídica puede utilizarse para el tratamiento de datos personales sensibles por parte del empleador?

La base jurídica que el empleador utiliza a menudo para el tratamiento de datos personales sensibles es una obligación legal, de conformidad con el artículo 6, apartado 1, letra c), del RGPD. Esto se debe a que el procesamiento es necesario para que el empleador cumpla con sus obligaciones legales en virtud de la legislación laboral aplicable. Por ejemplo, para calcular y pagar la prestación por enfermedad correcta, informar a la seguridad social con arreglo a la legislación aplicable, etc. 

Por lo tanto, la base jurídica para este tipo de tratamiento no es el contrato (contrato de trabajo) con el interesado. Esto se aplica incluso si el pago de los salarios forma parte de las obligaciones del empleador en virtud del contrato de trabajo.

¿Existen excepciones para los empleadores que permiten el tratamiento de datos personales sensibles?

Sí, el artículo 9, apartado 2, letra b), del RGPD establece una excepción específica para los empleadores que permiten el tratamiento de datos personales sensibles. Es decir, en los casos en que el tratamiento deba ser llevado a cabo por el empleador para que este pueda cumplir sus obligaciones en virtud de la legislación laboral.

Sin embargo, tenga en cuenta que es importante que el empleador no envíe una hoja de pago que contenga la baja por enfermedad por correo electrónico sin cifrar o cualquier otro método que no sea lo suficientemente seguro.

¿Cuál es la responsabilidad de un empleador al procesar datos personales?

Un empleador que procesa los datos personales de sus empleados, y decide cómo y por qué deben ser procesados, es el controlador del procesamiento. 

Por ejemplo, si una empresa opera una empresa de contabilidad, la empresa de contabilidad puede procesar datos personales como controlador de datos o como procesador de datos. Trata datos personales como encargado del tratamiento, cuando los datos personales pertenecen a los empleados del cliente y el tratamiento se lleva a cabo en nombre del cliente.

¿Puede el gerente o propietario de la empresa ser el controlador o procesador de datos personales?

Por lo general, no es el gerente de la empresa o el propietario quien se considera personalmente como el controlador o procesador. En cambio, es la empresa como entidad la que tiene ese papel bajo el RGPD. 

Sin embargo, puede haber situaciones en las que una persona desempeñe el papel, por ejemplo, si el empleador opera como comerciante único y su número de identidad personal es el mismo que el número de identidad corporativa de la empresa.

¿Todos los empleadores deben designar un delegado de protección de datos en virtud del RGPD?

No, no todos los empleadores deben designar un delegado de protección de datos en virtud del RGPD. Solo algunos empleadores necesitan hacer esto. El RGPD establece requisitos claros para los que las organizaciones deben designar un delegado de protección de datos. 

¿Pueden todos los empleadores designar un delegado de protección de datos en virtud del RGPD?

Sí, un empleador que no esté obligado a nombrar un delegado de protección de datos puede optar por hacerlo voluntariamente. Si el empleador ha designado un delegado de protección de datos, los empleados tendrán derecho a ponerse en contacto con el delegado de protección de datos en caso de cualquier pregunta relacionada con el tratamiento de sus datos personales. Lo mismo se aplica a los demás interesados.

¿Quién debe designar un delegado de protección de datos en virtud del RGPD?

Las autoridades siempre deben designar un delegado de protección de datos, pero no todas las empresas privadas. Se consultará a los responsables de la protección de datos, entre otras cosas, cuando la empresa tenga la intención de llevar a cabo una evaluación de impacto.

¿Es necesario notificar a la autoridad de control el nombramiento de un delegado de protección de datos?

Sí, todos los delegados de protección de datos designados se registrarán y notificarán a la autoridad de control, incluidos sus datos de contacto.

¿Es el delegado de protección de datos personalmente responsable del cumplimiento del RGPD por parte de la organización?

No, el delegado de protección de datos no tiene ninguna responsabilidad personal por el cumplimiento del RGPD por parte de la organización. En cambio, es la propia organización la que tiene esta responsabilidad.

Sistemas de contratación y bases de datos de competencias

Es común que las empresas procesen datos personales al reclutar nuevos empleados para el negocio. Lo mismo se aplica al uso de bases de datos de competencias para este fin. Es importante contar con una base jurídica para dicho tratamiento de datos personales. 

¿Qué base jurídica se utiliza habitualmente para el tratamiento de datos personales en relación con la contratación?

La base jurídica de interés legítimo en virtud del artículo 6, apartado 1, letra f), del RGPD puede ser una base jurídica adecuada para su uso en tales casos. 

Sin embargo, el consentimiento como base jurídica no suele ser adecuado. Esto se debe a que existe una relación de poder desigual entre un empleador y un empleado.

¿Es necesario realizar una evaluación de impacto antes del tratamiento?

En algunos casos, puede ser necesario llevar a cabo una evaluación de impacto antes de que el empleador comience a tratar los datos personales. Por ejemplo, si una agencia de trabajo temporal realiza verificaciones de antecedentes al contratar a una nueva persona. 

Diferentes tipos de monitoreo

Si un empleador desea implementar vigilancia por cámara en el lugar de trabajo u otro tipo de monitoreo y procesa datos personales en relación con esto, la empresa debe cumplir con el RGPD. Sin embargo, es el Derecho laboral el que regula principalmente el derecho del empleador a controlar y supervisar a sus empleados. 

What is the definition of anonymised data?

Vigilancia por cámara

La vigilancia por cámara es una intrusión en la privacidad y en los lugares de trabajo, y los empleados tienen un gran interés en general en no estar sujetos a dicha vigilancia. Sin embargo, hay situaciones en las que el empleador puede tener un mayor interés en llevar a cabo la vigilancia. Por ejemplo, en el caso de la vigilancia con cámara dentro de un almacén donde hay artículos de lujo. En algunos casos, puede ser relevante tener solo las cámaras en un almacén durante la noche cuando no hay empleados allí, si el propósito es prevenir o hacer frente más fácilmente a los robos.

Subjektivt integritetskänsliga personuppgifter

Técnicas de posicionamiento

Algunos tipos de empresas pueden necesitar tener tecnología de posicionamiento en camiones de trabajo que los empleados utilizan en el servicio. Es importante no usar la información para, por ejemplo, verificar cuánto tiempo los empleados toman sus descansos. La información tampoco debe usarse para rastrear a los empleados mientras no están trabajando, si se les permite usar el automóvil de la compañía durante su tiempo libre.

Tratamiento de datos biométricos en el trabajo

Ejemplos de datos biométricos son la toma de huellas dactilares o el reconocimiento facial. Los datos biométricos son datos personales sensibles de conformidad con el artículo 9 del RGPD. Son los datos los que permiten identificar a una persona, ya que se refieren a sus características fisiológicas, conductuales o físicas. 

Por lo tanto, es importante tener en cuenta que las normas son más estrictas al tratar estos datos personales sensibles. Las empresas que procesan datos biométricos en el trabajo deben adoptar las salvaguardias adecuadas para proteger los datos personales.

¿Se permite a todas las empresas procesar datos biométricos de los empleados?

Se puede permitir que las empresas procesen datos biométricos como empleadores, pero no si es posible lograr el mismo propósito de una manera menos sensible a la privacidad. Para utilizar datos biométricos, la empresa debe tener una razón sólida. Además, puede ser necesario llevar a cabo una evaluación de impacto antes de que comience el tratamiento. 

¿Se pueden procesar datos biométricos para el control de asistencia?

No, los datos biométricos no deben usarse para el control de asistencia, ya que generalmente están prohibidos. En Suecia, una escuela tuvo que pagar una multa después de usar el reconocimiento facial al verificar la asistencia de los alumnos. 

APRENDE MÁS SOBRE RGPD

Crear una buena estructura

Cuanto más grande es la empresa, más importante es tener una estructura clara en el trabajo de protección de datos, desde la alta dirección hasta todos los demás empleados. En las empresas más grandes, puede ser útil nombrar embajadores de protección de datos, por ejemplo, que reciban capacitación adicional en RGPD. Estas personas pueden, entre otras cosas, ayudar a difundir información relevante a otros empleados y responder preguntas sobre RGPD. Por ejemplo, si una gran empresa tiene varios departamentos diferentes, es bueno que una persona de cada departamento sea nombrada Embajadora de Protección de Datos. Cuando la administración desea compartir nueva información dentro de la organización, los embajadores de protección de datos pueden tener la tarea de difundirla a cada individuo dentro de su departamento respectivo.

¿Quieres saber más?

Leer más
Scroll al inicio