El reciente Reglamento General de Protección de Datos (RGPD) ha puesto sobre la mesa un tema que está generando muchas dudas en el ámbito empresarial: ¿es necesario el consentimiento del trabajador para todos los tratamientos que realiza la empresa?
Según la normativa existen dos tipos de situaciones a tener en cuenta ante esta cuestión. El primero de ellos es cuando se trata de datos necesarios para el cumplimento del contrato laboral. En este caso no es necesario el consentimiento, ya que dichos datos están amparados en el propio contrato o en las obligaciones legales que la empresa asume frente a la Administración Pública, como por ejemplo informar a la Seguridad Social sobre esa relación laboral.
La segunda situación está relacionada con los tratamientos para los que la empresa tiene interés legítimo. No será necesario el consentimiento del trabajador para cuestiones en las que, aunque no estén tan directamente relacionadas con la ejecución del contrato, la empresa tenga un interés legítimo para el tratamiento, que le permita realizarlo.
Es obvio que la empresa tiene un interés legítimo en proteger sus sistemas e instalaciones y controlar el trabajo de los empleados. Tal es así que el Estatuto de los Trabajadores en su artículo 20.3, faculta al empresario a aplicar las medidas de vigilancia y control que estime oportunas para el cumplimiento de las obligaciones de los trabajadores, “guardando consideración a la dignidad de los trabajadores”. Por tanto, será necesario buscar el equilibrio entre ambas partes, y evitar vulnerar los derechos de los trabajadores.
En temas como sistemas de vigilancia en las instalaciones, control de acceso al edificio mediante el uso de sistemas biométricos o la geolocalización del trabajador cuando su trabajo se desempeña fuera de la oficina, es necesario evaluar correctamente los derechos. Así, por ejemplo, la empresa deberá informar a los trabajadores de la existencia de sistemas de vídeo vigilancia, para lo que deberá colocar un distintivo informativo ubicado en lugar suficientemente visible, en el que se informe de cuestiones como el responsable del tratamiento y la finalidad del mismo. En el caso del uso de la huella dactilar, el RGPD considera como “tratamiento de datos sensibles el realizado a los datos biométricos”. La normativa exige una evaluación estricta de la necesidad de la proporcionalidad de los datos tratados y de si la finalidad prevista podría alcanzarse de forma menos intrusiva.
Dada la amplitud de los conceptos y situaciones que se pueden plantear, y la sensibilidad ante la utilización de este tipo de datos por parte del empresario, desde AESYR & Abogados aconsejamos cumplir con la normativa, y en su caso actuar bajo el asesoramiento de profesionales.