LA PROTECCIÓN DE DATOS EN LA RELACIÓN LABORAL Y LA PREVENCIÓN DE RIESGOS LABORALES
Las empresas tienen que estar preparadas para evitar sanciones de la Agencia Española de Protección de Datos (AEPD). Las sanciones de la AEPD van de 900 a 40.000 euros por las infracciones más leves hasta 600.000 por las muy graves, y son la principal fuente de ingresos de la AEPD.
Para llevar una correcta gestión de los datos personales de los trabajadores y evitar riesgos innecesarios indicamos a continuación una serie de indicaciones y consejos:
En cuanto a la relación laboral, ten en cuenta:
- La empresa no necesita el consentimiento del trabajador para tratar sus datos personales (son una excepción a la regla del consentimiento expreso), siempre que ese tratamiento sea necesario para articular la relación laboral y los datos que vayan a tratarse sean los imprescindibles y necesarios para llevar a cabo esa relación laboral. Tales como nombre y apellidos, dirección, NIF, dato de discapacidad en el marco de la relación laboral, etc.
- La empresa sí está obligada a cumplir su obligación de información al trabajador del tratamiento de sus datos personales que va a llevar a cabo la empresa. Se deberá llevar a cabo al formalizar la relación laboral (o con posterioridad si fuera preciso) mediante un documento firmado por el trabajador en el que conste que ha sido informado. Esta información puede constar en el propio contrato, de forma que una vez que el trabajador lee y firma su contrato, se entiende cumplido el deber de información. También puede ser un anexo a éste o incluso constar en documento aparte.
Ej.: Le informamos que los datos personales recogidos en su contrato se encuentran incorporados en nuestros ficheros y tratados automatizadamente y en papel en el fichero denominado (Nombre del Fichero) de (Responsable del Fichero) legalmente inscrito en el Registro General de Protección de Datos, para la gestión integral de la relación empresa-empleado. Dichos datos serán cedidos a:
– Las Administraciones Públicas y Mutuas en cumplimiento de la normativa laboral, de Seguridad Social, tributaria y de prevención de riesgos laborales.
– La entidad bancaria colaboradora de la entidad para la domiciliación de su nómina.
….
Si en el momento de iniciar la relación laboral no se informó a los trabajadores, se debe hacer cuanto antes utilizando para ello una cláusula que añadirá a sus contratos o bien un nuevo documento informativo independiente que deberán firmar los empleados como acuse de recibo.
- En el caso que los trabajadores no quieran firmar la cláusula informativa referente al tratamiento de sus datos, la empresa puede acreditar que ha informado al afectado mediante, por ejemplo:
- Adjuntando la cláusula informativa a su nómina (mejor si es durante varios meses).
- Enviando un e-mail informativo a todos los empleados.
- Notificándolo a través de la intranet de la empresa.
- Mediante una cláusula informativa en el tablón de anuncios si éste es accesible y fácilmente visible por parte de los trabajadores.
– Cartel anunciador que reúna los requisitos de ubicación y formato que garanticen su conocimiento por parte de los trabajadores, etc.
- Debe inscribir los ficheros con datos personales en la AEPD (como por ejemplo el fichero de empleados).
El fichero de empleados contiene un conjunto de datos de carácter personal que parecen datos vinculados al desenvolvimiento de la relación laboral con el empleador, de forma que si, como es el caso, contiene únicamente el nombre, apellidos, D.N.I, dirección, firma, datos bancarios, fecha de nacimiento, edad, estado civil, nacionalidad, así como el número de afiliación a la seguridad social, se considerará suficiente la implantación del nivel de seguridad básico, siempre que no contenga datos especialmente protegidos- datos de ideología, religión, creencias, origen racial, salud o vida sexual-, así como los recabados para fines policiales sin consentimiento de los titulares o que contengan datos referidos a actos derivados de la violencia de género.
- Disponer de cláusulas de confidencialidad para ser firmadas por los trabajadores que, en el marco de la relación laboral, van a manejar ficheros de datos personales de los que es titular la empresa.
En cuanto a la prevención de riesgos laborales, ten en cuenta:
- En materia de prevención de riesgos laborales, el tratamiento de datos personales no requiere, por regla general, contar con el consentimiento del trabajador, al existir una relación contractual cuyo desarrollo, cumplimiento y control lo hace necesario.
- En el ámbito de la vigilancia de la salud, si las revisiones médicas son realizadas a través de una empresa externa, que presta el servicio de prevención, ésta será la responsable del tratamiento de todos aquellos datos que el trabajador le proporcione en desarrollo de la actividad de prevención de riesgos laborales llevada a cabo por un servicio médico y deberá proceder a la inscripción del ficheros de “vigilancia de la salud” como responsable del tratamiento que realiza.
De este modo sus empresas clientes (empleadoras de dichos trabajadores), deberán ser informadas de las conclusiones que se deriven de los reconocimientos efectuados sólo en relación con la aptitud del trabajador para el desempeño del puesto de trabajo.
Si se trata de un servicio propio la empresa, (en lugar de una empresa externa), será responsable del fichero que se genere para la gestión de la prevención.
- El responsable del fichero debe cumplir con el principio de información y debe limitarse a recabar y utilizar los datos que sean estrictamente necesarios para la finalidad de la prevención.
- La normativa de prevención de riesgos habilita, y obliga, a que sean comunicados datos personales de trabajadores a los delegados de prevención, a la autoridad sanitaria, a la inspección de trabajo y a la autoridad laboral.
Los delegados de prevención están facultados para acceder a la información y documentación relativa a las condiciones de trabajo que sean necesarias en el ejercicio de sus funciones y pueden por tanto acceder a datos personales relacionados con daños en la salud de los trabajadores, en el marco de la relación laboral, con la única finalidad de control, que les atribuye la Ley de Prevención de Riesgos Laborales (LPRL), y limitada a los datos estrictamente necesarios. Los delegados de prevención, al ser cesionarios de los datos, deben cumplir con lo establecido en la normativa de protección de datos, y en particular deben guardar el deber de secreto que se exige tanto por la Ley Orgánica de Protección de Datos como por la LPRL, en relación con el artículo 65.2 del Estatuto de los Trabajadores. Fdo.: Mar Albarrán Sanz Técnico en PRL de CPOE
