El pasado 25 de mayo de 2018, entró en vigor el Reglamento General de Protección de Datos (RGPD), una normativa europea que ha obligado a las empresas a adaptarse en materia de recopilación, uso, divulgación, retención y protección de datos personales. La Agencia Española Protección de Datos (AEPD) pasó a ser la encargada de velar por su cumplimiento en nuestro país. Esta medida fue fruto de la transformación digital, que provocó una exposición excesiva de los datos personales, ante lo que la Unión Europea decidió optar por ampliar la protección de los derechos individuales.
Una de las principales variaciones de este nuevo Reglamento era la ampliación de la información que debe darse a los interesados en relación con el tratamiento de sus datos, así como a sus derechos en esta materia. Se ha incorporado el concepto de privacidad desde el diseño. Esto se traduce en que la elaboración de los procedimientos empresariales tiene que realizarse teniendo en cuenta la protección de datos desde un primer momento.
La Ley española de transposición al Reglamento (LO 3/2018) añadió el factor de que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento de sus datos.
En este primer año de aplicación del nuevo Reglamento de Protección de Datos, las denuncias se han incrementado un 33%: se han producido 14.397 denuncias entre el 25 de mayo de 2018 y el 15 de mayo de 2019, frente a las 10.651 reclamaciones recibidas el año anterior. En cuanto a la temática de las reclamaciones recibidas han sido: inserción indebida en ficheros de morosidad (16%); videovigilancia (11%); servicios de internet (10%); reclamación de deudas (10%); Administración Pública (7%); sanidad (7%); publicidad -no incluye spam– (5%); comercios, transporte y hostelería (5%); entidades financieras/acreedoras (4%); y publicidad a través de e-mail o teléfono móvil (4%).
El RGPD en el mundo laboral
La nueva Ley de Protección de Datos ha afectado a los trabajadores de diversas maneras a lo largo de este año; una de ellas ha sido a través de la nómina. A la hora de establecer y compartir la nómina con los trabajadores, la empresa debe asegurarse de cumplir con las medidas de seguridad necesarias que aseguren su protección. La empresa debe someter los datos a una minimización, cifrarlos, y limitar y restringir el acceso a estos datos.
Tanto el responsable del tratamiento como el encargado deben cumplir con una serie de obligaciones en materia de protección de datos de los trabajadores. Se debe elaborar un registro de actividades de ese tratamiento; analizar los riesgos que puedan derivarse del tratamiento; suscribir el correspondiente contrato de encargo de tratamiento para garantizar que el tercero cumple también sus obligaciones en Protección de Datos; disponer del consentimiento de los empleados, tanto para tratar sus datos como para cederlos a terceros; y adoptar las medidas de seguridad pertinentes para evitar o reducir los riesgos relacionados con ese tratamiento.
La nueva normativa de protección de datos también tiene otras consecuencias en ámbito laboral
• Comprobación de enfermedades: el Estatuto de los Trabajadores establece que el empresario puede verificar el estado de salud del trabajador para justificar su ausencia al trabajo. El RGPD especifica más la prohibición de tratar datos de salud: cuando el tratamiento sea “necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador o tratamiento médico”. Por tanto, las funciones de control y vigilancia de la salud de los trabajadores por servicios de prevención de riesgos laborales externos no se considera como un acceso a datos por cuenta de terceros; a la empresa solo se le facilitarán las conclusiones respecto a la aptitud del trabajador para realizar el trabajo desempeñado que se deriven de esos reconocimientos.
• Comité de empresa: la empresa debe proporcionarle toda aquella información que afecte directa o indirectamente a las relaciones laborales. Pero no podrá facilitarle información como salarios; ausencias por accidentes o enfermedades; contratos o documentos de cotización.
• Ordenadores que la empresa facilita a los empleados: los trabajadores deben ser informados de manera clara sobre el alcance de la supervisión antes de que el sistema de control sea establecido.
