El despacho laboralista Abdón Pedrajas ha celebrado un webinar con el propósito de ofrecer las claves prácticas y repasar las principales cuestiones que se han planteado en torno a la protección de datos en el ámbito laboral, tras más de un año desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y algo menos desde la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPD).
Y es que, las dudas que pueden plantearse en torno a este asunto son muy numerosas: ¿Cuándo es lícito el tratamiento de datos personales por parte del empresario? ¿Si hay un interés legítimo no es necesario el consentimiento del empleado para el tratamiento de sus datos? ¿Puede la empresa hacer un test psicotécnico o pruebas psicológicas en un proceso de selección? ¿Es posible solicitar referencias del candidato a sus antiguos empleadores o un certificado de penales? ¿Y monitorizar sus redes sociales?
Durante la sesión, organizada por el Observatorio de Recursos Humanos, Javier Thibault, consultor de Abdón Pedrajas y profesor titular de Derecho del Trabajo de la Universidad Complutense de Madrid, incidió en que la relación laboral constituye una fuente inagotable de datos personales. Sin embargo, lamentó que “no existe regulación específica para el tratamiento de los datos personales en el ámbito laboral lo que explica los numerosos problemas que pueden surgir”. Hay que acudir, añadió, al Reglamento o a la LOPD, una normativa genérica, “cuyas modificaciones han sido muy limitadas y que no atiende a las especificidades del ámbito de las relaciones laborales”. De ahí, señaló el laboralista, que “los instrumentos que teníamos en el pasado a través de la jurisprudencia y las resoluciones de la Agencia Española de Protección de Datos (AEPD) siguen sirviendo como canon de interpretación en caso de duda”.
Título justificante y consentimiento expreso
En este contexto, explicó Thibault que es crucial atender al título que justifica el tratamiento de los datos personales en el ámbito laboral. Así, señaló, para que el tratamiento sea lícito deben atenderse determinadas cuestiones como que sea necesario para la ejecución del contrato de trabajo (se entiende implícito el consentimiento con la firma del contrato); o que sea lo menos intrusivo posible, atendiendo al principio de minimización.
También se refirió el experto al “interés legítimo” perseguido por el responsable del tratamiento de los datos como base de la licitud del tratamiento, que recoge el Reglamento europeo. A este respecto, señaló que este interés legítimo puede justificar el tratamiento de datos de los empleados en supuestos como el registro de jornada del trabajador de la empresa contratista por parte de la empresa principal, la entrega de las nóminas y boletines de cotización en el marco de contrata y subcontrata, o incluso en el caso del informe de un detective del seguimiento de un trabajador por encargo de una empresa o una mutua.
Ahora bien, explicó que cuando la empresa quiere usar datos personales del empleado no necesarios para la ejecución del contrato, puede acudir al consentimiento expreso de este último. Una alternativa, sin embargo, que “es muy problemática en la práctica, dada la enorme reticencia que muestran los tribunales y la AEPD a la hora de aceptar el consentimiento del trabajador como título válido del tratamiento”. Recordó Thibault que el Tribunal Supremo, en sentencia de 21 de septiembre de 2015, declaró la nulidad de la cláusula tipo incorporada al contrato de trabajo en virtud de la cual el trabajador queda obligado a declarar su teléfono o correo electrónico particular para cualquier comunicación relacionada con el contrato “porque no resultan estrictamente necesarios para el desarrollo de la relación laboral”. Más recientemente, la AEPD, en resolución R/0041/2019, ha llegado incluso a afirmar que “los trabajadores no están nunca en condiciones de dar, denegar o revocar el consentimiento libremente, habida cuenta de la dependencia que resulta de la relación”.
En este contexto, sostuvo que el recurso de un empresario al consentimiento expreso “debe ser excepcional” e insistió en la importancia, en cualquier caso, de que cumpla -y pueda acreditarlo- con el deber de información sobre el tratamiento de esos datos regulado en el Reglamento europeo -que contempla, entre otros extremos, los fines del tratamiento de los datos; destinatarios, plazo de conservación; derechos de acceso, rectificación o supresión, etc.- para proteger a la empresa de posibles reclamaciones y sanciones.
Entrevistas de trabajo y procesos de selección
Durante el webinar, el experto abordó también cuestiones sobre el tratamiento de los datos personales de los candidatos en un proceso de selección o la información que se puede solicitar al candidato en una entrevista de trabajo.
Entre otras cuestiones, explicó Thibault que no es necesario el consentimiento expreso de un candidato que entrega su currículum porque “se entiende que el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”, según establece el Reglamento. Lo mismo ocurre en los casos en que el currículum se ha obtenido a través de un portal de empleo, en los que también “cabe entender que el candidato prestó su consentimiento para la cesión de sus datos”. También explicó que, salvo que el aspirante preste su consentimiento, la empresa no puede conservar el currículum para futuros procesos de selección, así como tampoco es posible la remisión de currículum entre empresas del mismo grupo “ya que se trata de entidades con personalidad jurídica diferente”.
En relación al asunto de si el futuro empleador puede solicitar referencias del candidato a sus antiguos empleadores, explicó Thibault que la doctrina es dispar. Así, si bien hay voces que defienden que existe un consentimiento implícito si el trabajador ha identificado a sus antiguas empresas en su currículum, sin embargo, la AEPD se ha mostrado restrictiva y ha venido exigiendo el consentimiento expreso.
Asimismo, el consultor de Abdón Pedrajas aseguró que la empresa puede hacer un test psicotécnico al candidato dentro de un proceso de selección “siempre que se valoren estrictamente capacidades técnicas para el puesto que se pretende cubrir y que no revele aspectos de salud mental o de la personalidad”. Por el contrario, en atención a lo dispuesto en la Ley Penitenciaria, “no se puede solicitar un certificado de penales a los candidatos en un proceso de selección”, si bien esta regla general puede tener excepciones siempre que existan en disposiciones legales -caso de jueces y fiscales, fuerzas y cuerpos de seguridad del estado, personal de acceso al aeropuerto por cuestiones de seguridad, por personas de entidades financieras-. En cuanto al certificado negativo de registro de delitos sexuales, aseguró que “podrá solicitarse a quienes trabajan con menores de manera habitual”.
La posible monitorización del perfil de los trabajadores o candidatos en RRSS “siempre que no se registren datos ni se graben y sean redes abiertas”; la posibilidad de grabar las llamadas “cuando sea estrictamente imprescindible para controlar el cumplimiento de la prestación laboral” o usar la imagen de los trabajadores “que por razón de su desempeño tienen que mantener videollamadas con los clientes”, fueron otros de los temas tratados en el webinar.