tratamiento de datos y relaciones laborales; uso de las herramientas digitales de empresa; uso de...

“TRATAMIENTO DE DATOS Y RELACIONES LABORALES; USO DE LAS HERRAMIENTAS DIGITALES DE EMPRESA; USO DE DISPOSITIVOS

PERSONALES PARA FINES PROFESIONALES (BYOD)”

Barcelona, 15 de noviembre de 2016

Belén Arribas SánchezAbogada & Auditora de Entornos Tecnológicos

Miliners Abogados y Asesores [email protected]

1

ÍNDICE

Obligaciones de la empresa

I. Generales

· Inscripción de ficheros

· Cancelación y supresión de datos

· Supuestos de no aplicación de la LOPD

II. Recursos humanos

· Información al trabajador del tratamiento de datos

· Sistemas internos de denuncia o whistleblowing

· Acceso a los datos por terceros.

III. Prevención de riesgos laborales

IV. Control de la empresa

V. Relaciones con los sindicatos

VI. Uso de las herramientas digitales de la empresa

VII. BYOD. Bring your Own Device

· Ventajas y riesgos

· Implementación de una política de BYOD

Obligaciones del trabajador

2

Obligaciones de la empresa

I. Generales

Inscripción de ficheros

conjunto de datos de carácter personal que permita el acceso a los datos

con arreglo a criterios determinados, cualquiera que fuere la norma o modalidad de su

creación, almacenamiento, organización y acceso (art. 5 del RDLOPD).

Siempre que los datos se encuentren estructurados y sea posible la recuperación de

los datos de una persona determinada, estaremos ante un fichero.

La LOPD establece el deber de notificar los ficheros a la AEPD por toda aquella persona o

entidad que proceda a su creación, con carácter previo a la misma.

FICHERO

3

4

Obligaciones de la empresa. I. GeneralesCancelación y supresión de datos

Cuando cesa la finalidad, los datos deben:

i) bloquearse

ii) cancelarse

En la práctica los datos deben permanecer congelados

inaccesibles a los usuarios

Supuestos de no aplicación de la LOPD

El RDLOPD no aplica a los ficheros de personas de contacto: personas jurídicas

o personas físicas que prestan sus servicios y que consisten en nombre, apellidos,

funciones, dirección postal o electronica, teléfono, etc..

Es necesario disponer de procedimientos de cancelación que contemplen un periodo de

bloqueo (de conformidad con el derecho aplicable)

Obligaciones de la empresa. II. Recursos humanos

II. Recursos Humanos

• Información al trabajador del tratamiento de datos (art. 5 LOPD) en diferentes

FASES:

Selección de personal

Modelos de impresos de CV.

Procedimiento de formalización del CV y entrega por los candidatos que

incluya la confirmación por el candidato de las condiciones del tratamiento.

La convocatoria debe incluir la información del art. 5 LOPD.

En supuestos de colaboración empresarial, incluir consentimiento del

candidato a la cesión de los datos del CV.

Contratación

El contrato es un medio adecuado para informar sobre el tratamiento de

datos directamente relacionado con la prestación laboral.

5

6

Durante el desarrollo de la relación laboral

Deber de información al trabajador de un cambio sobrevenido en la relación

laboral que afecte al tratamiento de sus datos (ej. nuevo sistema de control de

presencia).

Es recomendable informar a los representantes de los trabajadores respecto a los

tratamientos de datos que afectan a un conjunto de trabajadores.

• Sistemas internos de denuncia o whistleblowing

Información a denunciante y potenciales denunciados de la existencia de este

sistema, del tratamiento de datos que conlleva y sus consecuencias.

Información en el contrato de trabajo o a través de una circular.

Posible cesión de los datos a un tercero que investigue la denuncia o transferencia

internacional a otras empresas del grupo: debe informarse al interesado.


7


Principio de proporcionalidad de las denuncias.

Mecanismos de garantía de exactitud de la información No aceptación de

denuncias anónimas. Posible excepción.

Cumplimiento del deber secreto.

Conservación de los datos durante un tiempo limitado.

Medidas

Limitar el acceso al contenido de las denuncias a los investigadores.

Relacionarlos en el documento de seguridad.

Establecer un sistema de registro de acceso.

Establecer compromisos de seguridad reforzados de seguridad con los

usuarios autorizados, contemplando medidas disuasorias.

8

Garantía de los derechos ARCO por parte del denunciado. El denunciado debe

conocer el hecho denunciado en el menor tiempo posible.

Notificación de los ficheros creados y de las transferencias internacionales que se

deriven de este procedimiento al Registro General de Protección de Datos.

• Acceso a los datos por terceros

Contratación de seguros de vida y planes de pensiones

La empresa puede ceder los datos de los trabajadores a la empresa

aseguradora o gestora de su plan de pensiones.

La empresa debe informar al trabajador o al candidato de esta recogida de datos:

• En el propio contrato de trabajo

• Mediante la elaboración de información específica dirigida a los trabajadores


9


Derecho de oposición del trabajador.

Designación de beneficiarios del seguro o del plan de pensiones

Tratamientos de datos que afectan a familiares o personas relacionadas con

el trabajador.

El tratamiento se encuentra legitimado por la existencia de relación laboral,

pero deben respetarse los principios de

Externalización de la gestión de las nóminas

La gestoría actúa como Encargado del tratamiento, figura regulada en el art. 12

LOPD.

Proporcionalidad

Finalidad

10

El encargo debe regularse en un contrato por escrito o de otra forma que permita

acreditar su contenido (ej. Celebrado por medios electrónicos). Se excluye el

contrato verbal.

Establecimiento de las condiciones para la destrucción o devolución de los datos

al responsable.

Posibilidad de subcontratación por el encargado:

Previsión en el propio contrato

Autorización sobrevenida del responsable a petición del encargado

Debe autorizarse por el responsable.

Debe celebrarse un contrato entre el encargado y el subcontratado conforme

al art. 12 LOPD


11

III. Prevención de riesgos laborales

El consentimiento

Generalmente el tratamiento de datos en materia de salud requiere el

consentimiento del trabajador.

art. 22.1 LPRL. Evaluación de las condiciones de

trabajo sobre la salud de los trabajadores o verificación del estado de salud

del trabajador.

Obligaciones de la empresa. III. Prevención de riesgos laborales

EXCEPCIÓN

Obligaciones Deber de informar al trabajador

Actuación conforme a los principios de proporcionalidad y necesariedad.

12

Sujetos intervinientes

La condición de responsable de fichero o del tratamiento dependerá de si se trata de un

servicio de prevención

Los sistemas de información que se dedican a la gestión de servicios de prevención

deben:

Tener en cuenta el nivel de seguridad. Será alto cuando incluya datos de

enfermedades o historias de salud laboral.

Definir de forma precisa los perfiles de acceso y las funciones de los usuarios.

Establecer procedimientos para garantizar los derechos de acceso, rectificación y

cancelación de los trabajadores.


propio

mancomunado

Las empresas que actúan como

servicios de prevención ajenos

son considerados

Responsables del tratamiento

ajeno

13

La historia clínica del trabajador se rige, a su vez, además de por la LOPD, por los

principios de la Ley 41/2002, reguladora de la autonomía del paciente y de derechos y

obligaciones en materia de información y documentación clínica.

El acceso a los datos

La normativa de aplicación contempla la posibilidad y obligación de cesión de datos a:

La autoridad sanitaria

Inspección de trabajo

La autoridad laboral

Jueces y tribunales

Supuestos de urgencia médica o estudios epidemiológicos

Y en ocasiones tienen acceso a los datos la propia empresa


los delegados de prevención

14

El acceso a los datos por el empresario es limitado y suele concretarse a conocer las

condiciones de aptitud o no aptitud del trabajador.

El acceso a datos por los delegados de prevención se limita a la información relativa

a las condiciones de trabajo que sean necesarias para el ejercicio de sus funciones:

Podrán acceder a datos personales sobre daños en la salud de los trabajadores

cuando tengan su origen en un hecho dañoso relacionado con el entorno laboral.

Limitado a los datos estrictamente necesarios relativos a la gravedad y

naturaleza de los daños.

El delegado actúa como un cesionario de los datos.


EXCEPCIÓN posibilidad de conocer información personal necesaria para el

cumplimiento de sus obligaciones únicamente tendrá acceso a

datos estrictamente necesarios.

15

IV. Control de la empresa

El control de la empresa sobre el desarrollo de la prestación laboral viene

contemplado en el Estatuto de los Trabajadores. Su ejercicio comporta, en muchas

ocasiones el tratamiento de datos personales.

La legitimación del tratamiento deriva de la existencia de relación laboral no es

necesario el consentimiento pero sí debe informarse a los trabajadores.

Las medidas desplegadas deben ser proporcionales y adecuadas a la finalidad de las

mismas.

Los datos no podrán guardarse más tiempo del necesario.

Absentismo laboral: El Estatuto de los trabajadores contempla que el empresario

realice controles a los trabajadores en los supuestos de enfermedad o accidente de

trabajo que motiven faltas de asistencia reconocimiento médico.

Obligaciones de la empresa. IV. Control de la empresa

16

El tratamiento de datos de salud requiere el consentimiento expreso del

trabajador, salvo previsión legal que lo exima.

Posibilidad de realizar el control de absentismo a través de un tercero

Encargado del tratamiento.

V. Relaciones con los sindicatos

El desarrollo de las funciones de los representantes de los trabajadores requiere en

muchas ocasiones del tratamiento de datos personales de los trabajadores.

a) Publicación de datos personales

Atendiendo a la práctica habitual consistente en la publicación de datos

personales de trabajadores en tablones, debe estarse a lo siguiente:

El responsable del tratamiento de los datos es el órgano que decida sobre

su uso y finalidad y sitúe materialmente la información en él.

Obligaciones de la empresa. IV. Control de la empresa. V. Relaciones con los

sindicatos

17

La consulta de los datos únicamente deberá ser visible a los usuarios

legitimados.

Es fundamental que los tablones sindicales online se encuentren en la

intranet de la empresa, nunca en internet.

La información publicada debe limitarse a la estrictamente necesaria.

b) Cesión de datos

El art. 64 ET regula los datos de los trabajadores a los que tiene acceso el

Comité de empresa.

Únicamente podrán cederse aquellos datos estrictamente necesarios para el

cumplimiento de los deberes por el Comité.

El comité está obligado a guardar secreto sobre los datos a los que accedan

y al cumplimiento de los principios de la LOPD.

Obligaciones de la empresa. V. Relaciones con los sindicatos

18

La cesión de datos a los sindicatos más común es la relativa al cobro de la cuota

sindical en el pago de la nómina.

De conformidad con lo previsto en el art. 7.2 LOPD, al ser un dato que revela la

afiliación sindical requiere el consentimiento expreso y por escrito del

trabajador.

El tratamiento de estos datos requiere:

Disponer de procedimientos de captación del consentimiento. Ej. Impresos

de autorización del tratamiento por el trabajador.

Limitar el uso de los datos a la finalidad con la que se han recabado.

Habitualmente el nivel de seguridad será básico.

Otra cesión de datos a los sindicatos se produce con la facilitación del correo

electrónico del trabajador, si en el mismo se contienen datos personales.


19

El tratamiento de estos datos requiere:

Limitación de los datos comunicados a los estrictamente necesarios.

Los datos deberán utilizarse para la finalidad para la que han sido cedidos.

El sindicato, en tanto que cesionario, debe cumplir con la normativa de la

LOPD.

El sindicato debe satisfacer al trabajador el derecho de oposición.

No obstante, procedimientos automatizados, como una lista de distribución sin

acceso a datos puede evitar que se produzca una cesión de datos.

Respecto a la cesión de datos contenidos en documentos TC2, la entrega de estos

documentos únicamente tiene lugar (i) en ejecución del control sindical de la

actuación de la empresa y (ii) como modo de garantizar el cumplimiento de los

deberes empresariales en supuestos de subcontratación.


20

Entrega del TC2 al Comité de empresa. En este supuesto deben cumplirse los

siguientes requisitos:

El comité debe actuar dentro del marco de sus competencias.

El acceso a la información es limitado.

El TC2 no puede publicarse.


21

VI. Uso de las herramientas digitales de la empresa

Cuando se entregan dispositivos a los empleados, incluidos móvil y tabletas

el empresario debe cumplir con el deber de información a los trabajadores.

En el supuesto en que se realice un control sobre el uso de internet y/o el

correo electrónico, la información facilitada al trabajador debe ser clara, en

cuanto a la política de la empresa al respecto debe describir en qué medida

los trabajadores pueden utilizar los medios de la empresa para fines personales.

Por ej. el trabajador debe conocer si puede recibir mensajes

privados en su dispositivo móvil.

En definitiva, el empresario debe evitar la vulneración de la expectativa

razonable de intimidad que puede haberse generado un trabajador que hace

uso personal de los medios de trabajo.

Obligaciones de la empresa. VI. Uso de las herramientas digitales de la

empresa

22

Recomendamos:

Facilitar la información por escrito, de forma que quede constancia de

su recepción por el trabajador.

Incluir en la política de la empresa reglas de uso de los medios de la

misma, que incluyan prohibiciones absolutas

parciales

Informar a los trabajadores de la existencia de controles del uso de los

medios, así como de las medidas que pueden adoptarse para garantizar

la utilización laboral de los mismos.

Informar de la política de la empresa en la materia a los representantes

de los trabajadores.

Obligaciones de la empresa. VI. Uso de las herramientas digitales de la

empresa

23

VII. BYOD. Bring your own device

BYOD Política empresarial que permite a los empleados de una empresa acceder

a la información corporativa a través de sus dispositivos móviles personales.

Obligaciones de la empresa. VII. BYOD

VENTAJASahorro de costes

mejora de la productividad

RIESGOSObligación de proporcionar soporte IT a diversas plataformas

Confidencialidad y seguridad de la información

24

Art. 86. RDLOPD El tratamiento o almacenaje de datos personales fuera de local

del fichero o del encargado requiere:

• Implementación de una política de BYOD

Transferencia de datos

La transferencia de datos entre el dispositivo personal y el sistema

corporativo del Responsable de los datos presenta riesgos (ciberataques, envío

de información a un destinario equivocado, etc.)

Posibles soluciones


autorización previa (reflejada en el documento de seguridad)

garantizar el nivel de seguridad correspondiente al tipo de fichero tratado

encriptación de los canales de envío y recepción

monitorización de los datos transferidos

Debe ser proporcionada yno excesiva, especialmenteen periodos de uso personal

25


Control del dispositivo- geolocalización

Es preciso prever en qué determinados supuestos peligrará laconfidencialidad y seguridad de los datos personales que trata laempresa.

Posibilidad de geolocalización de los dispositivos y eliminación de losdatos.

Es conveniente limitar el alcance del consentimiento en el tiempo y recordárseloal usuario al menos una vez al año.

Es fundamental que el dispositivo advierta continuamente que la función degeolocalización está activada (por ejemplo a través de un icono que seencuentre permanentemente visible).

Es recomendable evitar la monitorización constante e informar a lostrabajadores sobre como desactivar el dispositivo de monitorización fuera de lashoras de trabajo.

26

Recomendaciones en la implementación del sistema BYOD :

Crear y difundir entre los empleados una política de uso de dispositivos

portátiles privados, que contemple los datos que se van a almacenar en dichos

dispositivos. Es conveniente que dicha política prevea la finalización de la

relación laboral con el empleado, así como el extravío del dispositivo.

Implementar un sistema de control y auditoría específica sobre dichos

dispositivos.

Aplicar medidas de seguridad adecuadas al dispositivo.

ej. Contraseña, sistema de bloqueo en caso de extravío o reiteración de

accesos no autorizados.

Prever la seguridad de los datos almacenados en el supuesto de acceso al

dispositivo por terceros (ej. miembros de la familia)


27

Controlar las medidas de transferencia de los datos entre el dispositivo y la

infraestructura informática interna de la empresa.

Crear una red wifi corporativa que restringa las visitas a sitios web que pongan

en riesgo la seguridad de los datos.


28

Deber de secreto del trabajador respecto a los datos personales a los que tiene

acceso en ejecución de su prestación laboral.

Deber de seguridad, que garantiza la disponibilidad de los datos y su

recuperación.

La empresa debe disponer de

Es conveniente incluir las obligaciones del trabajador respecto a los datos

personales a los que tiene acceso en el propio contrato de trabajo.

Políticas de cumplimiento de dichas obligaciones

Obligaciones del trabajador

Procedimientos de formación del personal

Belén Arribas Sánchez

Abogada & Auditora de Entornos Tecnológicos

[email protected]

Miliners Abogados y Asesores Tributarios

29

Gracias por su atención

tratamiento de datos y relaciones laborales; uso de las herramientas digitales de empresa; uso de...

Law