tratamiento de datos y relaciones laborales
TRANSCRIPT
“TRATAMIENTO DE DATOS Y RELACIONES LABORALES; USO DE LAS HERRAMIENTAS DIGITALES DE EMPRESA; USO DE DISPOSITIVOS
PERSONALES PARA FINES PROFESIONALES (BYOD)”
Madrid, 23 de noviembre de 2016
Belén Arribas SánchezAbogada & Auditora de Entornos Tecnológicos
Miliners Abogados y Asesores [email protected]
1
ÍNDICE
Obligaciones de la empresa
I. Generales
· Inscripción de ficheros
· Cancelación y supresión de datos
· Supuestos de no aplicación de la LOPD
II. Recursos humanos
· Información al trabajador del tratamiento de datos
· Sistemas internos de denuncia o whistleblowing
· Acceso a los datos por terceros.
III. Prevención de riesgos laborales
IV. Control de la empresa
V. Relaciones con los sindicatos
VI. Uso de las herramientas digitales de la empresa
VII. BYOD. Bring your Own Device
· Ventajas y riesgos
· Implementación de una política de BYOD
Obligaciones del trabajador
2
Obligaciones de la empresa
I. Generales
Inscripción de ficheros
conjunto de datos de carácter personal que permita el acceso a los datos
con arreglo a criterios determinados, cualquiera que fuere la norma o modalidad de su
creación, almacenamiento, organización y acceso (art. 5 del RDLOPD).
Siempre que los datos se encuentren estructurados y sea posible la recuperación de
los datos de una persona determinada, estaremos ante un fichero.
La LOPD establece el deber de notificar los ficheros a la AEPD por toda aquella persona o
entidad que proceda a su creación, con carácter previo a la misma.
FICHERO
3
4
Obligaciones de la empresa. I. GeneralesCancelación y supresión de datos
Cuando cesa la finalidad, los datos deben:
i) bloquearse
ii) cancelarse
En la práctica los datos deben permanecer congelados
inaccesibles a los usuarios
Supuestos de no aplicación de la LOPD
El RDLOPD no aplica a los ficheros de personas de contacto: personas jurídicas
o personas físicas que prestan sus servicios y que consisten en nombre, apellidos,
funciones, dirección postal o electronica, teléfono, etc..
Es necesario disponer de procedimientos de cancelación que contemplen un periodo de
bloqueo (de conformidad con el derecho aplicable)
Obligaciones de la empresa. II. Recursos humanos
II. Recursos Humanos
• Información al trabajador del tratamiento de datos (art. 5 LOPD) en diferentes
FASES:
Selección de personal
Modelos de impresos de CV.
Procedimiento de formalización del CV y entrega por los candidatos que
incluya la confirmación por el candidato de las condiciones del tratamiento.
La convocatoria debe incluir la información del art. 5 LOPD.
En supuestos de colaboración empresarial, incluir consentimiento del
candidato a la cesión de los datos del CV.
Contratación
El contrato es un medio adecuado para informar sobre el tratamiento de
datos directamente relacionado con la prestación laboral.
5
6
Durante el desarrollo de la relación laboral
Deber de información al trabajador de un cambio sobrevenido en la relación
laboral que afecte al tratamiento de sus datos (ej. nuevo sistema de control de
presencia).
Es recomendable informar a los representantes de los trabajadores respecto a los
tratamientos de datos que afectan a un conjunto de trabajadores.
• Sistemas internos de denuncia o whistleblowing
Información a denunciante y potenciales denunciados de la existencia de este
sistema, del tratamiento de datos que conlleva y sus consecuencias.
Información en el contrato de trabajo o a través de una circular.
Posible cesión de los datos a un tercero que investigue la denuncia o transferencia
internacional a otras empresas del grupo: debe informarse al interesado.
Obligaciones de la empresa. II. Recursos humanos
7
Obligaciones de la empresa. II. Recursos humanos
Principio de proporcionalidad de las denuncias.
Mecanismos de garantía de exactitud de la información No aceptación de
denuncias anónimas. Posible excepción.
Cumplimiento del deber secreto.
Conservación de los datos durante un tiempo limitado.
Medidas
Limitar el acceso al contenido de las denuncias a los investigadores.
Relacionarlos en el documento de seguridad.
Establecer un sistema de registro de acceso.
Establecer compromisos de seguridad reforzados con los
usuarios autorizados, contemplando medidas disuasorias.
8
Garantía de los derechos ARCO por parte del denunciado. El denunciado debe
conocer el hecho denunciado en el menor tiempo posible.
Notificación de los ficheros creados y de las transferencias internacionales que se
deriven de este procedimiento al Registro General de Protección de Datos.
• Acceso a los datos por terceros
Contratación de seguros de vida y planes de pensiones
La empresa puede ceder los datos de los trabajadores a la empresa
aseguradora o gestora de su plan de pensiones.
La empresa debe informar al trabajador o al candidato de esta recogida de datos:
• En el propio contrato de trabajo
• Mediante la elaboración de información específica dirigida a los trabajadores
Obligaciones de la empresa. II. Recursos humanos
9
Obligaciones de la empresa. II. Recursos humanos
Derecho de oposición del trabajador.
Designación de beneficiarios del seguro o del plan de pensiones
Tratamientos de datos que afectan a familiares o personas relacionadas con
el trabajador.
El tratamiento se encuentra legitimado por la existencia de relación laboral,
pero deben respetarse los principios de
Externalización de la gestión de las nóminas
La gestoría actúa como Encargado del tratamiento, figura regulada en el art. 12
LOPD.
Proporcionalidad
Finalidad
10
El encargo debe regularse en un contrato por escrito o de otra forma que permita
acreditar su contenido (ej. Celebrado por medios electrónicos). Se excluye el
contrato verbal.
Establecimiento de las condiciones para la destrucción o devolución de los datos
al responsable.
Posibilidad de subcontratación por el encargado:
Previsión en el propio contrato
Autorización sobrevenida del responsable a petición del encargado
Debe autorizarse por el responsable.
Debe celebrarse un contrato entre el encargado y el subcontratado conforme
al art. 12 LOPD
Obligaciones de la empresa. II. Recursos humanos
11
III. Prevención de riesgos laborales
El consentimiento
Generalmente el tratamiento de datos en materia de salud requiere el
consentimiento del trabajador.
art. 22.1 LPRL. Evaluación de las condiciones de
trabajo sobre la salud de los trabajadores o verificación del estado de salud
del trabajador.
Obligaciones de la empresa. III. Prevención de riesgos laborales
EXCEPCIÓN
Obligaciones Deber de informar al trabajador
Actuación conforme a los principios de proporcionalidad y necesariedad.
12
Sujetos intervinientes
La condición de responsable de fichero o del tratamiento dependerá de si se trata de un
servicio de prevención
Los sistemas de información que se dedican a la gestión de servicios de prevención
deben:
Tener en cuenta el nivel de seguridad. Será alto cuando incluya datos de
enfermedades o historias de salud laboral.
Definir de forma precisa los perfiles de acceso y las funciones de los usuarios.
Establecer procedimientos para garantizar los derechos de acceso, rectificación y
cancelación de los trabajadores.
Obligaciones de la empresa. III. Prevención de riesgos laborales
propio
mancomunado
Las empresas que actúan como
servicios de prevención ajenos
son considerados
Responsables del tratamiento
ajeno
13
La historia clínica del trabajador se rige, a su vez, además de por la LOPD, por los
principios de la Ley 41/2002, reguladora de la autonomía del paciente y de derechos y
obligaciones en materia de información y documentación clínica.
El acceso a los datos
La normativa de aplicación contempla la posibilidad y obligación de cesión de datos a:
La autoridad sanitaria
Inspección de trabajo
La autoridad laboral
Jueces y tribunales
Supuestos de urgencia médica o estudios epidemiológicos
Y en ocasiones tienen acceso a los datos la propia empresa
Obligaciones de la empresa. III. Prevención de riesgos laborales
los delegados de prevención
14
El acceso a los datos por el empresario es limitado y suele concretarse a conocer las
condiciones de aptitud o no aptitud del trabajador.
El acceso a datos por los delegados de prevención se limita a la información relativa
a las condiciones de trabajo que sean necesarias para el ejercicio de sus funciones:
Podrán acceder a datos personales sobre daños en la salud de los trabajadores
cuando tengan su origen en un hecho dañoso relacionado con el entorno laboral.
Limitado a los datos estrictamente necesarios relativos a la gravedad y
naturaleza de los daños.
El delegado actúa como un cesionario de los datos.
Obligaciones de la empresa. III. Prevención de riesgos laborales
EXCEPCIÓN posibilidad de conocer información personal necesaria para el
cumplimiento de sus obligaciones únicamente tendrá acceso a
datos estrictamente necesarios.
15
IV. Control de la empresa
El control de la empresa sobre el desarrollo de la prestación laboral viene
contemplado en el Estatuto de los Trabajadores. Su ejercicio comporta, en muchas
ocasiones el tratamiento de datos personales.
La legitimación del tratamiento deriva de la existencia de relación laboral no es
necesario el consentimiento pero sí debe informarse a los trabajadores.
Las medidas desplegadas deben ser proporcionales y adecuadas a la finalidad de las
mismas.
Los datos no podrán guardarse más tiempo del necesario.
Absentismo laboral: El Estatuto de los trabajadores contempla que el empresario
realice controles a los trabajadores en los supuestos de enfermedad o accidente de
trabajo que motiven faltas de asistencia reconocimiento médico.
Obligaciones de la empresa. IV. Control de la empresa
16
El tratamiento de datos de salud requiere el consentimiento expreso del
trabajador, salvo previsión legal que lo exima.
Posibilidad de realizar el control de absentismo a través de un tercero
Encargado del tratamiento.
V. Relaciones con los sindicatos
El desarrollo de las funciones de los representantes de los trabajadores requiere en
muchas ocasiones del tratamiento de datos personales de los trabajadores.
a) Publicación de datos personales
Atendiendo a la práctica habitual consistente en la publicación de datos
personales de trabajadores en tablones, debe estarse a lo siguiente:
El responsable del tratamiento de los datos es el órgano que decida sobre
su uso y finalidad y sitúe materialmente la información en él.
Obligaciones de la empresa. IV. Control de la empresa. V. Relaciones con los
sindicatos
17
La consulta de los datos únicamente deberá ser visible a los usuarios
legitimados.
Es fundamental que los tablones sindicales online se encuentren en la
intranet de la empresa, nunca en internet.
La información publicada debe limitarse a la estrictamente necesaria.
b) Cesión de datos
El art. 64 ET regula los datos de los trabajadores a los que tiene acceso el
Comité de empresa.
Únicamente podrán cederse aquellos datos estrictamente necesarios para el
cumplimiento de los deberes por el Comité.
El comité está obligado a guardar secreto sobre los datos a los que accedan
y al cumplimiento de los principios de la LOPD.
Obligaciones de la empresa. V. Relaciones con los sindicatos
18
La cesión de datos a los sindicatos más común es la relativa al cobro de la cuota
sindical en el pago de la nómina.
De conformidad con lo previsto en el art. 7.2 LOPD, al ser un dato que revela la
afiliación sindical requiere el consentimiento expreso y por escrito del
trabajador.
El tratamiento de estos datos requiere:
Disponer de procedimientos de captación del consentimiento. Ej. Impresos
de autorización del tratamiento por el trabajador.
Limitar el uso de los datos a la finalidad con la que se han recabado.
Habitualmente el nivel de seguridad será básico.
Otra cesión de datos a los sindicatos se produce con la facilitación del correo
electrónico del trabajador, si en el mismo se contienen datos personales.
Obligaciones de la empresa. V. Relaciones con los sindicatos
19
El tratamiento de estos datos requiere:
Limitación de los datos comunicados a los estrictamente necesarios.
Los datos deberán utilizarse para la finalidad para la que han sido cedidos.
El sindicato, en tanto que cesionario, debe cumplir con la normativa de la
LOPD.
El sindicato debe satisfacer al trabajador el derecho de oposición.
No obstante, procedimientos automatizados, como una lista de distribución sin
acceso a datos puede evitar que se produzca una cesión de datos.
Respecto a la cesión de datos contenidos en documentos TC2, la entrega de estos
documentos únicamente tiene lugar (i) en ejecución del control sindical de la
actuación de la empresa y (ii) como modo de garantizar el cumplimiento de los
deberes empresariales en supuestos de subcontratación.
Obligaciones de la empresa. V. Relaciones con los sindicatos
20
Entrega del TC2 al Comité de empresa. En este supuesto deben cumplirse los
siguientes requisitos:
El comité debe actuar dentro del marco de sus competencias.
El acceso a la información es limitado.
El TC2 no puede publicarse.
Obligaciones de la empresa. V. Relaciones con los sindicatos
21
VI. Uso de las herramientas digitales de la empresa
Cuando se entregan dispositivos a los empleados, incluidos móvil y tabletas
el empresario debe cumplir con el deber de información a los trabajadores.
En el supuesto en que se realice un control sobre el uso de internet y/o el
correo electrónico, la información facilitada al trabajador debe ser clara, en
cuanto a la política de la empresa al respecto debe describir en qué medida
los trabajadores pueden utilizar los medios de la empresa para fines personales.
Por ej. el trabajador debe conocer si puede recibir mensajes
privados en su dispositivo móvil.
En definitiva, el empresario debe evitar la vulneración de la expectativa
razonable de intimidad que puede haberse generado un trabajador que hace
uso personal de los medios de trabajo.
Obligaciones de la empresa. VI. Uso de las herramientas digitales de la
empresa
22
Recomendamos:
Facilitar la información por escrito, de forma que quede constancia de
su recepción por el trabajador.
Incluir en la política de la empresa reglas de uso de los medios de la
misma, que incluyan prohibiciones absolutas
parciales
Informar a los trabajadores de la existencia de controles del uso de los
medios, así como de las medidas que pueden adoptarse para garantizar
la utilización laboral de los mismos.
Informar de la política de la empresa en la materia a los representantes
de los trabajadores.
Obligaciones de la empresa. VI. Uso de las herramientas digitales de la
empresa
23
VII. BYOD. Bring your own device
BYOD Política empresarial que permite a los empleados de una empresa acceder
a la información corporativa a través de sus dispositivos móviles personales.
Obligaciones de la empresa. VII. BYOD
VENTAJASahorro de costes
mejora de la productividad
RIESGOSObligación de proporcionar soporte IT a diversas plataformas
Confidencialidad y seguridad de la información
24
Art. 86. RDLOPD El tratamiento o almacenaje de datos personales fuera de local
del fichero o del encargado requiere:
• Implementación de una política de BYOD
Transferencia de datos
La transferencia de datos entre el dispositivo personal y el sistema
corporativo del Responsable de los datos presenta riesgos (ciberataques, envío
de información a un destinario equivocado, etc.)
Posibles soluciones
Obligaciones de la empresa. VII. BYOD
autorización previa (reflejada en el documento de seguridad)
garantizar el nivel de seguridad correspondiente al tipo de fichero tratado
encriptación de los canales de envío y recepción
monitorización de los datos transferidos
Debe ser proporcionada yno excesiva, especialmenteen periodos de uso personal
25
Obligaciones de la empresa. VII. BYOD
Control del dispositivo- geolocalización
Es preciso prever en qué determinados supuestos peligrará laconfidencialidad y seguridad de los datos personales que trata laempresa.
Posibilidad de geolocalización de los dispositivos y eliminación de losdatos.
Es conveniente limitar el alcance del consentimiento en el tiempo y recordárseloal usuario al menos una vez al año.
Es fundamental que el dispositivo advierta continuamente que la función degeolocalización está activada (por ejemplo a través de un icono que seencuentre permanentemente visible).
Es recomendable evitar la monitorización constante e informar a lostrabajadores sobre como desactivar el dispositivo de monitorización fuera de lashoras de trabajo.
26
Recomendaciones en la implementación del sistema BYOD :
Crear y difundir entre los empleados una política de uso de dispositivos
portátiles privados, que contemple los datos que se van a almacenar en dichos
dispositivos. Es conveniente que dicha política prevea la finalización de la
relación laboral con el empleado, así como el extravío del dispositivo.
Implementar un sistema de control y auditoría específica sobre dichos
dispositivos.
Aplicar medidas de seguridad adecuadas al dispositivo.
ej. Contraseña, sistema de bloqueo en caso de extravío o reiteración de
accesos no autorizados.
Prever la seguridad de los datos almacenados en el supuesto de acceso al
dispositivo por terceros (ej. miembros de la familia)
Obligaciones de la empresa. VII. BYOD
27
Controlar las medidas de transferencia de los datos entre el dispositivo y la
infraestructura informática interna de la empresa.
Crear una red wifi corporativa que restringa las visitas a sitios web que pongan
en riesgo la seguridad de los datos.
Obligaciones de la empresa. VII. BYOD
28
Deber de secreto del trabajador respecto a los datos personales a los que tiene
acceso en ejecución de su prestación laboral.
Deber de seguridad, que garantiza la disponibilidad de los datos y su
recuperación.
La empresa debe disponer de
Es conveniente incluir las obligaciones del trabajador respecto a los datos
personales a los que tiene acceso en el propio contrato de trabajo.
Políticas de cumplimiento de dichas obligaciones
Obligaciones del trabajador
Procedimientos de formación del personal
Belén Arribas Sánchez
Abogada & Auditora de Entornos Tecnológicos
Miliners Abogados y Asesores Tributarios
29
Gracias por su atención