reglamento general de proteccion de datos

Desde el pasado día 25 de mayo es directamente aplicable y de obligado cumplimiento el Reglamento General de Protección de Datos (RGPD) para toda aquella empresa que trate datos personales de ciudadanos de la Unión Europea, con independencia de dónde esté la sede de la compañía.

 

Responsabilidad en el tratamiento de la protección de datos personales

 

Se crean dos figuras que comparten responsabilidad en el tratamiento de la protección de datos personales (RGPD art. 4):

Responsable del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. En el caso de entes sin personalidad jurídica, se considera responsable del tratamiento a la persona o personas integrantes de los mismos.

Encargado del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento siguiendo estrictamente sus indicaciones. Está legitimado para realizar todos los tratamientos, automatizados o no, que el responsable del tratamiento le haya encomendado formalmente.

Delegado de protección de datos: tiene encomendadas las funciones de informar a la entidad o responsable del tratamiento de sus obligaciones legales en materia de protección de datos de carácter personal, así como velar por el cumplimiento de las normas internas y externas al respecto, y cooperar con la autoridad de control (RGPD art. 37 y 42).

 

Sanciones por incumplimiento

 

Entre las principales novedades se halla la imposición de sanciones en forma de multas administrativas en caso de incumplimiento de los principios y derechos protegidos en la norma, que pueden ser de 10 millones de euros como máximo o, si se trata de una empresa, el 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía en el caso de incumplimientos de las obligaciones del responsable y del encargado, de los organismos de certificación y de la autoridad de control.

La multa será de 20 millones de euros como máximo o, si se trata de una empresa, el 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía en el caso de incumplimientos más graves de los principios y derechos protegidos.

 

Incidencia del nuevo reglamento en el ámbito laboral

 

El tratamiento de la protección de datos personales tiene repercusiones desde el proceso de selección hasta la extinción del contrato, a lo largo de toda la relación laboral, como en la utilización de los medios de control de la actividad de los trabajadores a través de las nuevas tecnologías (videovigilancia, geolocalización, uso de Internet, etc.), los datos referentes a afiliación sindical o relacionados con la salud.

 

¿Es necesario el consentimiento del trabajador?

 

La empresa está legitimada para efectuar el tratamiento de datos personales de sus empleados, no siendo necesario el consentimiento cuando los datos de carácter personal sean necesarios para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. Por lo tanto, el tratamiento debe considerarse lícito cuando sea necesario en el contexto de un contrato de trabajo o en la intención de concluir un contrato.

 

¿Qué limitaciones hay al tratamiento de datos personales?

 

Está prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical; datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o a la orientación sexual de una persona física. Como excepción, dichos datos especialmente protegidos pueden ser tratados si el trabajador da su consentimiento explícito y cuando sea necesario en el ámbito del Derecho Laboral y de la seguridad y protección social (RGPD art.9).

Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo pueden ser incluidos en ficheros de las Administraciones públicas competentes, en los supuestos previstos en las respectivas normas reguladoras (RGPD art. 10).

 

Deber de información de la empresa y consentimiento explícito del trabajador

 

El contrato de trabajo es un medio adecuado para informar al trabajador del tratamiento de sus datos directamente relacionado con la prestación laboral, pero no para informar de otros tratamientos distintos, pues no debe confundirse la información que debe ofrecer el empleador con una manifestación del consentimiento del trabajador.

En el caso de un tratamiento de los datos del trabajador que no esté directamente relacionado con la prestación laboral la empresa deberá recabar el consentimiento explícito del trabajador.

 

¿Quiénes son el responsable y el encargado del tratamiento en el ámbito laboral?

 

El empresario es normalmente el responsable del tratamiento, aunque también puede haber otros responsables, como los sujetos colectivos o los servicios de prevención.

El encargado del tratamiento es la gestoría, asesoría, empresa encargada del mantenimiento informático, hosting o gestión de webs, en definitiva, todo aquel que disponga de información de sus clientes, trabajadores o proveedores considerados datos de carácter personal.

 

Normas específicas

 

En el ámbito laboral existe la posibilidad de que los estados miembros establezcan normas específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores. En este sentido, en España se está tramitando en la actualidad el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, publicado por el BOCG el día 24/11/2017.