El Tratamiento de Datos Personales de Empleados en el Trabajo

En la actividad diaria de una empresa, el empleador debe tratar múltiples datos personales de sus empleados. Aunque anteriormente estos datos no eran muy elevados, en la actualidad y conforme las nuevas tecnologías se han ido adentrando y avanzando en nuestras vidas, los datos recopilados por los empresarios sobre sus trabajadores han ido en aumento.

Así, hoy en día, hemos llegado a la situación en que muchas empresas emplean nuevas tecnologías para tres finalidades principales en las que se recopilarían datos personales de los empleados:

  • Para la detección y prevención de pérdida de material o propiedad intelectual de la Empresa.
  • Para mejorar la productividad de los trabajadores.
  • Para proteger los datos personales tratados por la Empresa.

Obviamente, la incorporación de estas nuevas tecnologías puede constituir una intromisión en los derechos fundamentales de los trabajadores -Derecho a la Protección de Datos, Intimidad, Secreto de las comunicaciones, entre otros-. Por ello, de modo general, anterior a la instalación de dichas tecnologías deberá realizarse una ponderación de derechos, teniendo en cuenta que el empleador goza del Derecho a la Propiedad y Libertad de Empresa (arts. 33 y 38 Constitución Española) así como del Poder de Control sobre el trabajador (art. 20.3 ET).

Más allá de esta visión genérica, el presente post se enfocará en la protección de datos personales y su legislación concreta a fin de sospesar qué situaciones empara la protección de datos para el tratamiento de datos de trabajadores y qué situaciones constituirán un tratamiento ilícito de datos. Para ello, se tendrán en cuenta:

A fin de determinar si un tratamiento de datos de empleados es lícito deberemos plantearnos una serie de preguntas a tener en cuenta:

  1. ¿Existe una ampara legal (base legal) para la recogida de los datos?
  2. ¿Cuál es la finalidad de la recogida de los datos?
  3. ¿Es proporcional y necesaria la recogida de datos en atención a la finalidad para la que se recogen?
  4. ¿Se ha informado a los empleados de la recogida de los datos?
  5. ¿Se han adoptado las medidas técnicas y necesarias para la protección de los datos?

1.    ¿Existe una ampara legal (base legal) para la recogida de los datos?

Los artículos 7 de la Directiva y 6 RGPD establecen los supuestos de licitud de tratamiento de datos, siendo relevantes para el presente análisis cuatro de los supuestos previstos en los mismos.

  • CONSENTIMIENTO DEL TRABAJADOR – arts. 7.a Directiva y 6.1.a) RGPD.

Como norma general se considera que, en atención a la naturaleza de la relación que existe entre empleador y trabajador, no sería posible el tratamiento de datos personales del trabajador en base a su consentimiento expreso.

Relacionado con ello, la Opinión 2/2017 puntualiza que las configuraciones por defecto o la instalación de software sin consentimiento ni oposición del trabajador no puede considerarse como consentimiento dado que no existe una activa expresión de voluntad del empleado.

Así, se concluye que sólo podría basarse el tratamiento de datos del empleador en este supuesto para el caso que el trabajador tenga la libertad de consentir el tratamiento de sus datos, no existiendo ningún tipo de consecuencia por el rechazo al tratamiento.

  • TRATAMIENTO NECESARIO PARA LA EJECUCIÓN DE UN CONTRATO – art. 7.b Directiva y 6.1.b) RGPD.

La Opinión 2/2017 indica que hay ciertos tratamientos de datos que pueden ser necesarios para la ejecución del Contrato de Trabajo, siendo, por lo tanto, lícito su tratamiento. Un claro ejemplo de ello sería el tratamiento de los datos del empleado con el fin de pagar su nómina.  

  • TRATAMIENTO NECESARIO PARA CUMPLIMIENTO DE UNA OBLIGACIÓN LEGAL DEL EMPLEADOR – art. 7.c) Directiva y 6.1.c) RGPD.

El derecho del trabajo puede imponer determinadas obligaciones legales de tratamiento de datos al empleador. Un ejemplo sería el tratamiento de datos a fin de calcular la retención del IRPF del trabajador.

  • TRATAMIENTO DE DATOS PARA LA SATISFACCIÓN DE UN INTERÉS LEGÍTIMO DEL EMPLEADOR – art. 7.f) Directiva y 6.1.f) RGPD.

Esta opción será aplicable al tratamiento de datos del empleado cuando el empleador ostente un interés legitimo para el tratamiento de dichos datos y siempre que no prevalezcan los intereses o derechos y libertades fundamentales del Interesado.

A modo de resumen podríamos definir como interés legítimo el objetivo final del tratamiento de datos realizado acorde con la ley. Un ejemplo sería proteger los datos personales contenidos en los servidores de la empresa respecto de los que el empresario es responsable de tratamiento de posibles accesos no autorizados o fugas de información.

Muy brevemente, tal y como se indica en el Dictamen 6/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, para que un interés sea legítimo debe cumplir tres reglas básicas:

  • Debe ser lícito en atención a la normativa nacional y de la unión europea;
  • Debe estar indicado con la suficiente claridad como para poder permitir llevar a cabo la prueba de sopesamiento contra los intereses y derechos fundamentales del Interesado;
  • Debe representar un interés real y actual.

2.    ¿Se ha establecido la finalidad de la recogida de los datos?

En el momento de establecer una recogida/tratamiento de datos, no solo se deberá contar con una ampara legal que permita la misma, sino que también deberá determinarse la finalidad del tratamiento. Por ejemplo, para el caso que tratemos datos para el pago de los salarios a los trabajadores, la finalidad del tratamiento de dichos datos no será otra que el pago de los salarios. Y ello implicará que dichos datos solo podrán ser utilizados para el pago de los salarios -a no ser que exista otra ampara legal para la nueva finalidad para la que se quieren tratar los datos personales-.

¿Por qué es esto tan importante?

Ello es muy relevante por lo dispuesto por el art. 5.1.b) RGDP en el que se establece el principio de limitación de la finalidad del tratamiento, en el que se indica que la recogida de los datos debe realizarse con unos fines determinados, explícitos y legítimos, y que dichos datos no podrán ser tratados ulteriormente de manera incompatible con dichos fines.

Puede que en el caso anteriormente expuesto no parezca demasiado relevante, pero vamos a analizar otro caso un tanto distinto. Un empresario decide instalar un sistema de monitorización del tráfico de datos para evitar el acceso no autorizado o fugas de datos personales respecto de los cuales es responsable del tratamiento. Por lo tanto, la finalidad del tratamiento sería evitar la fuga de datos o acceso no autorizado. No obstante, imaginemos que el empleador aprovecha los datos recopilados legítimamente con el fin de monitorizar el trabajo de los trabajadores. En este caso, estaríamos ante una finalidad distinta de tratamiento de datos, respecto la cual deberían darse todos los presupuestos necesarios para su licitud, existiendo, si no, un tratamiento ilícito de datos.

Por ello, debe quedar clara la finalidad de la recogida de los datos, ya que, por cada finalidad deberá haberse realizado el proceso de análisis de la legalidad del tratamiento y deberán cumplirse todos y cada uno de los requisitos para la legalidad del mismo.

3.    ¿Es proporcional y necesaria la recogida/tratamiento de datos en atención a la finalidad para la que se recogen?

Una vez establecida la finalidad para la recogida/tratamiento de los datos, deberá analizarse si los datos recogidos y tratados son proporcionales y necesarios con la finalidad buscada.

Por lo tanto, aquí será relevante el cumplimiento del principio de minimización de datos indicado en el art. 5.1.c) RGPD por el que se dispone que los datos tratados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Añadido a lo anterior, deberán cumplirse también los principios de proporcionalidad y subsidiariedad de las medidas adoptadas para recopilar datos, a fin de utilizar siempre aquellas que limiten al mínimo el daño sobre los derechos fundamentales de los trabajadores.

Ello implica que:

  • Deben tratarse solo los datos necesarios para la finalidad -mínima información registrada-;
  • Deben sospesarse los derechos fundamentales de los trabajadores;
  • Deben adoptarse sólo aquellas medidas que limiten al mínimo el daño sobre los derechos fundamentales (principalmente, privacidad y secreto de las comunicaciones) de los empleados, optando siempre por aquellas que respeten en mayor medida los derechos de los trabajadores, pudiendo, en caso de ser posible, optar medidas de prevención antes de medidas de detección. Ello implicará, por ejemplo, que, si la finalidad del empleador es controlar el trabajo efectivo de sus trabajadores, no es necesaria la monitorización e interceptación completa de las comunicaciones del trabajador, sino que podrá obtenerse la misma finalidad solo controlando los metadatos de los paquetes de tráfico de internet, siendo totalmente desproporcionada la intromisión en el derecho al secreto de las comunicaciones del trabajador.

4.    ¿Se ha informado a los empleados sobre la recogida y tratamiento de los datos?

Los trabajadores deben estar totalment informados sobre el procesamiento de sus datos, en virtud de los arts. 10 Directiva y 12 a 14 RGPD.

Deben ser informados sobre:

  • La finalidad del tratamiento de datos;
  • Las circunstancias del tratamiento;
  • Las posibilidades de prevenir que los datos sean capturados;
  • La existencia de monitorización de la red -cuando los datos sean obtenidos de dicha forma-;
  • Otras garantías para un tratamiento de datos leal.

5.    ¿Se han adoptado las medidas técnicas y necesarias para la protección de los datos?

Como en cualquier tratamiento de datos personales, el Responsable del Tratamiento -en este caso, empleador- está obligado por los arts. 17 Directiva y 32 RGPD a aplicar las medidas técnicas y organizativas apropiadas para la Seguridad del tratamiento.

Visto el procedimiento de análisis que debe seguirse de forma resumida, a continuación se procederá a analizar los diferentes supuestos que se explicitan en la Opinión 2/2017.  

 TRATAMIENTO DE DATOS EN EL RECLUTAMIENTO.

Según dispone el WP29, en principio, no deberían tratarse los datos incluidos en redes sociales de candidatos, aun cuando los mismos se encuentren configurados con acceso público.  

Para el caso que pudiera ampararse la licitud del tratamiento en el interés legítimo del Empleador, por entender que los datos a recopilar son necesarios y relevantes para el desarrollo del trabajo, deberá informarse a los candidatos sobre el procesamiento de dichos datos. Un ejemplo de medio donde informarles sería en la oferta de trabajo. En este caso, debe sospesarse la finalidad de la red social, dado que la justificación para tratar dichos datos no será la misma para el caso de tratar datos de una red privada (ej. Facebook) o de una red con una finalidad de negocio (ej. Linkedin).

A pesar de ello, el WP29 indica que no hay ampara legal para exigir a un candidato que permita el acceso al empleador a los contenidos de su perfil.

Por último, los datos recogidos durante el proceso de selección deberán ser eliminados tan pronto el proceso finalice, a excepción de los casos en que el empleador quiera retenerlos para futuros procesos de selección y en la medida en que el Interesado haya sido informado sobre ello y haya podido aceptar o declinar dicho tratamiento de datos.

TRATAMIENTO DE DATOS EXTRAIDOS DE SCREENING DE DATOS DEL TRABAJADOR PUBLICADOS EN SUS REDES SOCIALES.

El WP29 indica que, de forma general, no puede realizarse un control de los datos subidos en las redes sociales de los trabajadores, dado que pueden recopilarse datos especialmente protegidos de la vida privada de los empleados. Del mismo modo, no puede requerirse a un trabajador el acceso a su actividad en redes sociales.

A pesar de lo anterior, el WP29 propone un ejemplo en el que podría ser lícito el tratamiento de datos de exempleados de la red social Linkedin.

EJEMPLO.
Un empleador monitoriza los perfiles de Linkedin de exempleados durante el período de duración de una cláusula de no competencia. Este tratamiento de datos puede ser lícito siempre que el empleador puede probar que es necesario para su interés legítimo -el cumplimiento de las cláusulas de no competencia y protección de sus conocimientos y posición en el mercado-, no exista un medio menos invasivo sobre el derecho a la privacidad de los exempleados así como que éstos han sido debidamente informados sobre la monitorización de sus perfiles.
Por último, para el caso que el desarrollo del empleo requiera del uso de una cuenta de red social (Por ejemplo, un portavoz), el trabajador tendrá la opción/libertad de tener un perfil personal distinto del relacionado con su trabajo.

TRATAMIENTO DE DATOS DE TRABAJADORES OBTENIDOS MEDIANTE MONITORIZACIÓN DE DISPOSITIVOS Y REDES DE TRABAJO.

El empresario puede querer monitorizar el tráfico de la red de sus trabajadores con el fin de proteger los datos respecto de los cuales es Responsable del Tratamiento o bienes de su propiedad.

Para ello, el empleador deberá realizar todo el proceso indicado en el esquema que anteriormente se ha descrito, debiendo ponderar de forma correcta los derechos que hay en juego.

A continuación, se indican dos ejemplos.

EJEMPLO 1.
El empleador instala un dispositivo de inspección TLS que descifra e inspecciona todo el tráfico de datos codificado con la finalidad de detectar tráfico malicioso así como controlar y analizar la actividad online de los empleados.
En este caso, interés legítimo del empleador sería la protección de la red y datos de empleados y clientes contra un acceso no autorizado o filtrado de datos.
No obstante, el WP29 considera que monitorizar toda la actividad online puede ser desproporcionado y constituir una injerencia en el Derecho al secreto de las comunicaciones de los trabajadores. Por lo tanto, considera que debería buscarse un medio menos lesivo para lograr la finalidad buscada.
Como medidas propone:
La configuración del dispositivo en el sentido de evitar el permanente almacenamiento de datos, sólo almacenándose para el caso que hubiera un incidente.
Configurar el dispositivo en el sentido de no interceptar la comunicaciones en aquellas situaciones que podrían no cumplir el principio de proporcionalidad como, por ejemplo, en el acceso al mail privado, online banking o webs de salud.
Crear una Política en la que se informe de forma clara a los trabajadores sobre cuándo y por qué los logs son considerados sospechosos y podrán ser accesibles por los encargados de la monitorización. Dicha Política deberá ser accesible por todos los empleados permanentemente y, convenientemente, debería ser revisada como máximo cada año.
Asimismo, indica como una buena práctica poner a disposición de los trabajadores un wi-fi o aparatos/terminales alternativos no monitorizados.
EJEMPLO 2.
El empleador instala un dispositivo de prevención de pérdida de datos para monitorizar la salida de emails con la finalidad de evitar la transmisión no autorizada de datos. En aquellos casos en los que se considere que un mail cumple con las características para poder llevar a cabo una brecha de datos, se realiza una investigación sobre el mismo.
El interés legítimo del empleador en el tratamiento de estos datos radica en la protección de los datos personales de sus Clientes así como aquellos datos respecto de los cuales es propietario.
No obstante, el WP29 entiende que podríamos estar ante un tratamiento de datos innecesario dado que, para el caso de existir un falso positivo, se llevaría a cabo un acceso no autorizado a mails legítimos enviados por los trabajadores.
Por ello, el WP29 dispone una serie de medidas a tomar con el fin de mitigar los riesgos en los derechos de los trabajadores:
Informar a los empleados de las normas que determinan a un e-mail como una potencial fuga de datos;
Que, para el caso que se fuera a enviar un e-mail que cumpla dichas características, debería informarse al trabajador -con anterioridad al envío- que el e-mail cumple con las características para ser detectado como una potencial fuga de datos, dando la opción al trabajador de cancelar la transmisión.

Respecto el uso de aplicaciones online, el WP29 indica que los empleadores deberían definir espacios privados para los trabajadores a los que el empleador solo podrá acceder en circunstancias excepcionales. Por ejemplo, para el caso de tener un calendario online, el trabajador debe tener la posibilidad de indicar eventos privados a los que el empleador no tenga acceso.

Para el caso de monitorización del trabajo realizado desde casa, el WP29 considera no proporcional y excesiva la utilización de softwares que almacenan el tecleo y movimiento de ratones, capturas de pantalla, registro de las aplicaciones utilizadas o aquellas que permiten activar webcams o realizar fotografías.

Otra situación analizada por el WP29 es el caso que el trabajador utilice en la oficina un dispositivo de su propiedad, dado que la monitorización de dicho ordenador puede conllevar el tratamiento de datos relacionados con el uso personal y privado del dispositivo.

En estos casos, debe existir la posibilidad de diferenciar entre el uso privado o empresarial del dispositivo así como deben utilizarse métodos de transferencia segura de datos en su conexión con la red empresarial (ej. VPN). Otra solución podría ser la utilización de sistemas de sandboxing.

En casos extremos y en los que no haya otro modo de prevenir que el uso privado sea monitorizado, el WP29 indica que el empleador puede considerar prohibir el uso de dispositivos específicos de trabajo para uso privado. Ello sucederá, por ejemplo, cuando el aparato permita acceso remoto a datos personales respecto de los cuales el empleador es responsable del tratamiento.

Para los supuestos de uso de dispositivos móviles, el empleador podría emplear software de gestión de dispositivos móviles (Mobile Device Management) el cual les permite acceder a los dispositivos de forma remota, desplegar configuraciones específicas, eliminar datos y rastrear su posición. En estos casos, el WP29 destaca que su uso debe ser limitado y solo para determinados fines.

Por ejemplo, la función de rastreo podría ser utilizada para rastrear y monitorizar a los trabajadores y sus posiciones, algo que no cumpliría con los principios de proporcionalidad y subsidiariedad. Por ello, para el caso que quiera utilizarse dicha función con la finalidad de prevenir el robo o pérdida, deberá configurarse el sistema para que los datos de localización solo sean accesibles para el empleador cuando se haya reportado el dispositivo como robado o perdido

Otros dispositivos que empiezan a entrar en las oficinas son los wereables. En este supuesto, el WP29 indica que el empleador debe tener cuidado al tratar los datos recopilados dado que puede darse la posibilidad que se traten datos de salud, indicados como datos especialmente protegidos por la regulación de protección de datos (arts. 6 DPD y art. 9 RGPD).

Respecto el amparo legal para el tratamiento de los datos recopilados con estos dispositivos, debe tenerse en cuenta que el WP29 indica que sustentar el tratamiento de los datos recopilados a través de wereables en el consentimiento del trabajador no puede ser legal en atención a la naturaleza de la relación existente entre las partes. Añadido a ello, debe tenerse en cuenta que el art. 10 del anteproyecto de nueva Ley Orgánica de Protección de Datos dispone que el consentimiento del Interesado no legitima el tratamiento de datos especialmente protegidos (teniendo en cuenta que estos dispositivos principalmente recopilan datos relacionados con la salud).

Añadido a lo anterior, el WP29 hace hincapié en indicar que en la recopilación de este tipo de datos es muy complicada la total anonimización de los datos dado que podría identificarse a los Interesados en atención a determinadas características de salud tales como la alta presión sanguínea o la obesidad.

EJEMPLO.
Una empresa ofrece a los trabajadores wereables como un regalo. Dichos wereables cuentan los pasos del trabajador, registran sus pulsaciones y sus patrones de sueño.
Los datos recopilados deberían solo ser accesibles por el trabajador. Asimismo, el empleador debería vigilar la política de privacidad de los proveedores de servicios dado que podría darse un tratamiento ilegal. Un ejemplo sería que los wereables se sincronizaran con un cloud en el que se almacenan los datos en un servidor situado en un tercer país, produciéndose, por lo tanto, una transferencia internacional de datos personales de los trabajadores.

OPERACIONES DE TRATAMIENTO DE DATOS SOBRE TIEMPO Y ASISTENCIA.

El empleador puede querer realizar el tratamiento de datos relacionados con operaciones de tiempo y asistencia de los trabajadores. Como en todos los supuestos, deberán darse todas las condiciones indicadas en el esquema anteriormente indicado (ampara legal, necesidad y proporcionalidad, finalidad, información y medidas).

EJEMPLO.
Un empleador instala un dispositivo de control de entrada al servidor en los que contiene los datos de su oficina.
El interés legítimo buscado por el empleador al realizar el tratamiento de datos es el control de las entradas no autorizadas a los datos respecto de los cuales es responsable.
No obstante, dichos datos no podrán ser aplicados a otras finalidades como, por ejemplo, el desempeño del trabajo, dado que existen otras medidas menos lesivas para los derechos del trabajador para cumplir dicha finalidad.

MONITORIZACIÓN A TRAVÉS DE VIDEO.

El empleador puede tener instaladas videocámaras en el lugar de trabajo con fines de seguridad y control. No obstante, el WP29 advierte que no sería lícito el tratamiento de los datos registrados por la videocámara con el fin de monitorizar las expresiones faciales de los trabajadores, identificar desviaciones de patrones de movimientos predefinidos -por ejemplo, en las fábricas-, dado que ello no cumpliría con los principios de subsidiariedad y proporcionalidad.

Asimismo, se recomienda evitar el uso de tecnologías de reconocimiento facial en la medida que se pueda dado que se tratarían datos especialmente protegidos.

MONITORIZACIÓN DE VEHÍCULOS.

Respecto a la ampara legal, la instalación de dispositivos de monitorización en vehículos puede responder a una obligación legal. Por ejemplo, asegurar la seguridad de los empleados.

Otro supuesto que podría darse es ampararse en el interés legítimo del empleador, para el caso de instalar dispositivos de monitorización, por ejemplo, para la localización de vehículos como fin de prevención de robos de vehículos.

Obviamente, dichos datos no podrán ser utilizados para la evaluación del desempeño del trabajo o para analizar la conducción del trabajador (como bien indicó el WP29 en su Opinión 13/2011).

Respecto el tratamiento de datos de localización, el WP29 indicó en su Opinión 5/2005 que dicho tratamiento puede justificarse en aquellos casos en los que se monitoriza el transporte de personas o mercancías o se busca mejorar la distribución de servicios realizados en amplias regiones, o cuando existe un objetivo de seguridad para el trabajador, mercancías o el vehículo. Un ejemplo podría ser UPS y su programa Orion, mediante el cual un algoritmo establece la ruta de los repartidores con el fin de lograr la mejor ruta de reparto. (En el siguiente link puede conocer un poco más sobre este programa).

En contraposición a lo anterior, no se consideraría justificado -y, por lo tanto, constituiría un tratamiento ilícito de datos- el tratamiento de datos de localización de los vehículos cuando los trabajadores son libres de establecer sus rutas de trabajo o cuando lo que se busca es monitorizar el trabajo del empleado -dado que para esta última finalidad existirían medidas menos lesivas para los derechos de los trabajadores-.

Más allá de lo anterior, el WP29 también incide en indicar que, para el caso que el vehículo pueda ser utilizado para fines privados, el mismo debe tener la opción de desconexión de la monitorización durante el período de uso privado -puesto que la monitorización no tendrá sentido fuera de horas de trabajo-.

Añadido a lo anterior, en el supuesto en que la instalación del dispositivo sea para prevenir un robo del vehículo, debería sospesarse configurar que los datos de rastreo solo sean visibles para el empleador en el caso que el vehículo salga de una zona en concreto predefinida.

Por último, otro tipo de dispositivos están empezando a ser instalados en los vehículos de los trabajadores, son los denominados event data recorders. Estos dispositivos graban vídeo y sonido para el caso de detectar que se va a producir un accidente, activándose por un frenado brusco o con cambios bruscos de dirección. Asimismo, algunos dispositivos también recopilan la posición del vehículo e información relacionada con la conducción.

El WP29 indica que siempre que se cumpla con la existencia de un interés legítimo y se cumplan los principios de proporcionalidad y subsidiariedad, el tratamiento será lícito. No obstante, no pueden utilizarse para comprobar las habilidades de conducción de los trabajadores, dado que ello interfiere con el Derecho de Privacidad de los empleados y no cumple con los principios de proporcionalidad y subsidiariedad dado que existen otros medios para prevenir accidentes (ej. Equipamiento para la prevención de uso de móviles al volante, frenos de emergencia avanzados, sistemas de alerta por salida del carril, etc.).

CESIÓN DE DATOS A CLIENTES.

El empleador podrá transferir datos de los trabajadores a los Clientes en aquellas ocasiones que sea proporcional a la finalidad perseguida.

EJEMPLO.
El empleador envía a los clientes un link con el nombre, foto y localización del repartidor. No obstante, dicho tratamiento no cumpliría con el principio de necesidad, dado que para el desarrollo de la entrega de los bienes no es necesaria la transferencia de los datos personales del trabajador.

TRANSFERENCIA DATOS INTERNACIONAL DE HR O DATOS EMPLEADOS.

Puede producirse una transferencia internacional de datos, por ejemplo, en el uso de aplicaciones basadas en cloud computing. En estos casos, el empleador debe cerciorarse que se dan los requisitos necesarios para realizar la transferencia internacional de datos, puntualizando el WP29 que es preferible basarse en el cumplimiento de garantías adecuadas que en el consentimiento del trabajador -dado que éste debería ser específico, no ambiguo y otorgado de forma libre, existiendo las objeciones al uso del amparo sobre el consentimiento anteriormente indicadas-.

CONCLUSIONES

Visto todo lo anterior, podrían extraerse seis conclusiones principales para tener en cuenta en el tratamiento de datos de empleados:

  1. Ten siempre en cuenta los principios de la protección de datos.
  2. El contenido de las comunicaciones electrónicas en el trabajo disfruta de los mismos derechos fundamentales que la protección de comunicaciones privadas.
  3. El consentimiento es altamente improbable como base legal de tratamiento de datos en el trabajo a no ser que los empleados puedan declinar el tratamiento sin consecuencias negativas.
  4. Ejecución de un contrato e intereses legítimos pueden servir de base para el tratamiento siempre que el mismo sea estrictamente necesario para la finalidad legitima y cumpla con los principios de proporcionalidad y subsidiariedad.
  5. Los empleados deben recibir información efectiva sobre la monitorización.
  6. Las transferencias internacionales de datos de los empleados deben realizarse solo cuando haya un nivel adecuado de garantías asegurado.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *