Categorías
PROTECCIÓN DE DATOS PROTECCIÓN DE DATOS Y RELACIONES LABORALES

Nóminas y protección de datos

¿Las nóminas se consideran datos personales?

Las nóminas de los trabajadores se consideran datos personales y están protegidos por la normativa.

¿Cómo garantizar la confidencialidad de las nóminas?

Las nóminas tienen carácter confidencial. Por lo que responsables y encargados de tratamiento deben aplicar medidas técnicas y organizativas que garanticen la seguridad, la privacidad e la integridad de la información que figura en ellas.

Esto obliga a las compañías a demostrar que cuentan con dichas medidas de seguridad para el tratamiento de las nóminas:

  • Seudonimización. En caso de brechas de seguridad, se debe garantizar que no se sepa a quién corresponden los datos.
  • Cifrado de datos personales. Los sistemas y softwares de gestión de nóminas deben contar con un código cifrado.
  • Minimización de datos almacenados. Solo hay que almacenar y procesar los datos personales imprescindibles.
  • Limitación en el acceso a datos. Es fundamental evitar que terceros puedan tener acceso a las nóminas.
¿Qué datos deben aparecer en las nóminas?

En las nóminas no debe figurar información superflua que no sea la relacionada con los ingresos y deducciones derivadas del contrato de trabajo.

Concretamente, no debe incluirse la mención a la afiliación sindical. Lo recomendable es que el descuento de la cuota sindical se identifique de manera que no permita a terceros conocer esa información, ya que la nómina es exigida habitualmente por entidades públicas y privadas para realizar determinados trámites.

Cláusulas informativas al trabajador relativas a protección de datos

Las nóminas deben llevar una serie de cláusulas informativas en la que se les informe de:

  • Existencia de ficheros con datos personales, la finalidad del tratamiento y los destinatarios de los datos.
  • Identidad de los responsables del tratamiento
  • Formas en que pueden ejercitar sus derechos
  • Cesión de datos a terceros, y con qué finalidad.
Derechos del trabajador

El trabajador tiene derecho a solicitar al emplear el acceso, rectificación, supresión, limitación del tratamiento, portabilidad u oposición al tratamiento de los datos personales de sus nóminas.

Encargados de tratamiento ¿Cómo cumplir con la protección de datos cuando es un tercero el que nos gestiona las nóminas?

La gestión de las nóminas suele ser un servicio que, en muchísimas ocasiones, las empresas contratan de forma externa, con asesorías, gestorías o empresas de recursos humanos.

En este caso, es fundamental que el responsable de los datos seleccione un prestador de servicios que ofrezca garantías y que adopte las medidas de seguridad necesarias, ya que en este caso será quien lleve a cabo el tratamiento de estos datos personales en condición de encargada del tratamiento.

En este caso será necesario la elaboración y firma de contrato de encargado de tratamiento con la empresa que gestione el servicio, contrato que dará la legitimación necesaria para el tratamiento de los datos

Nóminas electrónicas y Protección de datos

Vivimos en una sociedad que avanza a pasos agigantados en materia tecnológica. La realidad laboral de las empresas no es ajena a ello, razón por la cual en los últimos años se ha producido un importante incremento de entrega de nóminas en soportes electrónicos.

En principio, la normativa laboral no especifica de qué modo es preceptivo entregar las nóminas a sus empleados. Muchas empresas optan porque esa entrega se haga de forma electrónica, sea vía email, o a través de alguna plataforma o Intranet.

En este caso, se exige que el trabajador tenga acceso su nómina electrónica como mínimo, en el espacio de trabajo y en horario laboral, de tal manera que no le suponga una carga ni coste adicional. En todo caso, el trabajador tiene derecho a elegir por qué medio quiere recibir sus nóminas.

Para asegurar que se cumple con la protección de datos personales de los empleados, la empresa dispondrá de medidas de seguridad adecuadas.  Para ello, necesita contar con un sistema seguro, cifrado y accesible.

Por otra parte, es necesario que el empleado preste su consentimiento, el cual debe ser libre, unívoco, informado y revocable.

En el caso del envío de nóminas por correo electrónico, hay tribunales que han considerado que existe la posibilidad de que, aunque el trabajador preste su consentimiento, este no sea totalmente voluntario, por lo que la empresa debe ofrecer al trabajador alguna otra alternativa.

Por otra parte, la AEPD se mostró también reacia a la utilización de un solo modelo para esta finalidad.

La agencia considera que no es adecuado que se emplee el correo personal del trabajador, por lo que lo más recomendable es usar el correo profesional o corporativo, por ejemplo.

Categorías
PROTECCIÓN DE DATOS

Protección de datos en el trabajo

¿Es aplicable la normativa de protección de datos al tratamiento de los datos de los trabajadores?

Sí. La legislación de protección de datos es de aplicación al tratamiento de datos efectuado por un empleador respecto de las personas trabajadoras. Es más, existe la posibilidad de que, además de la legislación existente, se creen incluso normas más específicas que ofrezcan mejoras en el ámbito de la protección del derecho a la protección de datos (sea mediante otras disposiciones legales o convenios colectivos)

¿En qué casos está permitido tratar los datos personales de los trabajadores?

Como sabemos, es necesario que el responsable del tratamiento cuente con una base jurídica que le legitime para tratar datos personales. En el ámbito de las relaciones laborales puede ser:

  1. Ejecución del contrato de trabajo. La empresa podrá tratar datos como el nombre y los apellidos de sus trabajadores, su fecha de nacimiento, su sexo, su nacionalidad, su formación previa o los datos imprescindibles para formalizar el contrato y ejecutar el trabajo.
  2. Cumplir las exigencias impuestas por la ley. Por ejemplo, cotización a la Seguridad Social, obligaciones fiscales, registro de jornada, información y consulta con los representantes de las personas trabajadoras, permisos de conducir si son necesarios para desempañar la actividad…
  3. Satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado, y sobre la base de determinados requisitos.
  4. Por ultimo, cuando la base jurídica sea el consentimiento
  •  Debe ser inequívoco, de modo que requiere una manifestación del afectado o una clara acción afirmativa (el silencio, las casillas ya marcadas o la inacción, no constituyen consentimient
  •  Debe ser libre y específico, no es lícito sustituirlo por un consentimiento indirecto y plural mediante la negociación colectiva)
  1. Existen otras bases jurídicas excepcionales: por ejemplo, la protección de intereses vitales del afectado o de otra persona física.
¿Es necesario informar a los trabajadores sobre el tratamiento de datos que se lleva a cabo?

La respuesta es SI. El responsable debe informar a las personas trabajadoras, de forma concisa, transparente, inteligible, con un lenguaje claro y sencillo.

Para ello, la información facilitada no debe contener lenguaje o terminología de naturaleza excesivamente legal, técnica o especializada, y deben evitarse expresiones indefinidas como «podría», «algunos», «frecuentemente» y «posible»”

Es recomendable adoptar un modelo de información por capas, mediante una primera capa con información básica, facilitada en el mismo momento en el que se recojan los datos, y una segunda capa más detallada.

¿qué plazos de información sobre el tratamiento de datos debe manejar el responsable?
  1. Cuando los datos se obtengan del afectado (por ejemplo, a través del currículum vitae) la información debe proporcionarse en el mismo momento en que el empleador recabe los datos.
  2. Cuando los datos no se obtengan del afectado la información debe proporcionarse dentro de un plazo razonable, y a más tardar en el plazo de un mes, con las siguientes precisiones:
  • Si los datos personales han de utilizarse para una comunicación con el afectado, debe informarse a más tardar en el momento de la primera comunicación a dicho afectado.
  • Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
¿Basta solo con incluir cláusulas informativas de protección de datos en el contrato de trabajo?

No, no es suficiente.

Incluir estas cláusulas en el contrato de trabajo es, simplemente, un medio. Sin embargo, existen ocasiones en que un tratamiento de datos concreto EXCEDE lo necesario para el cumplimiento del contrato de trabajo. En este caso es necesario contar con una base jurídica para efectuar dicho tratamiento, como puede ser el consentimiento.

La mera información no equivale al consentimiento, por lo que la incorporación en el contrato de trabajo de la información relativa a este tipo de tratamientos no es por sí misma una base jurídica.

Por ello, lo recomendable es separar el contrato de trabajo de otros documentos a través de los cuales el empleador solicite a la persona trabajadora el consentimiento para poder realizar tratamientos que no están comprendidos dentro de la ejecución de la concreta relación laboral.

Categorías
PROTECCIÓN DE DATOS

¿Es obligatoria la protección de datos?

¿Es obligatoria la protección de datos? 

A pesar de que existe una normativa de obligado cumplimiento sobre la protección en el uso y el tratamiento de los datos personales desde hace años, la protección de datos sigue siendo desconocida para una parte importante de la población, sobre todo autónomos, pequeñas empresas, asociaciones, comunidades… muchas de las cuales ni siquiera saben que tienen que cumplir con dicha obligación, o sabiéndolo, lo consideran un tema menor. 

Sin embargo, la respuesta categórica es sí. Sí, la protección de datos es obligatoria. Si en el día a día de tu trabajo, utilizas cualquier dato de personas físicas (identificada o identificable) es obligatorio que cumplas con la normativa en materia de protección de datos.

Todas las personas físicas o jurídicas, o entidades privadas o públicas que utilicen datos personales de terceros en el desarrollo de su actividad empresarial o profesional están obligadas a cumplir la ley de protección de datos. 

En concreto podemos señalar

  • Sociedades mercantiles (pymes y grandes empresas)
  • Autónomos.
  • Entidades sin ánimo de lucro.
  • Comunidades de propietarios.
  • Comunidades de bienes.
  • Organismos públicos.
  • Administraciones públicas.

Por tanto, hay que olvidar esa “leyenda urbana” de que la protección de datos sólo la tienen que cumplir las grandes empresas con algunos o muchos empleados.

Si eres autónomo, si gestionas una asociación, o una entidad sin ánimo de lucro o, una comunidad de propietarios o una empresa pequeña o familiar, en definitiva, si tratas datos personales de personas físicas, estás obligado a cumplir con la normativa. Y si no lo haces te enfrentas a importantes consecuencias.

Y tratar datos personales es algo mucho más común de lo que la mayoría piensa: desde que recibes un currículum, gestionas nóminas o datos de tus empleados, tienes datos de tus clientes (como su nombre, o su teléfono, su DNI… ), o si cuentas con una cámara de videovigilancia, si usas datáfono, etcétera, todo ello es tratamiento de datos, por citar algunos ejemplos cotidianos .

Como ves, tratar con datos personales es más común de lo que uno puede plantearse en un principio. Por tanto, hay que cumplir con el reto, adaptarse a la normativa y crear una cultura de cumplimiento.