Categorías
PD Y RELACIONES LABORALES PROTECCIÓN DE DATOS

Nóminas y protección de datos

¿Las nóminas se consideran datos personales?

Las nóminas de los trabajadores se consideran datos personales y están protegidos por la normativa.

¿Cómo garantizar la confidencialidad de las nóminas?

Las nóminas tienen carácter confidencial. Por lo que responsables y encargados de tratamiento deben aplicar medidas técnicas y organizativas que garanticen la seguridad, la privacidad e la integridad de la información que figura en ellas.

Esto obliga a las compañías a demostrar que cuentan con dichas medidas de seguridad para el tratamiento de las nóminas:

  • Seudonimización. En caso de brechas de seguridad, se debe garantizar que no se sepa a quién corresponden los datos.
  • Cifrado de datos personales. Los sistemas y softwares de gestión de nóminas deben contar con un código cifrado.
  • Minimización de datos almacenados. Solo hay que almacenar y procesar los datos personales imprescindibles.
  • Limitación en el acceso a datos. Es fundamental evitar que terceros puedan tener acceso a las nóminas.
¿Qué datos deben aparecer en las nóminas?

En las nóminas no debe figurar información superflua que no sea la relacionada con los ingresos y deducciones derivadas del contrato de trabajo.

Concretamente, no debe incluirse la mención a la afiliación sindical. Lo recomendable es que el descuento de la cuota sindical se identifique de manera que no permita a terceros conocer esa información, ya que la nómina es exigida habitualmente por entidades públicas y privadas para realizar determinados trámites.

Cláusulas informativas al trabajador relativas a protección de datos

Las nóminas deben llevar una serie de cláusulas informativas en la que se les informe de:

  • Existencia de ficheros con datos personales, la finalidad del tratamiento y los destinatarios de los datos.
  • Identidad de los responsables del tratamiento
  • Formas en que pueden ejercitar sus derechos
  • Cesión de datos a terceros, y con qué finalidad.
Derechos del trabajador

El trabajador tiene derecho a solicitar al emplear el acceso, rectificación, supresión, limitación del tratamiento, portabilidad u oposición al tratamiento de los datos personales de sus nóminas.

Encargados de tratamiento ¿Cómo cumplir con la protección de datos cuando es un tercero el que nos gestiona las nóminas?

La gestión de las nóminas suele ser un servicio que, en muchísimas ocasiones, las empresas contratan de forma externa, con asesorías, gestorías o empresas de recursos humanos.

En este caso, es fundamental que el responsable de los datos seleccione un prestador de servicios que ofrezca garantías y que adopte las medidas de seguridad necesarias, ya que en este caso será quien lleve a cabo el tratamiento de estos datos personales en condición de encargada del tratamiento.

En este caso será necesario la elaboración y firma de contrato de encargado de tratamiento con la empresa que gestione el servicio, contrato que dará la legitimación necesaria para el tratamiento de los datos

Nóminas electrónicas y Protección de datos

Vivimos en una sociedad que avanza a pasos agigantados en materia tecnológica. La realidad laboral de las empresas no es ajena a ello, razón por la cual en los últimos años se ha producido un importante incremento de entrega de nóminas en soportes electrónicos.

En principio, la normativa laboral no especifica de qué modo es preceptivo entregar las nóminas a sus empleados. Muchas empresas optan porque esa entrega se haga de forma electrónica, sea vía email, o a través de alguna plataforma o Intranet.

En este caso, se exige que el trabajador tenga acceso su nómina electrónica como mínimo, en el espacio de trabajo y en horario laboral, de tal manera que no le suponga una carga ni coste adicional. En todo caso, el trabajador tiene derecho a elegir por qué medio quiere recibir sus nóminas.

Para asegurar que se cumple con la protección de datos personales de los empleados, la empresa dispondrá de medidas de seguridad adecuadas.  Para ello, necesita contar con un sistema seguro, cifrado y accesible.

Por otra parte, es necesario que el empleado preste su consentimiento, el cual debe ser libre, unívoco, informado y revocable.

En el caso del envío de nóminas por correo electrónico, hay tribunales que han considerado que existe la posibilidad de que, aunque el trabajador preste su consentimiento, este no sea totalmente voluntario, por lo que la empresa debe ofrecer al trabajador alguna otra alternativa.

Por otra parte, la AEPD se mostró también reacia a la utilización de un solo modelo para esta finalidad.

La agencia considera que no es adecuado que se emplee el correo personal del trabajador, por lo que lo más recomendable es usar el correo profesional o corporativo, por ejemplo.

Categorías
PROTECCIÓN DE DATOS

Protección de datos en el trabajo

¿Es aplicable la normativa de protección de datos al tratamiento de los datos de los trabajadores?

Sí. La legislación de protección de datos es de aplicación al tratamiento de datos efectuado por un empleador respecto de las personas trabajadoras. Es más, existe la posibilidad de que, además de la legislación existente, se creen incluso normas más específicas que ofrezcan mejoras en el ámbito de la protección del derecho a la protección de datos (sea mediante otras disposiciones legales o convenios colectivos)

¿En qué casos está permitido tratar los datos personales de los trabajadores?

Como sabemos, es necesario que el responsable del tratamiento cuente con una base jurídica que le legitime para tratar datos personales. En el ámbito de las relaciones laborales puede ser:

  1. Ejecución del contrato de trabajo. La empresa podrá tratar datos como el nombre y los apellidos de sus trabajadores, su fecha de nacimiento, su sexo, su nacionalidad, su formación previa o los datos imprescindibles para formalizar el contrato y ejecutar el trabajo.
  2. Cumplir las exigencias impuestas por la ley. Por ejemplo, cotización a la Seguridad Social, obligaciones fiscales, registro de jornada, información y consulta con los representantes de las personas trabajadoras, permisos de conducir si son necesarios para desempañar la actividad…
  3. Satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado, y sobre la base de determinados requisitos.
  4. Por ultimo, cuando la base jurídica sea el consentimiento
  •  Debe ser inequívoco, de modo que requiere una manifestación del afectado o una clara acción afirmativa (el silencio, las casillas ya marcadas o la inacción, no constituyen consentimient
  •  Debe ser libre y específico, no es lícito sustituirlo por un consentimiento indirecto y plural mediante la negociación colectiva)
  1. Existen otras bases jurídicas excepcionales: por ejemplo, la protección de intereses vitales del afectado o de otra persona física.
¿Es necesario informar a los trabajadores sobre el tratamiento de datos que se lleva a cabo?

La respuesta es SI. El responsable debe informar a las personas trabajadoras, de forma concisa, transparente, inteligible, con un lenguaje claro y sencillo.

Para ello, la información facilitada no debe contener lenguaje o terminología de naturaleza excesivamente legal, técnica o especializada, y deben evitarse expresiones indefinidas como «podría», «algunos», «frecuentemente» y «posible»”

Es recomendable adoptar un modelo de información por capas, mediante una primera capa con información básica, facilitada en el mismo momento en el que se recojan los datos, y una segunda capa más detallada.

¿qué plazos de información sobre el tratamiento de datos debe manejar el responsable?
  1. Cuando los datos se obtengan del afectado (por ejemplo, a través del currículum vitae) la información debe proporcionarse en el mismo momento en que el empleador recabe los datos.
  2. Cuando los datos no se obtengan del afectado la información debe proporcionarse dentro de un plazo razonable, y a más tardar en el plazo de un mes, con las siguientes precisiones:
  • Si los datos personales han de utilizarse para una comunicación con el afectado, debe informarse a más tardar en el momento de la primera comunicación a dicho afectado.
  • Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
¿Basta solo con incluir cláusulas informativas de protección de datos en el contrato de trabajo?

No, no es suficiente.

Incluir estas cláusulas en el contrato de trabajo es, simplemente, un medio. Sin embargo, existen ocasiones en que un tratamiento de datos concreto EXCEDE lo necesario para el cumplimiento del contrato de trabajo. En este caso es necesario contar con una base jurídica para efectuar dicho tratamiento, como puede ser el consentimiento.

La mera información no equivale al consentimiento, por lo que la incorporación en el contrato de trabajo de la información relativa a este tipo de tratamientos no es por sí misma una base jurídica.

Por ello, lo recomendable es separar el contrato de trabajo de otros documentos a través de los cuales el empleador solicite a la persona trabajadora el consentimiento para poder realizar tratamientos que no están comprendidos dentro de la ejecución de la concreta relación laboral.

Categorías
PROTECCIÓN DE DATOS

¿Es obligatoria la protección de datos?

¿Es obligatoria la protección de datos? 

A pesar de que existe una normativa de obligado cumplimiento sobre la protección en el uso y el tratamiento de los datos personales desde hace años, la protección de datos sigue siendo desconocida para una parte importante de la población, sobre todo autónomos, pequeñas empresas, asociaciones, comunidades… muchas de las cuales ni siquiera saben que tienen que cumplir con dicha obligación, o sabiéndolo, lo consideran un tema menor. 

Sin embargo, la respuesta categórica es sí. Sí, la protección de datos es obligatoria. Si en el día a día de tu trabajo, utilizas cualquier dato de personas físicas (identificada o identificable) es obligatorio que cumplas con la normativa en materia de protección de datos.

Todas las personas físicas o jurídicas, o entidades privadas o públicas que utilicen datos personales de terceros en el desarrollo de su actividad empresarial o profesional están obligadas a cumplir la ley de protección de datos. 

En concreto podemos señalar

  • Sociedades mercantiles (pymes y grandes empresas)
  • Autónomos.
  • Entidades sin ánimo de lucro.
  • Comunidades de propietarios.
  • Comunidades de bienes.
  • Organismos públicos.
  • Administraciones públicas.

Por tanto, hay que olvidar esa “leyenda urbana” de que la protección de datos sólo la tienen que cumplir las grandes empresas con algunos o muchos empleados.

Si eres autónomo, si gestionas una asociación, o una entidad sin ánimo de lucro o, una comunidad de propietarios o una empresa pequeña o familiar, en definitiva, si tratas datos personales de personas físicas, estás obligado a cumplir con la normativa. Y si no lo haces te enfrentas a importantes consecuencias.

Y tratar datos personales es algo mucho más común de lo que la mayoría piensa: desde que recibes un currículum, gestionas nóminas o datos de tus empleados, tienes datos de tus clientes (como su nombre, o su teléfono, su DNI… ), o si cuentas con una cámara de videovigilancia, si usas datáfono, etcétera, todo ello es tratamiento de datos, por citar algunos ejemplos cotidianos .

Como ves, tratar con datos personales es más común de lo que uno puede plantearse en un principio. Por tanto, hay que cumplir con el reto, adaptarse a la normativa y crear una cultura de cumplimiento.

Categorías
DERECHOS ARCOPOL PROTECCIÓN DE DATOS Uncategorized

Derecho al Olvido

¿Qué es el Derecho al olvido?

¿Cuántas veces hemos oído en los últimos años el derecho al olvido?   ¿Cómo podemos saber qué datos nuestros están circulando por la red? ¿Podemos borrar nuestros datos de la Red?

La privacidad comienza a ser ya una de las principales preocupaciones de los usuarios de la red. Y dentro del ámbito de protección de nuestra privacidad, hay un derecho que preocupa e interesa muchísimo a dichos usuarios:  se trata de la posibilidad de identificar y borrar sus datos personales de internet. Es el famoso Derecho al Olvido.

La Agencia Española de Protección de Datos define el derecho al olvido como el derecho que tiene un ciudadano a impedir la difusión de información personal a través de Internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa.

Es decir, se trata del derecho que tenemos los titulares sobre nuestros datos personales a borrar, bloquear o suprimir información personal, siempre que ésta sea obsoleta o no tenga ningún interés público. Con ello conseguiríamos que los enlaces a nuestros datos personales no figuren en los resultados de una búsqueda en Internet.

Los condicionantes necesarios para que se proceda al olvido digital son que los datos sean:

  • Inadecuados.
  • Inexactos.
  • No pertinentes.
  • No actualizados.
  • Excesivos o que hubiesen devenido en excesivos por el  y la naturaleza e interés público de la información.

Si el afectado por el olvido se trata de un menor de edad, no será necesario que se valore si concurren o no los condicionantes señalados anteriormente. En este caso, se debe proceder a la supresión, si mayor dilación, según se tenga constancia de la solicitud.

¿Cómo se regula el Derecho al Olvido?

El Derecho al Olvido fue reconocido hace años por el Tribunal de Justicia Europea en una sentencia pionerade 13 de mayo de 2014-

Posteriormente ha sido recogido en la actual normativa en materia de Protección de datos a nivel europeo, en el Reglamento Europeo de Protección de Datos (artículo 17) y nacional, en  la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (artículos 93  y 94).

Ámbito de aplicación del Derecho al olvido

El ámbito de aplicación del derecho al olvido engloba a cualquier tratamiento de datos personales relativos a una persona física, que es el interesado. 

Es un derecho que solo puede ejercer el interesado (o representantes legales y herederos), por lo que no es posible presentar una solicitud por parte de otra persona. relacionada con el derecho al olvido ante la AEPD.

¿El derecho al olvido es ilimitado?

El Derecho al olvido no es ilimitado, es posible no proceder a la supresión en varias situaciones como pueden ser:

  • cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información,
  • para el cumplimiento de una obligación legal,
  • para el cumplimiento de una misión realizada en interés público
  • en el ejercicio de poderes públicos, en el ámbito de la salud pública,
  • fines de investigación científica o histórica o fines estadísticos,
  • para la formulación, el ejercicio o la defensa de reclamaciones…

En esos supuestos es necesario realizar una adecuada ponderación entre los intereses y derechos en conflicto, según las específicas circunstancias del caso.

El Tribunal de Justicia de la UE establece unas pautas a seguir en esos casos de ponderación. Así, el derecho al olvido debe prevalecer frente al interés económico del buscador. Pero prevalece el interés público y el derecho a la información en caso de que el titular de los datos tenga un papel relevante en la vida pública.

 ¿Cómo ejercer el Derecho al olvido?

Lo ejerceremos directamente dirigiéndonos al buscador sin necesidad de reclamar en primer lugar y de manera directa a la fuente que trata nuestros datos. Esto es posible ya que es el buscador quien ofrece información personal al realizar una búsqueda mediante un nombre.

El responsable del tratamiento debe dar respuesta a la solicitud en el plazo de un mes (salvo casos concretos de especial complejidad, etc.).

Si la entidad no responde a la solicitud o el interesado considera que la respuesta que recibe no es la esperada, podrá interponer una reclamación ante la AEPD. La decisión de la Agencia es, a su vez, recurrible ante los Tribunales.

En el caso de redes sociales es posible que una vez hemos ejercido nuestro derecho al olvido, la información siga apareciendo en los motores de búsqueda, por lo que habrá que proceder por segunda vez a ejercer nuestro derecho frente a ellos.

¿La información desaparecerá de internet?

No. La sentencia del Tribunal de Justicia de la UE de 13 de mayo de 2014 determina que sólo afecta a los resultados obtenidos en las búsquedas hechas mediante el nombre de la persona y no implica que la página deba ser suprimida de los índices del buscador ni de la fuente original.

CIVIS DATA. ABOGADOS ESPECIALISTAS EN PRIVACIDAD

¿Quieres ejercer tu Derecho al Olvido?

Actualmente Civis Data ofrece servicios que te permiten obtener una completa huella digital y un servicio de asesoramiento y análisis de ésta. Y a continuación, si deseas hacer un borrado total o parcial de tus datos personales, siempre que se reúnan los requisitos legales, nuestros abogados te gestionarán tu ejercicio de derecho al olvido con la máxima eficacia, profesionalidad y garantía absoluta de tu privacidad.

Las consultas más habituales que solemos recibir en materia de Derecho al Olvido suelen tener relación con menores de edad, contenidos con información sensible, procedimiento judiciales o administrativos, condenas, lesiones al derecho al honor, víctimas de delitos informáticos, datos de personas fallecidas, datos personales lesivos o inexactos publicados en medios de comunicación, … pero es posible ejercer el Derecho a la Privacidad en cualquier caso si se reúnen los requisitos legales.

En Civis Data colaboramos con la startup tecnológica especializada en privacidad digital Youforget.me que nos permite ay¡tender a nuestros   clientes de una forma ágil, eficaz y con todas las garantías de privacidad.