Recursos Humanos y RGPD: No, el consentimiento del currela no vale
Sr. Director de Recursos Humanos: tiene usted un problema gordo con el RGPD .
Y no es de ahora (con el famoso Reglamento Europeo De Protección De Datos), llevas ya muchos años haciéndolo mal.
Indice
¿CÓMO HACES LAS COSAS HASTA HOY?
1.- Firmabas el contrato de trabajo con el trabajador.
Ese contrato te permite tratar determinados datos personales (nombre apellidos, domicilio, datos bancarios) para cumplir obligaciones que derivan de ese contrato (pago de nóminas) o de la ley (cesión de datos al INEM, a la Seguridad Social, a Hacienda…).
Pero luego hay más tratamientos de datos:
- ¿Qué pasa con esas imágenes que captas con tu sistema de videovigilancia?
- ¿Se monitoriza a los trabajadores para, por ejemplo, proteger la seguridad de los equipos y redes informáticas?
- ¿Una sociedad del grupo elabora las nóminas y/o hace funciones de presupuesto y planificación de recursos humanos (entre otros) para todas las sociedades del grupo?
Todas estas actividades implican tratamientos o cesión de datos personales.
2.- Para cubrir estos otros tratamientos:
2.a.- Pides la firma de consentimientos informados
O bien hacías firmar (es decir, consentir) a los trabajadores unos papelotes indigestos, unos “consentimientos informados en materia de LOPD”. Unos coñazos con la información preceptiva que tus trabajadores firmaban rutinariamente sin leer.
2.b.- Incluyes cláusulas LOPD en el contrato de trabajo.
O directamente introducías esas claúsulas informativas (que hay que firmar) en los propios contratos de trabajo. Peor aún.
1.- EL PROBLEMA JURÍDICO
El problema es que estos consentimientos informados son en general nulos, cuando los presta el trabajador a favor de su empleador.
Cuando existe una clara relación de desequilibrio entre el titular de datos personales y quien le pide el consentimiento para tratar sus datos, dicho consentimiento, aunque sea prestado voluntariamente, es nulo.
No lo digo yo.
Lo dice el Reglamento Europeo (exponendo 43).
El Grupo de Trabajo del 29 lo lleva diciendo, al menos, desde 2011 (ver Informe 15/2011 sobre el consentimiento, y todas las directrices publicadas sobre consentimiento durante el 2017).
Y también en España, la sentencia (por citar una de muchas) del Tribunal Supremo de 21 de septiembre de 2015 consideró nula las cláusulas del contrato de trabajo que obligaban al trabajador a proporcionar su número de móvil y correo electrónico privado al empezar a trabajar.
Así que sí, ya de entrada, estás tratando datos personales de tus trabajadores sin una base legal.
Pero no se vayan todavía, aún hay más.
2.- EL PROBLEMA OPERATIVO
Pero la cosa no termina aquí. Asumamos por un momento que esos consentimientos fueran válidos. Que no lo son.
Si te basas en el consentimiento del trabajador, tienes que tener las cosas preparadas por si el trabajador revoca ese consentimiento. Cosa que, recordemos, debe poder hacer en cualquier momento.
En cualquier momento.
Y eso forzaría a la empresa (al responsable) a paralizar inmediatamente ese tratamiento. Porque el consentimiento que estaba, ha dejado de estar.
- ¿Qué pasa si un grupo de trabajadores te dicen que ya no están de acuerdo en que se monitorice su uso de las redes, correo corporativo, móvil, tablet?
- ¿Si deciden de pronto negarse a que sus datos personales sean transferidos internacionalmente a un país sin las debidas garantías en la materia?
- ¿Si revocan su consentimiento a fichar en la maquinita modelna que les lee la huella del dedo?
Lo que tocaría en este caso sería “partir la empresa en dos”, con una parte funcionando como hasta ahora y otra funcionando de forma que se respete la retirada del consentimiento de esos trabajadores “díscolos”?
¿Puedes hacer eso?
Yo creo que no.
no les tenías que haber pedido el consentimiento en primer lugar (porque no lo necesitabas, y porque vas a tener que seguir haciendo eso que haces, te den el consentimiento o no, te lo revoquen o no)
EL INTERÉS LEGÍTIMO
¿Qué es lo que pasa en realidad? Que tienes un interés legítimo para hacer lo que haces.
Que no les tenías que haber pedido el consentimiento en primer lugar (porque no lo necesitabas, y porque vas a tener que seguir haciendo eso que haces, te den el consentimiento o no, te lo revoquen o no).
- La empresa tiene un interés legítimo en controlar los accesos, en mantener la seguridad. Y ese interés puede legitimar el sistema de videovigilancia.
- La empresa tiene un interés legítimo en monitorizar a los trabajadores para evitar daños, intrusiones o accesos ilegítimos a redes, equipos y recursos informáticos. Y ese interés puede legitimar esa monitorización.
- La empresa tiene un interés legítimo en organizarse de la manera más óptima posible para reducir costes: Ese interés legitima, en muchos casos la cesión de datos de trabajadores y clientes intra grupo.
El interés legítimo debería ser la base legal por defecto a considerar para tratamientos de datos personales en RRHH.
Estos intereses legítimos “pueden validar” esos tratamientos siempre, claro está, que su implementación sirva a tu interés legítimo (y no a otras cosas) sea proporcionada y respetuosa con los derechos e intereses de los trabajadores. Y es que la clave en este tema es que el demonio está en los detalles.
Esta es la clave: implementar políticas y procedimientos que permitan a la empresa hacer lo que necesita hacer, cuidando de no perjudicar los derechos e intereses de los trabajadores y de limitar las molestias que les puedan afectar.
Como vemos en la jurisprudencia cada día, no hay una empresa igual a otra, ni siquiera dos centros de trabajo iguales, y circunstancias en apariencia poco importantes pueden impedir (convertir en ilícito) un determinado tratamiento.
Si le interesa saber cómo se montan estas políticas y procedimientos lea este post. O vea esta bonita infografía resumen.
Por esto me atrevo a decir alto y claro, que el interés legítimo debería ser la base legal por defecto a considerar para tratamientos de datos personales en RRHH, allí donde el propio contrato laboral no llegue.
Y no digo que sea fácil hacerlo, ni le recomiendo (en absoluto) que lo intente en casa. Se va a equivocar.
EL RIESGO DE NO HACER NADA
Director de Recursos Humanos: esto que parecía una “tontería” puede convertirse en un problema estupendo.
La entrada en vigor del Reglamento Europeo de Protección de datos te ofrece una oportunidad histórica que no se repetirá pronto: la de cambiar la base legítima de tus tratamientos por una sola vez, para legalizarlos.
Aprovecha tu oportunidad. Tienes cuatro meses desde hoy.
En junio será tarde.
Feliz semana.
Abogado y Delegado de Protección de Datos