La protección de datos en las relaciones laborales
Pocas medidas de aplicabilidad retardada han tenido tanta publicidad como el Reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a libre circulación de estos datos. Si bien dicho Reglamento entró en vigor el 25 de mayo de 2016, el legislador europeo dispuso su efectiva aplicabilidad para el próximo 25 de mayo, momento en el que perderá vigencia la Directiva 95/46 y, desde un punto de vista práctico, las normas nacionales que la traspusieron, la LOPD en nuestro caso.
Para la nueva regulación, el legislador decidió utilizar la figura del Reglamento por la fragmentación que la referida Directiva había dado lugar debido a la dispar transposición por parte de cada Estado Miembro, con la consiguiente inseguridad jurídica, además de la percepción generalizada de la existencia de riesgos importantes en la protección de las personas físicas, en especial en relación con todas las actividades online. De este modo, se apuesta por una regulación que aborda el tratamiento de la protección de datos de manera que pueda ser directamente aplicable en los Estados Miembros, dejando así un escaso margen a la regulación nacional.
Sin embrago, al hilo de esta apreciación técnica, no podemos dejar de mencionar que sorprende que en el ámbito de las relaciones laborales el Reglamento abra de forma tan amplia el margen a la regulación local de determinadas cuestiones, concediendo el artículo 88 del Reglamento dicha facultad no sólo a las disposiciones legislativas de los Estados Miembros si no a los Convenios Colectivos, imponiendo la obligación de notificación a la Comisión de las disposiciones adoptadas antes del 25 de mayo y, sin dilación, cualquier modificación posterior a las mismas.
Por lo que se refiere a las novedades introducidas por el Reglamento en materia laboral, debemos mencionar que se mantiene la regla general según la cual el tratamiento de datos será lícito y no requerirá consentimiento expreso del empleado si es necesario para la ejecución del contrato de trabajo, manteniendo en todo caso el deber de información al trabajador sobre el tratamiento de sus datos. No obstante, la nueva norma amplía los extremos sobre los que habrá que facilitar la información al trabajador, exigiendo al respecto que la información se proporcione de una forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Mención específica requiere una cuestión que se introduce como novedad el Reglamento.
Nos referimos al control de acceso o de presencia basado en el uso de datos biométricos del empleado (esto es, aquellos datos que permitan o confirmen la identificación única de su titular, como pueden ser el reconocimiento de imágenes faciales o datos dactiloscópicos, entre otros), cada vez más habituales en las empresas, dada la seguridad que ofrecen al empresario y la comodidad que supone para el empleado, que no debe depender de tarjetas de acceso o de otros mecanismos fácilmente extraviables. A diferencia del régimen aplicable en la todavía vigente LOPD, el Reglamento cataloga a los datos biométricos como datos especialmente protegidos, exigiendo para su tratamiento un mayor nivel de diligencia y mayores obligaciones de seguridad que en la vigente ley de protección de datos.
La base jurídica para el tratamiento de tales datos, por el momento, deberá ser el consentimiento prestado por el empleado, por lo que en caquellos casos en los que no nos otorgue ese consentimiento, deberemos utilizar mecanismos alternativos para identificar sus accesos a las instalaciones de la empresa. No obstante lo anterior, el Reglamento prevé que tales datos puedan tratarse en el marco del cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del trabajador en el ámbito del derecho laboral y de la seguridad social, en la medida en que así lo autorice el derecho de la Unión de los estados miembros o un convenio colectivo con arreglo al derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
Por ello, habrá que estar atento a las novedades legislativas que puedan darse en la materia para determinar cuál será la base jurídica que legitimará dicho tratamiento por parte de las Empresas. No hace falta decir que el nivel de adaptación a la nueva regulación de algunas empresas tras los dos años de tregua concedidos dista todavía de ser el óptimo; queda por ver con qué celeridad la administración impondrá las sanciones, nada desdeñables económicamente hablando, que para los incumplimientos la norma de inminente aplicación contempla.