Por Juan Carlos Álvarez Cepeda, Sánchez-Crespo Abogados y Consultores.

Si existe un tema en el que confluyen preocupaciones desde el área de recursos humanos y desde el área de sistemas de una empresa, es el de la protección de los datos de carácter personal. Como consultores en protección de datos, son muchas las implicaciones legales que podemos señalar respecto a la informatización de los procesos de un área como recursos humanos, pero queremos destacar cinco cuestiones que consideramos de especial riesgo para las empresas.

1.- El uso y divulgación de información del trabajador, sin haber informado de manera suficiente al mismo, ni haber recabado su consentimiento de forma adecuada

Si bien la Ley es flexible en la obligación general de recabar el consentimiento, cuando se trata de los datos de los trabajadores en las empresas, dicha flexibilidad encuentra siempre como límite la finalidad del tratamiento, que es la prestación de los servicios para los que el trabajador fue contratado. Esto debe ser entendido de manera estricta de manera que sólo quedan cubiertos aquellos tratamientos necesarios para que se lleve a buen término la relación laboral.

Por otro lado las nuevas tecnologías ofrecen un amplio abanico de posibilidades al área de recursos humanos, permitiendo sacar mayor provecho de la información del capital humano de las organizaciones. Un ejemplo de ello puede ser el uso de intranets, en la que resulta en muchas ocasiones tentador divulgar información de los trabajadores, generalmente con la intención de mejorar el clima laboral y fomentar la participación de los integrantes de la organización. Sin embargo, el simple uso de una imagen de su trabajador, o la felicitación de su cumpleaños de manera pública, sin haber recabado su consentimiento, pueden hacer incurrir a la empresa en infracciones frente a la Agencia de Protección de Datos, debido a que estos usos exceden de los estrictamente necesarios para la prestación de los servicios del trabajador, de acuerdo a la Ley. Por lo tanto, recomendamos a las áreas de recursos humanos que planifiquen y prevean los diferentes datos y usos que precisarán en su estrategia de gestión del talento humano, y en la informatización de la misma, a fin de informar de manera suficiente a sus trabajadores y recoger de ellos el consentimiento previsto por la normativa.

2.- La acumulación de currículum vitae en los sistemas informáticos en general, y en los buzones de correo electrónico en particular.

En un currículum vítae se recoge gran cantidad de información de las personas, dada la propia finalidad con que el documento es creado. Es una idea ampliamente difundida en las empresas que el hecho de recibir por parte del interesado un currículum, lleva implícito el consentimiento de este para que sus datos sean tratados de manera indefinida por parte de la organización. Nada más lejos de la realidad. El hecho de recibir un currículum por parte de la empresa, sin más expresión por parte del titular del mismo de tener el interés de formar parte de su equipo de trabajo, debe interpretarse de manera restrictiva, esto es, en el sentido de conocer si en ese momento existe alguna vacante o proceso de selección del que pueda formar parte. En caso contrario, el responsable del fichero debe proceder a la destrucción del currículum recibido.

En caso de que la empresa desee conservarlo, deberá dirigirse al titular de los datos solicitándole el consentimiento establecido en la LOPD, e informándole debidamente de la identidad del responsable del fichero, la finalidad del tratamiento (por obvia que sea), del tipo de tratamiento que se va a llevar a cabo con los datos, así como del procedimiento mediante el cual va a poder ejercitar los derechos de los que es titular en materia de protección de datos.

3.- Medidas de seguridad aplicada a la información de los trabajadores.

Establece la disposición adicional única del Reglamento que desarrolla la Ley Orgánica de Protección de Datos, que aquellas aplicaciones que tengan como finalidad el tratamiento de datos de carácter personal deben recoger en su descripción técnica información relativa al nivel de medidas de seguridad que pueden aplicar. Mediante este mandato, se garantiza a los responsables de ficheros conocer si las soluciones tecnológicas que van a adquirir o implementar en sus organizaciones, mediante las cuales tratarán datos de carácter personal, les permitirán cumplir o no con lo previsto en la Ley. Esto, que es de vital importancia a la hora de considerar una inversión a realizar, es apenas conocido por los desarrolladores de soluciones informáticas, y mucho menos tenido en cuenta por las empresas que adquieren software para sus áreas de recursos humanos, lo que genera a medio y largo plazo sobrecostes de adaptación o de adquisición de nuevos productos.

4.- Deslocalización de la información de los trabajadores.

Cada vez es más frecuente escuchar el término “cloud computing“. Detrás de este concepto se encuentra la idea de aprovechar servicios y soluciones tecnológicas en servidores especializados, fuera de la infraestructura física de las empresas. Es decir, en vez de tener una aplicación instalada en mis servidores, y con ella los datos que trata, acudo a una aplicación que se encuentra instalada en un servidor externo, a la que accedo a través de un navegador de Internet. Esta manera de trabajar supone a las empresas numerosos beneficios, entre los que se encuentran la reducción de costes de licencia, la garantía de un mantenimiento especializado, una mayor calidad en el servicio, y la posibilidad de trabajar desde diferentes plataformas y lugares, veinticuatro horas al día, siete días a la semana. Sin embargo, desde el punto de vista de la protección de datos este tipo de aplicaciones generan diversas inquietudes.

Debemos tener en cuenta que la mera externalización de estos servicios, en la medida que impliquen tratamiento de datos personales, deberán estar debidamente regularizadas mediante un contrato de acceso a datos. Por otro lado es frecuente que muchos de estos servicios son prestados por empresas extranjeras, o empresas nacionales las cuales, buscando un ahorro de costes, ubican sus servidores en el extranjero. Todo lo anterior implican movimientos internacionales de datos, regulados con mucho celo en la normativa actual, cuyo incumplimiento conlleva la imposición de sanciones catalogadas como muy graves en la LOPD, y por lo tanto de una cuantía muy importante. En este sentido, recomendamos a las áreas de recursos humanos, ante la posibilidad de emplear aplicaciones con el sistema de cloud computing, regular adecuadamente los accesos a datos de aquellos que le presten este tipo de servicios, y tener en todo momento conocimiento sobre donde se alojarán los datos personales de los que son responsables, y siendo cuidadosos con los movimientos internacionales de datos.

5.- El uso de los sistemas informáticos por parte de los trabajadores.

En nuestra opinión está claro. El cumplimiento en materia de protección de datos por parte de las organizaciones depende, de manera crítica, d el cuidado que tenga cada uno de sus trabajadores. Además de la implementación de las medidas de carácter organizativo, técnico y legal necesarias para cumplir con la legislación, es vital que se sensibilice y se ponga en conocimiento de los trabajadores su papel en este sentido, ya que basta una negligencia o un descuido por parte de los mismos para que se produzca una infracción, con importantes consecuencias económicas y de imagen para la empresa. Este riesgo se ve incrementado de manera importante cuando los trabajadores deben emplear herramientas informáticas en el desarrollo de sus funciones.

En este caso, recomendamos que la sensibilización empiece desde el propio contrato de trabajo, en el que se deben detallar no solamente los derechos de los trabajadores en relación a los datos de los que son titulares, sino también sus obligaciones en protección de datos, recordándoles el deber de secreto que tienen que guardar, y las implicaciones que una infracción les puede acarrear en caso de culpa o negligencia grave. Por otro lado es importante un desarrollo armónico de las políticas de uso de los sistemas de información de la empresa con el documento de seguridad, que de acuerdo a la normativa de protección de datos, el responsable de ficheros debe tener. Entre los aspectos a tener especialmente en cuenta están el uso del correo electrónico corporativo, la posibilidad de que la empresa acceda a los correos de los trabajadores, el control de acceso lógico a la información mediante perfiles debidamente identificados, y el uso de dispositivos de almacenamiento de información como pendrives o discos duros portátiles.

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.