Seguimos con los Interesantes artículo publicados por https://www.iberley.es.
Página del artículo: https://www.iberley.es/temas/proteccion-datos-relaciones-laborales-12471
TRANSCRIPCIÓN INTEGRA DEL ARTICULO:
En el ejercicio de su poder de dirección y control de la actividad laboral el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso. Del mismo modo, el empresario podrá verificar el estado de enfermedad o accidente del trabajador que sea alegado por éste para justificar sus faltas de asistencia al trabajo, mediante reconocimiento a cargo de personal médico. La negativa del trabajador a dichos reconocimientos podrá determinar la suspensión de los derechos económicos que pudieran existir a cargo del empresario por dichas situaciones (aptr. 3 y 4, Art. 20 ,ET). (Ver: «Poder de dirección y disciplinario del empresario«)
El ejercicio de las facultades de control del desarrollo de la prestación laboral en ocasiones hace imprescidible el tratamiento de datos personales por lo que explicaremos con mayor detenimiento dos casos habituales:
Controles empresariales sobre el uso de tecnologías de la información
Entre este tipo de control de la actividad laboral por parte del empresario destacan los controles biométricos como la huella digital, la video-vigilancia, los controles sobre el ordenador, -como las revisiones, el análisis o la monitorización remota, la indexación de la navegación por Internet, o la revisión y monitorización del correo electrónico y/o del uso de ordenadores-, o los controles sobre la ubicación física del trabajador mediante geolocalización. En la mayor parte de estos supuestos resulta imprescindible cumplir con los principios de protección de datos. Ver sentencias nº AN, de 31/01/2003, Rec. 534/2001, AN, de 21/11/2002, Rec. 881/2000, TSJ Madrid, de 16/07/2002, Rec. 1284/1997 y AN, de 21/07/2004, Rec. 1894/2001
La Agencia Española de Protección de Datos y la jurisprudencia sobre la materia han promulgado una serie de principios a tener en cuenta:
1.- La legitimación para el tratamiento deriva de la existencia de la relación laboral. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del (7.6 ,Ley Organica 15/1999, de 13 de diciembre), o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado (6.2 ,Ley Organica 15/1999, de 13 de diciembre)
2.- Las medidas de control adoptadas por el empresario que comporte un tratamiento de datos personales deben ser proporcionales a las tareas y actividades realizadas por sus trabajadores. Ver sentencia nº TSJ Pais Vasco, de 07/09/1999
3.- La finalidad de los métodos de control ha de ser la de verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales (apdo. 3, Art. 20 ,ET)
4.- Los datos que se obtengan y almacenen deberán ser exactos y puestos al día y no podrán conservarse más tiempo del necesario. Se recomienda a los empleadores fijar un plazo de conservación.
5.- Debe cumplirse con el deber de información a los trabajadores (sobre todo en lo relativo al uso de Internet y/o correo electrónico). En este supuesto resulta recomendable que la información a los trabajadores sea clara en lo que respecta a la política de la empresa en cuanto a utilización del correo electrónico e Internet (descripción pormenorizada en qué los trabajadores pueden utilizar los sistemas de comunicación de la empresa con fines privados o personales; también podría informase a los representantes de los trabajadores de las políticas adoptadas en esta materia). Ver caso práctico Protección de datos. Reconocimientos médicos específicos para realización de actividad.
IMPORTANTE: LA INFORMACIÓN PREVIA Y SU PRUEBA ES ESENCIAL, YA QUE ESTOS TRATAMIENTOS NO REQUIEREN EL CONSENTIMIENTO DEL TRABAJADOR Y SON MANIFESTACIÓN DE LOS PODERES DE CONTROL DEL EMPRESARIO.
Controles empresariales sobre el absentismo laboral
Como se ha citado a principio de este apartado el empresario podrá verificar el estado de enfermedad o accidente del trabajador que sea alegado por éste para justificar sus faltas de asistencia al trabajo, mediante reconocimiento a cargo de personal médico. La negativa del trabajador a dichos reconocimientos podrá determinar la suspensión de los derechos económicos que pudieran existir a cargo del empresario por dichas situaciones (Art. 20 ,ET).
Para esto será necesario tener en cuenta dos elementos:
1.- El tratamiento de datos de salud requerirá del consentimiento expreso del trabajador o de la existencia de una previsión legal que exima del mismo. El apdo. 6, Art. 7 ,Ley Organica 15/1999, de 13 de diciembre contiene un régimen específico cuando se trata de la prestación de asistencia sanitaria que no resulta en absoluto aplicable a este caso.
Las posibilidades de acceso de la empresa a estos datos de salud y su utilización para fines distintos para los que fueron recabados resultará imposible ya que, la empresa únicamente puede conocer las condiciones de aptitud.
La incorporación de datos de salud a un fichero con la única finalidad de realizar controles del absentismo resulta desproporcionada.
Diversas sentencias han considerado que la incorporación de datos de salud a un fichero con la única finalidad de realizar controles del absentismo resulta desproporcionada. El antiguo apdo. 3, Art. 7 ,Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. (Vigente hasta el 14 de enero de 2000) establecía que “los datos de carácter personal que hagan referencia a la salud sólo podrán ser recabados, tratados automatizadamente y cedidos cuando por razones de interés general así lo disponga una ley o el afectado consienta expresamente”. El art 7 que se refiere a los llamados “datos especialmente protegidos”, ha sido modificado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, manteniendo la prohibición contenida en al art 7.3 antes referido, pero añadiendo en el art 7.6 que: “No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios,siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente al secreto”. Como la norma analizada se refiere a los ‘datos protegidos de carácter sensible’ conviene realizar una sucinta exposición de la regulación referente a este tipo de datos para luego examinar el supuesto concreto. En concreto del examen comparado de las legislaciones europeas en materia de protección de datos se infiere que para algunas legislaciones, entre ellas la española, existen determinados datos sensibles “per se”, y que por lo tanto, deben ser objeto de una especial protección. En esta línea el art 6 del Convenio 108 del Consejo de Europa bajo el epígrafe ‘categorías particulares de datos’ establece que ‘…los datos de carácter personal relativos a la salud o a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea las garantías apropiadas’. Norma que resulta aclarada por el párrafo 43 de la Introducción donde se justifica la opción por un sistema de protección de datos sensibles “per se” al razonar que: ‘Si bien el riesgo que para las personas representa el tratamiento de datos, depende, en principio, no tanto del contenido de los datos en sí mismo, como del contexto en el que se utilizan, existen casos excepcionales en los que el tratamiento de determinados datos puede, como tal, causar perjuicio a los derechos e intereses de los individuos’. Por su parte el art 8 de la Directiva 95/46/CEE bajo el epígrafe ‘tratamiento de categorías especiales de datos’ establece como regla general que los ‘Estados miembros prohibirán . . .el tratamiento de datos personales relativos a la salud o sexualidad’. Añadiendo el art 8.3 que: ‘El apartado 1 no se aplicará cuando el tratamiento de datos resulte necesario para la prevención o el diagnóstico médico, la prestación de atención sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto’. La legislación española, como anticipamos, se encuadra dentro de las que consideran que determinados datos son especialmente sensibles “per se” y como se dice en la Exposición de Motivos en este tipo de datos ‘los contornos del principio del consentimiento se refuerzan singularmente’. Principio regulador que permanece estable tanto en la LO 5/1992, como en la 15/1999, si bien esta última ha introducido las precisiones contenidas en la Directiva 95/46/CEE. No obstante, la anterior exposición nos permite extraer un principio interpretativo y de aplicación de la norma que nos parece esencial: estamos ante datos que el legislador considera especialmente sensibles y los somete a una especial protección, lo que implica que debemos ser especialmente rigurosos a la hora de interpretar las excepciones a la regla general de prohibición. Ver sentencia nº AN, de 10/05/2002, Rec. 345/2001
Para poder incorporar sus datos de salud a una historia clínica se requerirá el consentimiento expreso del trabajador.
2.- El control del absentismo adquiere una relevancia particular cuando se realiza mediante la contratación de un prestador de servicios ya que, además de cumplir con las obligaciones propias de un encargado del tratamiento. No existe obstáculo a que se persiga la doble finalidad de verificar el estado de salud del trabajador y controlar el absentismo. Pero, si existe un tratamiento relacionado con la salud deberá obtenerse el consentimiento expreso del trabajador.
En el caso de que el prestador externo desarrolle servicios de vigilancia en la salud debería articular procedimientos que garanticen el cumplimiento de los principios de protección de datos, y en particular el deber de información, el principio de finalidad y la garantía del consentimiento en cada uno de los tratamientos.
Por último no debe olvidarse que para este tipo de servicios el prestador externo tiene la condición de encargado del tratamiento y deben de cumplirse las previsiones relativas al acceso a los datos por cuenta de terceros (Art. 12 ,Ley Organica 15/1999, de 13 de diciembre):
- a) No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
- b) La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
- En el contrato se estipularán, asimismo, las medidas de seguridad de los datos que el encargado del tratamiento está obligado a implementar (Art. 9 ,Ley Organica 15/1999, de 13 de diciembre).
- c) Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
- d) En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Latest posts by Jose Miguel (see all)
- Curso Básico de Ciberseguridad. - 11 noviembre, 2024
- Episodio 4. Tendencias actuales en Ciberamenazas y sus Ejemplos. - 8 noviembre, 2024
- Episodio 3: Consejos -muy básicos- para mantener tus datos a salvo. - 3 noviembre, 2024
- Episodio 2: Guía básica para la gestión de contraseñas y usuarios en navegadores populares. - 1 noviembre, 2024
- Podcast-Artículo: Mejorando la ciberseguridad en el entorno laboral: Guía práctica para Empleados. - 29 octubre, 2024