Procesamiento de datos de empleados: qué está bien y qué está mal según el RGPD

Cómo regula el RGPD el procesamiento de datos personales de empleados

Como recordatorio, el RGPD es una normativa directamente aplicable en cada estado miembro. El RGPD no es tan específico sobre el procesamiento de los datos de los empleados como lo es en otras áreas. Establece el marco bajo el cual cada estado miembro de la UE puede regular estos temas.

El RGPD establece que:

• Cada estado miembro de la Unión Europea tiene la libertad de elegir cómo regular el procesamiento de los datos de los empleados, incluidos los datos sensibles
• Pueden regular el procesamiento a través de leyes nacionales y acuerdos colectivos
• Los estados miembros deben garantizar que sus leyes y contratos colectivos protejan la dignidad humana del interesado, los intereses legítimos y los derechos fundamentales
• Las leyes nacionales y los acuerdos colectivos deben tener en cuenta las normas del RGPD sobre la transparencia del procesamiento y las transferencias internacionales de datos.

¿Qué significa esto?

Esto significa que el empleador puede procesar los datos de los empleados para:

• Reclutamiento
• Ejecución de contratos de trabajo
• Diversidad e igualdad en el lugar de trabajo
• Planificación y organización del trabajo
• Gestión de la empresa
• Seguridad y salud en el lugar de trabajo
• Protección de la propiedad del empleador o de los clientes, o
• Cualquier otra obligación que el empleador pueda tener según las leyes y acuerdos colectivos aplicables.

Esto también incluye el procesamiento de datos personales sensibles, como datos de salud, raza, origen étnico, orientación sexual y otros.

Lo que el empleador debe hacer

Además de cumplir con las leyes laborales, el empleador también debe cumplir con el RGPD. En términos de recursos humanos, eso significaría hacer lo siguiente:

Procesar datos para fines adecuados. El empleado ha proporcionado sus datos para fines laborales. Eso le da al empleador el derecho de procesar los datos solo para fines laborales y nada más.

Obtener el consentimiento del empleado para el procesamiento más allá de los fines laborales. Si el empleador desea procesar los datos del empleado para otros fines, necesitan su consentimiento explícito para fines específicos. En el proceso, el empleador debe asegurarse de que el empleado esté bien informado al respecto y brindarle la oportunidad de retirar el consentimiento si así lo desea.

Asegurar que las transferencias de datos sean legales. Las transferencias de datos dentro de la UE y los países adecuados son gratuitas. Las transferencias a terceros países no son gratuitas, y aquellas a Estados Unidos son particularmente complicadas.

Lee más sobre cómo transferir datos personales a los EE. UU. en cumplimiento con el RGPD.

Implementar medidas de seguridad. El municipio de Bergen, Noruega, ha sido multado con 170.000 EUR por no implementar medidas de seguridad adecuadas para proteger los datos personales de estudiantes y profesores.

Consulta nuestra lista de multas del RGPD para obtener una visión completa de todas las multas conocidas.

¿Qué hicieron? Su sistema informático tenía una función de inicio de sesión deficiente que permitía a personas no autorizadas acceder a datos personales.

Un inicio de sesión deficiente puede parecer un problema menor en las operaciones diarias, pero cada medida de seguridad inadecuada pone en riesgo el presupuesto y la imagen de marca del empleador.

Quizás designar un Oficial de Protección de Datos (DPO). Algunas empresas deben nombrar un DPO. El RGPD requiere que las siguientes empresas designen un DPO:

• Organismos gubernamentales
• Empresas cuya principal fuente de ingresos es el procesamiento de datos, y
• Empresas que recopilan y/o procesan datos personales sensibles.

No todas las empresas pertenecen a estas categorías. Por lo tanto, no todas tienen que nombrar un DPO. Para todas las demás, designar a una persona dedicada a la protección de datos en la empresa es una buena práctica.

Lo que el empleado puede hacer

El empleado puede ejercer sus derechos como titular de los datos. Toda persona a la que se aplica el RGPD tiene un conjunto de derechos de privacidad de datos que puede ejercer para prevenir daños y proteger su privacidad.

Derecho de acceso. El empleado siempre puede solicitar acceso a los datos personales que el empleador procesa. Al mismo tiempo, el empleado puede preguntar sobre los fines del proces amiento y saber si los datos se procesan solo para fines laborales o no.

Además, el empleado puede preguntar acerca de las herramientas de terceros que el empleador utiliza para el procesamiento de datos. Eso les ayudará a determinar si el procesamiento es legal, los fines del procesamiento, si los datos se transfieren al extranjero, etc.

Derecho a oposición. Si el empleado determina que algunos de los datos se procesan por motivos incorrectos, puede objetar. El empleador deberá cesar el procesamiento para esos fines específicos.

Sin embargo, si los datos se procesan únicamente con fines laborales, no hay lugar para la objeción.

Derecho a rectificación. El empleado tiene derecho a corregir sus datos inexactos. El empleador debe realizar las correcciones solicitadas.

Derecho al olvido. El empleado tiene derecho a ser olvidado bajo ciertas circunstancias. Él o ella pueden solicitar que sus datos sean borrados de los registros del empleador si se cumplen las dos condiciones siguientes:

• El empleado ya no trabaja para el empleador, y
• El empleador no necesita los datos personales del empleado.

En todos los demás casos, el empleador puede negarse a borrar los datos personales del empleado.

Obtener compensación en caso de daños debido a una violación de datos. A veces, las empresas son víctimas de violaciones de datos. Estas brechas pueden causar daños a los empleados. Cuando se producen daños, el empleado tiene derecho a ser compensado por los daños sufridos.

¿Qué sucede cuando el empleador y el empleado están en diferentes países?

Cuando el empleador y el empleado se encuentran en la UE, todo es simple: el RGPD se aplica a todos.

Sin embargo, hoy en día, el empleador y el empleado a menudo están en diferentes países. Esto también afecta la aplicabilidad del RGPD y puede complicar las cosas tanto para el empleador como para el empleado.

Aquí hay una fórmula simple para guiarte:

• Empleador de la UE y empleados de otros lugares, se aplica el RGPD
• Empleador de la UE y empleados de la UE en otro lugar, se aplica el RGPD
• Empleador de la UE y empleados de la UE, se aplica el RGPD
• Empleador de otro lugar y empleados de otro lugar, no se aplica el RGPD
• Empleador de otro lugar y empleados de la UE en otro lugar, el RGPD se aplica solo a la relación con los empleados de la UE.

Determina si se aplica el RGPD y, si es así, vuelve a leer lo que el empleador debe hacer y lo que el empleado puede hacer para proteger adecuadamente sus datos personales.

Conclusiones

Siempre que haya datos personales involucrados, se aplican las leyes de protección de datos. Esto no excluye las relaciones laborales.

El RGPD no es muy estricto al procesar datos con fines laborales. Deja cierto margen para que las leyes laborales y los contratos de negociación colectiva determinen las categorías de datos que pueden procesarse.

El empleador debe cumplir con todos los demás requisitos del RGPD en todos los demás aspectos.

El empleador internacional que emplea personas en diferentes países debe tener mucho cuidado. Las leyes laborales difieren en los países de la UE y cada país tiene sus propios acuerdos colectivos.

Esto los coloca en una posición muy desafiante. Pueden tomar el camino seguro simplemente procesando la cantidad mínima de datos necesarios. Es uno de los principios básicos de protección de datos que simplifica todo lo demás.