USO DE COOKIES

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies

Cargando. Por favor, espere

Nuevo dictamen del GT29 sobre tratami...

Nuevo dictamen del GT29 sobre tratamiento de datos en el trabajo: el interés legítimo

Miguel RECIO GAYO

Doctorando y Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad San Pablo-CEU

Diario La Ley, Nº 8, Sección Ciberderecho, 19 de Julio de 2017, Editorial Wolters Kluwer

LA LEY 9961/2017

Normativa comentada
Ir a Norma Regl. 2016/679 UE, de 27 Abr. (protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -Reglamento general de protección de datos-)
Comentarios
Resumen

Las capacidades de monitorización de las comunicaciones electrónicas y de tratamiento de datos personales a que han dado lugar el avance tecnológico ha llevado al Grupo de trabajo del art. 29 a complementar sus directrices sobre protección de datos personales en el ámbito laboral. En particular, en el dictamen actual se presta atención a los riesgos para los derechos y las libertades fundamentales de los trabajadores, al interés legítimo y a la necesidad de una evaluación de proporcionalidad.

I. El GT29 complementa (y actualiza) sus documentos previos

El (alto) riesgo para los derechos y libertades fundamentales de los trabajadores, derivado de un uso indebido o irresponsable de las tecnologías de la información, continúa preocupando al Grupo de trabajo del art. 29 (en adelante GT29), lo que ha dado lugar a que haya publicado su Dictamen 2/2017 sobre tratamiento de datos en el trabajo (1) .

Tanto la monitorización como el tratamiento de datos personales ilimitados y sin garantías de los interesados, los trabajadores, constituyen una vulneración de los derechos a la vida privada (art. 7 de la Carta de Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007), CDFUE) y a la protección de datos personales (art. 8 de la CDFUE (LA LEY 12415/2007)).

El tratamiento de datos personales en el ámbito laboral ya fue objeto de atención por el GT29 en los primeros años de aplicación de la Directiva 95/46/CE (LA LEY 5793/1995) del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Diario Oficial de la Unión Europea, serie L número 281, de 23 de noviembre). Como indicó el GT 29 en su Dictamen 8/2001, en aquél momento se trataba de «contribuir a la aplicación uniforme de las medidas nacionales adoptadas en el marco de la Directiva 95/46/CE (LA LEY 5793/1995) sobre protección de datos» (2) , lo que en buena medida era el resultado de un debate tanto a nivel de la Unión Europea como nacional (3) que, en este último caso, dio lugar a la adopción de diversas, y dispares, leyes, regulaciones o recomendaciones sobre la materia.

Y ahora, considerando que desde 2001 se han producido importantes avances tecnológicos que mal aplicados permiten un tratamiento más sistemático, y también invisible, de los datos personales de los trabajadores, el GT29 ha estimado oportuno complementar tanto su Dictamen 8/2001 como su Documento de trabajo relativo a la vigilancia de las comunicaciones electrónicas en el lugar de trabajo (4) .

En el dictamen actual, el GT29 reafirma las conclusiones que ya alcanzó en 2001 y ofrece directrices relevantes sobre la evaluación de proporcionalidad (en inglés, proportionality assessment), que el GT29 aplica en varios casos, que sirven como ejemplos, en el ámbito laboral.

Por lo tanto, además de atender al concepto de riesgo y a las condiciones de legitimación del tratamiento, hay que atender a las cuestiones específicas, principios y obligaciones en el tratamiento de datos personales que tiene que observar quien trata datos personales y que son la base para poder llevar a cabo una nueva evaluación del equilibro necesario entre los intereses legítimos de los empleadores y las expectativas razonables de privacidad (o vida privada) de los trabajadores.

II. El (alto) riesgo para los derechos y libertades fundamentales de los trabajadores

En su dictamen, al analizar el concepto de riesgo, el GT29 parte de lo previsto en la Directiva 95/46/CE (LA LEY 5793/1995) y, aunque no lo indica expresamente, lo hace también a la luz del Reglamento (UE) 2016/679 (LA LEY 6637/2016) del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995).

El riesgo para los derechos y libertades fundamentales es el que se produce como consecuencia de un uso ilícito o mal uso de la capacidad que ofrece la tecnología para la monitorización de las comunicaciones o tratamiento de los datos personales en cuanto a seguir a la persona sin límites especiales o temporales. Dicho seguimiento, como indica el GT29 puede producirse a lo largo del tiempo, en cualquier lugar ya sea en el entorno laboral o fuera de éste y a través del uso de diferentes dispositivos, tales como teléfonos inteligentes, ordenadores, tablets, vehículos y vestibles (en inglés wearables) que permiten, en particular, un tratamiento de datos personales que, sin las garantías debidas, puede resultar ser ilícito.

Y en ocasiones dicho seguimiento, monitorización de las comunicaciones y tratamiento de datos personales, resulta ser invisible o imperceptible para la persona, titular de derechos y libertades fundamentales, e incluso para quien hace uso de la tecnología, al no advertir que un mal uso puede dar lugar a un tratamiento ilícito, por no cumplir con las condiciones de legitimación exigibles.

Al respecto, hay que tener presente que, como indica el considerando 51 del Reglamento (UE) 2016/679 (LA LEY 6637/2016), el tratamiento de datos personales «que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales» «podría entrañar importantes riesgos para los derechos y las libertades fundamentales», lo que en el presente caso tiene que ponerse en relación también con otros derechos y libertades fundamentales tales como los de libertad de expresión e información o de reunión y asociación.

El GT29 deja claro que el riesgo deriva del mal uso o uso indebido de la tecnología, ya que bien aplicada supone o puede suponer importantes beneficios tanto para el empleador como para el trabajador. En relación con este último, que en el dictamen implica un concepto amplio que incluye también al autónomo (en inglés freelance), la posibilidad de hacer uso de estas tecnologías es también una importante ventaja, aunque el GT29 no lo mencione expresamente, ya que por ejemplo permite prestar servicios a personas situadas en lugares remotos al centro de trabajo o compatibilizar vida laboral y familiar.

En este sentido, el GT29 resalta que, si no hay límites al tratamiento de datos personales, y si el mismo no es transparente, hay un alto riesgo de que el empleador lleve a cabo una monitorización injustificable e invasiva que infringe los derechos fundamentales de los trabajadores a la vida privada y a la protección de datos personales.

Siguiendo lo indicado por el GT29 en su dictamen, una monitorización de las comunicaciones y del comportamiento de los trabajadores sin garantías, tendría también un efecto adverso (en inglés chilling effect) para el ejercicio de otras libertades y derechos fundamentales. Y también puede implicar que otras medidas lícitas para la protección de los intereses de cualquier organización resulten ser inefectivas, como por ejemplo un canal de denuncias internas (en inglés whistleblowing) al no proteger los derechos de quienes denuncian o pueden denunciar conductas ilícitas.

Es decir, la innovación tecnológica es compatible con el derecho fundamental a la protección de datos personales, de manera que lo que supone un (alto) riesgo para los derechos y libertades fundamentales, en particular los derechos fundamentales a la vida privada, al secreto de las comunicaciones y a la protección de datos personales, es una monitorización de las comunicaciones y un tratamiento de datos personales sin cumplir con las condiciones de legitimación o un mal uso de la tecnología sin las garantías necesarias y, al mismo tiempo, es necesario tener en consideración que dichos derechos, aunque fundamentales, están también sujetos a límites.

Lo anterior supone que la monitorización de las comunicaciones y el tratamiento de los datos personales, incluidos los metadatos, tenga que producirse dentro de unos límites para que pueda ser lícita, sirviendo así para proteger los intereses legítimos de quien hace uso de los mismos, en este caso el empleador, al proteger su negocio.

Finalmente, para evaluar el riesgo, incluso de las medidas que se adopten para asegurar que cualquier intromisión en un derecho fundamental es mínima, debe tenerse en consideración, como apunta el GT29, la elaboración de una evaluación de impacto relativa a la protección de datos personales, que es además una nueva obligación, en determinados supuestos, en virtud del Reglamento (UE) 2016/679 (LA LEY 6637/2016). Y la realización de dicha evaluación obliga al responsable del tratamiento, cuando haya sido nombrado, a contar con el asesoramiento del delegado de protección de datos. La intervención de esta última figura en el análisis de qué suponga un alto riesgo para la protección de datos personales será también clave a la hora de aplicar en la práctica, en su caso, las directrices del GT29.

III. Condiciones de legitimación del tratamiento de datos personales en el trabajo

Aunque se trata de una cuestión que el GT29 ya había analizado en documentos anteriores, las condiciones de legitimación del tratamiento de datos personales, tanto a la vista de la Directiva 95/46/CE (LA LEY 5793/1995) como del Reglamento (UE) 2016/679 (LA LEY 6637/2016), es uno de los apartados relevantes del dictamen, prestando especial atención a: 1) el consentimiento, 2) la ejecución de un contrato, 3) el cumplimiento de obligaciones jurídicas y, 4) el interés legítimo.

Por lo que se refiere al consentimiento, el GT29 insiste de nuevo en que en la práctica es una condición de legitimación «excepcional» para el empleador, ya que por lo general el trabajador no está en condiciones de prestar un consentimiento válido dadas las circunstancias. Partiendo de las características que definen el consentimiento en el art. 2.h) de la Directiva 95/46/CE (LA LEY 5793/1995) como «manifestación de voluntad, libre, específica e informada»; dada la dependencia del empleado y la necesidad también de que el consentimiento otorgado sea revocable, el GT29 considera, como regla general, que el consentimiento no es una condición de legitimación válida en este contexto.

El GT29 indica también que, para que el consentimiento sea válido, es necesaria una manifestación de voluntad «activa», ya que la falta de acción impide que se obtenga el consentimiento necesario para el tratamiento de datos personales.

Además, el GT29 aprovecha su dictamen para llamar la atención de los legisladores europeos por lo que se refiere a la propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas (5) en cuanto a introducir una excepción específica a la prohibición general de interceptación de datos de comunicaciones en el caso de dispositivos proporcionados por los empleadores.

En cuanto a la ejecución de un contrato u obligación contractual como base de legitimación del tratamiento de datos personales en el trabajo, el GT29 se limita a indicar que suele tratarse de una de ellas cuando, por ejemplo, el empleador tiene que pagar al trabajador, de manera que ciertas finalidades en cuanto al tratamiento de dato personales quedan cubiertas por la misma.

De forma similar, en el caso del cumplimiento de obligaciones jurídicas, el GT29 indica que suele ser una de las bases legales para el tratamiento de datos en el trabajo ya que, por ejemplo, el empleador tiene que hacerlo con fines de cálculo de impuestos o administración del salario.

El GT29 presta una especial atención al interés legítimo como base legal del tratamiento ya que su dictamen está dedicado a evaluar la proporcionalidad del tratamiento de los datos personales en relación con dicho interés legítimo, en cuando a si el mismo es necesario para conseguir una finalidad legítima, como por ejemplo proteger el contenido de la organización sujeto a derechos de propiedad intelectual, evitar fugas de datos de los que el empleador es responsable o, por qué no, evitar también ciberataques, aunque este último ejemplo no haya sido incluido por el GT29 en el dictamen.

Dado que el interés legítimo, para que pueda ser una base legal de tratamiento lícito de los datos personales, requiere que se cumplan determinados requisitos, es necesario atender específicamente, y por separado, al mismo.

Aunque lo hace en apartados distintos, junto a las condiciones de legitimación del tratamiento es necesario que el empleador, como responsable del tratamiento, cumpla con las obligaciones que le son exigibles, debiendo considerar al respecto las que impone el Reglamento (UE) 2016/679 (LA LEY 6637/2016) y que aplicarán a partir del 25 de mayo de 2018, tales como las de protección de datos desde el diseño, transparencia o las evaluaciones de impacto relativas a la protección de datos.

Y el GT29 se refiere también, brevemente, a las previsiones sobre el tratamiento de datos personales en el Reglamento (UE) 2016/679 (LA LEY 6637/2016). En concreto, siguiendo lo indicado en el art. 88 del citado Reglamento (LA LEY 6637/2016), el GT29 indica algunas finalidades del tratamiento de datos personales en el trabajo y resalta que dicho artículo se establecen reglas o condiciones específicas para asegurar la protección de los derechos y libertades fundamentales de los trabajadores.

IV. Evaluación o test de proporcionalidad e interés legítimo

Ante cualquier tratamiento de datos personales, con independencia de cuál sea la base legal del mismo, pero especialmente cuando la finalidad que busca el empleador es proteger un interés legítimo, es necesario, según el GT29, realizar una evaluación de proporcionalidad para comprobar si el tratamiento es necesario para alcanzar dicho interés legítimo y si las medidas adoptadas son las adecuadas para asegurar que la intromisión en los derechos a la vida privada y al secreto es mínima.

Al respecto, el interés legítimo, como base legal del tratamiento de datos personales, requiere que concurran estos requisitos:

  • 1. El responsable del tratamiento persigue un interés legítimo;
  • 2. El tratamiento de los datos personales es necesario para satisfacer el interés legítimo, y
  • 3. Que no prevalezcan los derechos y libertades fundamentales del interesado por lo que se refiere a la protección de sus datos personales.

Y a dichos requisitos hay que añadir la información de manera efectiva y transparente por el responsable del tratamiento al titular de los datos personales.

Aplicándolo al entorno laboral, implica que el empleador, como responsable del tratamiento, tenga que tratar los datos personales:

  • 1. para una finalidad o interés legítimo, como por ejemplo proteger la propiedad de la organización;
  • 2. el método o la tecnología utilizado para el tratamiento de datos personales tiene que ser necesario para el interés legítimo del empleador y el tratamiento tiene que ser proporcionado a las necesidades del negocio, y
  • 3. tiene que llevarse a cabo de la manera menos invasiva posible y estar dirigido al área específica de riesgo.

Además, el empleador, cuyos datos personales son tratados, tiene derecho a oponerse al mismo en los términos previstos en el art. 14 de la Directiva 95/46/CE (LA LEY 5793/1995).

El GT29 indica, de manera ilustrativa, algunas medidas que puede adoptar el empleador para asegurarse de que no se infringe la vida privada del trabajador en el caso de monitorización. Dichas limitaciones a la monitorización pueden ser de carácter:

  • 1. Geográfico: excluyendo ciertos lugares tales como aseos, áreas de descanso o lugares destinados al culto;
  • 2. Orientados a los datos: excluyendo archivos y comunicaciones electrónicas personales;
  • 3. Temporales: llevando a cabo monitorizaciones puntuales y no continuas.

Dichos requisitos, a los que se refiere el GT29 en su dictamen, han sido también claramente establecidos por el Tribunal de Justicia de la Unión Europea a través de su jurisprudencia en casos como ASNEF (6) y Rīgas satiksme (7) .

V. Nueve ejemplos de riesgo algo para la protección de datos

Con la finalidad de ilustrar cuándo un empleador puede encontrarse ante una situación de riesgo alto para la protección de datos personales de los empleados, el GT29 incluye nueve ejemplos o situaciones hipotéticas en las que, en cualquier caso y con carácter general, es necesario considerar si el tratamiento de datos personales es:

  • 1) Necesario y, si es así, cuál es la condición de legitimación del mismo;
  • 2) Justo para los titulares de los datos personales, los empleados;
  • 3) Adecuado o proporcionado a las cuestiones que se plantean (la finalidad), y
  • 4) Transparente, a través de una información adecuada al interesado.

Los nueve ejemplos sobre tratamientos de datos personales por los empleadores se refieren a las situaciones que, siguiendo el dictamen del GT29, se exponen, de manera resumida, a continuación.

1. Durante el proceso de contratación

El GT29 deja claro que el tratamiento de datos personales obtenidos de redes sociales tiene que cumplir con los siguientes requisitos para que sea lícito:

  • a) Considerar si el perfil del candidato en la red social es profesional o privado;
  • b) Únicamente recabar y tratar datos personales de los candidatos en la medida en que sea necesario y relevante para el desarrollo del puesto de trabajo al que se presentan;
  • c) Suprimir los datos personales tan pronto como el candidato sea descartado o rechace la oferta;
  • d) Que el interesado sea informado de dicho tratamiento de datos antes de que participe en el proceso de contratación.

Además, el GT29 indica expresamente que no hay ninguna base legal para que el empleador requiera a los candidatos a aceptar una solicitud de conexión («amistad») en una red social.

Por tanto, para que el interés legítimo sea aplicable como condición de legitimación del tratamiento, por una parte, dicho tratamiento tiene que ser necesario para evaluar riesgos específicos de los candidatos para una función específica, es decir, que el tratamiento sea necesario y, por otra parte, es necesario que se haya informado previamente al candidato sobre dicho tratamiento.

2. Como resultado de un proceso de evaluación o comprobación («in-employment screening»)

En dicho caso, para poder aplicar el interés legítimo como condición de legitimación, es necesario que el empleador se asegure de que no hay otros medios menos invasivos y que se haya informado adecuadamente al interesado sobre la observación de las comunicaciones públicas.

3. Como resultado de la monitorización del uso de las TIC en el lugar de trabajo

En este caso el GT29 incluye el ejemplo de inspección TLS (Transport Layer Security) para descifrar e inspeccionar el tráfico seguro con la finalidad de proteger su red y los datos personales de empleados y clientes frente a accesos no autorizados o fugas de datos, lo que puede entenderse como el interés legítimo del empleador.

No obstante, el GT29 indica que una monitorización constante es una respuesta desproporcionada que vulnera el derecho al secreto de las comunicaciones y, por tanto, es necesario que el empleador considere otras medidas menos invasivas para proteger la confidencialidad de los datos de los clientes y la seguridad de su red. Es decir, la monitorización tiene que ser la estrictamente necesaria, de manera que no puede ser continua.

Además, el GT29 introduce en este caso la importancia de implementar y comunicar políticas de uso aceptable de las TIC (redes, equipos y otros dispositivos, etc.) en la empresa por los empleados, junto con las correspondientes políticas de privacidad. Se trata así de asegurar, en su caso, que los empleados tienen sus espacios privados que, salvo que ocurran circunstancias excepcionales, aunque el GT29 no indica cuáles son, no podrán ser accedidos por el empleador.

Por último, es importante tener en consideración que el requisito de subsidiariedad implica que, en ocasiones, puede darse la situación en la que no pueda llevarse a cabo ningún tipo de monitorización. Es decir, si hay otras medidas menos invasivas, deben adoptarse para que pueda aplicarse así el interés legítimo como condición de legitimación, poniendo como ejemplo el GT29 el caso en el que en lugar de monitorear todas las comunicaciones es posible bloquear el acceso a sitios web.

4. Como resultado de la monitorización del uso de las TIC fuera del lugar de trabajo

Al respecto, el GT29 se refiere, en particular, a la monitorización del trabajo en casa y remoto, indicando que la clave en este caso es gestionar cualquier riesgo que implique el trabajo a distancia de manera proporcional, considerando en particular, a la hora de utilizar tecnologías de monitorización, los límites entre uso profesional y privado.

Otros ejemplos o casos que el GT29 trata en este apartado son los relativos a trae tu propio dispositivo (Bring Your Own Device, BYOD), la gestión de dispositivos móviles (Mobile Device Management, MDM) o los vestibles (wearables).

5. Relativos al tiempo de trabajo y a la asistencia al trabajo

Estos tratamientos de datos personales, según el GT29, pueden implicar el riesgo de facilitar un conocimiento y control invasivos sobre las actividades de los empleados. Es así que el empleador tiene que asegurarse de que, para poder aplicar el interés legítimo, el tratamiento de datos tiene que ser: a) necesario, justo para el interesado, de manera que no prevalezca sobre sus derechos y libertades fundamentales, y c) transparente, lo que significa que se haya informado adecuadamente al interesado.

Y no será aplicable el interés legítimo como condición de legitimación si el resultado de una supervisión o monitorización constante del tiempo de trabajo es utilizado con otra finalidad, como por ejemplo la evaluación del desempeño de tareas por los trabajadores.

6. Usando sistema de video vigilancia

El GT29 se refiere en este caso a la evolución tecnológica que se ha producido en este ámbito y que ha dado lugar a cambios sustanciales, como por ejemplo una mayor capacidad de acceso remoto a los datos personales recabados, la reducción del tamaño de las cámaras y una mayor capacidad de tratamiento.

Y el riesgo que plantea la posibilidad de un uso desproporcionado de dichas capacidades, como por ejemplo que el empleador pueda monitorear las expresiones faciales de sus empleados o identificar desviaciones de patrones de movimientos predefinidos en el ámbito de una fábrica, es lo que lleva al GT29 a llamar la atención sobre la necesidad de que los empleadores se abstengan de hacer uso de tecnologías de reconocimiento facial. En este caso el GT29 termina señalando que podría haber algunas excepciones marginales, pero que no pueden ser utilizadas para invocar una legitimación general que dé cobertura, sin más, al uso de dicha tecnología.

7. Que involucran el uso de vehículos por los empleados

En concreto, para que el interés legítimo que pueda tener el empleador pueda aplicarse, el GT29 indica que tiene que evaluarse antes si el tratamiento para los fines correspondientes es necesario y si la implementación de las medidas cumple con los principios de proporcionalidad y subsidiariedad.

De nuevo, el GT29 insiste en la necesidad de que se informe claramente del tratamiento de datos personales derivado, entre otros, del uso de dispositivos de seguimiento. Y en este sentido, es necesario pensar en formas que permitan proporcionar la información de manera fácilmente accesible, como por ejemplo, poniéndola de manera destacada y a la vista del usuario en el un vehículo con un dispositivo de seguimiento.

Finalmente, el GT29 destaca la necesidad de considerar que dependiendo del dispositivo utilizado, podría observarse el comportamiento del usuario, lo que podría ser considerado como un riesgo para el titular de los datos personales en sus derechos y libertades fundamentales.

8. Que implican la comunicación de datos del empleado a terceros

En este caso, además de poner de manifiesto que la comunicación de datos de los empleados por las empresas ha aumentado con la finalidad de generar confianza en la prestación de servicios, el GT29 alerta de que en muchas ocasiones puede no haber una base legal que legitime dicha comunicación de datos personales.

Por tanto, para poder aplicar el interés legítimo es necesario que se evalúe previamente si el tratamiento de los datos personal es necesario para satisfacer aquél, no siendo posible basarse sin más en dicho interés legítimo como condición de legitimación del tratamiento de los datos personales.

9. Que implican la transferencia internacional de datos

El GT29 destaca que cada vez más se utilizan servicios y aplicaciones en línea, como por ejemplo los servicios de gestión de recursos humanos basados en el uso de la nube, que implican la transferencia internacional de datos.

En particular, el GT29 subraya que, como ya había puesto de manifiesto en el pasado, en el caso de transferencias internacionales de datos es preferible recurrir a mecanismos de protección adecuada en lugar de basarse en excepciones como el consentimiento del interesado por lo ya expuesto en cuanto a que el consentimiento otorgado podría no ser válido al no estar el empleado en disposición de realizar una manifestación de voluntad libre.

Y cualquier transferencia ulterior, como por ejemplo el acceso a los datos personales por otras empresas del grupo, debe limitarse al mínimo necesario para los fines que se persigan.

Sin perjuicio de lo anterior, quizás hubiera sido esta una buena oportunidad para que el GT29 proporcionase criterios interpretativos adicionales sobre el consentimiento y las transferencias internacionales de datos aplicables al Reglamento General de Protección de Datos, lo que supone que haya que esperar a futuras directrices, específicas o generales, al respecto. Es decir, las referencias que el GT29 hace en este dictamen al Reglamento General de Protección de Datos son relevantes, pero quizás no son suficientes teniendo en consideración las dudas que todavía se plantean en la práctica, en particular, en relación con el consentimiento.

Cabe pensar, por tanto, que este dictamen tendrá que volver a ser actualizado en breve, incluso antes del 25 de mayo de 2018, considerando especialmente cualquier cambio o novedad en materia de consentimiento y transferencia internacional de datos en el Reglamento General de Protección de Datos.

VI. Mismas conclusiones, recomendaciones actualizadas

El GT29 dedica el último apartado de su dictamen a las conclusiones, que en esencia son las ya expuestas en su Dictamen 8/2001, y a algunas recomendaciones, actualizadas a la vista de los nuevos riesgos que se presentan como consecuencia de la posibilidad de un uso indebido de la tecnología y/o de tratamiento de datos desproporcionados.

Las conclusiones y recomendaciones se dividen en cinco apartados, que son los relativos a derechos fundamentales; consentimiento e interés legítimo; transparencia; proporcionalidad y minimización de los datos, así como servicios de nube, aplicaciones en línea y transferencias internacionales de datos.

En cuanto a los derechos fundamentales, el GT29 recuerda, por una parte, que tanto el contenido de las comunicaciones como los datos de tráfico tienen la misma protección que las comunicaciones «analógicas» y, por otra parte, que las comunicaciones electrónicas desde el lugar de trabajo están cubiertas por los conceptos de «vida privada» y «correspondencia» en el apartado 1 del art. 8 del Convenio Europeo de Derechos Humanos (LA LEY 16/1950), de manera que los empleadores sólo pueden tratar datos personales de o generados a través del uso de comunicaciones electrónicas cuando dicho tratamiento sea lícito y legítimo.

Y también que la propiedad de los medios electrónicos no implica que los empleados no tengan derecho al secreto de las comunicaciones, lo que da lugar a que tengan que observarse las garantías necesarias. Además, en el caso de uso de dispositivos de seguimiento, el tratamiento de datos personales tiene que ser estrictamente necesario para una finalidad legítima.

Por lo que se refiere al consentimiento y al interés legítimo, el GT29 deja claro que el primero, dada la dependencia del empleado, debe ser una excepción como base para la legitimación del tratamiento de datos personales. Y el interés legítimo requiere que el tratamiento de datos personales sea estrictamente necesario para una finalidad legítima y que el tratamiento cumpla con los principios de proporcionalidad y subsidiariedad.

Además, el GT29 expone la evaluación o test de proporcionalidad, que debe llevarse a cabo antes de implementar cualquier herramienta de monitorización para considerar: 1) si todos los datos son necesarios; 2) si el tratamiento sopesa el derecho a la vida privada de los empleados en el lugar de trabajo, y 3) qué medidas tienen que adoptarse para asegurar que cualquier invasión de los derechos a la vida privada y al secreto de las comunicaciones electrónicas es mínima.

El principio de transparencia significa que la información que se comunique a los empleados sea efectiva y que las políticas y reglas relativas a la monitorización tengan que ser claras y fácilmente accesibles, siendo recomendable que en su creación y evaluación se incluya a una representación de los empleados.

La proporcionalidad de cualquier medida que implique un tratamiento de datos personales para responder ante cualquier riesgo que afronte o pueda afrontar el empleador, lleva al GT29 a recomendar la prevención frente a la detección. Además, cualquier tratamiento de datos personales y medida que pueda adoptarse debe guiarse por los principios de proporcionalidad y minimización de los datos, así como que los datos se almacenen por un período de retención determinado y por el mínimo tiempo necesario.

Por último, el GT29 recomienda que los empleadores que permitan el uso de las TIC por los trabajadores, les faciliten poder identificar ámbitos de privacidad, tales como espacios privados o correo privados, a los que no podrá accederse. No obstante, dicha recomendación requiere considerar todas las cuestiones específicas que se plantean. Y cuando los datos personales de trabajadores son transferidos internacionalmente, dicha transferencia debe basarse en asegurar un nivel adecuado de protección de datos, incluyendo las transferencias ulteriores, siendo en este caso el consentimiento una condición de legitimación del tratamiento relegada.

(1)

Grupo de trabajo del art. 29 (2017), Opinion 2/2017 on data procesing at work. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2001/wp48_en.pdf

Ver Texto
(2)

Grupo de trabajo del art. 29 (2001), Dictamen del Grupo de trabajo del art. 29 sobre el tratamiento de datos personales en el contexto laboral, Resumen. Consultado, en castellano, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2001/wp48sum_es.pdf

Ver Texto
(3)

Grupo de trabajo del art. 29 (2001), Opinion 8/2001 on the processing of personal data in the employment context. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2001/wp48_en.pdf

Ver Texto
(4)

Grupo de trabajo del art. 29 (2002), Documento de trabajo relativo a la vigilancia de las comunicaciones electrónicas en el lugar de trabajo. Consultado, en castellano, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2002/wp55_es.pdf

Ver Texto
(5)

Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 202/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas), COM(2017) 10 final, de 10 de enero de 2017. Consultado en http://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1499612193062&uri=CELEX:52017PC0010

Ver Texto
(6)

Asuntos acumulados C-468/10 y C-469/10. Sentencia del Tribunal de Justicia (Sala Tercera), de 24 de noviembre de 2011. Consultada en http://curia.europa.eu/juris/document/document.jsf?text=&docid=115205&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=93409

Ver Texto
(7)

Asunto C-13/16. Sentencia del Tribunal de Justicia (Sala Segunda), de 4 de mayo de 2017 (LA LEY 29078/2017). Consultada en http://curia.europa.eu/juris/document/document.jsf?text=legitimate%2Binterest%2BDirective%2B95%252F46&docid=190322&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=93052#ctx1

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll