Qué es una ficha de empleado o empleada
El departamento de RR. HH. gestiona la plantilla de una empresa. Para ello cuenta con «la ficha de empleado o empleada» que es un registro de los datos y documentación de interés de cada persona que trabaja en la organización.
No obstante, la normativa establece unas obligaciones en protección de datos de los trabajadores y trabajadoras en la que debemos distinguir tres fases:
- Antes de la contratación o relación laboral: en el anuncio de la convocatoria donde deberá constar la identidad y responsable del fichero, finalidad del tratamiento y posibilidad de ejercer los derechos ARCO-POL (acceso, rectificación, cancelación, oposición y los más recientes: portabilidad, olvido y limitación del tratamiento); y en el tratamiento del currículo (CV), con el que no se podrá recabar más información sobre la persona candidata que el estrictamente precisa para valorar su perfil profesional. Para la recepción del currículo, introducir en una base de datos la información que constan en este, y gestionar después toda la información (nombre, teléfono, datos académicos o de empresas), es necesario solicitar una autorización expresa de las candidaturas.
- Durante su relación laboral con el empleador: en el contrato tiene que haber una cláusula de protección de datos sobre los tratamientos que tendrán estos y que solo estarán directamente relacionados con su relación laboral con la empresa, como son los datos necesarios para el abono de las nóminas, la gestión de la PRL o los datos referentes a la situación personal que se comunica en el Modelo 145 a efectos de las retenciones que deben aplicarse en las nóminas. Además, la empresa precisa el consentimiento del trabajador o trabajadora para el tratamiento de sus datos, cuando se utilizan cámaras de videovigilancia en el trabajo, a los efectos de control o seguridad, , la geolocalización de los coches de empresa, el control horario (realizar control obligatorio), es decir, con todos aquellos elementos que requieran gestionar datos de la plantilla dentro del ámbito laboral y especialmente aquellos que pueden vulnerar la privacidad, debiendo ejercitarse con el respeto al derecho a la desconexión digital.
- Después, una vez finalizada su relación laboral, es decir, con sus extrabajadores. La empresa solo podrá conservar los datos personales de los trabajadores durante el tiempo establecido legalmente, , debiendo eliminar con posterioridad al transcurso de dicho periodo. Asimismo, le empresa deberá eliminar el acceso del empleado o empleada a las cuentas corporativas, servicios, canales y aplicaciones de la organización, debiendo guardar el deber de confidencialidad de la información de la empresa a la que haya tenido acceso como consecuencia del desempeño de su puesto de trabajo
Cuáles son los datos protegidos con especial cuidado
Como hemos visto en el punto anterior, el reglamento protege la confidencialidad de datos en todos los aspectos, pero existen algunos que en función de su naturaleza son considerados sensibles o de especial cuidado. Debemos tener en cuenta que se considera dato de carácter personal, cualquier dato concerniente a las personas físicas identificadas o identificables, es decir, se incluyen además de toda la información que puede aparecer en el NIF, también la descripción, apodos, vehículos y cualquier dato que pueda relacionarse con una persona determinada. Los datos especialmente sensibles requieren que se implanten las medidas técnicas, de seguridad y organizativas necesarias para evitar que su tratamiento origine lesiones o violaciones de los derechos o libertades de los titulares de los datos.
Cuando esto es así, se exige:
- Datos que revelen ideología, afiliación sindical, religión y creencias. Además, se debe informar a la persona interesada de que tiene la obligación de facilitarlos.
- Datos que se refieran a la orientación sexual, origen racial o étnico y a la salud. No obstante, estos datos también se podrán tratar cuando haya una ley que por razones de interés general así lo establezca.
- Los datos relativos a la comisión de infracciones penales o administrativas solo pueden incluirse en los ficheros de las administraciones públicas competentes en los casos previstos en las normas que los regulan.
Los datos sensibles entrañan más riesgo para los interesados y por ello su tratamiento está prohibido, salvo que se reúnan las condiciones que dispone la ley en el artículo 9.1 del RGPDGDD donde establece la prohibición del tratamiento de datos personales que revelen:
▪ Origen étnico o racial
▪ Opiniones políticas
▪ Convicciones religiosas y filosóficas
▪ Afiliación sindical
▪ Genética
▪ Biométricos
▪ Salud
▪ Vida sexual
▪ Orientación sexual
Importante: los empleados al ser también usuarios habituales y continuos de los datos e información que circulan en su empresa, incluyendo los datos de carácter personal, están también obligados a mantener en todo caso la confidencialidad de datos regulada en el RGPD y la LOPDGDD.
Normativa que regula la protección de datos de las personas empleadas
En 2018, el 25 de mayo, entró en vigor en la Unión Europea el Reglamento General de Protección de Datos, conocido por las siglas RGPD, y que marca unas reglas comunes para la confidencialidad de datos.
Esta normativa deberá ser cumplida por toda empresa, entidad pública y privada que maneje datos personales de terceros. A nivel empresarial afectará a todos los departamentos o áreas. Además, establece obligaciones en materia de protección de datos personales de los empleados.
Por ejemplo, el empleador tiene la obligación de informar al trabajador o trabajadora acerca de:
- Qué datos personales va a recabar
- Quién será la persona o entidad responsable de su tratamiento
- Cuál es la finalidad de este tratamiento de datos
- Indicar el plazo de conservación de los datos
- Si se van a ceder datos a terceros… (a quién, por qué y en qué términos)
- Medios de los que dispone el personal de la empresa para ejercer su derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
La adaptación española a la normativa europea da lugar a la LOPDGDD (Ley Orgánica 3/2018, de Protección de Datos y Garantía de los Derechos Digitales), que profundiza aún más en algunos aspectos y añade algunos derechos más de los trabajadores, actualizando así la ley a las necesidades actuales (por ejemplo, como hemos visto en el punto anterior, incluye el derecho a la desconexión digital, a la garantía de la información que se facilita por medio de Internet, o también a la garantía de los derechos digitales).
Cuál es el rol de recursos humanos en la confidencialidad de estos datos
Como hemos comentado al inicio de este artículo, la confidencialidad de datos ya se inicia antes de la relación laboral de la persona con la empresa.
Desde la publicación de la oferta, el departamento de Recursos Humanos, encargado de todo lo relacionado con el capital humano de la empresa, tendrá un nuevo desafío: la seguridad de todos los datos recabados sobre su plantilla. Es más, el incumplimiento puede acarrear consecuencias importantes para la organización.
Pero ¿cuál es rol de RR. HH.? La gestión de la Seguridad de la Información, es decir, deberá garantizar la integridad, disponibilidad y confidencialidad de datos de todo integrante de su plantilla laboral.
Para ello, y las empresas que realicen un tratamiento a gran escala de datos sensibles, deberán contar con un delegado de protección de datos, que garantice la implementación de políticas de seguridad, procedimientos y mecanismos que sean necesarios para controlar el cumplimiento de todas y cada una de las normas de seguridad de la información de una empresa. Es decir, para cumplir cada una de las reglas establecidas y obligatorias referidas a la confidencialidad de datos en la organización.