Con una probabilidad casi absoluta, seguro que en su organización están tratando datos de carácter personal relativos a sus empleados.
Por ejemplo, sus herramientas de control horario, sean en el formato que sean, recopilarán información sobre ellos.
Si en su organización disponen de videovigilancia, además, estarán tratando un dato tan importante como la imagen.
El cumplimiento de las obligaciones contractuales -como pueda ser el pago de la nómina- hará tratar sus datos bancarios.
También se puede tener obligaciones legales que hagan recopilar información de los trabajadores; sería el caso, por ejemplo, del tratamiento de sus datos con fines de salud laboral.
Como puede verse, incluso las organizaciones menos intrusivas en temas de protección de datos realizan en el día a día numerosos tratamientos regulados en el RGPD. Si además nos encontramos ante una entidad que utiliza con frecuencia las nuevas tecnologías para realizar tratamientos novedosos (como pueda ser el uso de identificación biométrica de los trabajadores, su geolocalización o cualesquiera otras innovaciones), los supuestos aumentan en complejidad.
En este tipo de tratamientos, precisamente por ser tan comunes, suele no prestarse excesiva atención. ¿Por qué deberíamos precuparnos por un tratamiento que nos impone la ley, o por uno que necesitamos para pagar las nóminas a los empleados? Con este esquema mental, la precaución puede disminuir, y con ello las cautelas inherentes a la exigencia de proactividad que nos impone el RGPD.
No es prudente bajar la guardia con ningún tratamiento, pero esta afirmación es particularmente cierta en el caso de datos relativos a trabajadores.
Esto es así por un motivo que no suele ser muy conocido, pero que resulta importante: todo lo relativo a esta categoría de datos exige el máximo cuidado. Porque, desde el punto de vista del RGPD, a los empleados se los considera sujetos especialmente vulnerables.
En las instancias europeas existe una especie de «comité de sabios» que se encarga de interpretar la normativa de protección de datos. Esa figura, desde el RGPD, se llama «Comité Europeo de Protección de Datos«. Pero ya tenía actividad desde mucho antes de la aplicación del Reglamento, aunque con otro nombre: en aquel entonces se llamaba «Grupo de Trabajo del Artículo 29« (conocido también como GT29 o, en inglés, WP29).
Como acabamos de decir, este comité tenía entre sus funciones la de ayudar a la correcta interpretación de la normativa europea de protección de datos. El GT29 publicó en su día numerosas guías y recomendaciones, algunas de las cuales siguen siendo plenamente vigentes a pesar de la aparición del RGPD.
La guía a la que tenemos que referirnos aquí es la que lleva por título «Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento entraña probablemente un alto riesgo a efectos del Reglamento (UE) 2016/679«. Puede consultarse el texto de la guía en este enlace.
Si vamos hasta el apartado III.B.b) de las directrices nos encontraremos que, a la hora de definir cuándo un tratamiento de datos entraña «alto riesgo«, el GT29 nos dice lo siguiente:
«7. Datos relativos a interesados vulnerables (considerando 75): El tratamiento de este tipo de datos representa un criterio debido al aumento del desequilibrio de poder entre los interesados y el responsable del tratamiento, lo cual implica que las personas pueden ser incapaces de autorizar o denegar el tratamiento de sus datos, o de ejercer sus derechos. Entre los interesados vulnerables puede incluirse a niños (se considera que no son capaces de denegar o autorizar consciente y responsablemente el tratamiento de sus datos), empleados, segmentos más vulnerables de la población que necesitan una especial protección (personas con enfermedades mentales, solicitantes de asilo, personas mayores, pacientes, etc.), y cualquier caso en el que se pueda identificar un desequilibrio en la relación entre la posición del interesado y el responsable del tratamiento« (los resaltados son nuestros).
Como puede verse, el GT29 es claro: habrá «interesados vulnerables« cuando exista un desequilibrio de poderes en la relación a la hora de tratar datos. Y, por si teníamos dudas, menciona de forma expresa a los empleados dentro de esta categoría.
Esta filosofía no está exenta de lógica: el GT29 presupone que un trabajador no va a arriesgar su puesto de trabajo denunciando a su jefe por una violación de la protección de datos. Por ello, y como salvaguarda de esos intereses a los que el empleado -por el desequilibrio de poderes- podría renunciar, se les da una protección especial.
Ello tiene repercusiones directas en los tratamientos que hagamos.
Por ejemplo: hace poco la AEPD ha publicado una lista de tratamientos de datos en los que es obligatorio hacer previamente una evaluación de impacto (puede leerse la lista en este enlace). De este listado lo importante es que si se cumplen al menos dos condiciones, la evaluación de impacto pasa a ser obligatoria.
Pues bien, la condición número 9 menciona expresamente los «tratamientos de datos de sujetos vulnerables«. Lo que, como hemos visto y de acuerdo con el criterio del GT29, incluye a los trabajadores. Eso significa que cualquier tratamiento de datos de trabajadores está un paso más cerca de requerir una evaluación de impacto previa. Y no puede ser de otro modo, ya que las propias directrices del GT29 que hemos citado hacían referencia, precisamente, a cuándo es necesario hacer una EIPD.
En cualquier caso, pues, debemos quedarnos con la siguiente moraleja: hay que mostrar una prudencia especial a la hora de tratar datos de los trabajadores.
Si tiene consultas sobre esta materia, no dude en ponerse en contacto con nosotros y se las resolveremos.
Fabián Plaza Miranda, Auren Abogados y Asesores Fiscales.