Infracciones sobre la protección de datos personales de las personas trabajadoras

¿Cómo se califican las infracciones y sanciones en materia de datos personales de los trabajadores o desconexión digital?

Las personas trabajadoras por cuenta ajena poseen una serie de derechos o intereses específicos sobre sus datos personales recogidos tanto por el RGPD, como por la reciente LOPDGDD, y que van desde el momento anterior a la contratación (gestión de datos personales en el área de los recursos humanos) a derechos específicos durante la relación laboral (protección de datos sanitarios derivados de la prevención de los riesgos laborales, respeto a la intimidad y propia imagen, la desconexión digital, canales de denuncias internas o whistleblowing, en las relaciones con la representación legal de las personas trabajadoras, etc.).

En este contexto, la LOPDGDD es mucho más precisa y clara con respecto al régimen sancionador que la LISOS, toda vez que la Ley sobre Infracciones y Sanciones en el Orden Social sólo contiene dos infracciones en las que encajar las conductas empresariales contrarias a las exigencias de intimidad y adecuado tratamiento de datos personales de las personas trabajadores:

1. Los actos del empresario que fueren contrarios al respeto de la intimidad y consideración debida a la dignidad de los trabajadores (art. 8.11 de la LISOS, infracción muy grave en materia de relaciones laborales individuales y colectivas).
2. Incumplir el deber de confidencialidad en el uso de los datos relativos a la vigilancia de la salud de los trabajadores, en los términos previstos en el art. 22.4 de la Ley de Prevención de Riesgos Laborales (art. 13.5 de la LISOS, infracción muy grave en materia de prevención de riesgos laborales).

Téngase en cuenta que la empresa, en este caso, será sancionada en virtud de su condición de responsable de los tratamientos de datos, dividiéndose las infracciones en: muy graves (art. 72 de la LOPDGDD), graves (art. 73 de la LOPDGDD) y leves (art. 74 de la LOPDGDD) que prescribirán a los 3, 2 y 1 años respectivamente, si bien la iniciación del procedimiento sancionador, con conocimiento del interesado, interrumpirá la prescripción, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor. A modo de resumen:

- Las infracciones muy graves son aquellas que suponen una vulneración sustancial del tratamiento, en función de lo establecido en el art. 83.5 del RGPD, y que tienen que ver con el uso de los datos para una finalidad diferente de la indicada, la omisión del deber de informar al interesado, la exigencia de un pago para poder acceder a los datos propios almacenados, la realización de transferencias internacionales sin garantía, o por ejemplo, entre muchas otras conductas, la vulneración del deber de confidencialidad del artículo 5 de la LOPDGDD.

- Las infracciones graves son aquellas que supongan una vulneración sustancial del tratamiento, en función de lo establecido en el art. 83.4 del RGPD, y que tengan que ver con datos de un menores recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, entre muchas otras, la contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas.

- Las infracciones leves son aquellas de carácter meramente formal, es decir, el resto de infracciones que no estén contempladas en las dos anteriores, y entre ellas podemos encontrar supuestos tales como la no transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por el RGPD, la exigencia del pago de un canon para facilitar al afectado la información obligatoria, disponer de un registro de actividades incompleto o, por ejemplo, entre muchas otras, no publicar los datos de contacto del Delegado de protección de datos cuando su nombramiento sea exigible.

Asimismo, en cuanto a las sanciones, se establecen plazos de prescripción en base al importe de la misma. Dichos plazos comenzarán a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Dada la gran cantidad de infracciones tipificadas en la LOPDGDD a las que no encontrando acomodo en la LISOS, éstas serán objeto de sanción a través de la normativa para la protección de datos personales.

SENTENCIAS RELEVANTES

STSJ de Madrid n.º 893/2022, 5 de octubre de 2022, ECLI:ES:TSJM:2022:11427

La entrega de una carta de sanción a la RLT de la empresa principal (en caso de contratas y subcontratas) no implica «(...) una transmisión de informaciones sensibles relativas a ámbitos privados, íntimos o extralaborales, sino solamente a cuestiones organizativas del servicio contratado, la ponderación proporcionada de los intereses y derechos en juego lleva a la Sala a concluir que no se puede primar el derecho de la trabajadora individual sobre el derecho de acción colectiva de los trabajadores en un ámbito que afecta desde luego a los intereses globales de los mismos, como es la forma de ejercer por la empresa su potestad disciplinaria, razón por la cual incluso es obligado para la misma informar de las sanciones impuestas en determinados casos (artículo 64.4.c del Estatuto de los Trabajadores), sin que la norma legal que obliga a proporcionar determinadas informaciones a la representación colectiva de los trabajadores defina el alcance máximo de la información posible, sino solamente el mínimo legalmente obligatorio».

CUESTIÓN

¿Existe alguna exigencia en la recogida de datos personales de los candidatos en los procesos de selección de personal?

Existe una obligación empresarial de informar adecuadamente a los titulares de los datos personales del tratamiento que se realizará con los datos de su CV.

siempre que recibamos un currículum debemos pedir el consentimiento al candidato para poder tratar los datos personales incluidos en el mismo. Ese consentimiento debe otorgarse por escrito y de manera expresa, recayendo la carga probatoria sobre el receptor (en este caso la empresa).

Lo contrario supondría una infracción del art. 13 del RGPD (ej.: Resolución de la AEPD n.º PS/00237/2021). 

En relación al derecho a desconexión digital, la LOPDGDD no ofrece elemento alguno que permita concretar las medidas en las que se traduce éste nuevo derecho y tampoco establece las consecuencias de su incumplimiento. De esta forma, recae en las organizaciones la obligación de establecer políticas internas de desconexión, informando previamente sobre su contenido a los representantes legales de los Trabajadores, si los hay. Así, la ley únicamente exige que las políticas emitidas por las empresas se dirijan a trabajadores ordinarios y directivos, definiendo las modalidades de desconexión, así como las acciones de formación y sensibilización en materia de desconexión digital. (Helena Monzón Pérez. «Una desconexión digital descafeinada». Diario «Cinco Días». 7 de diciembre de 2018).

En el ámbito sancionador, encontraríamos dos supuestos relacionados con la desconexión digital:

1. Sanciones a las empresas por incumplimiento de las condiciones de trabajo y las obligaciones legales en materia de descanso de los trabajadores basadas en los arts. 7.10 LISOS(«Establecer condiciones de trabajo inferiores a las establecidas legalmente o por convenio colectivo, así como los actos u omisiones que fueren contrarios a los derechos de los trabajadores reconocidos en el artículo 4 de la Ley del Estatuto de los Trabajadores, salvo que proceda su calificación como muy graves, de acuerdo con el artículo siguiente») o art. 7.5 del LISOS («La transgresión de las normas y los límites legales o pactados en materia de jornada, trabajo nocturno, horas extraordinarias, horas complementarias, descansos, vacaciones, permisos, registro de jornada y, en general, el tiempo de trabajo a que se refieren los artículos 12, 23 y 34 a 38 del Estatuto de los Trabajadores»).
   
2. La inexistencia de un protocolo para desconexión digital de los trabajadores, a falta de incardinación en algún hecho sancionable, podría sancionarse en materia de prevención de riesgos laborales si existe conexión entre esta falta de ese protocolo en la empresa y una concreción en algún trabajador de este riesgo psicosocial como podría ser Burnout, tecnoestrés (Adrián Todolí. El Derecho a la Desconexión Digital aprobada por la LOPDGDD y la Prevención de riesgos laborales. 17 de enero de 2019).

En el ámbito disciplinario, en relación a un posible derecho de las personas trabajadoras a la desconexión fuera de horario laboral, surgen dudas en relación con una posible nulidad o improcedencia del despido efectuado por el ejercicio del mismo. A pesar de que la norma no clarifica la consideración del nuevo derecho como fundamental, y a falta de mejor criterio doctrinal, podemos considerar, que con base al art. 18.4 de la CE («La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos») es un derecho fundamental integrado en el derecho a la salud.

Una eventual sanción por el ejercicio del derecho, por consiguiente, también sería nula, habilitando a la persona trabajadora para denunciar ante la Inspección de Trabajo, quedando a potestad del Inspector sancionar administrativamente a la empresa por vulneración del Derecho analizado.