Protección de datos y Recursos Humanos

JAVIER HERNANDEZ MARTINEZ
Abogado

Este artículo tratará de explicar las directrices mínimas a considerar en un departamento de recursos humanos a fin de respetar la LOPD, y en consecuencia evitar las sanciones por incumplimiento de la misma.

¿ Qué obligaciones mínimas habría ?

Por un lado, realizar la inscripción de los ficheros en el Registro General de Protección de Datos, dependiente de la Agencia de Protección de Datos, sito en Madrid. Aunque pueda parecer ocioso comentarlo, no está de más aclarar que la expresión inscripción de no se refiere al contenido concreto de los ficheros, sino a comunicar la existencia y tipo de los mismos. Ejemplo : Fichero con relación de empleados. No hemos de comunicar al RGPD los datos de éstos, pero sí que existe un fichero que los incorpora, cómo se llama, etc.

Por otro, elaborar el llamado Documento de Seguridad. Por tal aludimos a aquel documento que contendrá las medidas que, dependiendo del nivel de seguridad de los datos que poseamos, habremos de aplicar. Hay tres niveles de seguridad, de menos a más sensibilidad de los mismos, y a mayor nivel mayor exigencia legal.

También, cómo no, dar a conocer el Documento indicado entre el personal de la empresa con acceso a los datos aludidos en él. Lo ideal es que dicho documento esté firmado por sus destinatarios, para que en caso de eventual conflicto o duda acerca de si se divulgó o no entre el personal de la empresa, valga a tales efectos la firma del mismo.

¿ Qué pasa con las nóminas ?

Pues con las mismas se da la siguiente singularidad : En condiciones normales, a las mismas, la regla general es que se le aplique el nivel de seguridad mínimo o básico. Recordemos que el incumplimiento de las medidas concretas de un nivel de seguridad es sancionable, y a mayor sea el nivel que la ley exija apliquemos, mayor será la multa para el caso de se eventual incumplimiento.

A veces, no obstante su nivel básico como regla general, puede ocurrir que las nóminas contengan datos del trabajador que, según la LOPD, son de nivel alto, lo cual tendrá su consiguiente reflejo en las medidas de seguridad a adoptar. Ejemplo : Reflejamos en la nómina una minusvalía ( dato referente a la salud ), o referente a la afiliación sindical ( a efectos aplicar la deducción de la llamada cuota sindical ). Una aplicación práctica de todo esto es que, por ejemplo, si la confección de las nóminas nos la lleva una gestoría, y los datos se le remiten vía e-mail mes a mes - práctica cada vez más habitual -, la regulación existente exige que dicha información se remita encriptada o cifrada, o usando cualquier medio que a tales efectos impida y así lo garantice, que dicha información podrá ser inteligible o manipulada por terceros.

¿ Y con los currículums ?

Aquí hay que tener en cuenta determinadas cautelas, pues por un lado se da la circunstancia de que, normalmente, el que lo redacta, que es el aspirante a puesto de trabajo en la empresa de destino, incorpora en el mismo información de lo más variada. ¿ Quién nos asegura que, por ejemplo, no aluda a alguna enfermedad pasada o actual, o alguna minusvalía ¿.?. En tal caso, el nivel de seguridad a aplicar a dicho documento se encuadraría dentro de los de nivel máximo, con lo cual se complicaría el cúmulo de medidas de tipo no sólo técnico sino organizativas que habría de aplicar la empresa en orden a dar cabal y debido cumplimiento a toda esta normativa de protección de datos.

Otra cuestión que no suele tenerse en cuenta es que dichos documentos no pueden tenerse almacenados indefinidamente, o años, siendo el motivo de ello que la LOPD exige la aplicación de determinados principios en la conservación y tratamiento de los datos, pudiéndose citar a estos efectos los de adecuación, pertinencia y no excesividad ( en relación a los datos ), lo cual quiere decir que no deberíamos conservar dichos currículums a perpetuidad, estimándose razonable un tiempo de conservación de no más allá de 6 meses, aunque la verdad sea dicha, la LOPD ni sus normas de desarrollo nos indican ninguno al respecto.

¿ Y con el uso del e-mail ?

Este sí que es un tema complejo, pues aunque ha habido ya varias sentencias analizando esta temática, compleja sin duda alguna, lo cierto es que continuamos moviéndonos en terrenos movedizos, y ello por la no regulación concreta de estas cuestiones y el ancho y amplio margen de subjetividad que en consecuencia las rodea.

No obstante lo anterior, el sentido común y una mínima capacidad de previsión, harán que un empresario o empresa, diligentes, intentando evitar que ello se convierta en fuente segura de conflictos, elabore - junto con los trabajadores sería lo ideal - un documento de uso del correo electrónico en el seno de la empresa, siendo firmados por todos, empleados y empleador. La utilidad es que a partir de ahí ya todos conocerán sus derechos y obligaciones, evitándose un porcentaje alto de mal entendidos ante un futuro eventualmente litigioso.

Aplicación práctica de lo anterior podría ser, y sólo a título de ejemplo, advertir al trabajador de que en su PC, propiedad de la empresa, va a haber un registro de todos sus e-mails, y de que en caso de ejercicio por parte del empresario de sus facultades de comprobación del rendimiento del trabajador, o de sospechas en cuanto a disminución negligente del mismo, pueda la empresa acceder a comprobar qué hay en dichos correos. En nuestra opinión, como ya sabe el trabajador que existe tal posibilidad, no habrá cortapisa legal en orden a analizar los correos que éste esté enviando, y ojo, matizamos lo de enviar, porque sólo podremos, en principio, abrir los que este envíe, ya que los que reciba no, pues pueden habérsele enviados sin su consentimiento, y no ser por tanto responsable de los mismos.

¿ Influyen los servidores en esta cuestión ?

Pues ... indudablemente sí. Nos referimos a que dichos servidores, o sea, aquellos aparatos en donde van a estar alojadas las páginas web de la empresa, y que entre otras cosas usarán para el correo electrónico, habrán de estar ubicados físicamente en la Unión Europea, o en Estados reconocidos por España o la Comisión Europea, o en una relación de empresas USA que tienen el visto bueno de las autoridades comunitarias, llamada de Puerto Seguro o de Safe Harbor. Si ello no es así, técnicamente hablando estaremos ante una transferencia internacional, y requerirá la autorización del Director de la Agencia de Protección de Datos, ya que en su defecto habrá sanción, pudiendo la misma ser más que elevada ( de 300.000 a 600.000 euros ).