El pasado 25 de mayo de 2018 fue una fecha señalada en el calendario pues, desde ese dia, resulta de aplicación plena el nuevo Reglamento (UE) 2016/679, relativo a la protección de datos personales y libre circulación de los mismos (RGPD). Y como en toda fecha señalada, las distintas empresas y proveedores de bienes y servicios nos obsequiaron con un buen número de correos electrónicos y comunicaciones, actualizando sus políticas de privacidad.

Pero, ¿qué sucede con el tratamiento de datos personales por parte de las empresas respecto de sus empleados? Como no podía ser de otro modo, el nuevo RGPD resulta aplicable a toda empresa (también trabajador autónomo) que tenga trabajadores a su cargo, da igual el tamaño de la empresa, su actividad, número de trabajadores o volumen de facturación y/o beneficios. Todas las empresas deben cumplir con la normativa sobre protección de datos personales.

Sin embargo, los datos demuestran que, un mes después de la plena exigibilidad de la nueva normativa, la mayoría de las empresas todavía no se han adaptado de manera plena a esta nueva normativa, probablemente por la escasa información que ha existido hasta fechas recientes, la complejidad y lagunas de la normativa, y el importante nivel de análisis y actuaciones que requiere. Pero, obviamente, no es imposible y se puede abordar por fases para facilitar su aplicación.

Obligaciones en el ámbito laboral
En cuanto a las obligaciones en el ámbito de las relaciones laborales que impone la normativa en materia de tratamiento y protección de datos personales, abordaremos tan solo las que resultan más relevantes en el ámbito de las relaciones laborales, aunque no son las únicas.

La primera obligación que deberán cumplir los empresarios es elaborar el denominado Registro de Actividades de Tratamiento, y en caso de tratarse de un empresario sin obligación de realizarlo, al menos, se debería haber recopilado y sintetizado la información sobre los datos personales que se tratan, sus fines, categorías de datos, destinatarios, si se van a realizar transferencias internacionales de datos, los plazos de conservación y las medidas de seguridad a aplicar.

Una vez realizada esta primera actuación, el empresario conviene que revise qué datos trata y solicita en los procesos de selección que esté llevando a cabo.
En este punto, lo más recomendable es que genere formularios tasados de solicitud de empleo en la empresa, que los candidatos deban cumplimentar, solicitando y tratando los datos estrictamente necesarios para el proceso de selección. De igual modo, el empresario deberá establecer un adecuado canal para la información al candidato sobre el tratamiento de sus datos personales.

Durante la relación laboral
Durante la relación laboral será el momento en que el empresario trate un mayor número de datos personales del trabajador, y al inicio de la relación laboral, así como durante su desarrollo, deberá aportar cumplida información al trabajador sobre el tratamiento de sus datos personales.

Con la nueva normativa adquieren una importancia casi vital las cláusulas en virtud de las cuales se informa al trabajador de todas las cuestiones relacionadas con el tratamiento por la empresa de sus datos personales, debiendo contener dichas cláusulas toda la información que requiere el artículo 13 del RGPD.

Dado el nivel de detalle y concreción que requieren dichas cláusulas, ya no es posible elaborar cláusulas tipo en esta materia, sino que deben estar adaptadas a cada concreta empresa y trabajador.

Otra cuestión relevante son las categorías especiales de datos personales (datos genéticos, biométricos y sobre la vida y orientación sexual, además de los que ya venía contemplando la normativa), para los que existe una prohibición general de tratamiento, tan solo excepcionada en tres supuestos muy concretos, entre los que se encuentra el consentimiento del interesado, pero en el ámbito de las relaciones laborales esta excepción va a ser prácticamente inaplicable o, al menos, de muy difícil aplicación.

Por otra parte, la finalización de la relación laboral supone la necesidad de que el empresario conserve los datos personales del trabajador durante el tiempo necesario (que no se especifica), si bien los mismos deben permanecer bloqueados (es decir, los datos deben permanecer inaccesibles pero conservarse para su posible transmisión a las autoridades competentes en caso de necesidad). Tras este periodo de conservación, los datos deben ser eliminados de manera total.

La representación laboral
Un silencio importante que apreciamos en el RGPD es la inexistencia de regulación específica sobre los derechos de información y consulta de los representantes de los trabajadores.

A pesar de ello, entendemos que el empresario debe recordar en todo caso a los representantes de los trabajadores, preferentemente por escrito, su deber de sigilo y la obligación de estos de cumplir con las obligaciones que impone la nueva normativa en materia de protección de datos, respecto de toda aquella información que conozcan como consecuencia del ejercicio de su cargo, garantizando la privacidad de los datos.

Para finalizar, es importante destacar el importe de las sanciones por incumplimiento de la normativa en materia de protección de datos, que pueden llegar hasta los 20 millones de euros o un 4% de la facturación global de la empresa (la cifra que sea más alta).

Con todo ello, y aun teniendo en cuenta la complejidad y exigencia de la nueva normativa, visto el importe de las posibles sanciones, no cumplir la normativa no parece una opción o, al menos, no es una buena opción.