• Como el Reglamento europeo mandata a los convenios colectivos la determinación de cómo proteger los datos de los trabajadores, UGT insta a promover un acuerdo, en el marco del Diálogo Social, para asegurar la protección de los datos de los trabajadores y que las empresas puedan tener controlada dicha protección.

• El sindicato advierte que los datos personales no deben servir para controlar el comportamiento de los trabajadores y que es preciso fomentar una política de empresa que respete la vida privada de los trabajadores.

• Asimismo, considera que todos aquellos que tengan acceso a los datos personales de los trabajadores tengan una obligación de confidencialidad, en relación con las tareas que desarrollan.

Hoy se inicia la aplicación directa del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés).  El Reglamento comunitario, es una norma de obligado cumplimiento y aplicación directa, que se debe aplicar en toda la Unión Europea tras su adopción el 6 de abril de 2016, y su entrada en vigor a mediados de 2016 Su aplicación directa se aplazó dos años para que todos los Estados miembros, empresas y organizaciones, pudieran adaptarse a su regulación, dos años que se cumplen hoy, día 25 de mayo de 2018.

La importancia de esta norma es tal que, en caso de conflicto, su regulación está por encima de cualquier norma estatal de cualquier Estado miembro y solo el máximo intérprete de las leyes europeas, el Tribunal de Justicia de la Unión Europea establecerá la jurisprudencia que en último caso sea de aplicación.

Con dicho Reglamento comunitario se refuerza la protección del derecho de las personas y los trabajadores, a la protección de sus datos de carácter personal, derecho ya incluido en nuestra Constitución Española, aunque la finalidad de la norma es garantizar la libre circulación de los datos de carácter personal en la UE, aumentando la claridad de la regulación para que sea posible la transferencia de los datos de carácter personal, en el llamado “mercado único digital de la UE”.

El nuevo marco de protección, se basa en la legislación europea dictada en los últimos 20 años, y en la jurisprudencia del TJUE aclarando y modernizando las normas más importantes. En España dicho marco de protección al haberse incluido en nuestra Constitución y la normativa de desarrollo, existe una amplia “jurisprudencia administrativa” y “constitucional” dictada por la Agencia Española de Protección de Datos (máximo órgano garante de la protección de este derecho a nivel administrativo) y por el Tribunal Constitucional, por lo que, hasta la fecha, nuestro nivel de protección es alto.

El fortalecimiento del derecho de protección de datos se concreta en:

- La aplicación de una única norma el GDPR, tanto para empresas como para ciudadanos y trabajadores.

- La igualdad de condiciones para todas las empresas en la UE, debiendo ser aplicadas por las empresas con sede fuera de la Unión si ofrecen bienes y servicios que comportan el manejo de datos de carácter personal.

- La protección desde el diseño que se efectué por las empresas y organizaciones y por defecto, por lo que se crearan incentivos para la adopción de soluciones que permitan la protección desde el inicio de la actividad.

- El fortalecimiento de los derechos de las personas y trabajadores, con nuevos requisitos de transparencia, como son:

• Derechos reforzados de información acceso y eliminación (derecho al olvido).
• Ya no se considera consentimiento válido el silencio o la falta de actividad sobre qué hacer con los datos, porque es necesario que conste el consentimiento afirmativo sobre los mismos.
• Y la protección de los menores en “línea”.

- Mayor control sobre los datos personales para los particulares y trabajadores, con el “derecho de portabilidad”, lo que significa que se puede pedir que “se devuelvan” los datos que se dieron con consentimiento o mediante un contrato.

- Mayor protección contra las violaciones de la seguridad de los datos. En este sentido se establece la obligatoriedad de comunicar a la autoridad de control del país de que se trate, en nuestro caso la Agencia Española de Protección de Datos (AGPD), y en un plazo máximo de 72 horas, que se ha producido una violación de la seguridad de los datos y en su caso si constituye un riesgo para los derechos y las libertades de la persona.

- La concesión a las autoridades de protección de datos de imposición de multas en caso de violación de dicha protección. En el caso de España, tal posibilidad ya existía y la AGPD ha venido sancionando a empresas y organizaciones, con sanciones de importante cuantía.

- Mayor flexibilidad para los responsables del tratamiento de los datos (responsabilidad proactiva), por ejemplo, que exista un delegado de protección de datos (DPO) o se realicen evaluaciones de impacto antes de iniciar el tratamiento. En este último caso dichas evaluaciones deben hacerse en tres casos:

• cuando se evalúan perfiles de una persona;
• cuando se procesen datos sensibles a gran escala, o;
• cuando se realizan un control sistemático de zonas públicas a gran escala.

- Mayor claridad sobre las obligaciones de los encargados y de los responsables del tratamiento a la hora de elegir a un encargado.

- Armonización de las competencias de las autoridades de protección de datos, incluso su cooperación en Red.

- Simplificación de normas en materia de transferencias internacionales de datos, estableciendo un catálogo preciso para evaluar si un país fuera de la UE protege los datos de forma adecuada. También se establecen instrumentos de trasferencia de datos alternativos, como cláusulas tipo o normas corporativas vinculantes.

La Unión General de Trabajadores informa que, en el ámbito de las relaciones laborales, es necesario tener en cuenta:

• El tratamiento de los datos personales de los trabajadores debe ser ecuánime, lícito y limitarse exclusivamente a los asuntos relativos a la relación de trabajo.

• Solo deben utilizarse con el fin para el cual se adquirieron.

• Los datos personales que tengan por objeto garantizar el buen funcionamiento de los sistemas automatizados de información no deben servir para controlar el comportamiento de los trabajadores.

• Los datos personales obtenidos por medios de vigilancia electrónica no deben ser los únicos factores para la evaluación profesional de un trabajador.

• Los empresarios y empleadores deben revisar sus métodos de tratamiento de datos para reducir lo más posible el tipo y el volumen de datos personales y mejorar el modo de proteger la vida privada de los trabajadores.

• Los trabajadores y sus representantes deben ser informados de toda actividad relativa al acopio de datos, del porqué y de sus derechos.

• Las personas encargadas del tratamiento de datos personales deberán recibir una formación que les permita comprender el proceso de acopio de datos y el papel que les corresponde en la aplicación de los principios y de las recomendaciones de la OIT.

• El tratamiento de datos personales no debe conducir a una discriminación ilícita en materia de empleo y ocupación.

• Los empresarios, empleadores, los trabajadores y sus representantes deben cooperar en la protección de los datos personales y en la elaboración de una política de empresa que respete la vida privada de los trabajadores.

• Toda persona, tanto empleadores, representantes de los trabajadores, agencias de colocación y trabajadores que tengan acceso a los datos personales de los trabajadores, deberían tener una obligación de confidencialidad, en relación con las tareas que desarrollan.

Como el Reglamento europeo mandata a los convenios colectivos la determinación de cómo proteger los datos de los trabajadores, a este respecto UGT quiere abrir un debate dentro del Diálogo social para promover un acuerdo en el que los datos de los trabajadores puedan ser protegidos y las empresas tener contralada dicha protección dentro del ámbito del Reglamento.

A tal efecto los convenios colectivos podrán negociar cómo las condiciones en las que los datos personales en el trabajo, pueden ser objeto de tratamiento, y siempre con el consentimiento del trabajador teniendo en cuenta:

- los fines de la contratación,

- la ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley, o por el convenio colectivo,

- la gestión, planificación y organización del trabajo,

- la igualdad,

- la salud y seguridad en el trabajo,

- los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y prestaciones relacionados con el empleo, y con la rescisión de la relación laboral,

- medidas adecuadas y específicas para preservar la dignidad humana de los trabajadores,

- la preservación de los intereses legítimos de los trabajadores y sus derechos fundamentales,

- la transparencia del tratamiento de los datos,

- la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta,

- y sobre todo los sistemas de supervisión en el lugar de trabajo, al contener toda una serie de datos sensibles relativos a los derechos humanos: imagen, control por GPS, huella dactilar etc.