Gestió i protecció del tractament de dades les personals en l’entorn professional

L’Agència Andorrana de Protecció de Dades (APDA) ha emès una nova guia informativa sobre el “Tractament de les dades personals en l’àmbit laboral”, que aporta claredat sobre els tractaments de les dades de les persones treballadores així com dels seus deures i obligacions a través d’instruccions i bones pràctiques.

Andorra Tarinas som especialistes en protecció de dades. Si tens algun dubte, estarem encantats de resoldre’l.

Tractament de dades

 

Quins són els punts més importants que estableix aquesta guia sobre la gestió de candidats i recursos humans?

  • Cal fer una diferència entre el que s’entén per dades personals i dades professionals.

    • Entenent que hi ha dades d’empreses unipersonals que identifiquen clarament a una persona física i dades empresarials com els correus electrònics nom.cognom@organitzacio.ad o números de telèfon, l’APDA indica que la determinació de si les dades s’han de classificar com a personals o professionals dependrà de la finalitat de la seva recollida i tractament. És a dir, si l’objectiu és establir o mantenir una relació professional les dades s’hauran de considerar professionals. En canvi, quan les dades es fan servir per finalitats que van més enllà de la relació professional (com podria ser contactar amb un treballador per assumptes no relacionats amb l’empresa), les dades s’hauran de considerar personals.
    • Dins d’aquesta diferència entre dades personals i professionals és important tenir en compte que les mesures per salvaguardar la privadesa i els drets de les persones implicades serà major quan siguin dades personals. Pel que fa a les dades personals l’important és garantir-ne un bon ús.
  • Cal justificar el tractament de les dades de les persones treballadores

    • Per altra banda, l’APDA indica que cal que cada empresa, Responsable del Tractament, identifiqui les finalitats del tractament i com es justifica (base jurídica) aquest tractament. De bases jurídiques, és a dir, justificacions per les quals es puguin tractar les dades en el context de la gestió de recursos humans poden ser:
      • Que el tractament de dades siguin necessari per complir amb una obligació legal de l’empresa. Per exemple: obligacions relacionades amb la CASS.
      • Per l’execució del propi contracte laboral o aplicació de mesures pre-contractuals salari, horari de treball, funcions i responsabilitats…
      • Per satisfer interessos legítims perseguits per l’empresa o de la pròpia persona interessada. Mesures de seguretat i protecció del lloc de treball, sistemes de videovigilància per protegir immobles i instal·lacions.
      • El consentiment de la persona treballadora quan no trobem una altra justificació.  Enregistrament d’un clip promocional en un espai de treball que mostri empleats identificables.

Així mateix, la pròpia guia afegeix una taula orientativa que indica totes les bases legitimadores concretes.

  • Les empreses no poden tenir accés a qualsevol tipus de dada personal de les persones treballadores

    • El tractament de les dades de les persones treballadores ha de ser adequat, pertinent i limitat a allò necessari per a les finalitats per a les quals són tractades.
  • Cal informar als treballadors sobre el tractament de les dades

    • Juntament amb el contracte de treball caldrà que l’empresa informi a les persones treballadores sobre els tractaments de dades
  • Aspectes claus a tenir en compte en els processos de selecció de personal i captació de CV

    • La base jurídica que justifica el tractament és diferent si: a) és una selecció de personal per vacants concretes, sent que el tractament es justifica per les mesures pre-contractuals; o bé, si es recullen CV sense seleccionar per a possibles futures vacants, sent que cal el consentiment.
    • Quan les empreses vulguin tractar les dades per a realitzar processos de selecció de candidats hauran de, entre d’altres:
      • Informar sobre el tractament de les dades.
      • Valorar si necessiten un informe per verificar l’experiència laboral i en cas de ser necessari, un document vàlid seria el document acreditatiu de la vida laboral de la CASS.
      • Demanar el consentiment si volen realitzar test psicotècnics, de personalitat o proves psicològiques.
      • Tenir en compte el període de conservació. Sent que si hi ha un procés de selecció i la persona candidata no és contractada, si aquestes dades es volen conservar, caldria el seu consentiment per a un tractament futur. En cas contrari s’haurà de destruir el currículum i procedir a la supressió i bloqueig de les dades personals.
      • Així mateix, les empreses no poden tractar les dades de les xarxes socials de les persones treballadores per a realitzar indagacions, tret si aquestes estan relacionades amb finalitats professionals. A més, tampoc es pot sol·licitar amistat a persones candidates perquè aquestes proporcionin accés.
      • En els casos de grups empresarials, quan la persona candidata no obtingui el lloc que havia sol·licitat, però hi hagi una vacant en una altra empresa del grup, caldrà el consentiment per la cessió.
  • Aspectes claus en la gestió de recursos humans:

    • Gestió de nòmines: cal que les nòmines només continguin informació essencial, limitada a la declaració de la renda i deduccions basades en el contracte de treball. Així mateix, si l’empresa contracte una empresa externa que realitzi les nòmines, serà considerada encarregada del tractament.
    • Control laboral: la finalitat de control laboral no és lícita conforme a la normativa andorrana de protecció de dades.
      • Es pot realitzar una planificació horària i un compte d’hores i garantir la integritat dels béns i eines de treball. Però la normativa andorrana no preveu mesurar el rendiment o el control dels treballadors.
      • Les càmeres de videovigilància no es poden emprar per dur a terme un control de l’activitat dels treballadors. Tampoc els sistemes de geolocalització en vehicles d’empresa.
    • Categories especials de dades: de manera general les empreses no poden sol·licitar dades com: afiliació sindical, ideologia política, creences religioses o orientació sexual; tret d’excepcions concretes.
    • Dades biomètriques:
      • Sent que la normativa andorrana no es troba la capacitat de l’empresari de realitzar un control laboral, només seria lícita si se li ofereix una altra alternativa que no comporti el tractament d’aquest tipus de dades.
      • En cas que s’opti per aquest sistema, caldrà el consentiment.
    • Registre de la jornada laboral: es recomana un sistema el menys invasiu possible i ha de complir amb els principis bàsics de la protecció de dades.– Eines de treball: l’empresari pot dur a terme accessos, controls i vigilància de les eines de treball pròpies sense vulnerar els drets i llibertats dels treballadors.
    • Teletreball: cal que quan les empreses realitzin polítiques, protocols i processos tinguin en compte la realització del teletreball per tal de gestionar els riscos.
    • Comunicació de dades en grups empresarials: quan es comparteixen dades entre empreses del mateix grup hi ha d’haver un interès legítim, com per exemple, finalitats administratives internes. En tot cas, cal revisar l’estructura del grup i disposar dels filtres adequats.
    • Extinció de la relació laboral:
      • Un cop extingida, les dades s’han de bloquejar. En cas que es vulgui contactar amb la persona en un futur, caldrà sol·licitar-li el consentiment.
      • Per compartir dades d’un antic ocupador amb un futur ocupador, cal el consentiment explícit del treballador.

 

No dubti en contactar amb Andorra Tarinas, en cas de necessitar ajuda. El nostre equip de professionals l’assessorarà.