El tratamiento de los datos personales en las relaciones de trabajo
Por: Christa Caro, Directora de Asuntos Laborales de la Sociedad de Derecho y Empresas Digitales.
En los últimos años, hemos sido testigos de como la tecnología ha impactado en todos los ámbitos de nuestras vidas, no siendo la excepción las relaciones de trabajo. Las transformaciones tecnológicas cambiaron la forma de reclutar, contratar, fiscalizar y hasta despedir trabajadores, abarcando también otros aspectos como el relacionado al manejo de los datos personales que los empleadores recaban de sus trabajadores, lo que muchas veces colisiona con el derecho a la intimidad y a la privacidad de estos últimos.
La información que los empleadores recogen de los postulantes, trabajadores y ex trabajadores tienen múltiples finalidades: cumplir con obligaciones laborales y tributarias, reducir los riesgos en materia de seguridad y salud en el trabajo, garantizar la protección social de estos y de sus familias, ejercer adecuadamente su poder de dirección, entre otras. En este escenario, debemos señalar que existen múltiples formas de recolección y procesamiento de la información, lo que hace necesario darle un adecuado tratamiento.
En el Perú, la Ley N° 29733, Ley de Protección de Datos Personales (LPDP) y su Reglamento aprobado por Decreto Supremo N° 003–2013-JUS, regulan de manera general las obligaciones que todas las personas jurídicas tienen en relación al tratamiento de los datos personales. De las normas indicadas se derivan una serie de obligaciones y derechos de las partes que conforman la relación de trabajo en todo tipo de empresa sin importar su tamaño, número de empleados ni actividad económica; no existiendo a la fecha protocolos, reglamentos, ni normas laborales de desarrollo en la materia.
En este contexto, entendemos por “datos personales” a toda aquella información de un trabajador que lo identifica o lo hace identificable a través de medios que pueden ser razonablemente utilizados. Una especie de datos personales, son los “datos sensibles”, que están constituidos por: datos biométricos; los referidos al origen racial y étnico; ingresos económicos; opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.
Para el acopio y adecuado tratamiento de los datos personales de los trabajadores, es necesario que los empleadores consideren lo siguiente:
- Deben contar con el consentimiento explícito y documentado del trabajador. El solo hecho que el trabajador firme un contrato de trabajo, no faculta al empleador a recabar cualquier tipo de información que le interese, por ello es su obligación informar las razones de su acopio y manejar únicamente los datos estrictamente necesarios para la relación laboral. La información que brinde el empleador sobre el tratamiento de datos personales de su trabajador debe ser clara y precisa, no bastando un simple cuestionario, y este debe requerir información relevante a la relación de trabajo.
- Cada trabajador debe ser la fuente primaria de su información personal, aunque ello no limita que el empleador obtenga información de otras fuentes (por ejemplo, redes sociales, ex empleadores, etc.). Sin embargo, deben informar a los trabajadores la finalidad del procesamiento de información de fuentes externas y solicitar su consentimiento explícito para su acopio y tratamiento.
- El consentimiento que otorgue el trabajador no faculta a que el empleador haga uso indiscriminado de la información acopiada. Al detallar la finalidad del acopio, se deberá también informar al trabajador todas las formas futuras posibles de utilización de sus datos personales, aunque sí es posible que el empleador realice el tratamiento de la información de los trabajadores con fines distintos a los previstos inicialmente, siempre y cuando estos sean compatibles con aquellos.
- El empleador debe garantizar la protección de los sistemas a través de los cuales realiza el acopio y tratamiento de los datos personales de sus trabajadores, requiriendo “candados” de orden material, tecnológico y administrativo para evitar el acceso, filtración o sustracción de la información. Asimismo, debe capacitar al personal que manipula los datos en el ejercicio de sus funciones (frecuente y en mayor medida, personal del área de recursos humanos y del área de salud ocupacional) brindándoles información constante con el fin de que conozcan la importancia del tratamiento adecuado de dichos datos así como las responsabilidades individuales que acarrearían un mal uso de la información personal de los demás trabajadores.
Sin perjuicio de lo hasta aquí señalado, existen situaciones en las que no será necesario contar con el consentimiento del trabajador para el tratamiento de sus datos personales. Así, del numeral 5 del artículo 14° de la LPDP, se desprende que no será necesario el consentimiento del trabajador para el tratamiento de sus datos personales cuando estos sean necesarios para la preparación, celebración y ejecución del contrato de trabajo y el desarrollo de la relación laboral. En dicho sentido, el empleador solo estará obligado a contar con el consentimiento del trabajador para el tratamiento de aquellos datos personales que sean adicionales a los necesarios, lo que normalmente se presenta cuando este otorga prestaciones adicionales a la relación contractual.
En el mismo sentido, de conformidad con la Directiva N° 01–2020-JUS/DGTAIPD aprobada por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos, el empleador no necesitará del consentimiento del trabajador para captar y/o tratar sus datos a través de sistemas de videovigilancia para el control o supervisión de la prestación laboral, debiendo tan solo informar a sus trabajadores de la existencia de dichos controles a través de carteles o avisos informativos.
No queremos dejar de señalar que, sin perjuicio de las demás obligaciones que se derivan de la LPDP y su Reglamento, el empleador deberá registrar el banco de datos de sus trabajadores en el Registro Nacional de Protección de Datos Personales, que es un registro de carácter administrativo a cargo de la Autoridad Nacional de Protección de Datos Personales, bajo sanción de multa.