Existe la película el Círculo (2017), una trama de ciencia ficción que ilustra cómo una de las empresas de Internet más influyente del mundo pedía a sus empleados/as más transparencia. Para ello, les instaba a compartir sin filtros su vida personal y privada con cualquier usuario/a de la aplicación en cuestión (incluidos jefes y compañeras/os) mediante una cámara siempre activa y una constante actividad en redes sociales. Por si fuera poco, dicha entidad ofrecía a sus empleados/as una monitorización constante de sus señales vitales, gracias a una pulsera que registraba cualquier variación corporal y anímica. De esta forma, bajo el lema de que “los secretos son mentiras” y “el conocimiento es un derecho humano básico”, la empresa lograba un control casi absoluto de las acciones y emociones de su personal. En el fondo, esta película futurista nos invita a reflexionar sobre el poder de la información, al igual que ya hacía Francis Bacon al afirmar que en todas las épocas los datos y la información son poder, pero también constituyen una amenaza (Capítulo Español de Internet Society, 2021).
Y es que, aunque parece claro que las empresas y entidades públicas precisan tratar algunos datos de las personas empleadas con el fin de cumplir con sus deberes y responsabilidades laborales, también sigue siendo necesaria la aclaración de su alcance en el ámbito laboral, pese a la normativa vigente desde hace ya algunos años (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y Ley Orgánica 3/2018, 5 diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales). Es con este objetivo que se ha publicado recientemente la nueva Guía Laboral de Protección de Datos aprobada en mayo de 2021 por la Agencia Española de Protección de Datos.
La nueva guía presenta cierto contenido novedoso respecto de su versión originaria en 2009 (de hecho su nueva extensión ha pasado de 50 a 80 páginas), al tiempo que refuerza la idea de que el argumento jurídico principal del tratamiento de datos de las personas empleadas es la ejecución del contrato de trabajo y no su consentimiento. Ello se explica en el hecho de que el consentimiento del afectado no es válido en tanto en cuanto se proporciona en un contexto de «desequilibro claro entre el interesado y el responsable del tratamiento» como sucede en la relación de trabajo. En principio, la inclusión de cláusulas informativas de protección de datos en el contrato de trabajo, o en un anexo al mismo, es un medio adecuado para cumplir con el derecho de información de las personas trabajadoras (pp. 8 y 11 de la Guía).
A su vez, junto con el contrato de trabajo, aparece el interés legítimo del empresario que éste puede alegar para tratar datos en la empresa que, en todo caso, deben estar justificados y no dependen del consentimiento de la persona empleada. Sirva de ejemplo las evaluaciones y apreciaciones que hagan referencia a personas concretas que, por cierto, son datos de carácter personal. El abono de un complemento de productividad y la publicación de los datos de rendimiento para dotar de transparencia al proceso y motivar a las personas trabajadoras a obtener mejores resultados podría constituir un interés legítimo.
En relación con los datos de las personas empleadas, la Guía establece tres categorías distintas: i) Datos personales cuya revelación es obligatoria para el trabajador/a; ii) Datos personales sobre los que no hay obligación de revelación para el candidato/a o empleado/a; iii) Datos que habrá que valorar en cada caso, si son necesarios a los efectos laborales, entre ellos los datos de contacto del trabajador/a y su nombre de usuario en las redes sociales. En el siguiente cuadro se describen algunos ejemplos de las tres familias de datos:
| Datos personales obligatorios | Datos personales sobre los que no hay obligación | Datos personales cuya pertinencia habrá que valorar en cada caso |
| Nombre y apellidos | Afiliación sindical | Domicilio |
| Sexo | Ideología política | |
| DNI, nº de identificación en el extranjero y nº de afiliación a la Seguridad Social | Creencias religiosas | Número de teléfono |
| Nacionalidad | Orientación sexual | Número de cuenta bancaria |
| Discapacidad | (…) | Nombre de usuario en redes sociales, servicios de mensajería o portales de Internet |
| Fecha de nacimiento | (…) | (…) |
Conviene aclarar que se formulan como listas abiertas que pueden ser ampliadas si pensamos en otros datos de carácter personal como, por ejemplo, el estado civil, número de hijos/as, situación de embarazo, patologías previas, antecedentes penales analizados en este Blog, etc.
En cualquier caso, constituye infracción administrativa muy grave «solicitar datos de carácter personal en los procesos de selección o establecer condiciones, mediante la publicidad, difusión o por cualquier otro medio, que constituyan discriminaciones para el acceso al empleo por motivos de sexo, origen, incluido el racial o étnico, edad, estado civil, discapacidad, religión o convicciones, opinión política, orientación sexual, afiliación sindical, condición social y lengua dentro del Estado» (artículo 16.1.c) TRLISOS).
Asimismo, el hecho de que un/a candidato/a haya publicado información personal en sus redes sociales, no significa que su privacidad pueda ser vulnerada en un proceso selectivo. Así, se dice en la Guía: aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida. En todo caso, la persona trabajadora tiene derecho a ser informada sobre ese tratamiento. En la misma línea, la empresa no está legitimada para solicitar amistad a las personas candidatas para que éstas, por otros medios, proporcionen acceso a los contenidos de sus perfiles.
Con ciertas cautelas y garantías se admiten en las Guía las decisiones automatizadas y el uso de algoritmos por las empresas tanto en los procesos de selección de personal como durante la relación laboral (ascensos, renovación o extinción de contratos). Por ejemplo, se permite la decisión automatizada en procesos de selección con numerosos candidatos para realizar una primera criba excluyendo a quienes incumplen alguna condición o requisito esencial, como la ausencia de titulación. Lo que no se admite es el resultado discriminatorio. Sería el caso de la contratación de un número significativamente mayor de hombres que de mujeres.
En consecuencia, cuando el resultado de la decisión vulnere derechos fundamentales, el diseño del algoritmo debe ser modificado, y dicho procedimiento debe contemplar ciertos mecanismos de intervención humana si la persona afectada así lo solicita, además de un cauce para que esta persona exprese su opinión y, en su caso, impugne la decisión. Asimismo, tendrá derecho a recibir una explicación de la decisión tomada después de tal evaluación. Y para ser considerada como intervención humana, el responsable del tratamiento debe garantizar que cualquier supervisión de la decisión sea significativa, en vez de ser únicamente un gesto simbólico. De forma que debe llevarse a cabo por parte de una persona autorizada y competente para modificar la decisión. Además, en el diseño e implementación del algoritmo deberá realizarse una evaluación de impacto (pp. 24 y 27 de la Guía).
En la Guía también se mencionan tratamientos de datos prohibidos para las empresas tales como:
- La videovigilancia: no puede utilizarse en combinación con otras tecnologías, como puede ser el reconocimiento facial, porque en tal caso el control resulta desproporcionado. Precisamente, el tema del reconocimiento facial fue desarrollado en una entrada previa.
- No son admisibles los test genéticos a una persona trabajadora o candidata a un empleo.
- Se prohíbe la monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, ya que no se enmarca en la vigilancia de la salud propia de la prevención de riesgos laborales. De hecho, supone el tratamiento de una categoría especial de datos (salud) sin una base jurídica. Vid. pág. 25, 52 y 74-75 de la Guía.
Por último resaltar que pese a que la Guía no es vinculante, deja patente que, aunque la tecnología permite hacer a la persona empleada más transparente, dicha transparencia no es un requisito contractual. Por lo tanto, las empresas y entidades públicas deben realizar un uso razonable, finalista y limitado de los datos de carácter personal de las personas candidatas y empleadas.
