El desarrollo de nuevas tecnologías que facilitan el tratamiento de una mayor cantidad de datos personales de los postulantes a un puesto laboral como de los propios trabajadores, plantea una serie de interrogantes que deben ser resueltas de acuerdo con las obligaciones dispuestas en La Ley N° 29733, Ley de Protección de Datos Personales (en adelante, LPDP).
Lo dicho justifica la necesidad de realizar un análisis de los aspectos que, dentro del ámbito de las relaciones de trabajo, se vinculan con el tratamiento de los datos personales; teniendo en cuenta que la cantidad y diversidad de datos tratados es considerable y que no sólo involucra al empleador y trabajador, sino a otros sujetos que tienen acceso a dicha información.
I. La obligación de recabar el consentimiento
Respecto de la obligación de recabar el consentimiento, es preciso indicar que los datos personales recopilados dentro del marco de la relación laboral, necesarios para la ejecución de la misma, están exceptuados del consentimiento del trabajador, conforme a lo previsto en el numeral 5 del artículo 14 de la LPDP[1]. Dicha excepción también se extiende a las transferencias de datos personales que la empresa realiza en el marco de la relación laboral; así, por ejemplo, las comunicaciones de información que se realizan a la SUNAFIL, SUNAT, AFP, SEGUROS (cuando sean de exigencia legal), etc.
Para el caso de los datos personales facilitados por los postulantes, se debe indicar que, basándose en la actuación, cuando el interesado se dirige directamente a la empresa que le interesa, puede entenderse como una forma de expresar su consentimiento[2]. Lo dicho se corresponde con lo dispuesto en el numeral 3 del artículo 12 del Reglamento de la LPDP, el cual considera que el consentimiento es expreso cuando se manifieste mediante una conducta del titular que evidencia que ha consentido, pues de lo contrario su conducta hubiera sido otra.
Ahora bien, debe precisarse que existen situaciones específicas en las que el empleador trata los datos personales para fines que no se encuentran vinculados con el proceso de selección o la relación laboral. Al respecto, las organizaciones, erróneamente, han considerado que el hecho de utilizar formas genéricas y ambiguas ya los exonera de recabar el consentimiento del trabajador. Es decir, se ha buscado atar las finalidades principales con las accesorias, lo que en definitiva supone una contravención a la normativa de protección de datos.
A manera de ejemplo, se puede hacer referencia a una práctica común que ha sido adoptada por algunas organizaciones (sobre todo aquellas que se encuentran en el rubro de venta directa), las cuales desarrollan sitios Web de captación de postulantes a través de los que se recopilan datos personales que son utilizados para fines no vinculados con el reclutamiento de personal, tales como la prospección y publicidad comercial. Sin embargo, no significa que la práctica comentada se encuentra prohibida, el problema se centra principalmente en la forma en cómo se realiza; el error radica en pretender que con la incorporación de las finalidades accesorias en la política de privacidad, y con la aceptación de las mismas, se estaría recabando el consentimiento del titular para dichos tratamientos. La práctica correcta consiste en que se pueda habilitar casillas, o formas alternativas, para que expresamente el titular de los datos pueda oponerse a ello.
En ese orden de ideas, el empleador, ya sea a través de medios físicos o virtuales, tendrá que desarrollar mecanismos que permitan al postulante o al trabajador oponerse a los tratamientos de datos personales que no se encuentren vinculados con las finalidades que motivaron la recopilación de sus datos. Respecto de la obligación de contar con el consentimiento[3], se debe precisar que éste deberá recabarse de manera previa, inequívoca, libre, expresa cuando los datos personales sean tratados para finalidades distintas al proceso de reclutamiento de personal[4].
II. La obligación de informar
1. Durante el proceso de selección de personal
La selección de personal a puestos de trabajo, involucra la recepción de los datos personales que los postulantes hacen llegar al potencial empleador con la finalidad de evaluar su incorporación o no en una organización. El principal problema que se identifica en dicho proceso es la falta de implementación de medios adecuados para informarle al postulante sobre todo los aspectos vinculados al tratamiento de sus datos, lo que supone una vulneración a uno de los derechos del titular de los datos: el derecho a la información.
No basta con que se informe de manera genérica sobre la finalidad del proceso, sino que además de ello deberá darse a conocer, por ejemplo, si en dicho procedimiento intervendrán terceros que directa o indirectamente podrán acceder a los datos personales del postulante. Esta omisión se presenta de manera constante dentro los procesos de selección de personal, sobre todo cuando una parte del mismo (captación de postulante y la formación capacitación) se encuentra a cargo de un proveedor que lo realiza por cuenta y a nombre del posible empleador.
Tampoco se suele informar al postulante sobre los términos en los que interviene la empresa que capta y/o forma a los postulantes, ni se comunica los límites y alcances del tratamiento de datos que se realizará; dicho escenario coloca en una situación de desprotección al titular de los datos personales en la medida que dicha información limitará el ejercicio de sus derechos.
2. En la relación laboral debidamente formalizada
Los datos personales que son facilitados en la etapa de contratación no son iguales, ni en cantidad ni en calidad, a los que en su momento se aportaron en el proceso de selección, tampoco su tratamiento responde a la misma finalidad; es por ello que se debe diferenciar entre el tratamiento realizado durante el proceso de selección de aquel que se ejecuta a propósito de la contratación del trabajador.
Los datos personales que el trabajador facilita desde el inicio hasta el fin de su relación laboral, son tratados no solo para la ejecución de la misma, sino también para dar cumplimiento a determinadas obligaciones legales que le son exigibles al empleador. En ese sentido, existen determinados usos y fines que se le pueden dar a los datos personales del trabajador, por lo que resulta indispensable que el empleador desarrolle los medios necesarios para que el trabajador pueda conocer los términos en los cuales sus datos personales serán tratados, lo que le permitirá, además, saber en qué momento podrá ejercer y solicitarle el cumplimiento de sus derechos.
Lo que se cuestiona, de manera similar a lo que sucede durante el proceso de selección de personal, es la utilización de formas genéricas y poco precisas que impiden al trabajador conocer, detalladamente, todos los aspectos referidos al tratamiento de sus datos personales.
Antes de la entrada en vigencia de la LPDP, las entidades que trataban datos personales no tenían la obligación de informar a los trabajadores sobre todos los aspectos vinculados al uso de sus datos personales, por ello, ni los formularios mediante los que recopilaba información o los contratos a través de los que materializaba la relación contractual, contaban con cláusulas especificas destinadas a informar al titular sobre el uso de sus datos personales.
En la actualidad, respecto de lo comentado, se presentan dos situaciones en concreto: i) incumplimiento del deber de información o ii) cumplimiento deficiente; siendo este último supuesto el común denominador. Entre las cuestiones más recurrentes se encuentra la falta de información sobre la realización de transferencias internacionales de datos personales, o también conocida como flujo transfronterizo, por parte del empleador.
En ese sentido, además de ocuparse de encontrar el medio adecuado para informar, el empleador también deberá cumplir con precisar, de manera detallada y exacta, todos los aspectos que se encuentran descritos en el artículo 18 de la LPDP. Por ello, y conforme lo dispone el citado artículo, el sujeto que realiza el tratamiento de los datos personales tiene el deber de informar sobre todos los aspectos vinculados al tratamiento de los datos. En consecuencia, cuando la empresa proceda con la incorporación de un nuevo trabajador, tiene la obligación de comunicarle, con carácter previo a la inclusión de sus datos personales a un banco de datos, sobre todos los aspectos vinculados al tratamiento de sus datos personales.
3. ¿Qué se debe informar?
El empleador, durante el proceso de selección de personal y con la formalización de la relación laboral, tendrá con cumplir con el deber de información regulado en el artículo 18 de la Ley N° 29733 – Ley de Protección de Datos Personales, en virtud del cual, de manera detallada, sencilla, expresa, inequívoca y previa, tendrá que informar al titular de los datos sobre los siguientes aspectos:
- La finalidad para la que sus datos personales serán tratados;
- Quiénes son o pueden ser sus destinatarios,
- La existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales;
- El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles;
- La transferencia de los datos personales;
- Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo;
- El tiempo durante el cual se conserven sus datos personales;
- y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.
El deber de información se constituye como un presupuesto previo para que el postulante o trabajador, en su calidad de titular de datos personales, pueda ejercer la mayor parte de las facultades que la normativa de protección de datos personales ha previsto como garantía para el propio derecho.
En ese sentido, independientemente de la forma o del soporte que se utilice para recopilar los datos personales, es necesario que el empleador cumpla con todos los requisitos que se han detallado con la finalidad de adecuar el tratamiento de los datos personales a las disposiciones legales.
III. ¿Qué obligación le corresponde al trabajador respecto del tratamiento de datos personales?
Mediante la relación laboral, la persona incorporada al servicio del empleador también puede realizar un tratamiento de datos personales en el desempeño de sus funciones. Debido a ello, existe un riesgo alto de fuga de información que se puede generar por un incorrecto tratamiento de datos por parte del trabajador, quien de manera voluntaria puede obtener algún provecho de la transferencia de datos que pueda concretar.
De esta manera, resulta necesario establecer reglas que restrinjan dicho tratamiento, conforme lo ha previsto el artículo 17 de la LPDP[5], según el cual existe un deber de quienes intervengan en el tratamiento, de guardar la confidencialidad respecto de los datos personales que conozca. Estas reglas son el deber de secreto y la confidencialidad, las mismas que aseguran que los datos personales solo sean conocidos por el afectado o interesado y por aquellos usuarios de la organización cuyo perfil les atribuye competencia para usar, consultar, modificar o incluir los datos en los sistemas de información.
Las obligaciones referidas al deber de secreto y confidencialidad podrán ser estipuladas, mediante una cláusula específica, en el contrato de trabajo o en un acuerdo de confidencialidad de datos personales que será suscrito por el trabajador. Asimismo, en el reglamento interno de trabajo podrán establecerse reglas de confidencialidad en el tratamiento de datos personales por parte del trabajador, así como las sanciones que acarrearía el incumplimiento de las mismas.
Referencias
[1] Ley N° 29733 – Ley de Protección de Datos Personales
“Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:
(…)
Cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.
(…)”.
[2] ALMUZARA ALMAIDA, Cristina. Relaciones Laborales. EN: Estudio Práctico Sobre la Protección de Datos de Carácter Personal. Editorial Lex Nova: Valladolid, 2007, p. 233.
[3] Reglamento de la Ley N° 29733 – Ley de Protección de Datos Personales, aprobado por el Decreto Supremo N° 003-2013-JUS
“Artículo 7.- Principio de consentimiento
En atención al principio de consentimiento, el tratamiento de los datos personales es lícito cuando el titular del dato personal hubiere prestado su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste no sea expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa. Incluso el consentimiento prestado con otras declaraciones, deberá manifestarse en forma expresa y clara”.
[4] ALMUZARA ALMAIDA, Cristina. Op. Cit. p. 233.
[5] Ley N° 29733 – Ley de Protección de Datos Personales
“Artículo 17. Confidencialidad de datos personales
El titular del banco de datos personales, el encargado y quienes intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad respecto de los mismos y de sus antecedentes. Esta obligación subsiste aun después de finalizadas las relaciones con el titular del banco de datos personales.
El obligado puede ser relevado de la obligación de confidencialidad cuando medie consentimiento previo, informado, expreso e inequívoco del titular de los datos personales, resolución judicial consentida o ejecutoriada, o cuando medien razones fundadas relativas a la defensa nacional, seguridad pública o la sanidad pública, sin perjuicio del derecho a guardar el secreto profesional”.
