Uno de los puntos críticos que tienen la mayoría de las empresas respecto a posibles vulneraciones de la normativa de protección de datos es, el tratamiento de los datos personales de sus propios trabajadores.
Podemos partir de la máxima de que el nivel de riesgo de infracción por parte de cualquier empresa u organización es directamente proporcional a la cantidad de datos personales que trate. No obstante, no podemos perder de vista que tanta responsabilidad tendrá la empresa, en cuanto a la protección y tratamiento legítimo de los datos personales de terceros ajenos a la organización, como clientes, proveedores, etc. como en cuanto a los datos de sus propios trabajadores.
Vengo observando, desde hace años, que hay una impresión extendida en las empresas industriales y, en general, en todas aquellas cuyas relaciones comerciales se desarrollan íntegramente con otras empresas o personas jurídicas, que la exigencia en cuanto a tomar medidas dentro de su organización para el cumplimiento de la normativa de protección de datos, debe ser menor que si sus relaciones comerciales fueran con particulares o consumidores.
No hace falta decir que esto es un error porque, el cumplimiento de la normativa de protección de datos afecta, sin distinción, al tratamiento de datos personales ya sean de clientes, de trabajadores o de terceros. Por tanto, cualquier organización debe ser consciente de la necesidad de tomar medidas de cumplimiento en cuanto al tratamiento de los datos personales que se hagan en su organización, procedan estos de sus clientes, de sus trabajadores o de cualquier otra persona.
Pongamos un ejemplo, tan necesario y crítico es tomar medidas de cumplimiento de la normativa de protección de datos en una empresa de fabricación de componentes de automóvil, con una plantilla de 500 empleados y sin ningún cliente persona física, en tanto en cuanto trata datos personales de, al menos, 500 personas (sus propios trabajadores), como un pequeño negocio familiar de venta online de productos de alimentación con una cartera de unos 500 clientes. Esto no significa que las medidas a tomar por una y otra tengan que ser necesariamente las mismas, es más, lo más probable es que sean muy diferentes, debido a que, entre otras cosas, las posibilidades técnicas y económicas de una y otra, serán muy diferentes (de hecho, la vigente normativa ya prevé expresamente que no sea así). No obstante, lo que sí deberá ser similar será el grado de eficacia de las medidas que deben aplicar una u otra.
En cuanto al tratamiento de datos de los trabajadores, hay que tener en cuenta que la cantidad de datos personales que trata la empresa y, la sensibilidad de los mismos suele ser bastante mayor respecto a los referidos a terceros como pueden ser sus clientes. Pensemos que, respecto de los datos de clientes, si no se entra en aspectos de análisis de perfiles, comportamiento, etc, los datos personales que suele recoger una empresa se limitan a datos básicos de identificación, dirección, datos bancarios o de tarjeta de crédito, etc. En cambio, en lo referido a trabajadores, la cantidad y tipo de datos tratados por cualquier empresa suele ser mucho mayor puesto que, además de datos de identificación, se incluyen datos laborales y salariales, datos de formación, experiencia profesional, videovigilancia, incluso datos de contacto de familiares y, en su caso, otros como enfermedades, discapacidades, registro de huella digital, afiliación sindical, etc., etc.
Por tanto, para valorar el riesgo de incumplimiento de la normativa de protección de datos y, en consecuencia, adoptar las medidas que sean necesarias para minimizarlos, no hay que perder nunca la perspectiva de la cantidad de datos que se traten en la propia organización provengan estos de donde provengan, pero sin olvidar nunca la importancia y el grado de responsabilidad que tiene la organización respecto a los datos personales de sus trabajadores debido, como hemos visto, a la cantidad y características de los mismos.
Centrándonos en las medidas que se deben adoptar en la empresa para el cumplimiento de la normativa de protección de datos respecto de los datos de sus propios trabajadores, cobra especial relevancia lo relativo al cumplimiento del deber de información respecto al tratamiento de sus datos por parte de la empresa, las finalidades, las posibles cesiones a terceros, la base legal que legitima cada uno de los tratamientos, incluida la recogida del correspondiente consentimiento expreso cuando así se requiera, así como sus derechos y la forma de ejercerlos.
En definitiva, a la hora de pensar en cumplimiento de la normativa de protección de datos personales vale la pena empezar analizando qué tipos de datos y tratamientos se realizan respecto de los propios trabajadores, antes, incluso, de analizar lo relativo a datos personales de terceros. En este sentido, no debe sorprendernos que concluyamos que, en muchos casos, los mayores riesgos los encontremos “en casa”.
No dude en consultarnos sobre cualquiera de estos asuntos, estaremos encantados de ayudarle a asegurar el cumplimiento de la normativa de protección de datos en su organización.