Tal como explicamos en la primera parte de este artículo el tratamiento de los datos personales de los trabajadores puede suponer uno de los mayores riesgos para el cumplimiento de la normativa de protección de datos por parte de cualquier empresa u organización, debido a la gran cantidad de datos personales de este tipo a los que tendrá acceso, lo cual requerirá, por consiguiente, tomar todas aquellas medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de dichos datos de los que la Empresa es responsable de tratamiento.
Para empezar, es imprescindible que la Empresa facilite a sus trabajadores una nota informativa en la que ponga a su disposición la política de privacidad de la Empresa detallando qué datos personales dispone, qué uso va a hacer de ellos, es decir, cuáles son los tratamientos que como empleador realizará, con qué finalidad, qué legitimación cuenta para llevar a cabo cada uno de dichos tratamientos, así como que les informe de cuáles son sus derechos al respecto.
Aunque, como norma general, el tratamiento de los datos personales de los trabajadores estará legitimado por la propia relación laboral o, por el cumplimiento de las obligaciones legales que se generen, puede haber tratamientos de datos personales de los trabajadores que requieran del consentimiento expreso de éstos. Por ejemplo, en el caso de que la Empresa pretenda publicar el nombre o, la fotografía de sus trabajadores requerirá del consentimiento expreso de estos porque estaríamos ante un tratamiento de datos personales no estrictamente necesario para el cumplimiento de la relación laboral que no viene legitimado por la existencia de la propia relación laboral y, en definitiva, requiere de una legitimación adicional que es el citado consentimiento expreso de los trabajadores afectados.
Por otro lado, es necesario entender que no hay cumplimiento normativo de la Empresa sin cumplimiento de todos sus trabajadores puesto que, en la práctica, son lo que tratarán todos los datos personales que sean responsabilidad de aquélla y de nada serviría que los protocolos de cumplimiento que se establezcan sólo sean conocidos por la Dirección o por quien sea designado como responsable de la gestión de cumplimiento de la normativa de protección de datos.
Por tanto, la Empresa u Organización deberá tomar cuantas medidas organizativas sean necesarias para asegurar que sus trabajadores cumplan con la normativa de protección de datos en el ejercicio de sus funciones. Para ello todas las medidas de seguridad técnicas u organizativas que tome la Empresa deberán ser compartidas con los trabajadores que se vean afectados en el tratamiento de los datos personales dentro de sus respectivas parcelas de responsabilidad.
La primera medida de seguridad técnica y organizativa que debe tomar cualquier Organización debe estar orientada a que los trabajadores sólo puedan tener acceso a aquellos datos personales, ya sean de clientes, de proveedores, de terceros o, de sus propios compañeros, que sean estrictamente necesarios para el cumplimento de sus funciones.
En este sentido, una medida que será, casi siempre, imprescindible será el establecimiento de parcelas de responsabilidad y control de accesos a datos personales por personas o departamentos, asegurando así que ningún trabajador tenga acceso a datos personales que estén fuera del ámbito de sus funciones. La empresa deberá ser, en este sentido, lo más restrictiva posible en aplicación del principio de minimización en el tratamiento de datos personales establecido en la vigente normativa de protección de datos. Tratar la menor cantidad de datos posible durante el menor tiempo posible y únicamente cuando y por quien sea imprescindible.
También será necesario que los trabajadores conozcan los límites en cuanto a la cesión, a terceros, de datos personales a los que tengan acceso para evitar incurrir en cesiones que no sean legítimas.
No debe descuidar la Empresa poner en conocimiento de sus trabajadores las normas relativas al tratamiento de Currículums que puedan recibir de terceros, así como los protocolos para la destrucción de documentación confidencial o que contengan datos personales, así como establecer los medios para garantizar que dicha destrucción de documentación asegura que no se conservará dicha información, más tiempo del legamente permitido.
Por último, otra de las medidas organizativas imprescindibles que debe procurar la Empresa es la formación y sensibilización de sus trabajadores en materia de cumplimiento de la normativa de protección de datos. De poco sirve que una Empresa adopte protocolos de cumplimiento de la normativa de protección de datos si su personal no está debidamente formado y sensibilizado en la materia.
Por tanto, es necesario que la Empresa haga un esfuerzo en cuanto a la sensibilización y formación de sus trabajadores en materia de protección de datos para asegurar que todos ellos asimilen los protocolos y medidas de seguridad que se adopten y lo que supone el cumplimiento de la normativa de protección de datos dentro sus respectivas parcelas de responsabilidad para que, en definitiva, se pueda lograr un cumplimiento efectivo e integral en la Empresa de dicha normativa.
No dude en consultarnos sobre cualquiera de estos asuntos, estaremos encantados de ayudarle a asegurar el cumplimiento de la normativa de protección de datos en su organización.