La Agencia Española de Protección de Datos ha emitido un informe en relación con las bases que legitiman los distintos tratamientos de datos personales de los empleados que se han recogido en la RD-Ley 28/2020, de 22 de Septiembre, de trabajo a distancia (Ley del Teletrabajo)Vamos a ver que tratamientos se van a llevar a cabo y que debemos tener en cuenta en cada uno de ellos:

1- Tratamiento de datos llevado a cabo por la empresa para el control de la actividad laboral: En este caso la base legitimadora será el Art. 6.1.b) del RGPD “El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”.

El artículo 20.3 del Texto Refundido del Estatuto de los Trabajadores, aprobado por el RD-Legislativo 2/2015 de 23 de octubre, conforme al cual “El empresario podrá adoptar las medidas que estime oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad”.

Esto no implica que en el ámbito laboral quepa todo tratamiento de datos personales para el control por parte del empresario del cumplimiento de los deberes laborales del trabajador siempre deberá observarse el principio de proporcionalidad y cumplir con el deber de información previo.

Debe tenerse en cuenta que no cabe una monitorización del trabajador durante toda la jornada en el lugar de trabajo ya que esto supondría una medida intrusiva y probablemente desproporcionada en relación con la finalidad perseguida.

2- Tratamiento de datos necesario para garantizar la seguridad y salud de los trabajadores: Cumpliendo con la normativa de Prevención de Riesgos Laborales aunque el lugar de trabajo sea por ejemplo su domicilio particular. En este caso la base que legitima el tratamiento de los datos personales necesarios será el Art. 6.1.c) del RGPD “El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”.

Cuando la obtención de la información necesaria exija de una “visita presencial”, esta sólo se podrá realizar con el permiso del trabajador. De no concederse dicho permiso, el desarrollo de la actividad preventiva podrá llevarse a cabo a través de la información que se pueda recabar del empleado según las instrucciones del servicio de prevención.

3- Registro de jornada laboral: En este caso la base legitimadora será también el cumplimiento de una obligación legal, Art. 6.1.c) del RGPD

4- Tratamiento de datos relacionados con el control de acceso a redes, seguridad de los sistemas utilizados y de la información, etc.: En este caso la base legitimadora será el Art. 6.1.f) del RGPD “El tratamiento es necesario para la satisfacción de un interés legítimo perseguido por el responsable del tratamiento o por un tercero.

Las entidades deben aplicar y comunicar políticas de uso de los sistemas y de la información aceptable, junto con políticas de privacidad, que indiquen el uso que se debe hacer de la red y de los equipos de la organización y que detallen de forma rigurosa el tratamiento que se está llevando a cabo.

Es importante también destacar que en la copia del “Acuerdo de trabajo a distancia” que deberá firmarse con el trabajador y que se entregará a la Representación legal de los trabajadores se deberán excluir aquellos datos relativos al DNI/NIE, domicilio, estado civil o cualquier otro que no sea necesario para el ejercicio de su función de vigilancia y control.