Privacidad de los empleados: Qué datos no tienen derecho a obtener los empresarios

En nuestra era digital, la información es el valor supremo. Algoritmos elaborados e invisibles siguen cada uno de nuestros clics en Internet para construir nuestro retrato detallado con vistas a la publicidad selectiva. Las redes sociales saben y pueden decir de nosotros más de lo que nos sentimos cómodos admitiendo. Incluso nuestros jefes pueden rastrear todo lo que hacemos dentro de la oficina, y a veces también fuera de ella.

En 2022, un contable estadounidense perdió su trabajo tras participar en la World Naked Bike Ride. Su afición no tenía nada que ver con su carrera: no trabajaba mientras pedaleaba y no publicó fotos suyas en Internet. Aun así, su jefe decidió despedirle tras ver una cara conocida en la imagen publicada por otro participante.

Este caso no es único. Las empresas pueden recopilar gran cantidad de datos sobre sus empleados, desde datos básicos de contacto y experiencia laboral pasada hasta información sobre salud y opiniones políticas. Recopilar datos esenciales es necesario para las nóminas, la gestión del rendimiento u otros fines empresariales legítimos. Recopilar otra información personal y tomar decisiones de gestión basadas en ella es ilegal y poco ético, pero ¿dónde está el límite?

Este artículo intenta trazar esta línea y profundizar en la cuestión crítica de qué datos no tienen derecho a obtener los empresarios. En última instancia, nuestro objetivo es ofrecer un punto de partida para comprender los límites que los empresarios deben respetar a la hora de recabar datos de los empleados.

Los límites de los datos que puede recopilar un empresario vienen dictados por la legislación laboral y de protección de la intimidad. Sin embargo, estas leyes pueden variar significativamente en todo el mundo. En este artículo, exploraremos brevemente sólo algunas jurisdicciones clave. Para conocer las peculiaridades legales de su zona, le recomendamos que consulte a su abogado.

Cabe señalar que la mayoría de las leyes de privacidad no cubren específicamente la recopilación de datos en el lugar de trabajo. En su lugar, establecen requisitos generales para el tratamiento de datos personales, que deben interpretarse posteriormente para las relaciones entre empresario y empleado. A efectos de este artículo, describiremos estas leyes utilizando los términos "empresario" y "empleado".

• Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) es la ley clave que protege la información sanitaria de los empleados. Restringe el acceso de las empresas a los historiales médicos de los empleados y establece que sólo pueden utilizarse y divulgarse con fines específicos y con la autorización del paciente.

• Ley de Estadounidenses con Discapacidades (ADA) protege de la discriminación a las personas con discapacidad. Esta ley también restringe el acceso del empresario a la información médica del empleado. En concreto, la empresa sólo puede obtener información médica si está relacionada con el trabajo o si el empleado necesita adaptaciones específicas para su discapacidad.

• Ley de Información Crediticia Equitativa (FCRA) regula el modo en que las empresas recopilan, utilizan y divulgan la información crediticia de sus empleados. Por lo general, los empleadores necesitan un propósito permisible (como una verificación de antecedentes) y el consentimiento por escrito del empleado antes de obtener información crediticia.

• Ley Nacional de Relaciones Laborales (NLRA) protege, en particular, el derecho de los trabajadores a hablar entre sí sobre sus condiciones de trabajo, incluso a través de las redes sociales. Sin embargo, no garantiza la total privacidad en las redes sociales, y los empresarios pueden tener cierto margen para sancionar a los empleados que publiquen mensajes que se consideren perturbadores o amenazadores para el lugar de trabajo.

• Ley de Privacidad de 1974: Esta ley se aplica principalmente a la forma en que las agencias federales manejan la información personal, pero ofrece algunas ideas. Establece principios como las "prácticas de información justas", que obligan a los organismos a ser transparentes sobre la recogida de datos y a limitar su uso a fines legítimos.

Éstas son sólo algunas de las principales normas relativas a la protección de datos. Además, existen algunas leyes estatales, como la Ley de Privacidad del Consumidor de California (CCPA), que otorgan a los empleados ciertos derechos en relación con la recopilación de sus datos personales por parte de las empresas.

El Reglamento General de Protección de Datos, o RGPD, es la principal normativa que regula la protección de datos y la privacidad en la UE. Establece un listón muy alto para los derechos de privacidad, limitando el alcance de los datos que los empleadores pueden recopilar y dando a los empleados un control significativo sobre sus datos recopilados por los empleadores.

Aunque el RGPD no establece claramente qué datos personales pueden recogerse y cuáles no, obliga a los empresarios a respetar los principios de transparencia y necesidad. En otras palabras, deben tener una base jurídica válida para recopilar cada tipo de información, por ejemplo, necesidad contractual, seguridad en el lugar de trabajo o evaluaciones de rendimiento. Además, los empresarios deben ser abiertos con los empleados sobre qué datos se recogen, cómo se utilizan y cuánto tiempo se almacenan.

El RGPD exige a los empresarios que apliquen medidas técnicas y organizativas adecuadas para proteger los datos de los empleados contra el acceso, la divulgación, la alteración o la destrucción no autorizados.

En caso de una violación de datos que suponga un alto riesgo para los derechos y libertades de los trabajadores, los empresarios deben notificarlo a la autoridad de protección de datos pertinente y a las personas potencialmente afectadas.

La Lei Geral de Proteção de Dados (LGPD) de Brasil es una reciente ley integral de privacidad que sigue el modelo del GDPR y que entrará en vigor en 2020.

Al igual que el GDPR, la LGPD no indica los datos de los empleados que los empleadores no pueden recopilar. Sin embargo, establece un marco sobre cómo los empleadores deben recopilar, utilizar y almacenar la información personal de los empleados. Los empresarios están obligados a obtener el consentimiento de los empleados para recopilar sus datos. Sólo pueden recoger los datos estrictamente necesarios para cumplir el contrato de trabajo, garantizar la seguridad del lugar de trabajo, investigar conductas indebidas u otros fines empresariales legítimos. Deben asegurarse de que los datos recogidos se almacenan de forma segura y se protegen de accesos no autorizados, divulgación, alteración o destrucción. Por último, en caso de que se produzca una violación de datos que suponga un alto riesgo para los derechos y libertades de los empleados, los empresarios deben notificarlo a la Autoridad Nacional de Protección de Datos (ANPD) y a las personas potencialmente afectadas.

En China, los datos personales están protegidos por la Ley de Protección de la Información Personal (PIPL). La PIPL define "información personal" en sentido amplio como cualquier dato que pueda identificar a una persona, ya sea por sí solo o combinado con otra información. Esta información incluye datos de empleados como nombre, información de contacto, historial laboral, evaluaciones de rendimiento y registros médicos (con restricciones adicionales).

Según la PIPL, los empleadores sólo pueden recoger y procesar datos de los empleados tras recibir su consentimiento. La ley también permite otros fundamentos jurídicos, como la necesidad contractual, el cumplimiento de obligaciones legales (casos en los que la recogida de datos es exigida por la legislación china) y los intereses legítimos.

Al igual que el GDPR y la LGPD, la PIPL obliga a los empleadores a ser transparentes sobre las prácticas de recopilación de datos, en particular, proporcionando una política de privacidad clara y accesible e implementando medidas de seguridad razonables para proteger los datos de los empleados contra el acceso no autorizado, la divulgación, la alteración o la destrucción.

La normativa descrita da aparentemente libertad a los empresarios para recabar casi cualquier dato personal siempre que puedan explicarlo con fines empresariales. Sin embargo, en la práctica no es así.

Los empresarios no tienen derecho a recabar determinados datos sin una justificación legítima y el consentimiento del empleado. Estos datos suelen pertenecer a las siguientes categorías:

Por datos sensibles se entiende la información personal que puede utilizarse para discriminar a una persona o revelar aspectos privados de su vida. Estos datos incluyen, entre otros, la raza y la etnia, la religión, las creencias filosóficas, la orientación sexual, la identidad de género y las opiniones políticas.

Recopilar y utilizar estos datos puede dar lugar a discriminación en la contratación, los ascensos u otras decisiones de gestión. También puede crear un entorno de trabajo incómodo u hostil para los empleados.

Muchas jurisdicciones restringen el acceso de las empresas a la información sanitaria de los empleados. Sin embargo, hay algunas excepciones:

• El trabajador da su consentimiento por escrito.

• La información es necesaria para administrar un plan de salud o por razones de seguridad en el trabajo (por ejemplo, evaluaciones de aptitud para el trabajo o la organización de adaptaciones especiales para la discapacidad).

• La divulgación es exigida por la ley (por ejemplo, reclamaciones de indemnización laboral o solicitudes de excedencia).

No hay ninguna razón legítima para que los empresarios recopilen datos financieros exhaustivos sobre los empleados, más allá de la información básica a efectos de nóminas e impuestos. Los datos prohibidos, en este caso, incluyen detalles de cuentas bancarias, puntuaciones de crédito y participaciones en inversiones.

Aunque los empleadores pueden tener un interés legítimo en vigilar la conducta de los empleados, no pueden extender su vigilancia a las cuentas personales en las redes sociales. Por ejemplo, las empresas no pueden exigir a sus empleados que se hagan amigos suyos en las redes sociales o que accedan a cuentas privadas, porque los empleados tienen derecho a la privacidad en el uso de las redes sociales.

El derecho a la intimidad del trabajador le protege de la vigilancia del empresario durante su tiempo libre. Por lo general, la vigilancia del empresario se limita al horario laboral y a las actividades relacionadas con el trabajo. La recopilación de datos sobre las actividades de los empleados fuera del trabajo está restringida en la mayoría de las jurisdicciones, a menos que exista una justificación empresarial legítima y no viole los derechos de privacidad.

Según la Harvard Business Review, El 67,6% de las empresas norteamericanas con más de 500 empleados realizan un seguimiento de la actividad laboral de los empleados con un software especial. Otra investigación resumida por WifiTalents afirma que casi el 96% de las organizaciones encuestadas utilizan algún tipo de tecnología de supervisión de los empleados.

Por su naturaleza, el software de supervisión de empleados puede recopilar gran cantidad de datos sobre los empleados. Sus funciones más comunes incluyen la supervisión del correo electrónico, la supervisión de la actividad en Internet, la grabación de pantallas, el seguimiento del uso de aplicaciones e incluso la vigilancia por vídeo y sonido. La supervisión de empleados persigue objetivos nobles, como garantizar una comunicación empresarial adecuada, prevenir amenazas a la seguridad y mejorar la productividad. Sin embargo, en ocasiones puede recopilar datos personales fuera de los límites si no se aplica teniendo en cuenta consideraciones legales y éticas.

La legalidad de las prácticas de supervisión de los empleados puede variar en función del lugar. Algunas normativas, como el GDPR, dictan derechos de privacidad de los empleados más estrictos, lo que limita el alcance de la supervisión permitida. Por ello, los empresarios deben estudiar y comprender la legislación aplicable en su zona antes de implantar cualquier tipo de supervisión de los empleados.

Desde un punto de vista ético, los principios de transparencia, proporcionalidad y justificación deben guiar el uso del software de supervisión de empleados. Los empleadores deben limitar la recopilación de datos a los aspectos estrictamente necesarios y equilibrar la recopilación de datos con los derechos de privacidad de los empleados. La mejor manera de hacerlo es elegir soluciones de supervisión de empleados adaptables que puedan ajustarse fácilmente para evitar la recopilación de datos excesivos.

En este caso, puede desactivar las funciones de seguimiento innecesarias para evitar recopilar datos excesivos y cumplir la normativa aplicable.

Considere también programas de vigilancia que permitan a los empleados iniciar y detener la vigilancia manualmente. Esta opción permite a los empleados proteger los datos que no quieren que se graben. Será especialmente útil para empleados remotos o que utilizan dispositivos personales para trabajar.

Comprender los derechos de privacidad es vital no sólo para los empresarios, sino también para los empleados. Les permite tomar el control de sus datos personales en todas las esferas de su vida, incluido el lugar de trabajo. Los derechos específicos concedidos a los empleados y las leyes pertinentes variarán en función de su ubicación. Por ejemplo, el GDPR, la LGPD y la PIPL conceden a los empleados varios derechos importantes en relación con sus datos:

El derecho de acceso: Los trabajadores pueden solicitar el acceso a sus datos personales en poder de la empresa.

Derecho de rectificación: Los empleados pueden solicitar correcciones de datos inexactos o incompletos.

El derecho al borrado (también conocido como "derecho al olvido"): En determinadas circunstancias, los empleados pueden solicitar la supresión de sus datos personales.

Derecho a restringir el tratamiento: Los empleados pueden restringir el uso que se hace de sus datos.

Derecho a la portabilidad de los datos: Los empleados pueden solicitar recibir sus datos personales en un formato estructurado y de uso común y transferirlos a otro empleador (si es técnicamente factible).

Es importante señalar que se trata sólo de ejemplos generales. Animamos a los empleados a consultar con recursos jurídicos o profesionales de la privacidad para conocer sus derechos específicos en materia de privacidad de datos en el lugar de trabajo.

La era digital ha difuminado las fronteras entre el trabajo y la vida personal. Los empleadores pueden recopilar y acceder a una gran cantidad de datos de los empleados, lo que plantea cuestiones críticas sobre la privacidad y los límites éticos. Los intereses empresariales legítimos de los empleadores, como la seguridad, la productividad y el cumplimiento de la legislación, no deben cruzar la línea entre la necesidad y la vida privada de los empleados. Las empresas deben comprender los límites legales y equilibrar sus intereses con el respeto a los derechos de los empleados.

En el caso de las empresas, recomendamos consultar con un asesor jurídico para asegurarse de que sus prácticas de recopilación de datos cumplen la legislación pertinente. Considere la posibilidad de aplicar políticas de privacidad claras y accesibles que describan los tipos de datos que recopila, cómo se utilizan y los derechos de los empleados en relación con sus datos.

Para los empleados, aconsejamos familiarizarse con sus derechos de privacidad de datos en el lugar de trabajo. Muchas jurisdicciones conceden a los empleados derechos de acceso, rectificación e incluso supresión de sus datos personales. No dudes en buscar asesoramiento jurídico o consultar a profesionales de la privacidad si te preocupa que tu empresa recopile tus datos.