Con la entrada en vigor del Reglamento General de Protección de Datos europeo (RGPD) el pasado 25 de mayo, las empresas han de tener en cuenta los nuevos procedimientos en esta materia si no quieren afrontar las sanciones pertinentes.

Y es que con el nuevo Reglamento General de Protección de Datos ya en marcha, las empresas no sólo tienen que tener en cuenta la privacidad de sus clientes sino que también han de tener presente las directrices de protección de datos para sus empleados.

Esta nueva legislación conlleva modificaciones y cambios profundos en las condiciones de privacidad así como en la forma de gestionar los datos recopilados de cada uno de los empleados.

Con esta nueva normativa las empresas sólo podrán almacenar datos de sus empleados si están actualizados y tendrán que informarles de dónde, cómo y durante cuánto tiempo dispondrán de su información personal. Además tendrán que poner a disposición de sus trabajadores, de forma sencilla y accesible, una copia de toda la información personal y privada de la que disponen sobre el empleado si ésta es exigida por él.

Del mismo modo, el Reglamento General de Protección de Datos, contempla que los trabajadores a su vez, puedan usar su información personal cuando lo deseen, tengan acceso y potestad para obtener una copia de todos los datos personales que la empresa almacena sobre su persona y por supuesto, están en su derecho si demandan revisarlos e incluso pedir que se eliminen. La nueva normativa por lo tanto incluye los derechos de acceso, portabilidad, corrección, olvido y oposición de los datos personales. Es decir, el empleado puede ser mucho más activo y elegir cómo se administran y gestionan sus datos.

Como bien sabemos, una empresa genera continuamente datos personales a nivel interno, currículos, contratos, nóminas, etc. por lo que los procesos de almacenaje y archivo han debido ser revisados y modificados de acuerdo a este nuevo Reglamento General de Protección de Datos, sobre todo si hablamos de información especialmente sensible como la que maneja el departamento de RRHH o la derivada de la Prevención de Riesgos Laborales.

Y es que aunque es obvio que el departamento de RRHH administra y recoge continuamente datos personales de los empleados, algunos de los documentos que los técnicos de prevención de riesgos laborales manejan, son igualmente personales o contienen información privada y confidencial. Títulos de formación y certificados, entregas de documentación y EPIs a los trabajadores, expedientes médicos, investigaciones sobre accidentes laborales, evaluaciones de riesgos, etc. En este tipo de documentos es común encontrar el nombre y apellidos del empleado, su dirección y número de teléfono, edad, condiciones médicas, registros sanitarios e información bancaria, entre otros. La forma en la que se gestiona y almacena toda esta información con este nuevo reglamento implica y exige que se hayan producido importantes cambios.

Estos cambios se producirán en cuanto al consentimiento en la prevención de riesgos laborales así como en el acceso a los datos por parte de la empresa y de los responsables de la prevención de riesgos laborales.

Por ejemplo, con la llegada del Reglamento General de Protección de Datos las empresas, sólo pueden acceder a las conclusiones que proporcionen los técnicos de prevención de riesgos laborales tras los reconocimientos médicos de los empleados y sólo si estas están relacionadas con su aptitud para desempeñar su puesto de trabajo. De esta forma el departamento o la empresa de Prevención de riesgos laborales no podrá poner a disposición del empresario o a terceros información detallada, más allá de las ya mencionadas conclusiones.

Las sanciones por incumplimiento serán de dos tipos:

Hasta los 10 millones de euros (o el 2% del volumen de negocio total anual global de la empresa). Hasta los 20 millones de euros (o el 4% del volumen de negocio total global anual global de la empresa).

Llegados a este punto y una vez analicemos cuál es la situación actual de la empresa en materia de protección de datos, habrá que valorar el realizar un análisis de riesgos para identificar cuáles podrían ser los problemas o indicios de vulneración de derechos de privacidad y datos personales, qué impacto supondrían para la empresa y qué probabilidad existe de que ocurran para, tras una valoración, tomar las medidas que sean necesarias.