Protección de datos de la UE Reglamento 2016/679 o GDPR establece las condiciones bajo las cuales los datos personales de los empleados pueden ser objeto de tratamiento. Para procesar datos personales de manera legal, se debe aplicar al menos un motivo bajo GDPR.
¿A quién se aplica el GDPR? El RGPD se aplica a las organizaciones establecidas en la UE (independientemente de si los datos personales que procesan son de los interesados o no). El RGPD también se aplica al procesamiento de datos personales por entidades no pertenecientes a la UE, donde dicho procesamiento se realiza en el contexto de ofrecer bienes o servicios a los interesados en la UE o en el contexto del monitoreo del comportamiento de los interesados en la UE.
¿Y qué son los datos personales? I T se define de manera muy amplia en el GDPR como cualquier información relativa a una persona física identificada o identificable. En la práctica, esto significa que la recopilación y revisión de datos casi siempre implicará el procesamiento de datos personales.
Algunos tipos de datos personales atraen una mayor protección, por ejemplo, datos personales que revelan el origen racial / étnico, opiniones políticas, creencias religiosas o filosóficas, u orientación sexual o de salud. Debido a las protecciones adicionales otorgadas a dichos datos, es recomendable minimizar la cantidad de este tipo de datos recopilados, aunque en la mayoría de los casos será difícil eliminar por completo la posibilidad de recopilar este tipo de datos.
¿Cuáles son los motivos para procesar legalmente los datos personales? A menos que se pueda argumentar que el procesamiento es necesario para cumplir con una ley de la UE o de un Estado miembro de la UE (por ejemplo, solicitudes obligatorias en las que el incumplimiento constituiría un delito), los motivos clave para el procesamiento de datos personales que son relevantes para las investigaciones tienden a ser: consentimiento; o que el procesamiento sea necesario para los intereses legítimos de la compañía, excepto cuando estos intereses sean anulados por los intereses o derechos del interesado.
Consentimiento. Confiar en el consentimiento de los empleados para procesar es considerablemente más difícil bajo el GDPR. El consentimiento no será válido a menos que sea:
- dado libremente (es decir, un producto de la libre elección genuina de un individuo; no un producto de un desequilibrio de poder entre la empresa y el individuo, lo cual es más difícil en un contexto laboral; independiente de cualquier contrato a cumplir; tan fácil de retirar como es dar)
- específico e informado (dado por separado para cada propósito; claramente distinguible de otros asuntos; independiente de un contrato de trabajo), y
- inequívoco (en lenguaje claro y claro; una acción afirmativa clara, por ejemplo, marcar una casilla).
En cualquier caso, desde una perspectiva del Reino Unido, la orientación de la Oficina del Comisionado de Información establece que debido al desequilibrio inherente de poder en una relación laboral, no se puede considerar que un empleador haya obtenido un consentimiento libre y válido. Esta es la posición adoptada en otros estados miembros también. Además, es probable que el requisito de obtener el consentimiento específico para cada propósito de uso singular impida tratar de confiar en el consentimiento en una investigación confidencial.
Como resultado, el procesamiento debe llevarse a cabo bajo un terreno diferente del GDPR cuando sea posible.
Interés legítimo. Además del consentimiento, la condición de interés legítimo suele ser la condición más relevante cuando se realizan investigaciones de los empleados. Cuando se busca confiar en esta condición, la empresa debe realizar y documentar una evaluación equilibrada de los intereses de la empresa en la recopilación, revisión y / o divulgación de los datos contra los intereses de privacidad del empleado.
Esto puede incluir la consideración de si, por ejemplo: (i) existe un nivel razonable de sospecha de mala conducta basada en hechos específicos y documentados, (ii) el probable perjuicio sufrido por el individuo derivado del procesamiento, (iii) el procesamiento es necesario para lograr los intereses legítimos / no hay medidas de investigación menos intrusivas posibles, y (iv) la revisión es razonable basada en el equilibrio de los intereses del individuo con los del empleador.
Un factor importante para realizar la prueba de equilibrio bajo la condición de intereses legítimos es evaluar si el interesado esperaría razonablemente el tipo de procesamiento. Esta evaluación debe tener en cuenta lo que el individuo ha sido informado previamente, si hay margen para informar al individuo sobre el procesamiento antes de la recopilación, y lo que una persona en el rol del sujeto podría esperar razonablemente.
Cuando el interés legítimo es la base para el procesamiento de datos, el interesado tendrá derecho a oponerse al procesamiento de sus datos, pero cuando haya «razones imperiosas» para anular la objeción del individuo, una empresa puede continuar procesando sus datos para esos fines. . En cualquier caso, una empresa debe informar a las personas de su derecho a objetar «en el momento de la primera comunicación» en su aviso de privacidad. Para los nuevos empleados, esto será cuando se unan a la empresa. Para otros, puede ser cuando la compañía implementa un nuevo aviso de privacidad o brinda capacitación. En general, es aconsejable que las empresas documenten el ejercicio legítimo de equilibrio de intereses que han realizado mediante una evaluación de impacto de intereses legítimos.
La condición de interés legítimo se basa en la necesidad, lo que significa que se puede confiar en la condición solo en la medida en que el procesamiento sea necesario para los intereses legítimos de la empresa.
El interés legítimo no puede basarse en la recopilación y revisión de los tipos más sensibles de datos personales mencionados anteriormente, por ejemplo, datos personales que revelen el origen racial / étnico, opiniones políticas, creencias religiosas o filosóficas, u orientación sexual o de salud. En estas situaciones, debe establecerse uno de los fundamentos legales más restrictivos establecidos en el GDPR o la ley de los estados miembros (por ejemplo, que el procesamiento de los datos más sensibles es «necesario para el establecimiento, ejercicio o defensa de reclamos legales») .
Otras consideraciones en curso:
Transparencia. Las organizaciones deben informar a sus empleados sobre cómo manejarán sus datos personales, incluso en el contexto de las investigaciones para cumplir con la obligación de transparencia bajo el GDPR. Como se mencionó anteriormente, la provisión de esta información también es clave para respaldar un argumento de que se puede confiar en el interés legítimo.
Es posible evitar notificar el procesamiento (que es un requisito según el Artículo 13 del GDPR) en ciertas circunstancias, por ejemplo, si la exención de delitos e impuestos se aplica en virtud de la Ley de Protección de Datos de 2018, siempre que se proporcione la información sobre la recopilación de los datos podría perjudicar la prevención o detección de delitos. En algunos casos, un empleador estará dispuesto a correr el riesgo.
¿Se requiere una evaluación de impacto de protección de datos? Se requiere una evaluación de impacto si es probable que resulte en un «alto riesgo para los derechos y libertades de las personas físicas» (por ejemplo, si se realiza una vigilancia continua de las comunicaciones de los empleados). Si este es el caso, la compañía deberá considerar y documentar la naturaleza y el alcance de la investigación propuesta, las razones para llevar a cabo la revisión, su evaluación de la necesidad y la proporcionalidad de las medidas, los riesgos asociados con el procesamiento y el impacto en la privacidad del empleado.
Evaluación continua y rendición de cuentas. Cualquier evaluación de intereses legítimos o evaluación de impacto de protección de datos debe mantenerse bajo revisión y actualizada según sea necesario durante la investigación (al menos cuando haya un cambio en el riesgo representado por las operaciones de procesamiento). Al procesar los datos, se debe evaluar si se está procesando de una manera compatible con el propósito original.
En general, no se deben recopilar ni revisar datos confidenciales o privados de los empleados, como fotos personales, citas médicas o correos electrónicos privados. A la luz de estas consideraciones, los posibles enfoques incluyen: (i) limitar el marco temporal de la revisión, (ii) limitar quién tiene acceso a los datos, (iii) usar términos de búsqueda enfocados y / o revisión asistida por tecnología para restringir qué comunicaciones se revisan y (iv) asegurar que todos los custodios puedan estar justificados.
Para cumplir con el principio de responsabilidad, los detalles de las decisiones de protección de datos tomadas en relación con una investigación, como el resultado de la prueba de equilibrio de intereses legítimos o una decisión tomada sobre la aplicación de una exención al requisito de transparencia, deben documentarse en la evidencia del caso necesita ser producida.
Para llevar clave:
1. Ahora es mucho más difícil confiar en el consentimiento de un empleado como base para el procesamiento.
2. Si no se puede confiar en el consentimiento, será necesario identificar otro motivo para el procesamiento (generalmente el interés legítimo del empleador en revisar los datos).
3. Cuando se confía en el terreno de los intereses legítimos, el ejercicio de equilibrio (es decir, entre los intereses del empleador y el empleado) debe documentarse cuidadosamente.
4. En algunas circunstancias (por ejemplo, vigilancia de los empleados), se puede requerir una evaluación de impacto documentada.
5. El procesamiento debe basarse en la necesidad (solo cuando y en la medida necesaria, lo que debe reevaluarse a lo largo de la investigación y volver a documentarse según sea necesario).
6. Pueden aplicarse requisitos adicionales cuando los datos personales se transfieren de una jurisdicción a otra como parte de una investigación.
7. Deben tomarse medidas para limitar en la medida de lo posible la revisión de datos personales confidenciales.
ALD/FCPA
