El Reglamento General de Protección de Datos (RGPD) recoge las bases de legitimación empresarial para el tratamiento de datos personales de los trabajadores, descritas en la entrada número 1 de esta newsletter
Así, el Reglamento General de Protección de Datos indica que para que el tratamiento de los datos personales de los trabajadores sea lícito tiene que cumplir los siguientes principios:
Licitud, lealtad y transparencia. Implica que una información insuficiente a los trabajadores sobre el tratamiento de sus datos personales supondría que el tratamiento es ilícito.
Limitación de la finalidad. Los fines del tratamiento, como pueden ser el pago del salario, la retención de impuestos, el control de la jornada laboral, etc., tienen que ser determinados, explícitos y legítimos. El trabajador, como titular de los datos personales, tiene que ser informado de las finalidades del tratamiento por medio de la correspondiente cláusula o política de protección de datos.
Minimización de datos. Los datos personales de los trabajadores tienen que ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados” (RGPD art.5.1.c).
Exactitud. Los datos personales de los trabajadores que se traten tienen que ser “exactos y, si fuera necesario, actualizados” (RGPD art.5.1. d). Si la actualización o rectificación fuera necesaria, podrá llevarse a cabo bien por parte del propio responsable del tratamiento (empresario), si este tuviera constancia de la inexactitud, o bien en virtud del ejercicio del derecho de rectificación por el trabajador.
Limitación del plazo de conservación. Los datos personales de los trabajadores solo serán mantenidos por el responsable del tratamiento (empresario) durante el tiempo necesario para los fines del tratamiento de los datos personales.
Integridad y confidencialidad. Es necesario que se garantice la confidencialidad, integridad y disponibilidad de los datos de manera que se protejan “contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas” (RGPD art.5.1.f).
Responsabilidad proactiva. La empresa, como responsable del tratamiento, tiene que asegurarse de adoptar las medidas técnicas y organizativas apropiadas para garantizar el derecho fundamental a la protección de datos de los trabajadores.