Colgar una foto en la web de un empleado sin permiso será ilegal
28 de mayo de 2018
Colgar una foto en la web de un empleado sin permiso será ilegal
Las empresas deben adaptar sus procesos y tecnología para gestionar correctamente la información personal de sus trabajadores antes de la entrada en vigor del reglamento general de protección de datos. Las empresas españolas están inmersas en una carrera para adaptarse, antes del 25 de mayo, al nuevo reglamento general de protección de datos (RGPD). Aunque gran parte de los esfuerzos están centrados en recabar los permisos pertinentes de los clientes para seguir utilizando las bases de datos, las compañías no pueden obviar que la normativa también afecta, y mucho, desde el punto de vista de los trabajadores.
En primer lugar, antes de que entre en vigor el RGPD, toda la plantilla debería haber recibido formación con las novedades. En esas sesiones, hay que explicar qué hacer si un empleado detecta una brecha de seguridad en materia de privacidad, ya que está obligado a reportar la incidencia inmediatamente a su superior inmediato o al responsable de protección de datos de la compañía. También hay que explicarle que cada trabajador es responsable de que otras personas no vean o utilicen los datos que maneja, por ejemplo, por dejar a la vista un contrato de un cliente o, simplemente, una tarjeta de visita de otra persona.
Hay departamentos que se consideran de riesgo por la información que manejan, como el área de márketing y comercial, en los que habrá que revisar todos los procesos, incluido cómo se fija el bonus o qué incentivos económicos se conceden (que no impliquen, por ejemplo, compartir datos personales).Pero a la hora de tener en cuenta la actividad de cualquier empresa, hay áreas que siempre se ven afectadas, como por ejemplo la de recursos humanos, donde se utilizan muchos datos personales de los propios trabajadores.
Entonces, surgen las primeras dudas. No es raro encontrarse compañías que utilizan fotografías en las tarjetas de acceso al edificio o las usan en sus páginas web para que los clientes conozcan a su plantilla. ¿Permite el nuevo reglamento de protección de datos este tipo de prácticas?
La casuística es muy variada y no sólo se rige por el nuevo RGPD. Aunque se debe valorar cada caso independientemente, a grandes rasgos los expertos concluyen que cuando la actividad tiene un fin comercial, hay que ser muy exigente y recabar la autorización de todos los implicados. Por ejemplo, en las tarjetas de acceso al edificio, al considerarse que incluir la fotografía del trabajador es una cuestión de seguridad, no hace falta su permiso. Sin embargo, sí sería necesario para poder utilizar su imagen en la web o en unos folletos corporativos.
Videovigilancia
Y, ¿qué ocurre con la vigilancia? A partir del 25 de mayo, pasa a considerarse monitorización sistemática. Grabar al trabajador dentro de la compañía es legal, siempre que se mantengan unos principios de proporcionalidad. En primer lugar, no se puede grabar espacios públicos, salvo que sea inevitable y las imágenes no se podrán conservar más de un mes.
También relacionado con la seguridad existen dudas sobre los datos biométricos, como huellas dactilares, que tienen la consideración de especialmente sensibles. Si bien nada impide que se utilicen, la empresa está obligada a mantener una extrema cautela y a garantizar su custodia. Diferente es el caso de su utilización cuando no son necesarios o el nivel de seguridad no está justificado y, por ejemplo, cumple la misma función una tarjeta magnética, muchos menos intrusiva.
En caso de duda, la empresa debe recoger siempre el consentimiento del empleado a la hora de comunicar o utilizar cualquier dato. Entra en esta categoría hasta los sistemas de evaluación del desempeño, que con frecuencia se hacen públicos en algunas compañías para fomentar la competitividad y la productividad en la plantilla.