El Reglamento General de Protección de Datos (RGPD) trae también novedades en el ámbito de la movilidad internacional de los trabajadores. Este aspecto es determinante, ya que el movimiento de una persona implica siempre la transmisión de su información personal.
¿Qué supone la movilidad internacional de trabajadores en la práctica?
Cuando hablamos de la movilidad de los trabajadores y en consecuencia, de sus datos, deben señalarse el tipo de información que se va a utilizar. Por ejemplo, la movilidad internacional va a conllevar la transferencia de datos para crear las nóminas o la información para las solicitudes de visado.
Esto hace que sea realmente necesaria la protección de datos en los sistemas de almacenaje, es decir, unas medidas adecuadas. Algunas veces, incluso puede que pases datos más sensibles como los de salud para los seguros médicos, los datos de tus hijos menores para la búsqueda de colegios, o fiscales para el asesoramiento del pago de impuestos.
¿Cuáles son los enfoques principales del nuevo Reglamento sobre protección de datos en la movilidad internacional?
El primer enfoque que debes tener en cuenta es el de riesgo. Lo cual supone que deban hacerse. Los debidos análisis de riesgos para ver si este tratamiento de datos puede conllevar riesgos adicionales, y evaluar a su vez, si la empresa cuenta con herramientas suficientes para aminorar dicho riesgo.
El segundo elemento primordial es el de la responsabilidad proactiva. El principio de responsabilidad proactiva obliga a que tus datos se traten con la diligencia debida. Esto obliga a todas las empresas a llevar a cabo medidas tanto organizativas como técnicas para que se pueda acreditar que dicho cumplimiento es efectivo, de acuerdo con el nuevo RGPD.
El enfoque desde el punto de vista de los procesos realizados en recursos humanos
Los datos de la movilidad internacional de trabajadores que recaben las empresas y traten en los procesos de selección deben cumplir también con los principios que impone el reglamento europeo. Estos son los de transparencia, minimización y calidad de los datos, entre otros.
Igualmente ocurre con tus datos utilizados en los procesos de contratación, formación, desvinculación, etc. Incluso si la base de captación es lícita. Asimismo, se te debe informar sobre los plazos de conservación de tus datos, que serán limitados en todo caso. Y cualquier transmisión debe realizarse con las garantías adecuadas.
¿Cómo se transmiten datos a un nuevo empleador de la forma correcta?
El aspecto más fundamental en todo lo relacionado con el ámbito de la protección de datos es el consentimiento expreso.
El consentimiento viene vinculado en caso de que firmes un nuevo contrato con el nuevo empleador. También, si firmas un consentimiento en las condiciones laborales que abarcan el marco de la movilidad hacia el país de destino al que vayas.
Impacto del RGPD en la firma de contratos de movilidad o de condiciones laborales
El Reglamento General de Protección de Datos tiene un gran impacto en relación al deber de información, relativo a las nuevas condiciones del tratamiento de tus datos. Por ejemplo, la identidad del nuevo empleador, el responsable del tratamiento, o cómo ejercitar tu derecho a la protección de datos.
Sin embargo, el asunto cambia si debes transmitir datos de salud u otros de carácter sensible, ya que están especialmente protegidos. Así como tendrá mayor importancia si el objetivo del tratamiento de tus datos sobrepasa la verdadera gestión de la relación laboral.
En estos casos, la aceptación de las nuevas condiciones laborales no bastará para la obtención del consentimiento. Este se deberá recabar expresamente para el ámbito de dicha información, de acuerdo con una más amplia protección de datos recogida en el reglamento europeo.
A pesar de que en ambos supuestos asiste un interés legítimo del empresario para la gestión de su actividad empresarial, lo cierto es que en caso de transmitir datos de salud de un trabajador, se debe hacer con las garantías adecuadas, y en este caso, dada la envergadura del dato personal de carácter sensible, podríamos apuntar que se deberá recabar, en efecto, el consentimiento expreso. Ya que prima la privacidad del trabajador frente el interés legítimo del empresario.
¿Qué reglas se aplican según el país de destino?
Las reglas sobre el consentimiento expreso, especialmente en los datos de carácter sensible, así como los principios de obligado cumplimiento que te hemos señalado con anterioridad, se aplican indiferentemente al país de destino, ya que con el nuevo RGPD, lo determinante es el origen del tratamiento, que se hace extensivo en cualquier territorio en el que se siga tratando los datos afectados.
No obstante, debemos hacerte una especial mención en el caso de que dicho país de destino no pertenezca al ámbito de la Unión Europea. En estos casos, lo más adecuado es que tanto las empresas que ceden los datos, como aquellas que los adquieren, apliquen medidas específicas, ya que a pesar de que el RGPD es directamente aplicable por lo anteriormente expuesto, al ser países que carecen de medidas legales adecuadas, la empresa transmisora debe asegurarse, como responsable del tratamiento, del buen uso que se hará de los datos transferidos en territorios externos al EEE.
Las medidas pueden ser por ejemplo las cláusulas contractuales tipo de la Comisión Europea, siempre y cuando no se hayan declarado abusivas, como ocurrió en España con el número de móvil personal, de acuerdo con una Sentencia del Tribunal Supremo.
El reglamento sobre protección de datos, no obstante, permite otro tipo de medidas, como las de los códigos de conducta, que pueden abarcar transferencias internacionales de datos.
Estados Unidos como país de destino
En el caso de la movilidad internacional de trabajadores a Estados Unidos, existe además un sistema que se ha llamado Privacy Shield. Este ha sustituido al invalidado Safe Harbor por el TJUE en 2016. Dicho sistema pretende que las transferencias de datos personales de la Unión Europea a Estados Unidos sean más sencillas.
El RGPD está cambiando la conducta de muchas organizaciones internacionales en relación con la privacidad de sus empleados. Por ello, habrá que tenerlo en cuenta a partir de ahora en cada estrategia de negocio.