La revolución tecnológica ha traído consigo numerosos avances que en muchos escenarios cotidianos que se dan en el entorno laboral nos aportan un sinfín de beneficios puesto que nos permiten incrementar la productividad, realizar un mejor uso y asignación de los recursos, y tomar decisiones organizativas de forma más rápida.
Si bien es cierto que estos beneficios son la cara visible de la moneda, es importante también tener presentes los riesgos que comportan, como el incremento del control y la vigilancia de la empresa, entre otros.
Resulta paradójico pensar que vivimos en la sociedad de la información y que, sin embargo, en muchas ocasiones no somos capaces de gestionar la gran cantidad de información que manejamos. Existe una creencia equivocada sobre la información que nos lleva a pensar que cuantos más datos tratemos más información obtendremos. Y ese es precisamente uno de los principales retos al que nos debemos enfrentar; entender la gran distancia existente entre los datos y la información.
En este sentido, el Reglamento UE 679/2016, General de Protección de Datos (en adelante, RGPD) en su artículo 5.1.c) establece que los datos que se traten deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“principio de minimización de datos”). Además, el artículo 25.2 RGPD establece que “El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad”.
Pues bien, el pasado 1 de octubre, la Agencia de Protección de Datos y Libertad de Información de Hamburgo impuso a la empresa Hennes & Mauritz Online Shop A.B. & Co KG sita en Núremberg (Grupo H&M) una multa de 35M€ euros tras descubrirse una brecha de seguridad en su centro de servicios. Se trata de la mayor multa en materia de protección de datos impuesta en Alemania hasta la fecha, y la segunda a nivel europeo.
En este caso, la compañía recababa datos excesivos relativos a la vida privada de sus trabajadores, entre los que se incluían datos de categoría especial (salud, orientación sexual, religión, etc.), para crear un perfil detallado de cada trabajador en el que los supervisores se basaban a la hora de tomar decisiones laborales.
La empresa perteneciente al Grupo H&M al llevar a cabo esta práctica, además de valerse de una posición de superioridad que caracteriza al empleador en las relaciones laborales, vulnera de forma grave el principio de minimización de datos. Tal como establece el Considerando 39 RGPD “(...) Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios (...)”. Por tanto, el hecho de utilizar detalles familiares, creencias religiosas o datos de salud de los trabajadores para gestionar la relación laboral supone una grave injerencia en la esfera personal de éstos y, en cualquier caso, un uso no adecuado de los datos para la finalidad perseguida.
Por lo tanto, estamos ante una importante sanción que pone de manifiesto la necesidad de que las empresas privadas despierten y destinen los recursos necesarios para crear una verdadera cultura empresarial en materia de protección de datos, donde es tan importante aplicar políticas de protección de datos como concienciar a los trabajadores.
Janire García, Consultora de protección de datos