La Ley 29733, Ley de Protección de Datos Personales (LPDP), y su reglamento, aprobado por el Decreto Supremo 003-2013-JUS (22.03.2013), establecieron distintas obligaciones para la protección de los datos personales con relación a su utilización y recolección por parte de personas jurídicas. Estas obligaciones han trascendido a las distintas áreas de las empresas y han cobrado una mayor importancia y atención en el área de las relaciones laborales, en concreto en la utilización y manejo de la información (datos personales) de sus trabajadores y el cumplimiento de las obligaciones impuestas en dichas normas.
El ámbito de aplicación de la LPDP se circunscribe a los datos contenidos, o destinados a ser contenidos, en los bancos de datos personales, ya sean de la administración pública o privada. Cabe resaltar que los bancos de datos son el conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuera la forma o modalidad de su creación, formación, almacenamiento, organización y acceso. Los bancos de datos deberán ser registrados directamente en el Registro Nacional de Protección de Datos Personales, el cual es un registro de carácter administrativo a cargo de la Autoridad Nacional de Protección de Datos Personales, bajo sanción de multa.
Por otro lado, un dato personal será toda información relacionada con la persona, siendo por ejemplo un dato que la identifica, como el nombre, o un dato que la hace identificable como la huella digital o una foto.
De esta manera, tenemos que la recopilación, almacenamiento y manejo de los datos personales (en este caso de los trabajadores), se encuentran dentro del ámbito de regulación de las normas antes mencionadas, y la primera obligación que tenemos como empleador será el registro de la base de datos correspondiente, en la cual se deberá almacenar de manera segura la información de mis trabajadores.
Toda persona que cae dentro del ámbito de aplicación de la protección de datos personales deberá cumplir y velar por el cumplimiento, como principal obligación, de los principios establecidos en la ley. Dentro de estos podemos encontrar el principio de legalidad, el mismo que establece que los datos personales no pueden ser recopilados por medios fraudulentos. También podemos encontrar el principio del consentimiento previo, libre e informado, el cual establece que debe existir una autorización previa escrita totalmente libre y debidamente informada, que deberá otorgar toda persona titular de sus datos personales a la persona que gestionará o utilizará los mismos.
Este principio es muy importante, pues implicaría que todo empleador deberá recabar una autorización escrita previa de cada trabajador por la recopilación de sus datos; sin embargo, el numeral 5 del artículo 14 de la LPDP ha determinado una excepción para dicho consentimiento, pues se considera excepto de dicha obligación a la recopilación de datos que se brinden dentro del marco de preparación o ejecución de una relación contractual. Es decir, no debe requerirse esta autorización pues su entrega es necesaria para la operatividad de la relación laboral.
Sin embargo, esta excepción se rige bajo el principio de finalidad, por lo que la información requerida debe contener únicamente aquella que es necesaria e indispensable para el desarrollo de la relación laboral, por lo que el requerimiento de un dato adicional deberá contar con un consentimiento previo.
Este punto es muy importante, pues muchas empresas requieren información de los trabajadores que no es necesaria para la relación laboral de manera fundamental, sino como complementos para el desarrollo de actividades adicionales o complementarias en materia de recursos humanos, tales como eventos de integración o capacitaciones.
De la misma manera, el traspaso de los datos personales deberá ser informado y aceptado por el trabajador. Por ejemplo, en los casos que la empresa tercerice ciertas actividades y deba trasladar o remitir los datos personales de sus trabajadores (por ejemplo, la tercerización de sus planillas).
La obligación de la obtención del consentimiento se agudiza cuando hablamos de datos sensibles, pues al ser considerados de especial importancia y protección, la LPDP y su reglamento han obligado a quién realice el tratamiento de este tipo de datos a obtener el consentimiento de previo, libre e informado por escrito de la persona titular del dato sensible y estar almacenado (si es que se requiere su resguardo) en un banco de datos de especial seguridad. En este caso nos preguntamos: ¿las constancias o descansos médicos que señalen la información de la salud de un trabajador (dato sensible) podrán ser almacenadas por la empresa sin ningún problema o es necesario su consentimiento previo, por escrito e informado? ¿Se debe registrar un banco de datos sensibles para estos casos?
Por último, debemos señalar que la propia norma da la posibilidad de que una persona (en este caso el trabajador) que se vea afectada en sus derechos pueda requerir la indemnización correspondiente, e independientemente la Autoridad Nacional de Protección de Datos Personales puede multar a la empresa, por infracciones leves, en un rango de 0,5 UIT a 5 UIT; en el caso de las infracciones graves, en un rango de 5 UIT hasta 50 UIT y para las transgresiones muy graves las multas van desde más de 50 UIT hasta 100 UIT. Hemos obviado muchas otras obligaciones, pero no queremos dejar de señalar que hemos presentado la punta del iceberg en temas laborales.