Los requisitos legales relativos a los expedientes de personal se establecen en la Ley Laboral nº 4857, cuyo artículo 75 obliga a los empresarios a mantener expedientes de personal que contengan información y documentos de los empleados. De hecho, el artículo 104 de la Ley impone multas administrativas a los empleadores que no mantengan archivos de personal. Los expedientes de personal contienen los registros del empleador sobre la información de identidad, educación, salud, situación del servicio militar, residencia, etc. de un empleado, y la información y los documentos que contienen están legalmente protegidos por la Ley de Protección de Datos Personales («KVKK»). La KVKK impone serias obligaciones al empleador para el tratamiento de los datos personales de los empleados, exigiéndole que procese únicamente la información necesaria para el trabajo correspondiente y que almacene los datos en un entorno seguro. El tratamiento de datos realizado sin cumplir los procedimientos y principios de la Ley constituirá una violación de los datos personales. Por lo tanto, cualquier información contenida en un expediente de personal debe tratarse de conformidad con el KVKK. A continuación se analiza la protección de los datos personales en los expedientes de personal desde diversos aspectos.
Tratamiento, almacenamiento y destrucción de datos personales en los expedientes de personal
La información contenida en los expedientes de personal sólo puede tratarse con «fines determinados, explícitos y legítimos en cumplimiento de los principios de legalidad y equidad» , de conformidad con el artículo 4 de la KVKK. El empresario debe recopilar estos datos asegurándose de que son «pertinentes, limitados y proporcionados a los fines para los que se tratan» y procesar únicamente aquellos que sirvan a los requisitos del puesto de trabajo correspondiente. Los datos de los expedientes de personal deben almacenarse en un entorno seguro y sólo deben acceder a ellos las personas autorizadas.
Según el artículo 7 de la KVKK, los empresarios deben destruir los datos cuando haya expirado el periodo de conservación y el tratamiento ya no sea necesario. Además, el «Reglamento sobre borrado, destrucción o anonimización de datos personales» y la «Política de conservación y destrucción de datos personales de la Autoridad de Protección de Datos Personales» exigen a los empleadores borrar, destruir o anonimizar los datos cuando su tratamiento ya no sea necesario o dejen de serlo al expirar el periodo máximo exigido para la conservación de datos personales tras la finalización del contrato laboral, de conformidad con la normativa pertinente.
Protección y tratamiento de datos sanitarios
Los datos relativos a la salud se tratan como «categorías especiales de datos personales» de conformidad con el artículo 6 de la KVKK, y su tratamiento requiere el consentimiento explícito. Proporcionan información sobre la salud de un empleado, incluidos los resultados de sus reconocimientos médicos realizados en el momento de la contratación y a intervalos regulares, y sólo deben ser recabados por un médico del lugar de trabajo o personal sanitario autorizado. De hecho, las decisiones del Consejo de Protección de Datos Personales indican que un médico del lugar de trabajo puede tratar datos sanitarios dentro de los límites de sus funciones estipuladas en la legislación, siempre que los responsables del tratamiento tomen las medidas adecuadas en el tratamiento de categorías especiales de datos personales.
Los empresarios son responsables de velar por la salud de sus empleados frente a cualquier riesgo para la salud y la seguridad en el trabajo. Un médico del lugar de trabajo puede examinar la salud de un empleado en el momento de la contratación, al cambiar de puesto de trabajo, tras accidentes laborales o problemas de salud laboral si así se solicita, o periódicamente en función del nivel de riesgo del puesto de trabajo o de la empresa, con un informe elaborado después de cada examen. Los empresarios también son responsables de garantizar que los datos sobre salud se recojan de forma intencionada y proporcional, se limiten únicamente a la información requerida por el puesto de trabajo, en función de la naturaleza del trabajo a realizar, y que se procesen con el consentimiento del empleado.
En cuanto a la protección de los datos de salud, los formularios de examen del empleado, los informes médicos y todos los demás datos de salud deben ser conservados por el médico del lugar de trabajo, no en el expediente personal, y deben permanecer inaccesibles a terceros para evitar violaciones de la privacidad y la seguridad de los datos.
¿Pueden conservarse los antecedentes penales en los expedientes de personal?
La información sobre la condena penal de una persona se agrupa en categorías especiales de datos personales. Por lo tanto, de conformidad con el artículo 6 de la KVKK, los antecedentes penales sólo pueden tratarse cuando «lo exija explícitamente la ley», «con el consentimiento explícito del interesado», o en otros casos especificados por la ley.
Algunas normativas permiten o incluso exigen la obtención de antecedentes penales en determinados ámbitos o puestos (guardias de seguridad, personal que trabaja en instituciones educativas privadas, etc.). Sin embargo, estas normativas son excepciones y, por regla general, los empresarios sólo pueden tramitar los antecedentes penales de sus empleados tras obtener su consentimiento explícito. Por lo tanto, a menos que las leyes lo prevean específicamente, los antecedentes penales de los empleados no pueden tratarse legalmente sin su consentimiento explícito. Además, al obtener su consentimiento explícito, el personal debe ser informado de que su decisión de dar su consentimiento explícito no afectará al resultado de su solicitud de empleo o de su contratación y de que puede retirar su consentimiento explícito en cualquier momento y sin condiciones. Además, los datos deben almacenarse con las medidas adecuadas especificadas por el Consejo de Protección de Datos Personales y destruirse en el plazo pertinente.
Conclusión
La obligación del empresario de tratar los datos personales de los empleados sólo cuando sea necesario para su trabajo y de adoptar todas las medidas técnicas y administrativas de seguridad de los datos contribuye a proteger los datos de los expedientes personales y a fomentar un entorno de trabajo fiable.
La conservación y destrucción de los expedientes personales reviste gran importancia para los empresarios, ya que estos expedientes contienen un gran número de categorías generales y especiales de datos personales. Así pues, los empresarios deben tratar los datos con mesura respetando los fines y límites del tratamiento de datos estipulados en la Ley, atenerse a los principios dados en la Ley y otras legislaciones, tomar las medidas necesarias en la conservación de los expedientes de personal y cumplir la política de destrucción al final del periodo pertinente. La orientación jurídica es vital para completar diligentemente cada paso del proceso sin incumplimientos. Además, la concienciación de los empleados mediante formación interna puede ayudar a evitar las multas administrativas que pueden derivarse del incumplimiento de las obligaciones derivadas de la KVKK.