Por su lado, la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales establece, en su artículo 87, que los trabajadores tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por las empresas.

Sin perjuicio de lo anterior, las empresas podrán acceder a los contenidos derivados del uso de los medios digitales facilitados a los trabajadores con la finalidad de cumplir las obligaciones laborales, así como para garantizar la integridad de dichos dispositivos.

Es importante tener en cuenta, que las empresas que traten datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, como los datos biométricos o datos de geolocalización, el Reglamento General de Protección de Datos (RGPD) dispone que se deberá realizar una EIPD para mitigar dichos riesgos.

Las EIPD deberán realizarse por parte de las empresas antes de iniciar el tratamiento de los datos personales y deberán incluir, en otros aspectos:

• Un análisis de la necesidad y proporcionalidad del tratamiento;
• Identificación de las amenazas y riesgos;
• Una evaluación del riesgo inherente y riesgo residual una vez adoptadas las medidas para tratar dichos riesgos;
• Medidas de reducción de los riesgos;
• Plan de acción; y
• Conclusiones y validación del tratamiento que sea objeto de estudio.

Para lo anterior, se deberán analizar las medidas de seguridad adoptadas por la empresa, los terceros que intervengan en el tratamiento de los datos personales, así como las tecnologías usadas para dicho tratamiento.

Por último, y no menos importante, las empresas deberán informar también a los trabajadores acerca del tratamiento de sus datos personales. Información que deberá incluir, entre otros, los siguientes aspectos:

• Los datos de contacto del delegado o responsable de protección de datos la empresa;
• Los fines del tratamiento a que se destinan los datos personales;
• La base jurídica del tratamiento;
• En su caso, los destinatarios o las categorías de destinatarios de los datos personales;
• En su caso; la intención del responsable de transferir datos personales a un tercer país u organización internacional;
• El plazo durante el cual se conservarán los datos personales;
• La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos y
• El derecho a presentar una reclamación ante una autoridad de control;

Desde RSM Spain, acompañamos a nuestros clientes en la gestión de riesgos en procesos de negocio y sistemas de información, ofreciendo servicios profesionales que aseguran el cumplimiento normativo en materia de protección de datos de carácter personal.

Sobre el Autor:

Borja García de Roda, es abogado y socio de RSM Spain. Cuenta con amplia experiencia en asesoramiento a empresas tanto nacionales como multinacionales en temas de privacidad y asuntos corporativos.

T: +34 91 457 02 39

E: bgarcia@rsm.es