Protección de datos de empleados bajo la LGPD: responsabilidades y sanciones para las empresas
La LGPD (Ley General de Protección de Datos) regula el tratamiento de datos personales en América Latina, garantizando la seguridad y la privacidad de la información de personas físicas. Aunque muchas veces el enfoque está en los datos de clientes, es importante recordar que la ley se aplica a toda la información personal tratada en territorio nacional, es decir, también incluye la manera en que las empresas manejan la información de sus empleados.
¿Qué datos están protegidos por la LGPD?
La LGPD define datos personales como cualquier información que permita identificar a una persona física, directa o indirectamente. Esto abarca información básica de los empleados como nombre, CPF, RG, fecha de nacimiento, dirección, correo electrónico, entre otros.
Además, la ley establece la categoría de datos sensibles, que requieren protección reforzada por tener potencial discriminatorio. Se trata de información sobre origen racial o étnico, convicciones religiosas o políticas, datos de salud, información genética o biométrica, y orientación sexual, por ejemplo.
En el contexto corporativo, muchos datos de empleados pueden clasificarse como sensibles, como certificados médicos, información sobre afiliación sindical y datos utilizados en sistemas de control biométrico de presencia.
¿Cuáles son las responsabilidades de la empresa?
Al manejar información de los colaboradores, la empresa asume el rol de controladora y operadora. Por lo tanto, es responsable de:
- Finalidad y consentimiento: Toda recopilación y tratamiento de datos de empleados debe tener un propósito claro e informado al colaborador. Aunque ciertos fines, como el cumplimiento de obligaciones legales o la ejecución del contrato laboral, pueden dispensar el consentimiento explícito, obtener autorización es fundamental para varias operaciones.
- Seguridad adecuada: Las compañías deben adoptar medidas de seguridad técnicas y administrativas que protejan todos los datos personales bajo su responsabilidad contra accesos no autorizados, filtraciones y otros ciberdelitos. Esto implica almacenar los datos en un lugar seguro, ya sea físico o digital, con acceso restringido solo a quienes realmente necesitan esa información para desempeñar sus funciones. Las empresas deben invertir en medidas robustas de ciberseguridad para evitar problemas.
- Transparencia: En caso de filtración u otro incidente de seguridad que comprometa los datos de los empleados, la organización tiene el deber de informar a los titulares afectados. Contar con un protocolo para casos de filtración y un plan de acción para responder a estos eventos es esencial para una reacción ágil y efectiva.
- Capacitaciones: Es crucial que los equipos que manejan directamente los datos de los empleados reciban información y capacitación adecuada sobre cómo tratar esos datos de forma segura y responsable, conforme a la LGPD.
- Respetar el tiempo de uso de los datos: El tratamiento de datos incluye no solo la recopilación y el uso, sino también la eventual destrucción. La información de los empleados no debe almacenarse indefinidamente; el plazo de uso debe estar claro para el titular y, una vez cumplida la finalidad, la empresa debe realizar la destrucción segura de los datos.
Consecuencias del incumplimiento
El incumplimiento de los requisitos de la LGPD conlleva severas sanciones para las empresas, que pueden incluir multas de hasta el 2% de la facturación, limitadas a 50 millones de reales por infracción, e incluso la prohibición de actividades relacionadas con el tratamiento de datos.
Por lo tanto, proteger la seguridad y la privacidad de los datos de los empleados bajo la LGPD es más que un cumplimiento legal, es un compromiso con la ética y la responsabilidad. Implementar medidas de seguridad sólidas, garantizar la transparencia en el uso de los datos y asegurar la eliminación segura de la información cuando ya no es necesaria son pasos fundamentales para proteger a los colaboradore