Alemania es uno de los países con las leyes más estrictas en materia de protección de datos de los empleados. Muchos empresarios extranjeros subestiman la rigurosidad de la normativa que regula este tratamiento de datos.
Desde los registros de contratación y la información sobre nóminas hasta la supervisión de los empleados y los datos sanitarios, las empresas extranjeras deben cumplir tanto con las normas del RGPD, de ámbito comunitario, como con la legislación alemana específica en materia de protección de datos en el ámbito laboral.
Si no cumples estas leyes alemanas, podrías enfrentarte a importantes multas en virtud del RGPD, litigios, daños a la reputación y conflictos con los comités de empresa. Por eso, esta guía explica las leyes más importantes en materia de protección de datos en Alemania.
Autor
Alemania es uno de los países con las leyes más estrictas en materia de protección de datos de los empleados. Muchos empresarios extranjeros subestiman la rigurosidad de la normativa que regula este tratamiento de datos.
Desde los registros de contratación y la información sobre nóminas hasta la supervisión de los empleados y los datos sanitarios, las empresas extranjeras deben cumplir tanto con las normas del RGPD, de ámbito comunitario, como con la legislación alemana específica en materia de protección de datos en el ámbito laboral.
Si no cumples estas leyes alemanas, podrías enfrentarte a importantes multas en virtud del RGPD, litigios, daños a la reputación y conflictos con los comités de empresa. Por eso, esta guía explica las leyes más importantes en materia de protección de datos en Alemania.
Autor
Póngase en contacto con nosotros
Stephan Dorn
Socio Director
La protección de datos de los empleados en Alemania se refiere a las normas legales que regulan la forma en que las empresas recopilan, tratan, almacenan, supervisan y comparten la información personal de sus empleados.
A la hora de gestionar los datos de los trabajadores, las empresas deben cumplir tanto con el RGPD como con la Ley Federal de Protección de Datos (BDSG).
Los datos protegidos de los empleados pueden incluir nombres, direcciones, datos salariales, información bancaria, historiales médicos, datos de rendimiento, correos electrónicos, uso de dispositivos, información biométrica y datos de supervisión. Estas leyes abarcan todo el ciclo de vida laboral, desde la contratación hasta la rescisión del contrato.
Dado que Alemania concede gran importancia a los derechos de privacidad de las personas, el país cuenta con una normativa estricta en materia de privacidad de los trabajadores. Las empresas deben cumplir unos requisitos estrictos de transparencia, seguridad y tratamiento lícito de los datos. Estas leyes deben respetarse a la hora de supervisar a los trabajadores o tratar datos personales sensibles.
El RGPD es de aplicación directa en toda la UE y establece normas exhaustivas para el tratamiento de datos personales, incluidos los datos de los empleados. El RGPD establece que debes garantizar la seguridad de los datos de los empleados y utilizarlos únicamente por motivos claros y válidos. En virtud de esta norma, los empleados tienen derecho a consultar sus propios datos y pueden solicitar que se modifiquen.
Se trata de una ley alemana que complementa el RGPD. Establece normas adicionales sobre cómo se pueden recopilar y utilizar los datos de los empleados en Alemania.
Por lo tanto, como empresario extranjero, debes cumplir ambas leyes. Si no lo haces, te pueden multar. Estas leyes protegen a los empleados, velan por su privacidad y evitan el uso indebido de sus datos personales.
Solo se pueden recopilar y utilizar los datos de los empleados si son necesarios para el desempeño de su trabajo, la contratación o la rescisión de su contrato. De acuerdo con el artículo 26 de la BDSG, no se pueden utilizar para otros fines sin autorización.
Algunos datos de los empleados son especialmente sensibles, como la información sanitaria, la raza, la religión o la afiliación sindical. Por lo general, las empresas no pueden utilizar dichos datos a menos que el trabajador dé su consentimiento por escrito o que la ley lo permita.
El artículo 24 de la BDSG permite el tratamiento posterior de los datos con fines distintos al original únicamente bajo condiciones estrictas, en particular cuando sea compatible con el fin original o sea necesario para la defensa de reclamaciones legales o para la seguridad pública. El aspecto clave a la hora de determinar si se trata de una razón válida es comprobar si se ajusta a uno de estos tres motivos:
Entre los ejemplos de estos otros fines se incluyen:
Deberás nombrar a un delegado de protección de datos (DPO) si se da alguna de las siguientes circunstancias:
Situación | Cuándo es obligatorio contar con un delegado de protección de datos (DPO) |
Número de empleados | En Alemania, es obligatorio contar con un delegado de protección de datos si al menos 20 empleados tratan habitualmente datos personales mediante sistemas automatizados (art. 38 de la BDSG). |
Datos especiales + evaluación de impacto | Debes realizar una evaluación de impacto relativa a la protección de datos (DPIA), incluso si tienes menos de 20 empleados. |
Venta o cesión de datos | Tu empresa recopila y almacena datos con fines comerciales para su venta o cesión (ya sean personalizados o anonimizados) |
Estudios de mercado y de opinión | El objeto social de su empresa es la realización de estudios de mercado o de opinión mediante el uso de datos personales |
Organismos públicos | Es usted una autoridad pública o un organismo gubernamental (sin límite de empleados) |
Datos especiales a gran escala | Tratas datos sensibles (salud, origen étnico, religión) a gran escala globeriadatenschutz |
Seguimiento sistemático | Su actividad principal consiste en vigilar a las personas de forma habitual (por ejemplo, mediante cámaras de seguimiento o el control del comportamiento en línea) |
El responsable de la protección de datos debe cumplir los siguientes requisitos:
Los comités de empresa están sujetos a las obligaciones derivadas del RGPD y de la BDSG; sin embargo, su función exacta (responsable del tratamiento frente a órgano independiente) presenta una cierta complejidad jurídica y sigue siendo objeto de debate en la jurisprudencia alemana. Deben:
Cuando el comité de empresa trata datos de los empleados, siguen siendo de aplicación las normas del RGPD. Esto significa que:
Esta ley se aplica si tu empresa opera en el sector de las telecomunicaciones o los servicios digitales, como por ejemplo:
En ese caso, debes proteger los datos de los usuarios de forma más estricta. Por ejemplo, debes garantizar la confidencialidad de las comunicaciones, obtener autorización antes de realizar un seguimiento de las personas e informar claramente a los usuarios y a los empleados sobre qué datos se recopilan. Los requisitos de consentimiento para el uso de cookies se derivan principalmente de la Directiva de la UE sobre privacidad electrónica (aplicada en Alemania a través de la TDDDG), junto con las normas del RGPD en materia de consentimiento.
Algunos puestos de trabajo están sujetos a normas especiales en materia de datos, ya que manejan información sensible. Entre los ejemplos se incluyen los sectores de la sanidad, la banca y las finanzas, los seguros, la administración pública, el transporte y el comercio minorista que utilizan cámaras.
Las empresas pueden supervisar los correos electrónicos de trabajo y el uso de Internet si existen motivos concretos, como la detección de problemas técnicos. Las empresas no deben basarse en el consentimiento como fundamento jurídico principal debido al desequilibrio de poder existente en las relaciones laborales; en su lugar, el tratamiento de datos suele justificarse en virtud del artículo 26 de la BDSG o del interés legítimo (art. 6 del RGPD). El acceso a las comunicaciones personales está muy restringido y, por lo general, solo se permite en casos excepcionales, como la sospecha de actividad delictiva, y a menudo requiere garantías adicionales.
Las cámaras de videovigilancia pueden utilizarse por motivos de seguridad reales, como evitar robos. No deben ocultarse. Tampoco pueden instalarse en lugares privados, como salas de descanso o vestuarios.
El seguimiento por GPS de los trabajadores está permitido por determinados motivos, como la supervisión de los repartidores o de los vehículos de servicio. Los empleados deben estar al corriente de ello. No está permitido realizar un seguimiento de ellos mientras se encuentran en casa, a menos que dispongan de material de la empresa para trabajar. La supervisión continua o excesiva se considera, por lo general, desproporcionada e ilegal, salvo que sea estrictamente necesaria y esté justificada.
La recogida de datos biométricos depende de una necesidad absoluta de seguridad o de acceso. El consentimiento explícito solo es válido en casos excepcionales en los que sea verdaderamente voluntario; en caso contrario, el tratamiento de datos biométricos debe justificarse por necesidad, de conformidad con el artículo 26 de la BDSG o el artículo 9 del RGPD. Esto está permitido cuando no existe una forma más sencilla de hacerlo. Por ejemplo, si no se puede utilizar una tarjeta magnética, se podrán utilizar datos biométricos en su lugar.
El consentimiento del empleado para la vigilancia solo es válido si:
Requisito | Qué significa |
Libre elección | Los trabajadores pueden decir que no sin perder su empleo |
Escrito | El trabajador firma o escribe su consentimiento |
Borrar | El trabajador sabe exactamente qué es lo que vas a supervisar |
Específico | El consentimiento se da por un motivo concreto, no para «todo» |
Se puede devolver | El trabajador puede revocar su consentimiento más adelante |
Sin presión | El jefe no puede obligar ni amenazar al trabajador |
En virtud del RGPD, las empresas solo pueden enviar datos de sus empleados fuera de la UE si:
La forma más habitual en que las empresas pueden enviar datos de forma legal es mediante el cumplimiento de las cláusulas contractuales tipo (SCC). Estas son:
Puedes encontrarlos en la página web de la Comisión Europea.
Puedes transferir datos de empleados fuera de la UE si:
El país cuenta con la aprobación de la UE (al igual que el Reino Unido, (Suiza, Japón) | No es necesario realizar ningún paso adicional |
El país no cuenta con la autorización de la UE (al igual que EE. UU., (India, China) | Firma los SCC y comprueba si se necesita protección adicional |
El consentimiento explícito es posible, pero rara vez se recomienda debido a los estrictos requisitos y a su carácter revocable; se da preferencia a las cláusulas contractuales tipo (SCC) o a las decisiones de adecuación. | Consentimiento por escrito + el trabajador puede rescindirlo en cualquier momento |
Datos necesarios para el contrato de trabajo | Solo por motivos laborales específicos (como el pago del sueldo) |
Las empresas deben facilitar a los trabajadores un aviso de privacidad en el que se explique lo siguiente:
La notificación debe ser fácil de entender, estar redactada con claridad y facilitarse antes de recopilar los datos.
La minimización de datos significa que solo se recopilan los datos necesarios para el puesto de trabajo. Las empresas no pueden recopilar información adicional «por si acaso». Por ejemplo, en la mayoría de los puestos de trabajo, las empresas no necesitan conocer las creencias religiosas de los empleados.
Las políticas de conservación de datos consisten en conservar los datos solo durante el tiempo que sea necesario y eliminarlos cuando ya no sean necesarios. Por ejemplo, las empresas deben eliminar los datos de las solicitudes de empleo si la persona no es contratada (normalmente en un plazo de entre 3 y 6 meses).
Las empresas pueden realizar una evaluación de impacto relativa a la protección de datos (DPIA) cuando:
Una DPIA es una evaluación de riesgos en la que se plantean las siguientes preguntas:
Debes llevar un registro de todos los tratamientos de datos, incluyendo:
Qué grabar | Ejemplo |
¿Por qué recopilas datos? | Nóminas, contratación, seguridad |
¿Qué datos recopilas? | Nombre, dirección, salario, salud |
Con quién lo compartes | Banca, seguros, administración pública |
Cuánto tiempo lo guardas | Los plazos de conservación dependen de las obligaciones legales (por ejemplo, entre 6 y 10 años para los registros fiscales, según el Derecho mercantil y fiscal alemán). |
Medidas de seguridad | Contraseñas, cifrado, archivos bloqueados |
Las empresas deben formar a los trabajadores que manejan datos personales, como el personal de recursos humanos, los directivos y los equipos de informática. Estos deben saber cómo proteger los datos y evitar las violaciones de seguridad. Las empresas también deben contar con políticas escritas en materia de protección de datos. La formación debe actualizarse al menos una vez al año.
Los trabajadores tienen derecho a pedirte:
Solicitud | Lo que debes hacer |
Consulta sus datos | Responda en el plazo de un mes (este plazo puede ampliarse dos meses más en casos complejos). |
Corregir sus datos | Corrige rápidamente la información errónea |
Eliminar sus datos | Elimínalo si la ley lo permite |
Dejad de utilizar sus datos | Detén el proceso si se oponen. |
Trasladar sus datos | Enviar datos a otra empresa si así se solicita |
Debes:
Proteger los datos de los empleados en Alemania no es fácil. Muchos empresarios extranjeros intentan gestionarlo por su cuenta, pero se enfrentan a problemas legales. La mejor opción es recurrir a un proveedor Employer of Record como FMC Group. Se encargan de gestionar los datos con cuidado, contratan a los empleados sin necesidad de que usted cuente con una entidad local, gestionan las nóminas y las cotizaciones mensuales, y mucho más.