Relaciones Industriales y Derecho Laboral

Newsletter | septiembre 2022

Co-funded by the European Union

Bélgica: La información personal sobre la salud no puede revelarse durante la reunión de RR.HH. sobre el despido

  • El 19 de julio de 2022, la Autoridad de Protección de Datos Belga (DPA, por sus siglas en inglés) declaró que comunicar los datos sensibles de salud de un empleado a otros empleados sin su consentimiento específico e incluir estos datos en un acta de una reunión es una violación del Reglamento General de Protección de Datos (GDPR).

El caso atañe a una empleada que presentó una queja al descubrir que, durante una reunión a la que no asistió, el gerente de servicio compartió sus datos personales y médicos con otros compañeros, leyendo un documento emitido por el médico de la empresa en el que se indicaba que no era apta para trabajar y que habría abandonado la empresa. 

Esos datos también quedaron registrados en el acta de la reunión.

La empleada presentó la queja contra el responsable del tratamiento ante la DPA belga por revelar ilegalmente datos personales relacionados con la salud a terceros, basándose también en el hecho de que el acta de la reunión estaba guardada en el servidor del responsable del tratamiento y era de libre acceso para todo su personal, incluidos otros departamentos.

Aunque la DPA no estaba en condiciones de verificar si las actas estaban realmente disponibles en el servidor del responsable del tratamiento, consideró que, de ser así, constituiría una actividad de tratamiento de datos adicional. Por lo tanto, examinó si este tratamiento adicional de datos era compatible con la finalidad del tratamiento original, de conformidad con el artículo 5, apartado 1, letra b) del RGPD.

La DPA declaró que este tratamiento adicional era incompatible con la finalidad del tratamiento original, ya que la empleada no podía esperar de manera razonable que esos datos sensibles se comunicaran ampliamente más allá de las personas autorizadas para la gestión del personal.

Esto habría requerido una base específica independiente para ser considerado «tratamiento lícito» según el RGPD, por lo que la DPA concluyó que la autoridad pública había cometido una violación del RGPD.

La DPA sancionó al empleador con una amonestación, instando a la autoridad pública a tomar todas las medidas necesarias para cumplir la legislación y a formar al personal de la empresa sobre este tema.

Es importante que los empleadores tengan en cuenta la relevancia de la legislación sobre privacidad y pongan en marcha todas las medidas, incluidas las políticas y reglamentos internos, para evitar cualquier riesgo de incumplimiento durante el desempeño de la relación laboral, especialmente cuando se tratan datos personales sensibles.

Date:
Sources:  https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-115-2022-in-fr.pdfhttps://leglobal.org/2022/08/19/belgium-disclosing-personal-health-information-during-hr-meeting-on-dismissal-violates-gdpr/
Tags: Decisión judicial, nacional, acontecimientos nacionales, employers' obligations, Bélgica, privacy, despido individual

ArchivoEtiquetas