31
May

3. La recogida y tratamiento de datos personales para la selección de los cantidatos

Un tratamiento de datos frecuentemente olvidado en la gestión empresarial, y no por ellos menos importante, es el tratamiento de la actividad de selección o el fichero de Candidatos.

En el tratamiento de datos de los trabajadores existe un documento o contrato de trabajo en donde se pueden reflejar los derechos y obligaciones de las partes e informar al trabajador y en donde no es necesario el consentimiento de los mismos en virtud del art. 6.2 de la LOPD.

“(….) No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; (….)”.

A diferencia del tratamiento de datos de los ficheros el personal, en el fichero de candidatos, es necesario cumplir con los deberes de información y consentimiento marcados por la normativa de protección de datos, así como la necesidad de generar un documento donde los mismos queden incluidos y nos permita acreditar su cumplimiento.

Dada la especial naturaleza que reside en la actividad de selección en la empresa o búsqueda de trabajo por parte de los candidatos o potenciales trabajadores, son muy frecuentes los casos en los que no existe actividad informativa al candidato o potencial trabajador sobre la finalidad del tratamiento, inexistencia de información sobre los derechos ARCO, así como falta de información y consentimiento respecto de las posibles cesiones de datos que se realiza de los currículos entre las empresas del grupo.

Se hace por tanto necesario tomar en consideración los siguientes aspectos en el tratamiento de datos personales del fichero de candidatos.

 

3.1 Principios de Información y Cumplimiento de las normas de calidad de los datos

Como hemos comentado anteriormente es fundamental con carácter previo a la recogida de cualquier tipo de dato del candidato ha de tenerse siempre presente el deber de información del artículo 5 de la LOPD, por el que:

“Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco”.

  • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  • Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Por tanto, antes de proceder a recabar datos de candidatos o potenciales trabajadores, se debe tener claro por el departamento de selección o RRHH la información que se necesita, la finalidad a la que vamos a destinarla y quién va a ser el destinatario de dicha información, puesto que todos estos extremos (junto con los otros enunciados) deben informarse al titular de los datos en el momento de su recogida.

Así mismo y junto al deber de información, el artículo 4 de la LOPD, referente a la calidad de los datos, en su apartado primero establece que

“Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

De esta manera los datos obtenidos de los candidatos deben ajustarse a aquellos que sean imprescindibles para la finalidad para la que se recabaron, esto es, para el proceso de selección y evaluación de las aptitudes profesionales de los potenciales trabajadores. El dato recabado por tanto deberá estar justificado y ser idóneo para el proceso de selección, en función del puesto concreto a cubrir en cada caso.

En este sentido, se debe tener especial cuidado con la recogida de determinados datos que requieren un consentimiento expreso para su tratamiento y/o cesión así como aquellos datos que puedan ser excesivos para la finalidad en la que se recabaron los datos como pueden ser datos relativos a los antecedentes penales, test psicotécnicos, revisiones médicas, grabación de entrevistas de selección etc.

 

3.1 Consentimiento del afectado

3.2.1 Solicitud de consentimiento

Otro principio básico es la necesidad de recabar el consentimiento del afectado para el tratamiento de datos.

El artículo 6 párrafo 1 de la LOPD establece: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.”

Esta obligación no puede verse exceptuada por el párrafo 2, que establece que no sería necesario el consentimiento para el tratamiento de datos de carácter personal: “cuando (…) se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento” ya que no existe con el candidato ningún tipo de relación negocial laboral o administrativa.

Es por tanto necesario recabar el consentimiento para la selección de personal a través de la correspondiente cláusula de protección de datos. Dicho consentimiento en principio no necesariamente debe ser expreso, pudiéndose recoger de forma tácita en las correspondientes cláusulas de protección de datos.

No obstante lo anterior, existen determinados supuestos de recogida de datos en los procesos de selección en donde sí es necesario el consentimiento expreso para el tratamiento de datos personales, ya que los datos que se recogen son considerados como datos especialmente protegidos, como por ejemplo los test psicotécnicos, los datos de salud de las revisiones médicas, o aquellos datos relativos a la ideología, afiliación sindical, religión y creencias, que además del consentimiento expreso el mismo debe de ser recabado por escrito.

 

3.3 Distintas formas de recogida de datos

En la actividad de selección o gestión del fichero de candidatos la entrada del dato de carácter personal puede venir de diferentes fuentes debiendo tenerse en consideración determinados aspectos jurídicos que garanticen un tratamiento de datos personales adecuado a la legalidad vigente en materia de protección de datos. Así nos podemos encontrar con distintas formas de recogida de datos:

3.3.1 Datos facilitados por del propio interesado

En la gran mayoría de los casos los datos son facilitados por el propio interesado debiendo la empresa informar de los extremos anteriormente mencionados en todos aquellos medios utilizados para la recogida de datos personales de candidatos y en su caso recoger los oportunos consentimientos que fueren necesarios. En este sentido es fundamental que la información dada y el consentimiento otorgado consten en algún tipo de soporte o documento, siendo los medios más utilizados los siguientes:

  • Formulario en papel: Cuando se utilicen cuestionarios u otros impresos para la recogida de datos de potenciales trabajadores o candidatos, deberán figurar en los mismos, en forma claramente legible, la información mencionada por el art 5 de la LOPD.
  • Formulario electrónico en página Web: En estos casos ha de poder acreditarse que la información estaba a disposición del titular de los datos en el momento de la cumplimentación del formulario de forma similar al formulario en soporte papel. En muchos casos es recomendable reconducir la actividad de selección de la empresa hacia el formulario web y evitar recogidas de datos de candidatos que impliquen dificultades a la hora de probar el deber de información y consentimiento en el tratamiento de datos como es el caso del envío postal o entrega en mano de los Currículos.
  • Envío postal: Cuando los datos se reciban a través de comunicaciones escritas, solicitadas o no, en caso de que vayan a ser utilizados en procesos de selección y debido a la imposibilidad de informar con anterioridad, deberá informarse al candidato de todos los extremos señalados acerca del tratamiento que de los mismos se va a realizar mediante cualquier medio que acredite su notificación (correo electrónico, llamada telefónica, correo postal, …), debiéndose conservar la notificación realizada hasta la finalización del proceso de selección o mientras se conserven lo datos personales del candidato-

 

3.3.2 Datos recabados de Bolsas de trabajo, Empresas de Selección o Becas.

En estos supuestos, al tratarse de datos recogidos por un tercero, será necesario actuar con la diligencia debida del cesionario y comprobar que el cedente cuenta con el consentimiento oportuno para realizar la cesión de datos a la empresa, para ello será necesario trasladar dicha obligación en los contratos de prestación de servicios con empresas de selección o Bolsas de trabajo estableciendo las correspondientes garantías en materia de protección de datos.

En el casos de becas o estudiantes en régimen de prácticas es importante que se incluya en el convenio de colaboración con la universidad o centro educativo, además de la la garantía señalada en el párrafo precedente, el compromiso del becario o estudiante en prácticas de garantizar la confidencialidad en el acceso a los datos y cumplir con la normativa interna de la empresa en materia de seguridad y protección de datos.

 

3.3.3 Datos recabados por un tercero en nuestro nombre

Es posible que en la actividad de selección se encargue a un intermediario o tercero el proceso de selección, recabándose los datos en nombre de la empresa. En estos casos, nos encontraríamos en supuestos de accesos a datos por cuenta de terceros, por lo que sería necesario firmar el correspondiente contrato de encargado de tratamiento o anexo con el clausulado exigido por el artículo 12 de la LOPD.

 

3.3.4 Datos recabados por empresas del grupo

Por último en los supuestos de comunicaciones de datos de candidatos entre empresas el mismo grupo, será necesario informar en el momento de la recogida de los datos, además de los extremos enunciados en el artículo 5 de la LOPD, de la posibilidad de la cesión de sus datos a las demás empresas del grupo, indicando finalidad y los destinatarios de la misma, así como la dirección para el ejercicio de los derechos ARCO. Además la cesión ha de ser aceptada expresamente por el afectado, y ha de dársele la posibilidad de oponerse a la misma a través del corresponiente check box que no debe de estar previamente marcado.

 

3.4 Recogida de datos especialmente protegidos

Como se ha comentado anteriormente en el proceso de selección de candidatos es posible el tratamiento de datos especialmente protegidos. Según el artículo 7.3 de la LOPD:

“Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos, cuando por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente”.

Esto afecta a ciertas situaciones de recogida de datos que pueden producirse en la selección de candidatos:

  • Revisiones médicas: Estaría considerado como dato de salud, por tanto a la hora de recabarse necesitaremos el consentimiento expreso y sólo se podrán recabar cuando quede debidamente justificada su necesidad en relación con el proceso de selección de que se trate.
  • Test psicotécnico: En el caso de la realización de este tipo de pruebas también es necesario el consentimiento expreso del afectado por considerarse datos de salud.

En ambos casos será necesario aplicar unas medidas de seguridad de nivel alto al tratamiento de datos realizado, y en caso de que dichas pruebas sean externalizadas, será necesario firmar con la empresa proveedora el correspondiente contrato de acceso a datos por cuenta de terceros o encargado de tratamiento según el art.12 de la LOPD.

5
May

El ámbito de aplicación y la exclusión del tratamiento de los datos de contacto profesionales

EL TRATAMIENTO DE DATOS EN LOS DEPARTAMENTOS DE RECURSOS HUMANOS.

 

1ª Entrega, El ámbito de aplicación y la exclusión del tratamiento de los datos de contacto profesionales

En las próximas entregas del Blog de DPOitlaw, vamos a trata de analizar el tratamiento de datos personales desde la visión del departamento de RRHH. La exclusión del ámbito de aplicación de la normativa de protección de datos de los ficheros de contactos de Clientes y Proveedores ha supuesto, en la gestión de la protección de datos en la empresa, la adquisición de una mayor relevancia del tratamiento de datos en las relaciones laborales.

Existe por tanto un desplazamiento en la gestión de la protección de datos hacia el departamento de RRHH, siendo el dato personal del trabajador el elemento fundamental a tener en consideración para aquellas empresas cuyos clientes finales no sean los consumidores y usuarios.

A lo largo del presente artículo, se pretende analizar los distintos tratamientos de datos personales que existen en las relaciones laborales desde la entrada del dato hasta su cancelación o bloqueo. Se analizarán los distintos aspectos clave en el tratamiento de datos en el proceso de selección, en la contratación, en el control empresarial, en la cesión o comunicación e datos al comité de empresa, en la prevención de riesgos laborales, en la subcontratación de servicios, en la gestión de los accidentes de trabajo y enfermedades profesionales, hasta su finalización con la extinción de la relación laboral procediéndose a la cancelación o bloqueo del dato.

 

ÁMBITO DE APLICACIÓN

El art. 2 del RLOPD excluye del ámbito de aplicación del reglamento a las personas jurídicas y aquellos datos de las personas físicas que presten sus servicios en aquellas, así como a los trabajadores por cuenta propia o autónomos. Esta exclusión, viene a confirmar el posicionamiento que la Agencia Española de Protección de Datos venía manteniendo en varios de sus informes relativos al ámbito de aplicación de la Ley respecto de los datos personales de trabajadores y profesionales.

De esta manera, siempre y cuando los datos objeto de tratamiento consistan únicamente en los datos de los trabajadores de las empresas (nombres y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax) o los datos de profesionales autónomos, se considerará que el tratamiento de los mismos se encuentra fuera del ámbito de aplicación la normativa de protección de datos. Es por tanto necesario identificar dentro en la gestión del tratamiento de datos en la Empresa, cuando existe tratamiento de datos personales sometido a la normativa de protección de datos en los ficheros de Clientes y Proveedores.

1.1 Exclusión del ámbito de aplicación de los profesionales autónomos.

El problema que suscita el tratamiento de datos personales para los clientes y proveedores que se constituyen como empresarios autónomos, es la posible coincidencia de sus datos profesionales con sus datos particulares (nombre y apellidos), así como la utilización del domicilio profesional como domicilio particular y la coincidencia del CIF con el DNI del profesional o autónomo. En este sentido, es conveniente dilucidar cuando estamos ante un tratamiento de datos profesional y cuando ante un tratamiento de datos particular o privativo.

Siguiendo el análisis que realiza la AEPD en su resolución de 27 de febrero de 2001, en el fundamento jurídico II indica lo siguiente:

“… la protección conferida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, no es aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías establecidas en la Ley, y por extensión lo mismo ocurrirá con los profesionales que organizan su actividad bajo la forma de empresa (ostentando, en consecuencia la condición de comerciante a la que se refieren los artículos primero y siguientes del Código de Comercio) y con los empresarios individuales que ejercen una actividad comercial y respecto de las cuales sea posible diferenciar su actividad mercantil de su propia actividad privada, estando en el primer caso excluidos también del ámbito de aplicación de la Ley Orgánica 15/1999.

En definitiva pues, tanto las personas jurídicas como los profesionales y los comerciantes individuales (éstos dos últimos sólo en los estrictos términos señalados en el párrafo que antecede, esto es, cuando sus datos hayan sido tratados tan sólo en su consideración de empresarios) quedan fuera del manto protector de la Ley Orgánica 15/1999.

 A contrario sensu, tanto los profesionales como los comerciantes individuales quedarían bajo el ámbito de aplicación de la Ley Orgánica 15/1999 y, por tanto, amparados por ella cuando los primeros no tuvieran organizada su actividad profesional bajo la forma de empresa, no ostentando, en consecuencia, la condición de comerciante (es el caso de los profesionales liberales cuyas actividades están expresamente excluidas del ámbito de aplicación de la Ley Básica 3/1993 por su artículo 6) y los segundos cuando no fuera posible diferenciar su actividad mercantil de la propia actividad privada. En estos dos casos deberán aplicarse siempre las garantías de la Ley Orgánica 15/1999 dada la naturaleza fundamental del derecho a proteger. Ello exigirá siempre ir analizando caso por caso para hallar en cada supuesto concreto el límite fronterizo donde resulte afectado el derecho fundamental a la protección de datos de los interesados personas físicas, o, por el contrario, aquél no resulte amenazado por incidir tan solo en la esfera de la actividad comercial o empresarial, teniendo en todo caso presente que, en caso de duda, la solución deberá siempre adoptarse a favor de la protección de los derechos individuales”.

Por otro lado siguiendo la sentencia del Tribunal Supremo de fecha 20 de febrero de 2007, se pronuncia sobre este tema señalando en su fundamento de derecho sexto párrafo octavo:

Es claro que los Arquitectos y Promotores a que se refiere el litigio participan de la naturaleza de personas físicas y que no dejan de serlo por su condición de profesionales o agentes que intervienen en el mercado de la construcción, por lo que los datos personales relativos a los mismos, quedan amparados y sujetos en cuanto a su tratamiento informatizado a las previsiones de la LORTAD; y es que desde este punto de vista subjetivo la exclusión del ámbito de aplicación de la LORTAD no viene determinado por el carácter profesional o no del afectado o titular de los datos objeto de tratamiento, sino por la naturaleza de persona física o jurídica titular de los datos, en cuanto sólo las personas físicas se consideran titulares de los derechos a que se refiere el art. 18.4 de la Constitución”.

“Otra cuestión será determinar en cada caso y bajo el amparo y aplicación de la LORTAD, el carácter personal o no del dato de que se trate, que en este caso y como se ha indicado antes no puede ponerse en duda, pues se refiere al nombre, profesión, domicilio y demás circunstancias personales de los afectados, lo que es distinto de las relaciones sociales o profesionales que, según doctrina del Tribunal Constitucional invocada por la recurrente, no se comprenden en el derecho a la intimidad”.

Se trataría por tanto de analizar caso por caso cuando estamos ante un tratamiento de datos personales sometidos al ámbito profesional del empresario individual y cuando ante un tratamiento de datos sometidos al ámbito privado del profesional autónomo. En este sentido se ha pronunciado la AEPD en su reciente Informe 42/2008:

Así, el tratamiento de los datos del empresario individual, con las limitaciones que se han venido señalando, para mantener una relación comercial con el mismo, podría encontrarse amparado por el artículo 2.3 del Reglamento, en conexión con las normas de la Ley Orgánica 15/1999 que se han venido indicando.

Sin embargo, no podrá considerarse amparado por el precepto, y en consecuencia excluido de la aplicación de la Ley Orgánica 15/1999, el tratamiento de los datos del comerciante llevado a cabo no con la finalidad de mantener una relación empresarial con el establecimiento u organización que el mismo hubiera creado, sino para conocer la información del propio sujeto organizado en forma de empresa, siendo el destinatario del tratamiento no la empresa sino el propio empresario en tanto, por ejemplo, que consumidor individual.

En consecuencia, de lo que ha venido indicándose cabrá extraer dos conclusiones determinantes del alcance de lo dispuesto en el artículo 2.3 del Reglamento:

  • Cabrá considerar que la legislación de protección de datos no es aplicable en los supuestos en los que los datos del comerciante sometidos a tratamiento hacen referencia únicamente al mismo en su condición de comerciante, industrial o naviero; es decir, a su actividad empresarial.
  • Al propio tiempo, el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la Ley Orgánica. 

Podemos por tanto entender que a pesar de que el tratamiento de datos realizado por los sistemas de información de la empresa en la gestión de los ficheros de clientes proveedores, incluye datos personales del profesional autónomo como el nombre y apellidos, domicilio particular, DNI, teléfono, fax y dirección de correo electrónico, que afectan a la esfera privada del individuo, los mismos quedarían fuera del ámbito de aplicación de la normativa de protección de datos en la medida en que los mismos hagan referencia exclusivamente a la condición de comerciante y sean utilizados para la gestión de la actividad empresarial.

 

1.2 Exclusión del ámbito de aplicación de aquellos datos de personas físicas vinculados a personas jurídicas.

Por otro lado, el mencionado art. 2.2 del RLOPD señala que el mismo “no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”.

Debemos por tanto identificar en los tratamientos de datos personales que se realizan de los ficheros de Clientes y Proveedores, cuando nos encontramos ante datos de carácter personal sujetos al ámbito de aplicación de la ley, y cuando nos encontramos ante datos profesionales que no afectan a la esfera de la privacidad de la persona física.

La interpretación que podemos hacer del mencionado artículo es que nos encontramos ante un numerus clausus, es decir, si el tratamiento de datos de los ficheros de Clientes y Proveedores únicamente abarca los datos profesionales relativos al nombre y apellidos, cargo, dirección postal o electrónica, teléfono y número de fax profesional de la persona física perteneciente a la organización o empresa, estaríamos ante un supuesto de exclusión del ámbito de aplicación de la ley. En este sentido, únicamente estaríamos ante un tratamiento de datos personales incluido dentro del ámbito de aplicación cuando se incorporasen datos adicionales a los identificados por el art.2.2. como por ejemplo la fecha de nacimiento, dirección particular utilizada para el envío de felicitaciones de Navidad, gustos o preferencias, DNI etc.…

Si bien los gustos o preferencias, la fecha de nacimiento, la dirección particular los podemos considerar como datos personales que afectan a la esfera de la privacidad del individuo, el DNI o dirección particular utilizado por los apoderados de las empresas para la firma de contratos es un dato que suele ser utilizado con bastante asiduidad y que reside normalmente en los departamentos de asesoría jurídica o departamentos comerciales de las empresas. Sería por tanto necesario analizar si el DNI del apoderado o trabajador de la empresa que está integrado dentro del tratamiento de datos de los ficheros de Clientes y Proveedores queda dentro del ámbito de aplicación de la normativa de protección de datos, a pesar de que el mismo sea utilizado con una finalidad profesional. Para ello podemos apoyarnos en los informes y decisiones de la AEPD así como el posicionamiento de los jueces y tribunales.

Efectivamente analizando la resolución de la AEPD de 19 de julio de 2005 sobre la grabación telefónica de dos personas físicas que actúan como administradores de sus respectivas sociedades encontramos lo siguiente:

“(…) ambos interlocutores intervienen en el presente supuesto, como ha quedado acreditado, en el desempeño de las funciones de apoderamiento que le son propias como representantes de las citadas entidades, desarrollando, en todo momento, una actividad mercantil claramente separada de sus respectivas actividades privadas”.

(…) los hechos expuestos se circunscriben a unas actuaciones desarrolladas, por los representantes de las sociedades implicadas, exclusivamente en el ámbito de actuación de las mismas, y en concreto en el desarrollo de la actividad inmobiliaria que constituye su objeto social, que, como ha quedado señalado, comprende la construcción, promoción, adquisición y venta de inmuebles. En consecuencia, el tratamiento de los datos de que traen causa las presentes actuaciones de inspección no se encuentra incluido dentro del ámbito de aplicación establecido en la LOPD”.

Igualmente las resoluciones de 24 de agosto de 2005 y 9 de mayo de 2006 se refieren al tratamiento de direcciones de correo electrónico en que figuran algunos nombres de personas de la empresa con la que el responsable del tratamiento mantuvo relación comercial, considerando la segunda de las resoluciones citadas que:

“se trata de direcciones institucionales de empresa que, por lo tanto, no tienen la consideración de dato personal, por lo que procede acordar el archivo de las presentes actuaciones previas de investigación”.

Por tanto podemos afirmar por lo que la AEPD ha venido señalando que cuando el tratamiento del dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, y que por tanto es referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo dispuesto en la Ley Orgánica 15/1999. En este sentido, podríamos concluir que la incorporación del DNI del apoderado en los ficheros de clientes y proveedores dado que el mismo se refiere a la identificación de la persona apoderada por la empresa, podría quedar excluido del ámbito de aplicación de la LOPD al referirse exclusivamente al ámbito profesional.

Sin embargo el informe 42/2008 señala que:

No obstante, nuevamente, es necesario que el tratamiento del dato de la persona de contacto sea accesorio en relación con la finalidad perseguida. Ello se materializará mediante el cumplimiento de dos requisitos:

“El primero, que aparece expresamente recogido en el Reglamento será el de que los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por este motivo, el Reglamento impone que el tratamiento se limite a los datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales”.

De este modo, cualquier tratamiento que contenga datos adicionales a los citados se encontrará plenamente sometido a la Ley Orgánica 15/1999, por exceder de lo meramente imprescindible para identificar al sujeto en cuanto contacto de quien realiza el tratamiento con otra empresa o persona jurídica.

Por ello, no se encontrarían excluidos de la Ley los ficheros en los que, por ejemplo, se incluyera el dato del documento nacional de identidad del sujeto, al no ser el mismo necesario para e mantenimiento del contacto empresarial. Igualmente, y por razones obvias, nunca podrá considerarse que se encuentran excluidos de la Ley Orgánica los ficheros del empresario respecto de su propio personal, en que la finalidad no será el mero contacto, sino el ejercicio de las potestades de organización y dirección que a aquél atribuyen las leyes.  

El segundo de los límites se encuentra, como en el supuesto contemplado en el artículo 2.3, en la finalidad que justifica el tratamiento. Como se ha venido indicando reiteradamente, la inclusión de los datos de la persona de contacto debe ser meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos.

De este modo, la finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el uso del dato debería dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad.

Si además tomamos en consideración la consulta el informe 476/2008 de la AEPD en el que se establece la aplicación de la normativa de protección de datos por la inclusión del DNI en un fichero de datos personales.

La pretensión de la consultante de incorporar este dato del DNI de los representantes de las empresas, además de la identificación de estos contactos, junto con otra serie de datos referidos a dichas empresas, va a determinar que los tratamientos que se hagan o el fichero al que se incorpore tal dato, queden sometidos a los principios que informan las protección de datos de carácter personal, recogidos en la Ley Orgánica 15/1999 y su Reglamento de desarrollo Real Decreto 1720/2007.

El artículo 2 de la Ley Orgánica 15/1999 establece que “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”

Del contenido de la consulta no puede desprenderse la finalidad para la que se pretende tratar el dato del DNI. Por ello es preciso recordar que el artículo 4 de la Ley Orgánica dispone en su número 1 “ Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Y en su número 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquéllas para las que los datos hubieran sido recogidos. (…) “.

La inclusión del DNI de los representantes de las empresas en un fichero ha de tener una finalidad, ha de ser necesaria para el logro de a actividad legítima de la consultante. Por ello, si como afirma ésta, se pretenden obtener listados o archivos de los demás datos incorporados al mismo soporte físico pero suprimiendo el dato del DNI, parece que su inclusión no resulta necesaria o pertinente. Si, por el contrario, se debe incluir este dato personal, el soporte físico constituirá un fichero en su conjunto, cuya creación, contenido y uso le corresponderá a la consultante que será la responsable del mismo y deberá notificarlo previamente a esta Agencia Española de Protección de Datos, en aplicación de lo dispuesto en el artículo 26 de la Ley Orgánica

Podemos concluir por tanto que a pesar de tratarse de un dato no incluido entre los datos señalados por el art.2 del ámbito de exclusión del reglamento, siempre y cuando la finalidad para la que se pretenda tratar el dato es una finalidad profesional o vinculada a la personas jurídicas en la que los trabajadores prestan sus servicios nos encontraríamos ante un supuesto de exclusión del ámbito de aplicación de la normativa de protección de datos.

 

1.3 El Reglamento General de Protección de Datos

Tras lo expuesto en los párrafos precedentes actulamente hay una serie de datos que vienen siendo tratados y considerados fuera del ámbito de aplicación de la normativa de protección de datos, lo cual supone cierta libertad para tratarlos por parte de los Responsables de tratamiento, y a la vez supone limitar el ámbito de aplicación del Documento de Seguridad ya que la mayoría de aplicaciones CRM de las empresas cuyo negocio es el B2B no necesitan incorporar estas aplicaciones de gestión ya que las mismas no suelen albergar el DNI del contacto profesional u otros datos no incluidos en el art.2.2 del RLOPD.

Por tanto es posible tratar el dato del contacto profesional y realizar una actividad de Marketing Directo para explotar comercialmente las Bases de Datos de los contactos profesionales de la Empresa, siempre y cuando la finalidad sea el mero contacto profesional vinculado al a Persona Jurídica, siempre y cuando no enviamos comunicaciones comerciales electrónicas en cuyo caso necesitaríamos el consentimiento expreso, sobre todo cuando los mismos fuera potenciales clientes.

El considerando 14 del RGPD establece lo siguiente:

La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

Parece por tanto indicar que los datos de contacto se encuentran dentro del ámbito de aplicación el RGPD, esto implicaría que a partir del 25 de mayo de 2018 habría que cumplir con el consentimiento y el deber de información en tratamiento de datos de contacto profesionales. En este sentido, se hace necesario identificar ante que supuestos nos encontramos, y sobre todo ante que finalidades de tratamiento, siempre que se interprete el considerando 14 como que los datos de contacto profesionales entran dentro del RGP. Por tanto,  deberíamos distinguir dos situaciones:

Si son Clientes/Proveedores el contrato nos legítima para el tratamiento y no necesidad del consentimiento pero no nos eximiría de informar lo que haremos con sus datos. En estos casos el problema que tendríamos es que la firma del contrato no se realiza por los contactos profesionales por tanto habría que aplicar el principio del interés legítimo, y en cualquier caso cuando los datos sean utilizados informar al afectado para que conozca sus derecho. En estos supuestos existirían muchas posibilidades para hacerlo efectivo pues normalmente los datos profesionales se utilizan para ponerse en contacto con el ciente (vía teléfono, vía mail, etc…en definitiva para la gestión contractual) y la forma de informar puede ser muy variada, desde cláusulas en los correos electrónicos, en la política de privacidad de la web corporativa, en las cartas o comunicaciones realizadas etc….

La otra posibilidad sería si son potenciales Clientes. Estos casos todavía sería más complicado cumplir con el RGPD pues no tengo ninguna relación jurídica previa con el potencial cliente y como mucho puedo tener una tarjeta comercial de la visita realizada o de la reunión que se mantuvo con el mismo. Parece sin embargo que el hecho de que se tenga la tarjeta es un motivo que podría legitimar el tratamiento de datos, y por tanto parece existir un interés legítimo en el tratamiento de los mismos por la empresa. Dicho interés legítimo por tanto nos debe legitimar el tratamiento de dichos datos, y por tanto únicamente nos quedaría el deber de informar sobre la tratamiento o procesamiento de dichos datos. Existen diversas formulas pero entre otras se podrían utilizar las herramientas que ya ofrecen los CRMs,   los cuales envían un mensaje de bienvenida al potencial cliente una vez se introducen los datos en el CRM o Bases de Datos de contactos comerciales. De esta manera siempre se envía una comunicación con un recordatorio de la reunión comercial mantenida en donde se informa de los derechos y demás finalidades. Otra posibilidad sería incluir la cláusula de información en las comunicaciones comerciales que enviemos a los potenciales clientes recordando en todo momento cual es la finalidad, los derechos que tienen sobre sus datos y demás cuestiones. Por tanto a diferencia de los ficheros de Clientes/Proveedores en este grupo de datos, sí que tiene sentido informar de los derechos del potencial cliente y la posibilidad de éste último de ejercitar sus derechos de supresión etc… Por otro lado recordar de nuevo que no legitimaría el envío de comunicaciones comerciales electrónicas, ya que las mismas requieren el consentimiento del potencial cliente.

CONCLUSIÓN conforme al RGPD Europeo tenemos claro que no tiene mucho sentido que estén incluidos en el ámbito de protección del RGPD en la medida en detrás del dato personal se encuentre la representación de la Persona Jurídica y no nuestra esfera de la privacidad, de tal manera que si los datos que se tratan son los meramente profesionales (no hay DNI, ni gustos, ni estudios, ni otro dato adicional), dichos datos deberían ser excluidos del ámbito de protección del RGPD, para precisamente permitir la libre circulación del dato en la Unión Europea y mejorar la competencia y desarrollo de la actividad comercial en Europa, y no poner más trabas al empresario europeo aumentando sus deberes de información respecto de unos derechos que estarían más bien vinculados a la Persona Jurídica y no a la Persona Física.

 

5
May

Nueva participación de DPO&IT Law en European Commission Payment Systems Market Expert Group

Fernando Ramos

El próximo jueves 11 de mayo, DPO&IT Law viajará nuevamente a Bruselas para participar durante la jornada organizada por TRUSTeuaffairs en el Grupo de Trabajo sobre BlockChain y Monedas Virtuales perteneciente al Grupo de Expertos del Mercado de Sistemas de Pago de la Comisión Europea ( European Commission Payment Systems Market Expert Group – PSMEG).

El Grupo de trabajo se reunirá con Presidencia Maltesa del Consejo para discutir e introducir las modificaciones oportunas en la propuesta de la Quinta (5) Directiva de Blanqueo de Capitales relativas a las definiciones introducidas sobre las Monedas Virtuales y Proveedores de servicios, y también con el Responsable de la Comisión Europea del Grupo de Trabajo Fintech que se encuentra actualmente colaborando con el Parlamento Europeo en la construcción del observatorio Blockchain.

 

5
May

Acuerdo de colaboración entre IMQ IBERICA y DPO&IT LAW

IMQ IBERICA y DPO&IT LAW firman un acuerdo de colaboración con el fin de promover la impartición, dentro de su Business School, de cursos específicos sobre La Ley Orgánica de Protección de Datos (LOPD) y el Nuevo Reglamento General de Protección de Datos (RGPD).

En breve se podrán consultar todos los detalles de los cursos y el proceso de matrícula a través de la plataforma web de IMQ Ibérica.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies