Recursos Humanos

21
Jun

6. Posibles cesiones o comunicaciones de datos en el ámbito de la relación laboral

Según el art 5 c del RLOPD

“La cesión o comunicación de datos consiste en un tratamiento de datos que supone su revelación a una persona distinta del interesado”

Así mismo el art 11 de la LOPD establece en detalle las condiciones en las que podrán o no ser cedidos los datos:

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

La regla general por tanto de toda cesión o comunicación de datos es, la obtención del consentimiento del interesado para la cesión o comunicación de datos.

Los principales supuestos concretos que nos podemos encontrar en el ámbito de la relación laboral serían los siguientes:

  • Cesión de datos de trabajadores a empresas del grupo.
  • Cesión de datos de trabajadores a sindicatos y representantes de trabajadores.
  • Comunicación de datos a empresas para la prevención de riesgos laborales.
  • Comunicación de datos de trabajadores a mutuas de accidentes de trabajo y enfermedades profesionales.
  • Supuesto de comunicación de datos por empresas subcontratistas.

 

  1. Cesión de datos de trabajadores a empresas del grupo

En atención a lo establecido en el Informe de la Agencia de Protección de Datos  0494/2008 y de acuerdo a la Sentencia de la Sección Novena de la sala de lo contencioso-Administrativo  del Tribunal Superior de Justicia de 16 de Octubre de 2000:

Las sociedades que se integren dentro de un Grupo de Empresas, tienen personalidad jurídica plena e independiente entre sí, y por tanto todo intercambio de datos que se produzca entre las distintas empresas del Grupo se considerará como una cesión o comunicación de datos. En este sentido, cada empresa del grupo deberá previamente:

  • Informar de la cesión y su finalidad al afectado.
  • Recabar su consentimiento.

No obstante lo anterior, es común en los grupos de empresas la existencia de una sociedad matriz que normalmente se encarga de la gestión de los datos de las otras empresas para la prestación servicios de elaboración de nóminas, llevanza de la contabilidad, soporte informático, marketing etc. En estos supuestos si bien estamos ante una cesión o comunicación de datos de trabajadores habrá de tenerse en cuanta que:

  • Para evitar que esta comunicación sea interpretada como una cesión, se deberá formalizar un contrato de encargado de tratamiento entre la empresa matriz y aquella que le remita sus datos.
  • La empresa matriz es la empresa encargada de tratamiento, y tratará los datos conforme a instrucciones que le remitan las empresas responsables de los datos.
  • La empresa remitente de los datos sigue siendo responsable de sus ficheros.

Por tanto, salvo en supuestos de prestación de servicios por parte de la empresa matriz a las filiales, o entre las mismas, toda cesión o comunicación de datos de trabajadores que no suponga el acceso datos por cuenta de terceros requerirá el consentimiento del trabajador, así como el deber de información establecido en el art. 15 de la LOPD.

 

  1. Cesión de datos de trabajadores a sindicatos y representantes de trabajadores

En el el artículo 64 del Estatuto de los Trabajadores se otorga a los delegados sindicales y a los miembros del comité de empresa la facultad de acceder a determinada documentación e información, entre otros:

  • estadísticas sobre el índice de absentismo y sus causas,
  • los accidentes de trabajo y enfermedades profesionales y sus consecuencias,
  • índices de siniestralidad,
  • estudios de medio ambiente laboral y mecanismos de prevención utilizados,
  • ser informado por faltas muy graves impuestas,
  • acceso a la copia básica de los contratos de trabajo.

En definitiva los Comités de empresa o Delegados Sindicales  están facultados según el art 64 de Estatuto para recibir información de “ todos los temas y cuestiones señalados en cuanto directa o indirectamente tengan o puedan tener repercusión en las relaciones laborales”. De esta manera, la empresa estaría obligada a facilitar toda esta información que afecte directa o indirectamente a las relaciones laborales excepto aquella que pertenezca a la esfera de la intimidad del trabajador. En este sentido:

  1. No sería necesario informar respecto al salario de los trabajadores. A este respecto la Sentencia del Tribunal Supremo de 19 de febrero de 2009 establece:

“la información de los salarios por categorías y departamentos, (…) cumple suficientemente con las exigencias que al respecto establece el artículo 1 de la Ley 2/1991” () por lo que no sería necesario concretar individualizadamente el salario de todos los trabajadores bastando informar respecto de los salarios por categorías y departamentos.

  1. No se tendría la obligación de informar de las direcciones de correo electrónico de los trabajadores por cuanto éstas no repercuten en las relaciones laborales.
  2. En relación a los datos de absentismo y, en concreto a las ausencias por incapacidad temporal de los trabajadores (enfermedades y accidentes), la empresa deberá informar sobre las causas y consecuencias de los mismos pero no (en caso de conocerse) respecto de las patologías médicas de los trabajadores.
  3. Respecto al contrato de trabajo, el empresario entregará a la representación legal de los trabajadores una copia básica de todos los contratos que deban celebrarse por escrito, a excepción de contratos de relación laboral especial (alta dirección). La copia básica contendrá todos los datos del contrato a excepción de DNI, domicilio, estado civil, y cualquier otro que de acuerdo con la Ley Orgánica 1/1982, de 5 de Mayo, pudiera afectar a su intimidad personal.

 

  1. Comunicación de datos a empresas de prevención de riesgos laborales

 

  1. Supuesto de comunicación de datos de la empresa a la Mutua de Prevención de Riesgos Laborales sobre datos de sus empleados:

De acuerdo con el artículo 14.2 de la Ley 31/1995 de Prevención de Riesgos Laborales (LPRL) se establece la obligación a la empresa de establecer un sistema de prevención y protección de riesgos laborales. Para el desarrollo de dicha actividad deberá contar bien con un servicio de prevención propio o contratar un servicio ajeno debidamente acreditado.

Por tanto, en los supuestos en los que se contrate un servicio prevención ajeno a la empresa se deberá formalizar el correspondiente contrato de prestación de servicios con la empresa de Servicios de Prevención de Riesgos Laborales. Dicha empresa accederá a los datos en calidad de encargado de tratamiento y el contrato de prestación de servicios deberá cumplir con las previsiones del art 12 de la LOPD.

  1. Supuesto especial actividades de vigilancia y control de la salud de los trabajadores:

No obstante lo anterior, la actividad de vigilancia y control de la salud de los trabajadores no se considerará como un acceso a datos por cuenta de terceros en los supuestos de servicios de prevención de riesgos laborales ajenos.

De acuerdo con los sucesivos informes de la Agencia Española de Protección de datos, Informes 0391/2006, 198/2008 y 024/2009, la empresa de servicios de Prevención de Riesgos será considerada en estos supuestos como responsable del tratamiento.

En consecuencia cuando la empresa contrate con una Mutua la protección de las contingencias profesionales de los trabajadores o la prestación económica de incapacidad temporal derivada de contingencias comunes, será considerada responsable del tratamiento de datos que realizan de acuerdo con las funciones que tiene legalmente atribuidas, y no con un mero tratamiento por cuanta de terceros.

Podemos concluir que tanto las empresas encargadas de la Prevención de Riesgos Laborales como las Mutuas de Accidentes tienen la consideración de responsables del tratamiento de datos que realizan, al amparo de las funciones que tiene legalmente atribuidas.”

El artículo 22 de la LPRL en su apartado 6 establece expresamente que “las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo por el personal sanitario con competencia técnica, formación y capacidad acreditada”. El apartado 4 del mismo artículo determina que “el acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador”. Por tanto, las empresas solo pueden tener conocimiento de las conclusiones que se deriven de los reconocimientos en relación a la aptitud del trabajador para el desempeño de su puesto. En este sentido, la empresa de Prevención de Riesgos Laborales deberá remitir a la empresa las conclusiones que se deriven de los reconocimientos efectuados y en relación con la aptitud del trabajador para el puesto desempeñado siendo responsable de los datos de salud relativos a la revisión médica.

 

  1. Comunicación de datos a mutuas de accidentes de trabajo y enfermedades profesionales

El empresario de acuerdo con el artículo 99 de la Ley General de la Seguridad Social debe proceder a la afiliación de sus trabajadores y establecer la protección de los mismos a través de un sistema de una entidad gestora o de una Mutua de Accidentes. En estos supuestos de cesión o comunicación de daos no se requerirá consentimiento de los trabajadores pues resulta necesaria para el cumplimiento de las coberturas y prestaciones que son exigidas de acuerdo al artículo 99 de la Ley General de la Seguridad Social y sin las cuales no podría mantenerse lícitamente la relación laboral.

El cumplimiento de la obligación legal de facilitar datos de los trabajadores respecto de las contingencias de accidentes de trabajo y enfermedad profesional, implica la necesidad de comunicar a la mutua correspondiente los datos identificativos de los empleados objeto de la cobertura. En este sentido, únicamente podrán cederse datos necesarios para el cumplimiento de la obligación y solamente aquellos datos que sean elaborados por la Mutua relativos a datos de salud de los trabajadores serán de su responsabilidad y no podrán ser comunicados a los empresarios, excepto habilitación legal o el oportuno consentimiento previo del trabajador.

 

  1. Supuesto de comunicación de datos por las empresas subcontratadas

El Estatuto de los trabajadores, establece en su artículo Artículo 42.1 que:

Los empresarios que contraten o subcontraten con otros la realización de obras o servicios, correspondientes a la propia actividad de aquellos deberán comprobar que dichos contratistas están al corriente del pago de las cuotas de la seguridad social a tal efecto recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería de la Seguridad Social”.

Esto supone la responsabilidad solidaria del empresario principal, durante el año siguiente a la terminación de su encargo, de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores.

Es práctica habitual en la subcontratación de servicios  que se envíen entre las empresas los documentos TC1 y TC2 como acreditativos de estar al corriente de los pagos a la Seguridad Social, ya que los mismos recogen la relación nominal de los trabajadores respecto a los cuales el empresario ha dado cumplimiento de sus obligaciones de abono de la correspondiente cuota a la seguridad Social, pero.

La AEPD ha estableció a través de sus informes en sucesivas ocasiones que no existe ninguna habilitación legal que posibilitase la cesión de datos, y por tanto que no se encontraba recogida ni en el Estatuto de los Trabajadores ni en la Ley de Prevención de Riesgos Laborales, siendo por tanto necesario el consentimiento previo de los afectados antes de proceder a la cesión.  Sin embargo en su informe 412/2009 estableció  lo siguiente:

El artículo 42.2 del Estatuto de los Trabajadores, impone al contratista principal una responsabilidad solidaria, responsabilidad que implica atender el cumplimiento de una obligación de naturaleza salaria y las referidas a la Seguridad Social durante el período de vigencia de la contrata.

Las obligaciones, según el Código Civil en su artículo 1089 “nacen de la ley, contratos ” En el supuesto que nos ocupa la obligación nace de una Ley, el Estatuto de los Trabajadores, asimismo continúa señalando el Código Civil en el artículo 1088 que “Toda obligación consiste en dar, hacer o no hacer alguna cosa”.

El Estatuto de los Trabajadores impone una obligación solidaria definida a sensu contrario en el artículo 1137 del ya citado Código Civil como “La concurrencia de dos o más acreedores o dos o más deudores en una sola obligación no implica que cada uno de aquéllos tenga derecho a pedir, ni cada uno de éstos deba prestar íntegramente la cosa objeto de la misma. Sólo habrá lugar a esto cuando la obligación expresamente lo determine, constituyéndose con el carácter de solidaria.”

De la definición se desprende que cuando estemos en presencia de una obligación solidaria cada uno de los deudores deberá prestar íntegramente la cosa objeto de la misma. Por tanto, si el contratista principal es obligado solidariamente de la deuda salarial y a las referidas a la Seguridad Social durante el período de vigencia de la contrata, deberá de conocer el contenido íntegro de dicha obligación para poder cumplirlas.

Por todo ello, dado que el Estatuto de los Trabajadores impone una un deber al empresario principal, la comunicación de ciertos datos tales como el TC2, resulta conforme con al Ley Orgánica 15/1999 y el Reglamento de desarrolla, pues se haya expresamente prevista en una norma con rango de Ley. Además el propio Código Civil exige atender íntegramente las obligaciones solidarias por lo que es preciso conocer el contenido de la misma.

En consecuencia, la cesión de los TC2 estaría amparada en el artículo 7.3 de la Ley Orgánica 15/1999, en relación con el artículo 42.2 del Estatuto de los Trabajadores y por el alcance que el Código Civil impone a las obligaciones solidarias.

12
Jun

5. El control del Cumplimiento de las Obligaciones de los Trabajadores por parte del Empresario

5.1 Cuestiones previas

La posibilidad que tiene el empleador o empresario de poder controlar la forma en que los trabajadores cumplen con sus funciones en la empresa se recoge en el art.20.3 del Estatuto de los Trabajadores que establece:

“El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

Para llevar a cabo este control, la obtención de datos ha de ser legítima, y proporcional, es decir, los datos recabados deberán ser adecuados, pertinentes y no excesivos en relación con la necesidad que justificó su recogida.

Además, si bien no es necesario el consentimiento del trabajador para dicho control,  si deberán estar suficientemente informados sobre la existencia de dicho control, sobre su actividad, las razones que lo motivan, las horas en que se aplica, los métodos y técnicas utilizados y los datos acopiados. (Recomendación de la Oficina Internacional del Trabajo).

 

5.2 Sistemas de control personal: los controles “tecnológicos”

Como mecanismos de control tecnológico de la actividad de los trabajadores, nos podemos encontrar con distintos controles de la actividad del trabajador como por ejemplo el control del uso del correo electrónico, el control de las llamadas telefónicas efectuadas, el control del uso de Internet, o incluso la grabación de imágenes de su actividad laboral  o la videovigilancia en el lugar de trabajo.

Dichas medidas de control que puede utilizar el empresario par el control del trabajo del empleado,  en principio estarían legitimadas siempre y cuando el medio utilizado para el control sea proporcional para la finalidad con la que se utilice y la información se utilice exclusivamente en el marco de la relación laboral.

Una vez obtenido el juicio de proporcionalidad para el control del trabajador, entendemos que el empresario podrá implantar dichos controles tecnológicos siempre y cuando informe de la implantación de los mismos al trabajador. En este sentido sería necesario:

  • Informar a los trabajadores y sus representantes, del tipo de tecnología y medios utilizados por el empresario en relación con la vigilancia, seguimiento y control de la actividad laboral.
  • Los representantes de los trabajadores obtendrán cumplida información sobre la introducción de cualquier nuevo sistema de control que afecte al conjunto de los trabajadores.
  • Solo cuando haya una firme sospecha de actividades delictivas o dolosas cometidas por un trabajador, podrá excepcionarse la obligación de informar. En dicho supuesto se justificaría la vigilancia encubierta. (Documento de trabajo del Grupo de Trabajo “Artículo 29” relativo a la vigilancia y el control de las comunicaciones electrónicas en el lugar de trabajo).

El Estatuto de los Trabajadores sólo establece la facultad de control del empresario pero no regula la forma concreta en la que esta debe de llevar a cabo. De ahí la importancia de la AUTOREGULACIÓN. La empresa deberá establecer un protocolo interno en el que se informe al trabajador de la existencia de mecanismos de control y del alcance de los mismos.

 

5.3 Grabación de imágenes y videovigilancia en el lugar de trabajo

El uso de videocámaras en el ámbito laboral ha generado una importante controversia, ya que hace entrar en contraposición dos importantes derechos:

  • El derecho a la intimidad personal, refrendado por el artículo 18 de la Constitución y desarrollado por la LO 1/1982 de protección civil del derecho a la intimidad.
  • El Estatuto de los Trabajadores que en su artículo 3 faculta al empresario a adoptar las medidas de vigilancia y control que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

El uso de la videovigilancia para la verificación del cumplimiento de las obligaciones laborales, se encuentra plenamente sometido a la normativa sobre Protección de Datos, y en particular a lo dispuesto en la Instrucción 1/2006 de la Agencia Española de Protección de Datos.

El tratamiento se limitará a las finalidades previstas por el Estatuto de los Trabajadores, y/o en todo caso a finalidades legítimas reconocidas por la normativa vigente, debiendo cumplir en este último caso adicionalmente las previsiones específicas que sean de aplicación. En este sentido podemos resumirlas en las siguientes medidas:

Se ha de respetar de modo riguroso el principio de proporcionalidad:

  • Se adoptará esta medida cuando no exista otra más idónea.
  • Las instalaciones, en caso de utilizarse, se limitarán a los usos estrictamente necesarios captando imágenes en los espacios indispensables para satisfacer las finalidades de control laboral.
  • No podrán utilizarse estos medios para fines distintos de los propios del control laboral salvo que se trate de fines legítimos y se adopten las medidas pertinentes para el cumplimiento de la normativa que les sea de aplicación.

Deberán ser tenidos en cuenta los derechos específicos de los trabajadores respetando:

  • Los derechos a la intimidad y el derecho fundamental a la protección de datos en relación con espacios vetados a la utilización de este tipo de medios como vestuarios, baños, taquillas o zonas de descanso.
  • El derecho a la propia imagen de los trabajadores.
  • La vida privada en el entorno laboral no registrando, en particular las conversaciones privadas.

Se deberá garantizar el derecho a la información en la recogida de las imágenes:

  • Con información específica a la representación sindical.
  • Mediante información personalizada.
  • Mediante el cartel anunciador y el impreso establecidos.

Se procederá en su caso a la creación y/o inscripción del correspondiente fichero.

Se garantizará la cancelación de las imágenes en el plazo máximo de 30 días y únicamente podrán conservarse aquellas que registren una infracción o incumplimiento de los deberes laborales, a disposición de las Administraciones Públicas, Jueces y Tribunales.

Se garantizarán los derechos de acceso y cancelación. Para evitar perjudicar derechos de terceras personas, el ejercicio de acceso quedará garantizado mediante un escrito certificado donde conste la fecha de la grabación, las horas que estuvo grabado y la finalidad del registro de la imagen.

Se formalizarán en su caso contratos de acceso a los datos por cuenta de terceros en los supuestos en los que el servicio se subcontrate con la correspondiente empresa de seguridad privada que pueda visualizar las imágenes siendo esta encargada del tratamiento.

Por último se elaborará el correspondiente Documento de Seguridad que contemple todas las medidas que deberán de aplicarse sobre el fichero y en particular:

  • El responsable del fichero, o en su caso el encargado del tratamiento deberán garantizar que no se produzca ningún acceso no autorizado a las imágenes.
  • El documento de seguridad establecerá el procedimiento para el acceso y las medidas que al efecto deban adoptarse.
  • Solo podrán tener acceso a las imágenes las personas que figuren en el Documento de Seguridad mediante un sistema de control basado en usuario/ contraseña.

 

 

6
Jun

4. El deber de información y consentimiento en la relación laboral

4.1 Deber de información

Con motivo de la formalización de la relación laboral, y de forma similar a como se ha realizado con los potenciales trabajadores o candidatos, es necesario con carácter previo al tratamiento de los datos de los trabajadores informar de las circunstancias del mismo, en el propio contrato laboral o en un formulario establecido al efecto de conformidad con lo establecido en el artículo 5 de la LOPD. De esta manera se deberá informar en el contrato o anexo al contrato:

  • De la existencia de un fichero o tratamiento de datos de carácter personal.
  • De la finalidad de la recogida.
  • De los destinatarios de la información.
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

 

4.1.1 Acreditación del cumplimiento del deber de información

Desaparición de la Exigencia de formalidades para acreditar el cumplimiento del principio de información.

El artículo 18 del RLOPD establecía que el deber de información debería llevarse a cabo a través de un medio que permitiera acreditar su cumplimiento y que debería conservarse mientras persistiera el tratamiento de los datos del afectado. (En plasmación de lo expuesto en SAN 24-1-2003 y SAN 20-1-2006).

El Responsable del tratamiento debía conservar el soporte en que constase el cumplimiento del deber de información (ficha/factura/contrato/…) pudiendo utilizar medios informáticos o telemáticos (posibilidad de escanear soportes en papel siempre que se garantice que en su automatización no ha mediado alteración).

Una Sentencia del Tribunal Supremo suprime totalmente el artículo 18 al estimar que establece una obligación adicional al margen de la Ley de Protección de Datos, de este modo, aunque la carga de la prueba siga estando del lado del responsable del tratamiento de los datos, ésta deja de estar sometida a exigencias formales.

4.1.2 Información al inicio de la relación laboral

4.1.2.1 Comunicación al trabajador de normativa interna en materia de LOPD

Además de la información señalada, existen otros aspectos relativos a la seguridad de los datos de los que debe informarse a los trabajadores. Podemos decir por tanto, que para una correcta gestión en materia de protección de datos es imprescindible que los usuarios o trabajadores colaboren en la misma, por ello han de estar informados en todo momento de los protocolos y medios existentes establecidos en la empresa tendentes a garantizar la confidencialidad y seguridad del tratamiento así como la seguridad del dato personal. Por ello resulta recomendable informar de la siguiente documentación:

  • Medidas de Seguridad y Manual de Usuario.
    Reparto a los trabajadores con acceso a datos de carácter personal responsabilidad de la empresa, de la normativa interna en materia de seguridad en el tratamiento de datos personales con indicación de las medidas de seguridad aplicables al tratamiento de los que sean participes, junto con las indicaciones para su correcta ejecución. En muchas ocasiones y dependiendo del tipo de tratamiento de datos a realizar es recomendable la impartición de sesiones de sensibilización sobre la protección de datos así como formación en materia de seguridad.
  • Compromiso de confidencialidad.
    Además del traslado de la normativa interna en materia de seguridad en el tratamiento de datos, es necesario recabar el compromiso de confidencialidad del trabajador sobre los datos a los que en el desempeño de sus funciones tenga conocimiento. Por ello es recomendable al inicio de la relación laboral hacer firmar al trabajador compromisos de confidencialidad que pueden estar incluidos en el propio contrato de trabajo o a través de los correspondientes anexos.

4.1.2.1 Trabajadores externos

Si bien con los trabajadores de la empresa parece claro y evidente que los mismos deben de ser informados de los derechos que les asisten así como de la normativa de seguridad que deben de cumplir a la hora de tratar el dato personal, no ocurre lo mismo con los trabajadores subcontratados o que presten servicios en instalaciones de la empresa. En la actualidad el acceso de los trabajadores externos al tratamiento de datos responsabilidad de la empresa, no queda convenientemente regulado de forma similar a como si de un trabajador interno se tratara. En los supuestos de subcontratación de servicios o prestación de servicios que impliquen acceso a datos a través de los sistemas de información de la empresa bien físicamente en modo local o bien informáticamente en modo remoto, los trabajadores externos deberán adquirir los mismos compromisos que los trabajadores internos en la medida en que puedan acceder a datos de carácter personal en el desempeño de sus funciones. Se deberá por tanto establecer en el contrato de subcontratación o prestación de servicios con el proveedor externo cuales son las condiciones de acceso y las obligaciones del personal externo en materia de seguridad para el tratamiento de datos personales responsabilidad de la empresa contratante. Uno de los frecuentes errores que se encuentran en el cumplimiento de estas medidas es la obligación de otorgar accesos personalizados e individualizados para cada trabajador externo que acceda en modo remoto. En la actualidad es frecuente otorgar accesos genéricos a los sistemas de información por parte de las empresas receptoras de los servicios, produciéndose incumplimientos en materia de Seguridad ya que según el art. 85, relativo al acceso a datos a través de redes de comunicaciones, establece que:

“Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local”.

En este sentido el art. 93 del RLOPD es claro al establecer en su apartado segundo que:

“El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado”.

Es por tanto recomendable prestar especial atención a las medidas de seguridad que deben de ser trasladadas al personal externo que acceda los sistemas de información de la empresa debiéndose ser considerado a los efectos del cumplimiento de la normativa interna en materia de seguridad como un usuario más de los sistemas de información de la empresa. Así se ha visto reflejado en el RLOPD que traslada la obligación de identificar en el documento de seguridad todos aquellos supuestos de acceso a datos por cuenta del responsable que supongan un acceso físico en modo local o informático en modo remoto a los sistemas de información de la empresa, a los efectos de garantizar la seguridad de la información del datos personal ya no sólo respecto del acceso de los trabadores propios si no respecto del acceso de trabajadores externos.

 

4.2 Consentimiento para el tratamiento de datos de los trabajadores

Como hemos comentado anteriormente la ley exceptúa la necesidad del consentimiento para el tratamiento de datos “con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento”. (art.10.3.b, RD 1720/2007).

Por tanto no será necesario el consentimiento de los trabajadores para el tratamiento de sus datos, lo que no debe confundirse con el deber de informar, que es obligatorio siempre para todos los trabajadores de la empresa.

Por otro lado tampoco sería necesario el consentimiento cuando:

  • Se autorice por una norma con rango legal (art.10.2.a RD1720/2007).
  • Resulte necesario para la prevención o diagnósticos médicos, prestación de asistencia sanitaria o gestión de servicios sanitarios. ( art. 10.3 c) RD 1720/2007 y art. 7.6 LOPD).

Esta excepción no es una regla general para cualquier tratamiento en el ámbito de la relación laboral, si no que ésta debe interpretarse en sentido restringido, por lo que el tratamiento de los datos para una finalidad distinta de la expresamente excepcionada requerirá de la autorización del trabajador. En este sentido, debe recordarse que el tratamiento de datos por la empresa sin el consentimiento del trabajador, en los casos en que sea necesario, es considerado como una infracción grave y en caso de que además sean cedidos a terceros como una infracción muy grave.

 

4.2.1 Datos especialmente protegidos

Como hemos comentado anteriormente se consideran datos especialmente protegidos los relativos a la salud, al origen racial, a la vida sexual, ideología, creencias, religión y afiliación sindical según el art. 7 de la LOPD.

Por tanto con carácter general la recogida y tratamiento de estos datos exigirá:

  • Contar con el consentimiento expreso (y por escrito para los datos de afiliación sindical, ideología, religión o creencias) del afectado.
  • Adopción de medidas de seguridad de nivel alto.

En el ámbito laboral se producen una serie de excepciones respecto de los requisitos exigidos para el tratamiento de datos especialmente protegidos, así, no es preciso obtener el consentimiento expreso del afectado cuando:

  • Se establezca por una norma con rango de Ley. Son los casos por ejemplo de la prestación de planes de pensiones o seguros que son impuestos legalmente y que por tanto no necesitan el consentimiento del trabajador ya que en caso contrario debe requerirse el consentimiento. En este sentido es recomendable contar con el consentimiento del trabajador para el tratamiento de datos que no vengan excepcionados legalmente y que no sean necesarios para el mantenimiento de la relación laboral.

Por otro lado conviene señalar respecto al tratamiento de datos especialmente protegidos que no es preciso adoptar las medidas de seguridad de nivel alto en determinados supuesto:

  • Respecto de aquellos datos de salud referentes al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
  • Realización de transferencias a las entidades de las que los afectados sean asociados o miembros (Detracción de la Cuota Sindical).

Ambos supuestos han sido introducidos por el RLOPD y suponen un avance significativo en la gestión de protección de datos en el departamento de RRHH de la empresa. Con anterioridad a la entrada en vigor del RLOPD, el nivel de seguridad aplicable a los ficheros de personal generalmente era de nivel alto debido a la existencia de trabajadores discapacitados. Al ser un dato de salud y por tanto de especial protección, requería el cumplimiento de medidas de seguridad de nivel alto en la gestión de RRHH con los consiguientes esfuerzos económicos por llegar al cumplimiento de las medidas de seguridad de nivel alto, y en particular por el cumplimiento de la medida de seguridad de “Registro de Accesos” que suponía la obligación de establecer procedimientos técnicos e control de acceso a las aplicaciones de RRHH capaces de registrar la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Con la publicación del RLOPD dicha obligación de aplicación de medidas de seguridad de nivel alto cambia en el supuesto de cumplimiento de deberes públicos (grado de discapacidad) y en los supuestos de realización de transferencias dinerarias que revelen datos de nivel alto (detracción de la cuota sidical)

 

4.2.2. Necesidad de consentimiento para el tratamiento de datos para finalidades especiales

Como hemos comentado anteriormente será necesario recabar el consentimiento del trabajador para aquellos tratamientos de datos que no vengan excepcionados legalmente y que no sean necesarios para el mantenimiento o gestión de la relación laboral. En este sentido podemos encontrarnos con distintos supuestos que requerirán el correspondiente consentimiento del trabajador para el tratamiento de sus datos de carácter personal.

4.2.2.1 Seguros médicos

Será necesario el consentimiento del empleado para el tratamiento de sus datos con el fin de contratar un seguro médico, y para la comunicación de los mismos a las compañías de seguros, siempre que se trate de seguros médicos voluntarios y no seguros obligatorios establecidos por ley, ya que si existe obligación legal o la contratación del seguro viene regulada por convenio colectivo, estaríamos ante la excepción del art. 10,2 a) del RDLOP. No obstante lo anterior, debe de tenerse siempre en consideración que habrá que informar al trabajador tanto del tratamiento como de la cesión de los datos que se va a producir.

4.2.2.2 Uso de fotos identificativas

En el supuesto de fotos identificativas, al considerarse la imagen como un dato de carácter personal, será necesario informar del tratamiento al trabajador y si la imagen se utiliza con finalidades que no sean estrictamente el mantenimiento o cumplimiento de la relación laboral, será necesario recabar también el consentimiento. Las tarjetas o carnets con foto identificativa de control de acceso a las instalaciones o locales del responsable de fichero se considerarán necesarias para el mantenimiento de la relación laboral, no siendo por tanto necesario recabar el consentimiento para el tratamiento, pero si informar de su fianlidad y tratamiento. En estos casos, el acto de posar no puede considerarse un consentimiento genérico para tratar la imagen. El consentimiento que se deduce del acto de posar solo será válido para la finalidad que justificó ese posado, es decir la tarjeta de acceso, no se podrá utilizar con fines diferentes (memorias, página web etc.).

4.2.2.3 Revistas internas, publicaciones y actividades lúdicas

En estos casos estamos fuera del estricto marco de la relación laboral por lo que será necesario el consentimiento del trabajador para publicar cualquiera de sus datos en publicaciones internas, en las que por ejemplo se informe de cumpleaños, bodas, nacimientos, etc. o participación en actividades lúdicas o sociales de cualquier tipo.

31
May

3. La recogida y tratamiento de datos personales para la selección de los cantidatos

Un tratamiento de datos frecuentemente olvidado en la gestión empresarial, y no por ellos menos importante, es el tratamiento de la actividad de selección o el fichero de Candidatos.

En el tratamiento de datos de los trabajadores existe un documento o contrato de trabajo en donde se pueden reflejar los derechos y obligaciones de las partes e informar al trabajador y en donde no es necesario el consentimiento de los mismos en virtud del art. 6.2 de la LOPD.

“(….) No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; (….)”.

A diferencia del tratamiento de datos de los ficheros el personal, en el fichero de candidatos, es necesario cumplir con los deberes de información y consentimiento marcados por la normativa de protección de datos, así como la necesidad de generar un documento donde los mismos queden incluidos y nos permita acreditar su cumplimiento.

Dada la especial naturaleza que reside en la actividad de selección en la empresa o búsqueda de trabajo por parte de los candidatos o potenciales trabajadores, son muy frecuentes los casos en los que no existe actividad informativa al candidato o potencial trabajador sobre la finalidad del tratamiento, inexistencia de información sobre los derechos ARCO, así como falta de información y consentimiento respecto de las posibles cesiones de datos que se realiza de los currículos entre las empresas del grupo.

Se hace por tanto necesario tomar en consideración los siguientes aspectos en el tratamiento de datos personales del fichero de candidatos.

 

3.1 Principios de Información y Cumplimiento de las normas de calidad de los datos

Como hemos comentado anteriormente es fundamental con carácter previo a la recogida de cualquier tipo de dato del candidato ha de tenerse siempre presente el deber de información del artículo 5 de la LOPD, por el que:

“Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco”.

  • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  • Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Por tanto, antes de proceder a recabar datos de candidatos o potenciales trabajadores, se debe tener claro por el departamento de selección o RRHH la información que se necesita, la finalidad a la que vamos a destinarla y quién va a ser el destinatario de dicha información, puesto que todos estos extremos (junto con los otros enunciados) deben informarse al titular de los datos en el momento de su recogida.

Así mismo y junto al deber de información, el artículo 4 de la LOPD, referente a la calidad de los datos, en su apartado primero establece que

“Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

De esta manera los datos obtenidos de los candidatos deben ajustarse a aquellos que sean imprescindibles para la finalidad para la que se recabaron, esto es, para el proceso de selección y evaluación de las aptitudes profesionales de los potenciales trabajadores. El dato recabado por tanto deberá estar justificado y ser idóneo para el proceso de selección, en función del puesto concreto a cubrir en cada caso.

En este sentido, se debe tener especial cuidado con la recogida de determinados datos que requieren un consentimiento expreso para su tratamiento y/o cesión así como aquellos datos que puedan ser excesivos para la finalidad en la que se recabaron los datos como pueden ser datos relativos a los antecedentes penales, test psicotécnicos, revisiones médicas, grabación de entrevistas de selección etc.

 

3.1 Consentimiento del afectado

3.2.1 Solicitud de consentimiento

Otro principio básico es la necesidad de recabar el consentimiento del afectado para el tratamiento de datos.

El artículo 6 párrafo 1 de la LOPD establece: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.”

Esta obligación no puede verse exceptuada por el párrafo 2, que establece que no sería necesario el consentimiento para el tratamiento de datos de carácter personal: “cuando (…) se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento” ya que no existe con el candidato ningún tipo de relación negocial laboral o administrativa.

Es por tanto necesario recabar el consentimiento para la selección de personal a través de la correspondiente cláusula de protección de datos. Dicho consentimiento en principio no necesariamente debe ser expreso, pudiéndose recoger de forma tácita en las correspondientes cláusulas de protección de datos.

No obstante lo anterior, existen determinados supuestos de recogida de datos en los procesos de selección en donde sí es necesario el consentimiento expreso para el tratamiento de datos personales, ya que los datos que se recogen son considerados como datos especialmente protegidos, como por ejemplo los test psicotécnicos, los datos de salud de las revisiones médicas, o aquellos datos relativos a la ideología, afiliación sindical, religión y creencias, que además del consentimiento expreso el mismo debe de ser recabado por escrito.

 

3.3 Distintas formas de recogida de datos

En la actividad de selección o gestión del fichero de candidatos la entrada del dato de carácter personal puede venir de diferentes fuentes debiendo tenerse en consideración determinados aspectos jurídicos que garanticen un tratamiento de datos personales adecuado a la legalidad vigente en materia de protección de datos. Así nos podemos encontrar con distintas formas de recogida de datos:

3.3.1 Datos facilitados por del propio interesado

En la gran mayoría de los casos los datos son facilitados por el propio interesado debiendo la empresa informar de los extremos anteriormente mencionados en todos aquellos medios utilizados para la recogida de datos personales de candidatos y en su caso recoger los oportunos consentimientos que fueren necesarios. En este sentido es fundamental que la información dada y el consentimiento otorgado consten en algún tipo de soporte o documento, siendo los medios más utilizados los siguientes:

  • Formulario en papel: Cuando se utilicen cuestionarios u otros impresos para la recogida de datos de potenciales trabajadores o candidatos, deberán figurar en los mismos, en forma claramente legible, la información mencionada por el art 5 de la LOPD.
  • Formulario electrónico en página Web: En estos casos ha de poder acreditarse que la información estaba a disposición del titular de los datos en el momento de la cumplimentación del formulario de forma similar al formulario en soporte papel. En muchos casos es recomendable reconducir la actividad de selección de la empresa hacia el formulario web y evitar recogidas de datos de candidatos que impliquen dificultades a la hora de probar el deber de información y consentimiento en el tratamiento de datos como es el caso del envío postal o entrega en mano de los Currículos.
  • Envío postal: Cuando los datos se reciban a través de comunicaciones escritas, solicitadas o no, en caso de que vayan a ser utilizados en procesos de selección y debido a la imposibilidad de informar con anterioridad, deberá informarse al candidato de todos los extremos señalados acerca del tratamiento que de los mismos se va a realizar mediante cualquier medio que acredite su notificación (correo electrónico, llamada telefónica, correo postal, …), debiéndose conservar la notificación realizada hasta la finalización del proceso de selección o mientras se conserven lo datos personales del candidato-

 

3.3.2 Datos recabados de Bolsas de trabajo, Empresas de Selección o Becas.

En estos supuestos, al tratarse de datos recogidos por un tercero, será necesario actuar con la diligencia debida del cesionario y comprobar que el cedente cuenta con el consentimiento oportuno para realizar la cesión de datos a la empresa, para ello será necesario trasladar dicha obligación en los contratos de prestación de servicios con empresas de selección o Bolsas de trabajo estableciendo las correspondientes garantías en materia de protección de datos.

En el casos de becas o estudiantes en régimen de prácticas es importante que se incluya en el convenio de colaboración con la universidad o centro educativo, además de la la garantía señalada en el párrafo precedente, el compromiso del becario o estudiante en prácticas de garantizar la confidencialidad en el acceso a los datos y cumplir con la normativa interna de la empresa en materia de seguridad y protección de datos.

 

3.3.3 Datos recabados por un tercero en nuestro nombre

Es posible que en la actividad de selección se encargue a un intermediario o tercero el proceso de selección, recabándose los datos en nombre de la empresa. En estos casos, nos encontraríamos en supuestos de accesos a datos por cuenta de terceros, por lo que sería necesario firmar el correspondiente contrato de encargado de tratamiento o anexo con el clausulado exigido por el artículo 12 de la LOPD.

 

3.3.4 Datos recabados por empresas del grupo

Por último en los supuestos de comunicaciones de datos de candidatos entre empresas el mismo grupo, será necesario informar en el momento de la recogida de los datos, además de los extremos enunciados en el artículo 5 de la LOPD, de la posibilidad de la cesión de sus datos a las demás empresas del grupo, indicando finalidad y los destinatarios de la misma, así como la dirección para el ejercicio de los derechos ARCO. Además la cesión ha de ser aceptada expresamente por el afectado, y ha de dársele la posibilidad de oponerse a la misma a través del corresponiente check box que no debe de estar previamente marcado.

 

3.4 Recogida de datos especialmente protegidos

Como se ha comentado anteriormente en el proceso de selección de candidatos es posible el tratamiento de datos especialmente protegidos. Según el artículo 7.3 de la LOPD:

“Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos, cuando por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente”.

Esto afecta a ciertas situaciones de recogida de datos que pueden producirse en la selección de candidatos:

  • Revisiones médicas: Estaría considerado como dato de salud, por tanto a la hora de recabarse necesitaremos el consentimiento expreso y sólo se podrán recabar cuando quede debidamente justificada su necesidad en relación con el proceso de selección de que se trate.
  • Test psicotécnico: En el caso de la realización de este tipo de pruebas también es necesario el consentimiento expreso del afectado por considerarse datos de salud.

En ambos casos será necesario aplicar unas medidas de seguridad de nivel alto al tratamiento de datos realizado, y en caso de que dichas pruebas sean externalizadas, será necesario firmar con la empresa proveedora el correspondiente contrato de acceso a datos por cuenta de terceros o encargado de tratamiento según el art.12 de la LOPD.

5
May

El ámbito de aplicación y la exclusión del tratamiento de los datos de contacto profesionales

EL TRATAMIENTO DE DATOS EN LOS DEPARTAMENTOS DE RECURSOS HUMANOS.

 

1ª Entrega, El ámbito de aplicación y la exclusión del tratamiento de los datos de contacto profesionales

En las próximas entregas del Blog de DPOitlaw, vamos a trata de analizar el tratamiento de datos personales desde la visión del departamento de RRHH. La exclusión del ámbito de aplicación de la normativa de protección de datos de los ficheros de contactos de Clientes y Proveedores ha supuesto, en la gestión de la protección de datos en la empresa, la adquisición de una mayor relevancia del tratamiento de datos en las relaciones laborales.

Existe por tanto un desplazamiento en la gestión de la protección de datos hacia el departamento de RRHH, siendo el dato personal del trabajador el elemento fundamental a tener en consideración para aquellas empresas cuyos clientes finales no sean los consumidores y usuarios.

A lo largo del presente artículo, se pretende analizar los distintos tratamientos de datos personales que existen en las relaciones laborales desde la entrada del dato hasta su cancelación o bloqueo. Se analizarán los distintos aspectos clave en el tratamiento de datos en el proceso de selección, en la contratación, en el control empresarial, en la cesión o comunicación e datos al comité de empresa, en la prevención de riesgos laborales, en la subcontratación de servicios, en la gestión de los accidentes de trabajo y enfermedades profesionales, hasta su finalización con la extinción de la relación laboral procediéndose a la cancelación o bloqueo del dato.

 

ÁMBITO DE APLICACIÓN

El art. 2 del RLOPD excluye del ámbito de aplicación del reglamento a las personas jurídicas y aquellos datos de las personas físicas que presten sus servicios en aquellas, así como a los trabajadores por cuenta propia o autónomos. Esta exclusión, viene a confirmar el posicionamiento que la Agencia Española de Protección de Datos venía manteniendo en varios de sus informes relativos al ámbito de aplicación de la Ley respecto de los datos personales de trabajadores y profesionales.

De esta manera, siempre y cuando los datos objeto de tratamiento consistan únicamente en los datos de los trabajadores de las empresas (nombres y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax) o los datos de profesionales autónomos, se considerará que el tratamiento de los mismos se encuentra fuera del ámbito de aplicación la normativa de protección de datos. Es por tanto necesario identificar dentro en la gestión del tratamiento de datos en la Empresa, cuando existe tratamiento de datos personales sometido a la normativa de protección de datos en los ficheros de Clientes y Proveedores.

1.1 Exclusión del ámbito de aplicación de los profesionales autónomos.

El problema que suscita el tratamiento de datos personales para los clientes y proveedores que se constituyen como empresarios autónomos, es la posible coincidencia de sus datos profesionales con sus datos particulares (nombre y apellidos), así como la utilización del domicilio profesional como domicilio particular y la coincidencia del CIF con el DNI del profesional o autónomo. En este sentido, es conveniente dilucidar cuando estamos ante un tratamiento de datos profesional y cuando ante un tratamiento de datos particular o privativo.

Siguiendo el análisis que realiza la AEPD en su resolución de 27 de febrero de 2001, en el fundamento jurídico II indica lo siguiente:

“… la protección conferida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, no es aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías establecidas en la Ley, y por extensión lo mismo ocurrirá con los profesionales que organizan su actividad bajo la forma de empresa (ostentando, en consecuencia la condición de comerciante a la que se refieren los artículos primero y siguientes del Código de Comercio) y con los empresarios individuales que ejercen una actividad comercial y respecto de las cuales sea posible diferenciar su actividad mercantil de su propia actividad privada, estando en el primer caso excluidos también del ámbito de aplicación de la Ley Orgánica 15/1999.

En definitiva pues, tanto las personas jurídicas como los profesionales y los comerciantes individuales (éstos dos últimos sólo en los estrictos términos señalados en el párrafo que antecede, esto es, cuando sus datos hayan sido tratados tan sólo en su consideración de empresarios) quedan fuera del manto protector de la Ley Orgánica 15/1999.

 A contrario sensu, tanto los profesionales como los comerciantes individuales quedarían bajo el ámbito de aplicación de la Ley Orgánica 15/1999 y, por tanto, amparados por ella cuando los primeros no tuvieran organizada su actividad profesional bajo la forma de empresa, no ostentando, en consecuencia, la condición de comerciante (es el caso de los profesionales liberales cuyas actividades están expresamente excluidas del ámbito de aplicación de la Ley Básica 3/1993 por su artículo 6) y los segundos cuando no fuera posible diferenciar su actividad mercantil de la propia actividad privada. En estos dos casos deberán aplicarse siempre las garantías de la Ley Orgánica 15/1999 dada la naturaleza fundamental del derecho a proteger. Ello exigirá siempre ir analizando caso por caso para hallar en cada supuesto concreto el límite fronterizo donde resulte afectado el derecho fundamental a la protección de datos de los interesados personas físicas, o, por el contrario, aquél no resulte amenazado por incidir tan solo en la esfera de la actividad comercial o empresarial, teniendo en todo caso presente que, en caso de duda, la solución deberá siempre adoptarse a favor de la protección de los derechos individuales”.

Por otro lado siguiendo la sentencia del Tribunal Supremo de fecha 20 de febrero de 2007, se pronuncia sobre este tema señalando en su fundamento de derecho sexto párrafo octavo:

Es claro que los Arquitectos y Promotores a que se refiere el litigio participan de la naturaleza de personas físicas y que no dejan de serlo por su condición de profesionales o agentes que intervienen en el mercado de la construcción, por lo que los datos personales relativos a los mismos, quedan amparados y sujetos en cuanto a su tratamiento informatizado a las previsiones de la LORTAD; y es que desde este punto de vista subjetivo la exclusión del ámbito de aplicación de la LORTAD no viene determinado por el carácter profesional o no del afectado o titular de los datos objeto de tratamiento, sino por la naturaleza de persona física o jurídica titular de los datos, en cuanto sólo las personas físicas se consideran titulares de los derechos a que se refiere el art. 18.4 de la Constitución”.

“Otra cuestión será determinar en cada caso y bajo el amparo y aplicación de la LORTAD, el carácter personal o no del dato de que se trate, que en este caso y como se ha indicado antes no puede ponerse en duda, pues se refiere al nombre, profesión, domicilio y demás circunstancias personales de los afectados, lo que es distinto de las relaciones sociales o profesionales que, según doctrina del Tribunal Constitucional invocada por la recurrente, no se comprenden en el derecho a la intimidad”.

Se trataría por tanto de analizar caso por caso cuando estamos ante un tratamiento de datos personales sometidos al ámbito profesional del empresario individual y cuando ante un tratamiento de datos sometidos al ámbito privado del profesional autónomo. En este sentido se ha pronunciado la AEPD en su reciente Informe 42/2008:

Así, el tratamiento de los datos del empresario individual, con las limitaciones que se han venido señalando, para mantener una relación comercial con el mismo, podría encontrarse amparado por el artículo 2.3 del Reglamento, en conexión con las normas de la Ley Orgánica 15/1999 que se han venido indicando.

Sin embargo, no podrá considerarse amparado por el precepto, y en consecuencia excluido de la aplicación de la Ley Orgánica 15/1999, el tratamiento de los datos del comerciante llevado a cabo no con la finalidad de mantener una relación empresarial con el establecimiento u organización que el mismo hubiera creado, sino para conocer la información del propio sujeto organizado en forma de empresa, siendo el destinatario del tratamiento no la empresa sino el propio empresario en tanto, por ejemplo, que consumidor individual.

En consecuencia, de lo que ha venido indicándose cabrá extraer dos conclusiones determinantes del alcance de lo dispuesto en el artículo 2.3 del Reglamento:

  • Cabrá considerar que la legislación de protección de datos no es aplicable en los supuestos en los que los datos del comerciante sometidos a tratamiento hacen referencia únicamente al mismo en su condición de comerciante, industrial o naviero; es decir, a su actividad empresarial.
  • Al propio tiempo, el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la Ley Orgánica. 

Podemos por tanto entender que a pesar de que el tratamiento de datos realizado por los sistemas de información de la empresa en la gestión de los ficheros de clientes proveedores, incluye datos personales del profesional autónomo como el nombre y apellidos, domicilio particular, DNI, teléfono, fax y dirección de correo electrónico, que afectan a la esfera privada del individuo, los mismos quedarían fuera del ámbito de aplicación de la normativa de protección de datos en la medida en que los mismos hagan referencia exclusivamente a la condición de comerciante y sean utilizados para la gestión de la actividad empresarial.

 

1.2 Exclusión del ámbito de aplicación de aquellos datos de personas físicas vinculados a personas jurídicas.

Por otro lado, el mencionado art. 2.2 del RLOPD señala que el mismo “no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”.

Debemos por tanto identificar en los tratamientos de datos personales que se realizan de los ficheros de Clientes y Proveedores, cuando nos encontramos ante datos de carácter personal sujetos al ámbito de aplicación de la ley, y cuando nos encontramos ante datos profesionales que no afectan a la esfera de la privacidad de la persona física.

La interpretación que podemos hacer del mencionado artículo es que nos encontramos ante un numerus clausus, es decir, si el tratamiento de datos de los ficheros de Clientes y Proveedores únicamente abarca los datos profesionales relativos al nombre y apellidos, cargo, dirección postal o electrónica, teléfono y número de fax profesional de la persona física perteneciente a la organización o empresa, estaríamos ante un supuesto de exclusión del ámbito de aplicación de la ley. En este sentido, únicamente estaríamos ante un tratamiento de datos personales incluido dentro del ámbito de aplicación cuando se incorporasen datos adicionales a los identificados por el art.2.2. como por ejemplo la fecha de nacimiento, dirección particular utilizada para el envío de felicitaciones de Navidad, gustos o preferencias, DNI etc.…

Si bien los gustos o preferencias, la fecha de nacimiento, la dirección particular los podemos considerar como datos personales que afectan a la esfera de la privacidad del individuo, el DNI o dirección particular utilizado por los apoderados de las empresas para la firma de contratos es un dato que suele ser utilizado con bastante asiduidad y que reside normalmente en los departamentos de asesoría jurídica o departamentos comerciales de las empresas. Sería por tanto necesario analizar si el DNI del apoderado o trabajador de la empresa que está integrado dentro del tratamiento de datos de los ficheros de Clientes y Proveedores queda dentro del ámbito de aplicación de la normativa de protección de datos, a pesar de que el mismo sea utilizado con una finalidad profesional. Para ello podemos apoyarnos en los informes y decisiones de la AEPD así como el posicionamiento de los jueces y tribunales.

Efectivamente analizando la resolución de la AEPD de 19 de julio de 2005 sobre la grabación telefónica de dos personas físicas que actúan como administradores de sus respectivas sociedades encontramos lo siguiente:

“(…) ambos interlocutores intervienen en el presente supuesto, como ha quedado acreditado, en el desempeño de las funciones de apoderamiento que le son propias como representantes de las citadas entidades, desarrollando, en todo momento, una actividad mercantil claramente separada de sus respectivas actividades privadas”.

(…) los hechos expuestos se circunscriben a unas actuaciones desarrolladas, por los representantes de las sociedades implicadas, exclusivamente en el ámbito de actuación de las mismas, y en concreto en el desarrollo de la actividad inmobiliaria que constituye su objeto social, que, como ha quedado señalado, comprende la construcción, promoción, adquisición y venta de inmuebles. En consecuencia, el tratamiento de los datos de que traen causa las presentes actuaciones de inspección no se encuentra incluido dentro del ámbito de aplicación establecido en la LOPD”.

Igualmente las resoluciones de 24 de agosto de 2005 y 9 de mayo de 2006 se refieren al tratamiento de direcciones de correo electrónico en que figuran algunos nombres de personas de la empresa con la que el responsable del tratamiento mantuvo relación comercial, considerando la segunda de las resoluciones citadas que:

“se trata de direcciones institucionales de empresa que, por lo tanto, no tienen la consideración de dato personal, por lo que procede acordar el archivo de las presentes actuaciones previas de investigación”.

Por tanto podemos afirmar por lo que la AEPD ha venido señalando que cuando el tratamiento del dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, y que por tanto es referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo dispuesto en la Ley Orgánica 15/1999. En este sentido, podríamos concluir que la incorporación del DNI del apoderado en los ficheros de clientes y proveedores dado que el mismo se refiere a la identificación de la persona apoderada por la empresa, podría quedar excluido del ámbito de aplicación de la LOPD al referirse exclusivamente al ámbito profesional.

Sin embargo el informe 42/2008 señala que:

No obstante, nuevamente, es necesario que el tratamiento del dato de la persona de contacto sea accesorio en relación con la finalidad perseguida. Ello se materializará mediante el cumplimiento de dos requisitos:

“El primero, que aparece expresamente recogido en el Reglamento será el de que los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por este motivo, el Reglamento impone que el tratamiento se limite a los datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales”.

De este modo, cualquier tratamiento que contenga datos adicionales a los citados se encontrará plenamente sometido a la Ley Orgánica 15/1999, por exceder de lo meramente imprescindible para identificar al sujeto en cuanto contacto de quien realiza el tratamiento con otra empresa o persona jurídica.

Por ello, no se encontrarían excluidos de la Ley los ficheros en los que, por ejemplo, se incluyera el dato del documento nacional de identidad del sujeto, al no ser el mismo necesario para e mantenimiento del contacto empresarial. Igualmente, y por razones obvias, nunca podrá considerarse que se encuentran excluidos de la Ley Orgánica los ficheros del empresario respecto de su propio personal, en que la finalidad no será el mero contacto, sino el ejercicio de las potestades de organización y dirección que a aquél atribuyen las leyes.  

El segundo de los límites se encuentra, como en el supuesto contemplado en el artículo 2.3, en la finalidad que justifica el tratamiento. Como se ha venido indicando reiteradamente, la inclusión de los datos de la persona de contacto debe ser meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos.

De este modo, la finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el uso del dato debería dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad.

Si además tomamos en consideración la consulta el informe 476/2008 de la AEPD en el que se establece la aplicación de la normativa de protección de datos por la inclusión del DNI en un fichero de datos personales.

La pretensión de la consultante de incorporar este dato del DNI de los representantes de las empresas, además de la identificación de estos contactos, junto con otra serie de datos referidos a dichas empresas, va a determinar que los tratamientos que se hagan o el fichero al que se incorpore tal dato, queden sometidos a los principios que informan las protección de datos de carácter personal, recogidos en la Ley Orgánica 15/1999 y su Reglamento de desarrollo Real Decreto 1720/2007.

El artículo 2 de la Ley Orgánica 15/1999 establece que “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”

Del contenido de la consulta no puede desprenderse la finalidad para la que se pretende tratar el dato del DNI. Por ello es preciso recordar que el artículo 4 de la Ley Orgánica dispone en su número 1 “ Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Y en su número 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquéllas para las que los datos hubieran sido recogidos. (…) “.

La inclusión del DNI de los representantes de las empresas en un fichero ha de tener una finalidad, ha de ser necesaria para el logro de a actividad legítima de la consultante. Por ello, si como afirma ésta, se pretenden obtener listados o archivos de los demás datos incorporados al mismo soporte físico pero suprimiendo el dato del DNI, parece que su inclusión no resulta necesaria o pertinente. Si, por el contrario, se debe incluir este dato personal, el soporte físico constituirá un fichero en su conjunto, cuya creación, contenido y uso le corresponderá a la consultante que será la responsable del mismo y deberá notificarlo previamente a esta Agencia Española de Protección de Datos, en aplicación de lo dispuesto en el artículo 26 de la Ley Orgánica

Podemos concluir por tanto que a pesar de tratarse de un dato no incluido entre los datos señalados por el art.2 del ámbito de exclusión del reglamento, siempre y cuando la finalidad para la que se pretenda tratar el dato es una finalidad profesional o vinculada a la personas jurídicas en la que los trabajadores prestan sus servicios nos encontraríamos ante un supuesto de exclusión del ámbito de aplicación de la normativa de protección de datos.

 

1.3 El Reglamento General de Protección de Datos

Tras lo expuesto en los párrafos precedentes actulamente hay una serie de datos que vienen siendo tratados y considerados fuera del ámbito de aplicación de la normativa de protección de datos, lo cual supone cierta libertad para tratarlos por parte de los Responsables de tratamiento, y a la vez supone limitar el ámbito de aplicación del Documento de Seguridad ya que la mayoría de aplicaciones CRM de las empresas cuyo negocio es el B2B no necesitan incorporar estas aplicaciones de gestión ya que las mismas no suelen albergar el DNI del contacto profesional u otros datos no incluidos en el art.2.2 del RLOPD.

Por tanto es posible tratar el dato del contacto profesional y realizar una actividad de Marketing Directo para explotar comercialmente las Bases de Datos de los contactos profesionales de la Empresa, siempre y cuando la finalidad sea el mero contacto profesional vinculado al a Persona Jurídica, siempre y cuando no enviamos comunicaciones comerciales electrónicas en cuyo caso necesitaríamos el consentimiento expreso, sobre todo cuando los mismos fuera potenciales clientes.

El considerando 14 del RGPD establece lo siguiente:

La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

Parece por tanto indicar que los datos de contacto se encuentran dentro del ámbito de aplicación el RGPD, esto implicaría que a partir del 25 de mayo de 2018 habría que cumplir con el consentimiento y el deber de información en tratamiento de datos de contacto profesionales. En este sentido, se hace necesario identificar ante que supuestos nos encontramos, y sobre todo ante que finalidades de tratamiento, siempre que se interprete el considerando 14 como que los datos de contacto profesionales entran dentro del RGP. Por tanto,  deberíamos distinguir dos situaciones:

Si son Clientes/Proveedores el contrato nos legítima para el tratamiento y no necesidad del consentimiento pero no nos eximiría de informar lo que haremos con sus datos. En estos casos el problema que tendríamos es que la firma del contrato no se realiza por los contactos profesionales por tanto habría que aplicar el principio del interés legítimo, y en cualquier caso cuando los datos sean utilizados informar al afectado para que conozca sus derecho. En estos supuestos existirían muchas posibilidades para hacerlo efectivo pues normalmente los datos profesionales se utilizan para ponerse en contacto con el ciente (vía teléfono, vía mail, etc…en definitiva para la gestión contractual) y la forma de informar puede ser muy variada, desde cláusulas en los correos electrónicos, en la política de privacidad de la web corporativa, en las cartas o comunicaciones realizadas etc….

La otra posibilidad sería si son potenciales Clientes. Estos casos todavía sería más complicado cumplir con el RGPD pues no tengo ninguna relación jurídica previa con el potencial cliente y como mucho puedo tener una tarjeta comercial de la visita realizada o de la reunión que se mantuvo con el mismo. Parece sin embargo que el hecho de que se tenga la tarjeta es un motivo que podría legitimar el tratamiento de datos, y por tanto parece existir un interés legítimo en el tratamiento de los mismos por la empresa. Dicho interés legítimo por tanto nos debe legitimar el tratamiento de dichos datos, y por tanto únicamente nos quedaría el deber de informar sobre la tratamiento o procesamiento de dichos datos. Existen diversas formulas pero entre otras se podrían utilizar las herramientas que ya ofrecen los CRMs,   los cuales envían un mensaje de bienvenida al potencial cliente una vez se introducen los datos en el CRM o Bases de Datos de contactos comerciales. De esta manera siempre se envía una comunicación con un recordatorio de la reunión comercial mantenida en donde se informa de los derechos y demás finalidades. Otra posibilidad sería incluir la cláusula de información en las comunicaciones comerciales que enviemos a los potenciales clientes recordando en todo momento cual es la finalidad, los derechos que tienen sobre sus datos y demás cuestiones. Por tanto a diferencia de los ficheros de Clientes/Proveedores en este grupo de datos, sí que tiene sentido informar de los derechos del potencial cliente y la posibilidad de éste último de ejercitar sus derechos de supresión etc… Por otro lado recordar de nuevo que no legitimaría el envío de comunicaciones comerciales electrónicas, ya que las mismas requieren el consentimiento del potencial cliente.

CONCLUSIÓN conforme al RGPD Europeo tenemos claro que no tiene mucho sentido que estén incluidos en el ámbito de protección del RGPD en la medida en detrás del dato personal se encuentre la representación de la Persona Jurídica y no nuestra esfera de la privacidad, de tal manera que si los datos que se tratan son los meramente profesionales (no hay DNI, ni gustos, ni estudios, ni otro dato adicional), dichos datos deberían ser excluidos del ámbito de protección del RGPD, para precisamente permitir la libre circulación del dato en la Unión Europea y mejorar la competencia y desarrollo de la actividad comercial en Europa, y no poner más trabas al empresario europeo aumentando sus deberes de información respecto de unos derechos que estarían más bien vinculados a la Persona Jurídica y no a la Persona Física.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies