EL TRATAMIENTO DE DATOS EN LOS DEPARTAMENTOS DE RECURSOS HUMANOS.

1ª Entrega, El ámbito de aplicación y la exclusión del tratamiento de los datos de contacto profesionales

En las próximas entregas del Blog de DPOitlaw, vamos a trata de analizar el tratamiento de datos personales desde la visión del departamento de RRHH. La exclusión del ámbito de aplicación de la normativa de protección de datos de los ficheros de contactos de Clientes y Proveedores ha supuesto, en la gestión de la protección de datos en la empresa, la adquisición de una mayor relevancia del tratamiento de datos en las relaciones laborales.

Existe por tanto un desplazamiento en la gestión de la protección de datos hacia el departamento de RRHH, siendo el dato personal del trabajador el elemento fundamental a tener en consideración para aquellas empresas cuyos clientes finales no sean los consumidores y usuarios.

A lo largo del presente artículo, se pretende analizar los distintos tratamientos de datos personales que existen en las relaciones laborales desde la entrada del dato hasta su cancelación o bloqueo. Se analizarán los distintos aspectos clave en el tratamiento de datos en el proceso de selección, en la contratación, en el control empresarial, en la cesión o comunicación e datos al comité de empresa, en la prevención de riesgos laborales, en la subcontratación de servicios, en la gestión de los accidentes de trabajo y enfermedades profesionales, hasta su finalización con la extinción de la relación laboral procediéndose a la cancelación o bloqueo del dato.

ÁMBITO DE APLICACIÓN

El art. 2 del RLOPD excluye del ámbito de aplicación del reglamento a las personas jurídicas y aquellos datos de las personas físicas que presten sus servicios en aquellas, así como a los trabajadores por cuenta propia o autónomos. Esta exclusión, viene a confirmar el posicionamiento que la Agencia Española de Protección de Datos venía manteniendo en varios de sus informes relativos al ámbito de aplicación de la Ley respecto de los datos personales de trabajadores y profesionales.

De esta manera, siempre y cuando los datos objeto de tratamiento consistan únicamente en los datos de los trabajadores de las empresas (nombres y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax) o los datos de profesionales autónomos, se considerará que el tratamiento de los mismos se encuentra fuera del ámbito de aplicación la normativa de protección de datos. Es por tanto necesario identificar dentro en la gestión del tratamiento de datos en la Empresa, cuando existe tratamiento de datos personales sometido a la normativa de protección de datos en los ficheros de Clientes y Proveedores.

1.1 Exclusión del ámbito de aplicación de los profesionales autónomos.

El problema que suscita el tratamiento de datos personales para los clientes y proveedores que se constituyen como empresarios autónomos, es la posible coincidencia de sus datos profesionales con sus datos particulares (nombre y apellidos), así como la utilización del domicilio profesional como domicilio particular y la coincidencia del CIF con el DNI del profesional o autónomo. En este sentido, es conveniente dilucidar cuando estamos ante un tratamiento de datos profesional y cuando ante un tratamiento de datos particular o privativo.

Siguiendo el análisis que realiza la AEPD en su resolución de 27 de febrero de 2001, en el fundamento jurídico II indica lo siguiente:

“… la protección conferida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, no es aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías establecidas en la Ley, y por extensión lo mismo ocurrirá con los profesionales que organizan su actividad bajo la forma de empresa (ostentando, en consecuencia la condición de comerciante a la que se refieren los artículos primero y siguientes del Código de Comercio) y con los empresarios individuales que ejercen una actividad comercial y respecto de las cuales sea posible diferenciar su actividad mercantil de su propia actividad privada, estando en el primer caso excluidos también del ámbito de aplicación de la Ley Orgánica 15/1999.

En definitiva pues, tanto las personas jurídicas como los profesionales y los comerciantes individuales (éstos dos últimos sólo en los estrictos términos señalados en el párrafo que antecede, esto es, cuando sus datos hayan sido tratados tan sólo en su consideración de empresarios) quedan fuera del manto protector de la Ley Orgánica 15/1999.

 A contrario sensu, tanto los profesionales como los comerciantes individuales quedarían bajo el ámbito de aplicación de la Ley Orgánica 15/1999 y, por tanto, amparados por ella cuando los primeros no tuvieran organizada su actividad profesional bajo la forma de empresa, no ostentando, en consecuencia, la condición de comerciante (es el caso de los profesionales liberales cuyas actividades están expresamente excluidas del ámbito de aplicación de la Ley Básica 3/1993 por su artículo 6) y los segundos cuando no fuera posible diferenciar su actividad mercantil de la propia actividad privada. En estos dos casos deberán aplicarse siempre las garantías de la Ley Orgánica 15/1999 dada la naturaleza fundamental del derecho a proteger. Ello exigirá siempre ir analizando caso por caso para hallar en cada supuesto concreto el límite fronterizo donde resulte afectado el derecho fundamental a la protección de datos de los interesados personas físicas, o, por el contrario, aquél no resulte amenazado por incidir tan solo en la esfera de la actividad comercial o empresarial, teniendo en todo caso presente que, en caso de duda, la solución deberá siempre adoptarse a favor de la protección de los derechos individuales”.

Por otro lado siguiendo la sentencia del Tribunal Supremo de fecha 20 de febrero de 2007, se pronuncia sobre este tema señalando en su fundamento de derecho sexto párrafo octavo:

“Es claro que los Arquitectos y Promotores a que se refiere el litigio participan de la naturaleza de personas físicas y que no dejan de serlo por su condición de profesionales o agentes que intervienen en el mercado de la construcción, por lo que los datos personales relativos a los mismos, quedan amparados y sujetos en cuanto a su tratamiento informatizado a las previsiones de la LORTAD; y es que desde este punto de vista subjetivo la exclusión del ámbito de aplicación de la LORTAD no viene determinado por el carácter profesional o no del afectado o titular de los datos objeto de tratamiento, sino por la naturaleza de persona física o jurídica titular de los datos, en cuanto sólo las personas físicas se consideran titulares de los derechos a que se refiere el art. 18.4 de la Constitución”.

“Otra cuestión será determinar en cada caso y bajo el amparo y aplicación de la LORTAD, el carácter personal o no del dato de que se trate, que en este caso y como se ha indicado antes no puede ponerse en duda, pues se refiere al nombre, profesión, domicilio y demás circunstancias personales de los afectados, lo que es distinto de las relaciones sociales o profesionales que, según doctrina del Tribunal Constitucional invocada por la recurrente, no se comprenden en el derecho a la intimidad”.

Se trataría por tanto de analizar caso por caso cuando estamos ante un tratamiento de datos personales sometidos al ámbito profesional del empresario individual y cuando ante un tratamiento de datos sometidos al ámbito privado del profesional autónomo. En este sentido se ha pronunciado la AEPD en su reciente Informe 42/2008:

Así, el tratamiento de los datos del empresario individual, con las limitaciones que se han venido señalando, para mantener una relación comercial con el mismo, podría encontrarse amparado por el artículo 2.3 del Reglamento, en conexión con las normas de la Ley Orgánica 15/1999 que se han venido indicando.

Sin embargo, no podrá considerarse amparado por el precepto, y en consecuencia excluido de la aplicación de la Ley Orgánica 15/1999, el tratamiento de los datos del comerciante llevado a cabo no con la finalidad de mantener una relación empresarial con el establecimiento u organización que el mismo hubiera creado, sino para conocer la información del propio sujeto organizado en forma de empresa, siendo el destinatario del tratamiento no la empresa sino el propio empresario en tanto, por ejemplo, que consumidor individual.

En consecuencia, de lo que ha venido indicándose cabrá extraer dos conclusiones determinantes del alcance de lo dispuesto en el artículo 2.3 del Reglamento:

• Cabrá considerar que la legislación de protección de datos no es aplicable en los supuestos en los que los datos del comerciante sometidos a tratamiento hacen referencia únicamente al mismo en su condición de comerciante, industrial o naviero; es decir, a su actividad empresarial.
• Al propio tiempo, el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la Ley Orgánica. 

Podemos por tanto entender que a pesar de que el tratamiento de datos realizado por los sistemas de información de la empresa en la gestión de los ficheros de clientes proveedores, incluye datos personales del profesional autónomo como el nombre y apellidos, domicilio particular, DNI, teléfono, fax y dirección de correo electrónico, que afectan a la esfera privada del individuo, los mismos quedarían fuera del ámbito de aplicación de la normativa de protección de datos en la medida en que los mismos hagan referencia exclusivamente a la condición de comerciante y sean utilizados para la gestión de la actividad empresarial.

1.2 Exclusión del ámbito de aplicación de aquellos datos de personas físicas vinculados a personas jurídicas.

Por otro lado, el mencionado art. 2.2 del RLOPD señala que el mismo “no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”.

Debemos por tanto identificar en los tratamientos de datos personales que se realizan de los ficheros de Clientes y Proveedores, cuando nos encontramos ante datos de carácter personal sujetos al ámbito de aplicación de la ley, y cuando nos encontramos ante datos profesionales que no afectan a la esfera de la privacidad de la persona física.

La interpretación que podemos hacer del mencionado artículo es que nos encontramos ante un numerus clausus, es decir, si el tratamiento de datos de los ficheros de Clientes y Proveedores únicamente abarca los datos profesionales relativos al nombre y apellidos, cargo, dirección postal o electrónica, teléfono y número de fax profesional de la persona física perteneciente a la organización o empresa, estaríamos ante un supuesto de exclusión del ámbito de aplicación de la ley. En este sentido, únicamente estaríamos ante un tratamiento de datos personales incluido dentro del ámbito de aplicación cuando se incorporasen datos adicionales a los identificados por el art.2.2. como por ejemplo la fecha de nacimiento, dirección particular utilizada para el envío de felicitaciones de Navidad, gustos o preferencias, DNI etc.…

Si bien los gustos o preferencias, la fecha de nacimiento, la dirección particular los podemos considerar como datos personales que afectan a la esfera de la privacidad del individuo, el DNI o dirección particular utilizado por los apoderados de las empresas para la firma de contratos es un dato que suele ser utilizado con bastante asiduidad y que reside normalmente en los departamentos de asesoría jurídica o departamentos comerciales de las empresas. Sería por tanto necesario analizar si el DNI del apoderado o trabajador de la empresa que está integrado dentro del tratamiento de datos de los ficheros de Clientes y Proveedores queda dentro del ámbito de aplicación de la normativa de protección de datos, a pesar de que el mismo sea utilizado con una finalidad profesional. Para ello podemos apoyarnos en los informes y decisiones de la AEPD así como el posicionamiento de los jueces y tribunales.

Efectivamente analizando la resolución de la AEPD de 19 de julio de 2005 sobre la grabación telefónica de dos personas físicas que actúan como administradores de sus respectivas sociedades encontramos lo siguiente:

“(…) ambos interlocutores intervienen en el presente supuesto, como ha quedado acreditado, en el desempeño de las funciones de apoderamiento que le son propias como representantes de las citadas entidades, desarrollando, en todo momento, una actividad mercantil claramente separada de sus respectivas actividades privadas”.

(…) los hechos expuestos se circunscriben a unas actuaciones desarrolladas, por los representantes de las sociedades implicadas, exclusivamente en el ámbito de actuación de las mismas, y en concreto en el desarrollo de la actividad inmobiliaria que constituye su objeto social, que, como ha quedado señalado, comprende la construcción, promoción, adquisición y venta de inmuebles. En consecuencia, el tratamiento de los datos de que traen causa las presentes actuaciones de inspección no se encuentra incluido dentro del ámbito de aplicación establecido en la LOPD”.

Igualmente las resoluciones de 24 de agosto de 2005 y 9 de mayo de 2006 se refieren al tratamiento de direcciones de correo electrónico en que figuran algunos nombres de personas de la empresa con la que el responsable del tratamiento mantuvo relación comercial, considerando la segunda de las resoluciones citadas que:

“se trata de direcciones institucionales de empresa que, por lo tanto, no tienen la consideración de dato personal, por lo que procede acordar el archivo de las presentes actuaciones previas de investigación”.

Por tanto podemos afirmar por lo que la AEPD ha venido señalando que cuando el tratamiento del dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, y que por tanto es referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo dispuesto en la Ley Orgánica 15/1999. En este sentido, podríamos concluir que la incorporación del DNI del apoderado en los ficheros de clientes y proveedores dado que el mismo se refiere a la identificación de la persona apoderada por la empresa, podría quedar excluido del ámbito de aplicación de la LOPD al referirse exclusivamente al ámbito profesional.

Sin embargo el informe 42/2008 señala que:

No obstante, nuevamente, es necesario que el tratamiento del dato de la persona de contacto sea accesorio en relación con la finalidad perseguida. Ello se materializará mediante el cumplimiento de dos requisitos:

“El primero, que aparece expresamente recogido en el Reglamento será el de que los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por este motivo, el Reglamento impone que el tratamiento se limite a los datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales”.

De este modo, cualquier tratamiento que contenga datos adicionales a los citados se encontrará plenamente sometido a la Ley Orgánica 15/1999, por exceder de lo meramente imprescindible para identificar al sujeto en cuanto contacto de quien realiza el tratamiento con otra empresa o persona jurídica.

Por ello, no se encontrarían excluidos de la Ley los ficheros en los que, por ejemplo, se incluyera el dato del documento nacional de identidad del sujeto, al no ser el mismo necesario para e mantenimiento del contacto empresarial. Igualmente, y por razones obvias, nunca podrá considerarse que se encuentran excluidos de la Ley Orgánica los ficheros del empresario respecto de su propio personal, en que la finalidad no será el mero contacto, sino el ejercicio de las potestades de organización y dirección que a aquél atribuyen las leyes.  

El segundo de los límites se encuentra, como en el supuesto contemplado en el artículo 2.3, en la finalidad que justifica el tratamiento. Como se ha venido indicando reiteradamente, la inclusión de los datos de la persona de contacto debe ser meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos.

De este modo, la finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el uso del dato debería dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad.

Si además tomamos en consideración la consulta el informe 476/2008 de la AEPD en el que se establece la aplicación de la normativa de protección de datos por la inclusión del DNI en un fichero de datos personales.

La pretensión de la consultante de incorporar este dato del DNI de los representantes de las empresas, además de la identificación de estos contactos, junto con otra serie de datos referidos a dichas empresas, va a determinar que los tratamientos que se hagan o el fichero al que se incorpore tal dato, queden sometidos a los principios que informan las protección de datos de carácter personal, recogidos en la Ley Orgánica 15/1999 y su Reglamento de desarrollo Real Decreto 1720/2007.

El artículo 2 de la Ley Orgánica 15/1999 establece que “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”

Del contenido de la consulta no puede desprenderse la finalidad para la que se pretende tratar el dato del DNI. Por ello es preciso recordar que el artículo 4 de la Ley Orgánica dispone en su número 1 “ Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Y en su número 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquéllas para las que los datos hubieran sido recogidos. (…) “.

La inclusión del DNI de los representantes de las empresas en un fichero ha de tener una finalidad, ha de ser necesaria para el logro de a actividad legítima de la consultante. Por ello, si como afirma ésta, se pretenden obtener listados o archivos de los demás datos incorporados al mismo soporte físico pero suprimiendo el dato del DNI, parece que su inclusión no resulta necesaria o pertinente. Si, por el contrario, se debe incluir este dato personal, el soporte físico constituirá un fichero en su conjunto, cuya creación, contenido y uso le corresponderá a la consultante que será la responsable del mismo y deberá notificarlo previamente a esta Agencia Española de Protección de Datos, en aplicación de lo dispuesto en el artículo 26 de la Ley Orgánica

Podemos concluir por tanto que a pesar de tratarse de un dato no incluido entre los datos señalados por el art.2 del ámbito de exclusión del reglamento, siempre y cuando la finalidad para la que se pretenda tratar el dato es una finalidad profesional o vinculada a la personas jurídicas en la que los trabajadores prestan sus servicios nos encontraríamos ante un supuesto de exclusión del ámbito de aplicación de la normativa de protección de datos.

1.3 El Reglamento General de Protección de Datos

Tras lo expuesto en los párrafos precedentes actulamente hay una serie de datos que vienen siendo tratados y considerados fuera del ámbito de aplicación de la normativa de protección de datos, lo cual supone cierta libertad para tratarlos por parte de los Responsables de tratamiento, y a la vez supone limitar el ámbito de aplicación del Documento de Seguridad ya que la mayoría de aplicaciones CRM de las empresas cuyo negocio es el B2B no necesitan incorporar estas aplicaciones de gestión ya que las mismas no suelen albergar el DNI del contacto profesional u otros datos no incluidos en el art.2.2 del RLOPD.

Por tanto es posible tratar el dato del contacto profesional y realizar una actividad de Marketing Directo para explotar comercialmente las Bases de Datos de los contactos profesionales de la Empresa, siempre y cuando la finalidad sea el mero contacto profesional vinculado al a Persona Jurídica, siempre y cuando no enviamos comunicaciones comerciales electrónicas en cuyo caso necesitaríamos el consentimiento expreso, sobre todo cuando los mismos fuera potenciales clientes.

El considerando 14 del RGPD establece lo siguiente:

La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

Parece por tanto indicar que los datos de contacto se encuentran dentro del ámbito de aplicación el RGPD, esto implicaría que a partir del 25 de mayo de 2018 habría que cumplir con el consentimiento y el deber de información en tratamiento de datos de contacto profesionales. En este sentido, se hace necesario identificar ante que supuestos nos encontramos, y sobre todo ante que finalidades de tratamiento, siempre que se interprete el considerando 14 como que los datos de contacto profesionales entran dentro del RGP. Por tanto,  deberíamos distinguir dos situaciones:

Si son Clientes/Proveedores el contrato nos legítima para el tratamiento y no necesidad del consentimiento pero no nos eximiría de informar lo que haremos con sus datos. En estos casos el problema que tendríamos es que la firma del contrato no se realiza por los contactos profesionales por tanto habría que aplicar el principio del interés legítimo, y en cualquier caso cuando los datos sean utilizados informar al afectado para que conozca sus derecho. En estos supuestos existirían muchas posibilidades para hacerlo efectivo pues normalmente los datos profesionales se utilizan para ponerse en contacto con el ciente (vía teléfono, vía mail, etc…en definitiva para la gestión contractual) y la forma de informar puede ser muy variada, desde cláusulas en los correos electrónicos, en la política de privacidad de la web corporativa, en las cartas o comunicaciones realizadas etc….

La otra posibilidad sería si son potenciales Clientes. Estos casos todavía sería más complicado cumplir con el RGPD pues no tengo ninguna relación jurídica previa con el potencial cliente y como mucho puedo tener una tarjeta comercial de la visita realizada o de la reunión que se mantuvo con el mismo. Parece sin embargo que el hecho de que se tenga la tarjeta es un motivo que podría legitimar el tratamiento de datos, y por tanto parece existir un interés legítimo en el tratamiento de los mismos por la empresa. Dicho interés legítimo por tanto nos debe legitimar el tratamiento de dichos datos, y por tanto únicamente nos quedaría el deber de informar sobre la tratamiento o procesamiento de dichos datos. Existen diversas formulas pero entre otras se podrían utilizar las herramientas que ya ofrecen los CRMs,   los cuales envían un mensaje de bienvenida al potencial cliente una vez se introducen los datos en el CRM o Bases de Datos de contactos comerciales. De esta manera siempre se envía una comunicación con un recordatorio de la reunión comercial mantenida en donde se informa de los derechos y demás finalidades. Otra posibilidad sería incluir la cláusula de información en las comunicaciones comerciales que enviemos a los potenciales clientes recordando en todo momento cual es la finalidad, los derechos que tienen sobre sus datos y demás cuestiones. Por tanto a diferencia de los ficheros de Clientes/Proveedores en este grupo de datos, sí que tiene sentido informar de los derechos del potencial cliente y la posibilidad de éste último de ejercitar sus derechos de supresión etc… Por otro lado recordar de nuevo que no legitimaría el envío de comunicaciones comerciales electrónicas, ya que las mismas requieren el consentimiento del potencial cliente.

CONCLUSIÓN conforme al RGPD Europeo tenemos claro que no tiene mucho sentido que estén incluidos en el ámbito de protección del RGPD en la medida en detrás del dato personal se encuentre la representación de la Persona Jurídica y no nuestra esfera de la privacidad, de tal manera que si los datos que se tratan son los meramente profesionales (no hay DNI, ni gustos, ni estudios, ni otro dato adicional), dichos datos deberían ser excluidos del ámbito de protección del RGPD, para precisamente permitir la libre circulación del dato en la Unión Europea y mejorar la competencia y desarrollo de la actividad comercial en Europa, y no poner más trabas al empresario europeo aumentando sus deberes de información respecto de unos derechos que estarían más bien vinculados a la Persona Jurídica y no a la Persona Física.