FUNDAE ¿responsable o encargado del tratamiento?

FUNDAE, la Fundación Estatal para la Formación en el Empleo, es una fundación del sector público estatal encargada de coordinar la ejecución de las políticas públicas en materia de formación profesional. Se encuentra regulada en la Ley 30/2015, de 9 de septiembre, por la que se regula el Sistema de Formación Profesional para el empleo en el ámbito laboral, y desarrollada a su vez por el Real Decreto 694/2017, de 3 de julio.

Actualmente cualquier empresa española puede optar a un crédito formativo a través de FUNDAE, el cual procede de la recaudación de la cuota de Formación Profesional que la empresa realiza a la Seguridad Social. Por tanto, en los supuestos en los que la empresa necesite realizar cursos de formación a sus empleados podría beneficiarse de la impartición de los mismos gestionando el pago de los mismos a través de FUNDAE. El sistema empleado para pagar a la empresa por dichos cursos es través de las correspondientes bonificaciones en los seguros sociales que realiza la empresa a la Seguridad Social.

En todo este proceso de gestión de los cursos de formación existe un tratamiento de datos personales de los trabajadores de la empresa, por lo que debemos identificar las partes implicadas en el mismo, identificando quién es el Titular de los Datos, el Responsable, y en su caso el Encargado del Tratamiento o Cesionario de los datos.

En el funcionamiento de la FUNDAE  debemos diferenciar cuatro participantes:

• Administración Pública: ente que subvenciona a través de descuentos en seguros sociales de la empresa los importes realizados mediante formación subvencionada.
• FUNDAE. encargada de coordinar la ejecución de las políticas públicas en materia de formación profesional
• Empresas externas: antes denominadas entidades organizadoras, que se encarga de todas las gestiones y comunicaciones oficiales. No es obligatorio realizarlo a través de estas empresas, aunque sí es lo más común en la formación vía FUNDAE, ya que las mismas se encuentran especializadas es su gestión ahorrando tiempo y dinero a las empresas que quieran utilizar esta fórmula formativa. La gestión de estos cursos de formación por empresa externas debe materializarse en la firma de un convenio de encomienda de la formación, o adherirse a uno ya existente.
• Empresa bonificada: Es la que recupera parte (o toda) de la cantidad invertida en la formación de sus trabajadores, a través de bonificaciones en los seguros sociales. Es la Responsable de los datos personales obligado por tanto al cumlpimiento de la normativa de Protección de Datos. ,

En todo este proceso son múltiples las comunicaciones de datos entre los distintos actores, incluyendo entre otros los datos identificativos de los trabajadores como los relativos al sexo, edad, nivel de estudios, categoría profesional y minusvalía. Estos datos son fundamentales y deben ser aportados por la empresa para poder inscribir a sus trabajadores a los cursos de formación subvencionados, con la finalidad de prestar el servicio, así como demostrar la asistencia a los mismos. Efectivamente, durante los cursos se debe justificar la asistencia mediante la firma del trabajador, autenticándose con el DNI para la identificación del alumno.

Para analizar desde el punto de vista de la protección de datos todos estos procesos de comunicación de datos por parte de la Empresa a los terceros intervinientes, debemos de analizar en primer lugar la justificación o legitimación en el tratamiento, la cual podemos incluir en el art. 6.1 c) del RGPD:

“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”.

Así, podremos identificar la posición que asume cada participante en el tratamiento de datos;

• El trabajador: dado que es la persona que realiza el curso de formación no cabe duda que ocupa la posición del titular de los datos personales o interesado.
• La empresa bonificada: será considerada el Responsable del Tratamiento, ya que es quien determina las finalidades y los medios del tratamiento.
• Las Empresas Externas: La dificultad viene a la hora de determinar el papel de las empresas externas en el tratamiento de los datos personales que maneja en las funciones que tiene encomendadas. Podría pensarse que nos encontramos ante un Encargado del Tratamiento de los datos aportados por la empresa bonificada, ya que podría decirse que trata los datos personales pertenecientes a los tratamientos efectuados por el Responsable, con la finalidad de prestarle un servicio. Existe un acceso a datos, pero sus obligaciones van más allá de cumplir instrucciones de la empresa bonificada, por lo que, entendiendo que su actividad no se limita  la mera prestación de un servicio, tenemos que considerar que la empresa externa es también Responsable del Tratamiento y por tanto se configuraría como un Cesionario de los datos cuyo tratamiento viene legítimado por el mencionado art. 6.1 C) del RGPD. Esta posición es la defencida por la AEPD en un un informe antiguo (Informe 0143/2010), pero cuya fundamentación jurídica puede seguir siendo perfectamente aplicable.
• FUNDAE. De forma similar los datos de los trabajadores cedidos por la empresa bonificada o por la empresa externa a la FUNDAE se encuentran igualmente amparados en el art. 6.1 c) del RGPD. Por otro lado, y en relación al papel que desempeña FUNDAE con la Administración acudiendo al informe del año 2009, Informe 0649/2009, en el que se hace referencia directa a otro informe, de 28 de mayo de 2003, se establece de una forma clara y directa la condición de encargada del tratamiento respecto de los datos de la Administración Pública, que es quien decide sobre la finalidad, contenido, y uso del tratamiento, ejerciéndose las funciones en cumplimiento de la gestión encomendada a FUNDAE.

Por lo tanto, entendemos que no es necesario que la empresa bonificada firme un contrato de encargado del tratamiento con la empresa externa que gestiona la formación subvencionada o con la propia FUNDAE, ya en ambas situaciones nos encontramos ante una cesión o comunicación de datos, legitimada por el art.6.1 c) del RGPD.

Borja Pérez-Enciso Ramos
Consultor Protección de Datos
DPO&itlaw Valladolid