6. Posibles cesiones o comunicaciones de datos en el ámbito de la relación laboral

Según el art 5 c del RLOPD

“La cesión o comunicación de datos consiste en un tratamiento de datos que supone su revelación a una persona distinta del interesado”

Así mismo el art 11 de la LOPD establece en detalle las condiciones en las que podrán o no ser cedidos los datos:

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

La regla general por tanto de toda cesión o comunicación de datos es, la obtención del consentimiento del interesado para la cesión o comunicación de datos.

Los principales supuestos concretos que nos podemos encontrar en el ámbito de la relación laboral serían los siguientes:

  • Cesión de datos de trabajadores a empresas del grupo.
  • Cesión de datos de trabajadores a sindicatos y representantes de trabajadores.
  • Comunicación de datos a empresas para la prevención de riesgos laborales.
  • Comunicación de datos de trabajadores a mutuas de accidentes de trabajo y enfermedades profesionales.
  • Supuesto de comunicación de datos por empresas subcontratistas.

 

  1. Cesión de datos de trabajadores a empresas del grupo

En atención a lo establecido en el Informe de la Agencia de Protección de Datos  0494/2008 y de acuerdo a la Sentencia de la Sección Novena de la sala de lo contencioso-Administrativo  del Tribunal Superior de Justicia de 16 de Octubre de 2000:

Las sociedades que se integren dentro de un Grupo de Empresas, tienen personalidad jurídica plena e independiente entre sí, y por tanto todo intercambio de datos que se produzca entre las distintas empresas del Grupo se considerará como una cesión o comunicación de datos. En este sentido, cada empresa del grupo deberá previamente:

  • Informar de la cesión y su finalidad al afectado.
  • Recabar su consentimiento.

No obstante lo anterior, es común en los grupos de empresas la existencia de una sociedad matriz que normalmente se encarga de la gestión de los datos de las otras empresas para la prestación servicios de elaboración de nóminas, llevanza de la contabilidad, soporte informático, marketing etc. En estos supuestos si bien estamos ante una cesión o comunicación de datos de trabajadores habrá de tenerse en cuanta que:

  • Para evitar que esta comunicación sea interpretada como una cesión, se deberá formalizar un contrato de encargado de tratamiento entre la empresa matriz y aquella que le remita sus datos.
  • La empresa matriz es la empresa encargada de tratamiento, y tratará los datos conforme a instrucciones que le remitan las empresas responsables de los datos.
  • La empresa remitente de los datos sigue siendo responsable de sus ficheros.

Por tanto, salvo en supuestos de prestación de servicios por parte de la empresa matriz a las filiales, o entre las mismas, toda cesión o comunicación de datos de trabajadores que no suponga el acceso datos por cuenta de terceros requerirá el consentimiento del trabajador, así como el deber de información establecido en el art. 15 de la LOPD.

 

  1. Cesión de datos de trabajadores a sindicatos y representantes de trabajadores

En el el artículo 64 del Estatuto de los Trabajadores se otorga a los delegados sindicales y a los miembros del comité de empresa la facultad de acceder a determinada documentación e información, entre otros:

  • estadísticas sobre el índice de absentismo y sus causas,
  • los accidentes de trabajo y enfermedades profesionales y sus consecuencias,
  • índices de siniestralidad,
  • estudios de medio ambiente laboral y mecanismos de prevención utilizados,
  • ser informado por faltas muy graves impuestas,
  • acceso a la copia básica de los contratos de trabajo.

En definitiva los Comités de empresa o Delegados Sindicales  están facultados según el art 64 de Estatuto para recibir información de “ todos los temas y cuestiones señalados en cuanto directa o indirectamente tengan o puedan tener repercusión en las relaciones laborales”. De esta manera, la empresa estaría obligada a facilitar toda esta información que afecte directa o indirectamente a las relaciones laborales excepto aquella que pertenezca a la esfera de la intimidad del trabajador. En este sentido:

  1. No sería necesario informar respecto al salario de los trabajadores. A este respecto la Sentencia del Tribunal Supremo de 19 de febrero de 2009 establece:

“la información de los salarios por categorías y departamentos, (…) cumple suficientemente con las exigencias que al respecto establece el artículo 1 de la Ley 2/1991” () por lo que no sería necesario concretar individualizadamente el salario de todos los trabajadores bastando informar respecto de los salarios por categorías y departamentos.

  1. No se tendría la obligación de informar de las direcciones de correo electrónico de los trabajadores por cuanto éstas no repercuten en las relaciones laborales.
  2. En relación a los datos de absentismo y, en concreto a las ausencias por incapacidad temporal de los trabajadores (enfermedades y accidentes), la empresa deberá informar sobre las causas y consecuencias de los mismos pero no (en caso de conocerse) respecto de las patologías médicas de los trabajadores.
  3. Respecto al contrato de trabajo, el empresario entregará a la representación legal de los trabajadores una copia básica de todos los contratos que deban celebrarse por escrito, a excepción de contratos de relación laboral especial (alta dirección). La copia básica contendrá todos los datos del contrato a excepción de DNI, domicilio, estado civil, y cualquier otro que de acuerdo con la Ley Orgánica 1/1982, de 5 de Mayo, pudiera afectar a su intimidad personal.

 

  1. Comunicación de datos a empresas de prevención de riesgos laborales

 

  1. Supuesto de comunicación de datos de la empresa a la Mutua de Prevención de Riesgos Laborales sobre datos de sus empleados:

De acuerdo con el artículo 14.2 de la Ley 31/1995 de Prevención de Riesgos Laborales (LPRL) se establece la obligación a la empresa de establecer un sistema de prevención y protección de riesgos laborales. Para el desarrollo de dicha actividad deberá contar bien con un servicio de prevención propio o contratar un servicio ajeno debidamente acreditado.

Por tanto, en los supuestos en los que se contrate un servicio prevención ajeno a la empresa se deberá formalizar el correspondiente contrato de prestación de servicios con la empresa de Servicios de Prevención de Riesgos Laborales. Dicha empresa accederá a los datos en calidad de encargado de tratamiento y el contrato de prestación de servicios deberá cumplir con las previsiones del art 12 de la LOPD.

  1. Supuesto especial actividades de vigilancia y control de la salud de los trabajadores:

No obstante lo anterior, la actividad de vigilancia y control de la salud de los trabajadores no se considerará como un acceso a datos por cuenta de terceros en los supuestos de servicios de prevención de riesgos laborales ajenos.

De acuerdo con los sucesivos informes de la Agencia Española de Protección de datos, Informes 0391/2006, 198/2008 y 024/2009, la empresa de servicios de Prevención de Riesgos será considerada en estos supuestos como responsable del tratamiento.

En consecuencia cuando la empresa contrate con una Mutua la protección de las contingencias profesionales de los trabajadores o la prestación económica de incapacidad temporal derivada de contingencias comunes, será considerada responsable del tratamiento de datos que realizan de acuerdo con las funciones que tiene legalmente atribuidas, y no con un mero tratamiento por cuanta de terceros.

Podemos concluir que tanto las empresas encargadas de la Prevención de Riesgos Laborales como las Mutuas de Accidentes tienen la consideración de responsables del tratamiento de datos que realizan, al amparo de las funciones que tiene legalmente atribuidas.”

El artículo 22 de la LPRL en su apartado 6 establece expresamente que “las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo por el personal sanitario con competencia técnica, formación y capacidad acreditada”. El apartado 4 del mismo artículo determina que “el acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador”. Por tanto, las empresas solo pueden tener conocimiento de las conclusiones que se deriven de los reconocimientos en relación a la aptitud del trabajador para el desempeño de su puesto. En este sentido, la empresa de Prevención de Riesgos Laborales deberá remitir a la empresa las conclusiones que se deriven de los reconocimientos efectuados y en relación con la aptitud del trabajador para el puesto desempeñado siendo responsable de los datos de salud relativos a la revisión médica.

 

  1. Comunicación de datos a mutuas de accidentes de trabajo y enfermedades profesionales

El empresario de acuerdo con el artículo 99 de la Ley General de la Seguridad Social debe proceder a la afiliación de sus trabajadores y establecer la protección de los mismos a través de un sistema de una entidad gestora o de una Mutua de Accidentes. En estos supuestos de cesión o comunicación de daos no se requerirá consentimiento de los trabajadores pues resulta necesaria para el cumplimiento de las coberturas y prestaciones que son exigidas de acuerdo al artículo 99 de la Ley General de la Seguridad Social y sin las cuales no podría mantenerse lícitamente la relación laboral.

El cumplimiento de la obligación legal de facilitar datos de los trabajadores respecto de las contingencias de accidentes de trabajo y enfermedad profesional, implica la necesidad de comunicar a la mutua correspondiente los datos identificativos de los empleados objeto de la cobertura. En este sentido, únicamente podrán cederse datos necesarios para el cumplimiento de la obligación y solamente aquellos datos que sean elaborados por la Mutua relativos a datos de salud de los trabajadores serán de su responsabilidad y no podrán ser comunicados a los empresarios, excepto habilitación legal o el oportuno consentimiento previo del trabajador.

 

  1. Supuesto de comunicación de datos por las empresas subcontratadas

El Estatuto de los trabajadores, establece en su artículo Artículo 42.1 que:

Los empresarios que contraten o subcontraten con otros la realización de obras o servicios, correspondientes a la propia actividad de aquellos deberán comprobar que dichos contratistas están al corriente del pago de las cuotas de la seguridad social a tal efecto recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería de la Seguridad Social”.

Esto supone la responsabilidad solidaria del empresario principal, durante el año siguiente a la terminación de su encargo, de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores.

Es práctica habitual en la subcontratación de servicios  que se envíen entre las empresas los documentos TC1 y TC2 como acreditativos de estar al corriente de los pagos a la Seguridad Social, ya que los mismos recogen la relación nominal de los trabajadores respecto a los cuales el empresario ha dado cumplimiento de sus obligaciones de abono de la correspondiente cuota a la seguridad Social, pero.

La AEPD ha estableció a través de sus informes en sucesivas ocasiones que no existe ninguna habilitación legal que posibilitase la cesión de datos, y por tanto que no se encontraba recogida ni en el Estatuto de los Trabajadores ni en la Ley de Prevención de Riesgos Laborales, siendo por tanto necesario el consentimiento previo de los afectados antes de proceder a la cesión.  Sin embargo en su informe 412/2009 estableció  lo siguiente:

El artículo 42.2 del Estatuto de los Trabajadores, impone al contratista principal una responsabilidad solidaria, responsabilidad que implica atender el cumplimiento de una obligación de naturaleza salaria y las referidas a la Seguridad Social durante el período de vigencia de la contrata.

Las obligaciones, según el Código Civil en su artículo 1089 “nacen de la ley, contratos ” En el supuesto que nos ocupa la obligación nace de una Ley, el Estatuto de los Trabajadores, asimismo continúa señalando el Código Civil en el artículo 1088 que “Toda obligación consiste en dar, hacer o no hacer alguna cosa”.

El Estatuto de los Trabajadores impone una obligación solidaria definida a sensu contrario en el artículo 1137 del ya citado Código Civil como “La concurrencia de dos o más acreedores o dos o más deudores en una sola obligación no implica que cada uno de aquéllos tenga derecho a pedir, ni cada uno de éstos deba prestar íntegramente la cosa objeto de la misma. Sólo habrá lugar a esto cuando la obligación expresamente lo determine, constituyéndose con el carácter de solidaria.”

De la definición se desprende que cuando estemos en presencia de una obligación solidaria cada uno de los deudores deberá prestar íntegramente la cosa objeto de la misma. Por tanto, si el contratista principal es obligado solidariamente de la deuda salarial y a las referidas a la Seguridad Social durante el período de vigencia de la contrata, deberá de conocer el contenido íntegro de dicha obligación para poder cumplirlas.

Por todo ello, dado que el Estatuto de los Trabajadores impone una un deber al empresario principal, la comunicación de ciertos datos tales como el TC2, resulta conforme con al Ley Orgánica 15/1999 y el Reglamento de desarrolla, pues se haya expresamente prevista en una norma con rango de Ley. Además el propio Código Civil exige atender íntegramente las obligaciones solidarias por lo que es preciso conocer el contenido de la misma.

En consecuencia, la cesión de los TC2 estaría amparada en el artículo 7.3 de la Ley Orgánica 15/1999, en relación con el artículo 42.2 del Estatuto de los Trabajadores y por el alcance que el Código Civil impone a las obligaciones solidarias.

Comments are closed.

A partir del 01-01-2024 DATA PRIVACY OUTSOURCING & INFORMATION TECHNOLOGY LAW S.L. (DPO&IT LAW) se ha integrado en el despacho de abogados de Club Legal Asesores Internacionales, S.L. (CLUB LEGAL) con el propósito de fortalecer nuestras capacidades actuales y ofrecerles nuevos servicios relacionados con cualquiera de las áreas de práctica legal y jurídica que pueden ver en https://www.clublegal.es/

X