La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía de La protección de datos en las relaciones laborales. Esta nueva guía da respuesta a la aplicación de los numerosos cambios en la regulación ( Reglamento General de Protección de Datos, RGPD, y Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales, LOPDPGDD) en un marco de relaciones laborales cambiante
Toda actividad empresarial, en mayor o menor medida, implica la cesión a terceros de datos personales, a veces por imperativo legal, y otras por diversos factores empresariales. El tratamiento de datos y su cesión a terceros es un punto destacado de toda relación laboral subcontratada. Por ello hemos considerado una guía de interés para nuestros lectores, cuyos puntos más relevantes a nivel de coordinación de actividades empresariales desarrollamos en este artículo. Además trataremos otro aspecto de creciente interés como el registro de jornada
A nivel de coordinación de actividades empresariales y derivados del deber de control y vigilancia que exige un intercambio importante de documentación entre las empresas concurrentes, la gestión y protección de estos datos cedidos genera múltiples preguntas.
Descarga la GUIA AEPD. La protección de datos en las relaciones laborales
¿Qué es el tratamiento de datos personales?
El art. 4.1 del RGPD considera dato personal «toda información relativa a una persona física identificada o identificable». Con carácter general, el tratamiento de categorías especiales de datos personales está prohibido. Sin embargo, el art. 9.2 del RGPD admite su tratamiento cuando, entre otros supuestos, es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros. Ej: Tratamiento del dato de discapacidad de la persona trabajadora a efectos de reducciones o bonificaciones de cuotas a la Seguridad Social.
El derecho a la protección de datos ampara a los afectados frente al «tratamiento» de los mismos, que se define en el art. 4.2 del RGPD
como cualquier operación sobre datos personales, ya sea por procedimientos automatizado o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción
La legislación de protección de datos es de aplicación al tratamiento de datos efectuado por un empleador respecto de las personas trabajadoras, sin perjuicio de que el art. 88 del RGPD permita que, mediante disposiciones legales o convenios colectivos, se establezcan «normas más específicas» con la finalidad de ofrecer una mejor y más adaptada protección del derecho a la protección de datos en el campo de las relaciones laborales. En el ámbito de las relaciones laborales, la base jurídica principal es la ejecución del contrato de trabajo. El tratamiento de datos también es lícito «para el cumplimiento de una obligación legal aplicable al responsable del tratamiento» (art. 6.1.c) RGPD). Esta base jurídica permite el tratamiento de datos cuando sea necesario para cumplir las exigencias impuestas por la ley (por ejemplo, cotización a la Seguridad Social, obligaciones tributarias, registro de jornada, información y consulta con los representantes de las personas trabajadoras, etc.) o por un convenio colectivo.
¿Cómo ha de ser la información sobre el tratamiento de datos personales?
El responsable del tratamiento, normalmente el empleador, debe informar a las personas trabajadoras, de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre el tratamiento de datos que está llevando a cabo (arts. 13 y 14 del RGPD2).
¿Cuándo se ha de informar sobre el tratamiento de datos personales?
- Cuando los datos se obtengan del afectado (por ejemplo, a través del currículum vitae) la información debe proporcionarse en el mismo momento en que el empleador recabe los datos.
- Cuando los datos no se obtengan del afectado la información debe proporcionarse dentro de un plazo razonable, y a más tardar en el plazo de un mes, con las siguientes precisiones:
a) Si los datos personales han de utilizarse para una comunicación con el afectado, debe informarse a más tardar en el momento de la primera comunicación a dicho afectado.
b) Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez
¿Qué derechos tienen el trabajador ante el responsable del tratamiento?
Las personas trabajadoras pueden ejercer los siguientes derechos ante el responsable del tratamiento:
- Derecho de acceso (art.15 RGPD)
- Derecho de rectificación (art. 16 RGPD)
- Derecho de supresión (art 17. RGPD)
- Derecho a la limitación del tratamiento (art. 18 RGPD)
- Derecho a la portabilidad de los datos (art. 20 RGPD)
- Derecho de oposición (art. 21 RGPD)
- Derecho a no ser objeto de decisiones individuales automatizadas (art. 2 RGPD)
Otras definiciones en materia de protección de datos personales
Según indica el artículo 3 de la LOPD se entenderá por:
a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
Cesión de datos a otras empresas
Son diversos los escenarios en los que puede darse una cesión de datos
a) Con carácter general, la comunicación de los datos entre empresas del mismo grupo exigirá acreditar un interés legítimo bien del responsable del tratamiento, o bien del tercero al que se comunican los datos. Ese interés legítimo puede consistir en la centralización de las actividades de carácter administrativo
b) La comunicación de datos no requiere consentimiento de los afectados en supuestos de subrogación empresarial:
- La base jurídica no es el consentimiento de la persona trabajadora, sino la obligación establecida en el art. 44 del ET, el convenio colectivo o el pliego de cláusulas, según los casos.
- El nuevo empleador tiene derecho a conocer y tratar datos personales de las personas trabajadoras imprescindibles para la ejecución y
mantenimiento del contrato. - La cesión de datos no es lícita si la persona trabajadora rechaza la subrogación y decide permanecer en la empresa cedente.
- Las personas trabajadoras y sus representantes legales deben ser informados de la cesión de datos.
La cesión de datos en caso de subcontratación
Deben distinguirse dos supuestos:
◤ El momento previo a la contratación o subcontratación (art. 42.1 del ET).
◤ En momentos posteriores respecto de la responsabilidad solidaria de las obligaciones de naturaleza salarial y las contraídas con la
Seguridad Social (art. 42.2 del ET).
En relación con la responsabilidad solidaria de las obligaciones de naturaleza salarial y de las contraídas con la Seguridad Social, existiría una legitimación para la comunicación de datos de las personas trabajadoras entre las distintas empresas que forman la cadena de contratación que deriva del cumplimiento de una obligación legal prevista en el artículo 42 del ET. Este precepto impone a la empresa principal una responsabilidad solidaria por las deudas salariales y de Seguridad Social contraídas por las empresas contratistas y subcontratistas durante la vigencia de la contrata.
Por su parte, el art. 168 del texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre (TRLGSS), impone una responsabilidad subsidiaria en materia de prestaciones de Seguridad Social. Para hacer frente a esas responsabilidades es necesario conocer esas deudas y, por tanto, la comunicación de los datos correspondientes no requiere el consentimiento de la persona trabajadora.
De esta manera, a la obligación de comprobar. previamente a la contratación, que las empresas subcontratadas se encuentran al corriente en
el pago de cuotas a la Seguridad Social de las personas empleadas en la contrata por parte del empleador principal, se añade la posibilidad
de comprobar que el subcontratista ha cursado su afiliación y alta en la Seguridad Social. Esta legitimación alcanzaría a los documentos de cotización y nóminas de las personas trabajadoras que pueden contener datos de salud y también datos relativos a la afiliación sindical del personal, siendo este último necesario para que el empleador deduzca en la nómina la cuota sindical de la persona trabajadora.
La legitimación para su tratamiento, al tratarse de categorías especiales de datos personales, sería el art. 9.2.b) en relación con el art. 6.1.c)
del RGPD, de manera que el tratamiento de los datos de categorías especiales resulta necesario para el cumplimiento de una obligación legal y el ejercicio de los derechos del responsable en el ámbito del Derecho laboral y de la seguridad y protección social.
El contratista principal tiene la obligación legal de responder solidariamente junto con la empresa subcontratada de las obligaciones salariales y de la Seguridad Social, en los términos previstos en el artículo 42 del ET, mientras dure el periodo de vigencia de la
contrata, por ello, la cesión de los documentos de cotización y nóminas está amparada en esta obligación legal impuesta en el ET y el propio TRLGSS.
En todo caso, la comunicación de datos debe respetar el principio de minimización, por lo que el acceso por parte del contratista
debería limitarse a los datos relacionados con las personas trabajadoras subcontratadas y no a cualesquiera personas trabajadoras de la
empresa subcontratada.
El Registro de Jornada
El registro de jornada con el que deben contar todas las empresas de conformidad con lo dispuesto en el art. 34.9 del ET, en su redacción dada por el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, tiene su base jurídica en una obligación legal de incluir el horario concreto de inicio y finalización de la jornada
de cada persona trabajadora. Los registros de ese tiempo de trabajo deben ser conservados durante cuatro años y permanecer a disposición
de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social, siendo válido cualquier medio de conservación siempre que se garantice su preservación y la fiabilidad e invariabilidad a posteriori de su contenido, ya se trate de soporte físico o cualquier otro que asegure idénticas garantías.
La empresa empleadora actuará como responsable del tratamiento respecto de las personas trabajadoras, sin perjuicio de que los proveedores externos de los sistemas de registro se conviertan en encargados del tratamiento con las obligaciones que respectivamente incumben a unos y otros.
El registro de jornada debe estar incluido en el Registro de las Actividades del Tratamiento (art. 30 RGPD).
Los datos del registro no pueden ser utilizados con finalidades distintas al control de la jornada de trabajo (principio de limitación de
la finalidad). El registro horario es un instrumento para verificar la jornada laboral diaria realizada por cada persona trabajadora y su
finalidad, como se señala en la Guía elaborada por el entonces Ministerio de Trabajo, Migraciones y Seguridad Social sobre registro de jornada