Toda actividad empresarial, en mayor o menor medida, implica la cesión a terceros de datos personales, a veces por imperativo legal, y otras por diversos factores empresariales, motivos estratégicos o interés comercial. A nivel de coordinación de actividades empresariales y derivados del deber de control y vigilancia que exige un intercambio importante de documentación entre las empresas concurrentes, la gestión y protección de estos datos cedidos genera múltiples preguntas.
A lo largo de este artículo especial con motivo de la celebración del Día Europeo de la Protección de Datos iré dando respuesta a las preguntas más frecuentes en materia de cesión de datos en materia de coordinación de actividades empresariales.
¿Cuál es el marco legal de la proteción de datos en España?
La norma de referencia a nivel de protección de datos en Europa es el Reglamento General de Protección de Datos (RGPD), del Parlamento Europeo y del Consejo (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, aplicable desde el 25 de mayo de 2018. Nuestro reglamento nacional se compone de estos preceptos legales.
- Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales
- Ley Orgánica de Protección de Datos de Carácter Personal (parcial)
- Ley Orgánica de protección de datos para enjuiciamiento de infracciones penales
- Reglamento de la Ley Orgánica de protección de datos de carácter personal
- Ley de conservación de datos relativos a comunicaciones electrónicas y redes públicas
- Plazo de implantación de medidas de seguridad de nivel alto en sistemas de información
- Relación de países con protección de datos de carácter personal equiparable a la española
- Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
- Reglamento Europeo relativo a protección en el tratamiento de datos personales
¿Qué definiciones has de conocer en materia de Protección de Datos?
Según indica el artículo 3 de la LOPD se entenderá por:
a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
La cesión de datos en coordinación empresarial. ¿Cómo me afecta?
Toda actividad empresarial, en mayor o menor medida, implica la cesión a terceros de datos personales, a veces por imperativo legal, y otras por diversos factores empresariales, motivos estratégicos o interés comercial. La Ley Orgánica de Protección de Datos de carácter personal (LOPD) entiende por cesión o comunicación datos (artículo 11), toda revelación o entrega de datos personales a un tercero (persona física o jurídica) y regula en su artículo 27 una serie excepciones y exigencias para llevarlas a cabo, respetando en todo momento el control que todo ciudadano debe tener sobre el destino de sus datos personales.
La LOPD Principios generales que rigen las cesiones de datos:
1. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.
2. La obligación establecida en el apartado anterior no existirá en el supuesto previsto en los apartados 2, letras c), d), e) y 6 del artículo 11, ni cuando la cesión venga impuesta por ley. Es decir:
- Cuando la cesión está autorizada en una Ley. Ej.: Mutuas, Seguridad Social, Hacienda, Comités de Empresa, Outsourcing y subcontrataciones
- Cuando se trate de datos recogidos de fuentes accesibles al público.
- Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. Ej: Servicios de Prevención de Riesgos, Trabajadores externalizados o temporales a empresas usuarias de los mismos
- Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
- Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Preguntas sobre cesión de datos según tipología del documento
Entendemos por tanto que como el empresario que contrata ha de solicitar una serie de documentación en cumplimiento del RD 171/2004 y de sus obligaciones como empresario principal indicadas en el art. 42.2 del estatuto de los trabajadores, la cesión de datos es lícita no siendo preciso el consentimiento del trabajador. A hora de solicitar la documentación a las empresas contratistas y subcontrataistas, son múltiples las preguntas que debe realizarse el empresario que contrata sobre cesión de datos según tipología del documento
¿Qué documentación se ha de solicitar y por qué? ¿qué consecuencias jurídicas tendría el incumplimiento?, ¿algún contratista puede negarse a ceder este documento por la confidencialidad de los datos que contiene?, ¿puedo solicitar un apto médico de un trabajador subcontratado con limitaciones?
En cumplimiento con el deber de control del empresario con sus empresas contratistas, recogido en el R.D 171/2004 de coordinación de actividades se ha de solicitar, verificar y controlar una serie de documentación a sus contratas y subcontratas, que se encuentran bajo el amparo de esta cesión de datos que comento:
a) Prevención de Riesgos Laborales
La evaluación de riesgos de los trabajos a realizar, la formación e información sobre los riesgos del puesto de trabajo de sus empleados y su aptitud médica son los documentos más comunes solicitados a nivel de prevención de riesgos laborales, en cumplimiento de sus deberes como empresario, expresados en la Ley 31/1995 de prevención de riesgos laborales.
b) Documentos de tipo administrativo
Es una práctica común solicitar documentos de tipo administrativo (altas en la seguridad social, RNT, ITA…) ya que, si bien cada empresa subcontratista es responsable directamente de las sanciones administrativas derivadas por no tener a su personal dado de alta en la Seguridad Social (Art. 22.11 LISOS), el empresario principal responde solidariamente de las obligaciones referidas a la Seguridad Social contraídas por los contratistas y subcontratistas durante el período de vigencia de la contrata y de las obligaciones de carácter salarial durante el año siguiente a la finalización del encargo.
Caso 1. Cesión de Datos y CAE: La Solicitud del RNT
Es corriente que se soliciten los RNT para verificar si la empresa está al corriente en el pago de las cuotas de la Seguridad Social, no obstante, la Agencia de Protección de Datos, en diversos informes ha sido muy clara al declarar que no se pueden facilitar los RNTs ya que éstos incluyen más datos de los que exige la Ley y, en consecuencia, se está vulnerando el principio de calidad de los datos, inclusive si se dispone del consentimiento del trabajador. Si por diversas circunstancias (relación cliente proveedor) entrega el RNT de los trabajadores, solicite el consentimiento al trabajador, y borre los datos de los trabajadores que no se ceden; siendo lo más recomendable la validación automática de este tipo de documento (impidiendo por tanto la visualización del mismo)
La subcontratación de obras y servicios en las que empresario principal responderá solidariamente de las obligaciones de naturaleza salarial de los trabajadores del subcontratista (sector de la construcción), al contrario que en el supuesto anterior, en este caso, al existir la obligación del empresario principal de responder solidariamente del pago de los salarios de los trabajadores del subcontratista,
Caso 2. Cesión de Datos y CAE: vigilancia de la salud
vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo. Esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento. (…) (art. 21.1 Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales)” No obstante, la vigilancia puede ser obligatoria conforme al artículo 21.1 de la Ley de Prevención de Riesgos Laborales, previo informe de los representantes de los trabajadores.
Según el artículo 7.3 de la LOPD (datos especialmente protegidos «Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente». La vigilancia de la salud de los trabajadores es una obligación para el empresario (por tanto el resultado de la misma que interfiera en sus obligaciones de garante de seguridad y salud) según art. 22 de la Ley 31/1995. Comporta el acceso por el servicio de prevención propio /ajeno a datos de los trabajadores y la cesión de estos en materia de coordinación empresarial.