La Agencia Española de Protección de Datos (AEPD) ha publicado 18 mayo la guía ‘Protección de datos y relaciones laborales’ .Esta guía, elaborada por la AEGPD y con la participación destacada del Ministerio del Trabajo y Economía Social, patronal y organizaciones sindicales, tiene el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación en materia de protección de datos en respuesta a las nuevas formas de relaciones profesionales. Entre las múltiples cuestiones que trata la guía dedica un extenso apartado a la cesión de datos a otras empresas, una situación intrínseca a toda relación laboral en materia de coordinación de actividades empresariales y de la que se tratará en este artículo.

Pincha en la imagen para descargar la GUIA

Imagen
Guía de protección de datos en las relaciones laborales

¿Por qué la Guía de protección de datos en las relaciones laborales?

La publicación del nuevo Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) en diciembre de 2018, ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Estos cambios influyen también en el tratamiento de datos efectuado por un empleador respecto de las personas trabajadoras sin perjuicio de que el art. 88 del RGPD permita que, mediante disposiciones legales o convenios colectivos, se establezcan «normas más específicas» con la finalidad de ofrecer una mejor y más adaptada protección del derecho a la protección de datos en el campo de las relaciones
laborales.

Con objeto de dar respuesta a las cuestiones que surgen en su aplicación en el mundo laboral, en un escenario continuo de cambios, la nueva guía aborda, no sólo las bases jurídicas de la protección de datos sino temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias , el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control

Antes de adentrar en la cesión de datos, vamos a recordar algunos aspectos fundamentales relacionados con el tratamiento de datos.

¿Qué es un dato personal?

El art. 4.1 del RGPD considera dato personal toda información relativa
a una persona física identificada o identificable. Más en concreto y a modo de ejemplo:

  • Información que puede ser asociada a una persona física concreta: nacimiento, matrimonio, domicilio, etc.
  • Información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo.
  • Información sobre la infancia, sobre la vida académica, profesional o laboral, sobre los hábitos de vida y consumo, sobre las relaciones personales o sobre las creencias religiosas e ideologías.
  • Nombre y apellidos, números de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social.
  • Datos personales las evaluaciones y apreciaciones que hagan referencia a personas concretas.

Marco legal del tratamiento de datos en las relaciones laborales

Con carácter general, el tratamiento de categorías especiales de datos personales está prohibido. Sin embargo, el art. 9.2 del RGPD admite su tratamiento cuando, entre otros supuestos, es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del
responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.

En el ámbito de las relaciones laborales, la base jurídica principal es la ejecución del contrato de trabajo. De este modo, el tratamiento de datos de las personas trabajadoras por parte del empleador
es lícito:

  1. Cuando sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales (art. 6.1.b) RGPD). En este caso, la empresa podrá tratar datos como el nombre y los apellidos de las personas trabajadoras, su fecha de nacimiento, su sexo, su nacionalidad, su formación previa o cualesquiera otros imprescindibles para formalizar el contrato y
    ejecutar el trabajo.
  2. Para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c) RGPD). Esta base jurídica permite el tratamiento de datos cuando sea necesario para cumplir las exigencias impuestas por la ley (por ejemplo, cotización a la Seguridad Social, obligaciones tributarias, registro de jornada, información y consulta con los representantes de las personas trabajadoras, etc.) o por un convenio colectivo.
  3. Es base jurídica para el tratamiento de datos la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales (art. 6.1.f) RGPD)

¿Qué derechos tienen el trabajador ante el responsable del tratamiento?

Las personas trabajadoras pueden ejercer los siguientes derechos ante el responsable del tratamiento:

  1. Derecho de acceso (art.15 RGPD)
  2. Derecho de rectificación (art. 16 RGPD)
  3. Derecho de supresión (art 17. RGPD)
  4. Derecho a la limitación del tratamiento (art. 18 RGPD)
  5. Derecho a la portabilidad de los datos (art. 20 RGPD)
  6. Derecho de oposición (art. 21 RGPD)
  7. Derecho a no ser objeto de decisiones individuales automatizadas (art. 2 RGPD)

Más información consultar apartado AEPD Conoce tus derechos

La cesión de datos a otras empresas. Relaciones de subcontratación

El art. 42 del ET establece diversas obligaciones y responsabilidades en supuestos de contratas y subcontratas relativas a la propia actividad de la empresa principal.

El cumplimiento de esas obligaciones legales (art. 6.1.c) del RGPD), puede exigir la comunicación de datos personales de las personas trabajadoras
entre el empleador principal y otras empresas de la cadena de contratas, pues la responsabilidad solidaria alcanza a la empresa principal.

Deben distinguirse dos supuestos:
1. El momento previo a la contratación o subcontratación (art. 42.1 del ET).

2. En momentos posteriores respecto de la responsabilidad solidaria de las obligaciones de naturaleza salarial y las contraídas con la Seguridad Social (art. 42.2 del ET).

R
En relación con la responsabilidad solidaria de las obligaciones de naturaleza salarial y de las contraídas con la Seguridad Social, existiría una legitimación para la comunicación de datos de las personas trabajadoras entre las distintas empresas que forman la cadena de contratación que deriva del cumplimiento de una obligación legal prevista en el artículo 42 del ET. Este precepto impone a la empresa principal una responsabilidad solidaria por las deudas salariales y de Seguridad Social contraídas por las empresas contratistas y subcontratistas durante la vigencia de la contrata. Por su parte, el art. 168 del texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre (TRLGSS), impone una responsabilidad subsidiaria en materia de prestaciones de Seguridad Social.

Para hacer frente a esas responsabilidades es necesario conocer esas deudas y, por tanto, la comunicación de los datos correspondientes no
requiere el consentimiento de la persona trabajadora. De esta manera, a la obligación de comprobar. previamente a la contratación, que las empresas subcontratadas se encuentran al corriente en el pago de cuotas a la Seguridad Social de las personas empleadas en la contrata por parte del empleador principal, se añade la posibilidad de comprobar que el subcontratista ha cursado su afiliación y alta en la Seguridad Social.

Esta legitimación alcanzaría a los documentos de cotización y nóminas de las personas trabajadoras que pueden contener datos de salud y también datos relativos a la afiliación sindical del personal, siendo este último necesario para que el empleador deduzca en la nómina la cuota sindical de la persona trabajadora.


El contratista principal tiene la obligación legal de responder solidariamente junto con la empresa subcontratada de las obligaciones salariales y de la Seguridad Social, en los términos previstos en el artículo 42 del ET, mientras dure el periodo de vigencia de la contrata, por ello, la cesión de los documentos de cotización y nóminas está amparada en esta
obligación legal impuesta en el ET y el propio TRLGSS.
En todo caso, la comunicación de datos debe respetar el principio de minimización, por lo que el acceso por parte del contratista debería limitarse a los datos relacionados con las personas trabajadoras subcontratadas y no a cualesquiera personas trabajadoras de la
empresa subcontratada.