Protección de datos personales en las relaciones laborales

Importancia de la protección de datos en las relaciones laborales

La empresa, o sus asesores, deben conocer y cumplir las exigencias sobre protección de datos recogidas en la normativa actual. Exigencias, que como veremos no solo abarcan en el ámbito laboral formalidades asociadas a la LOPDGDD o RGPD, sino que han de estar presentes desde la fase previa a la contratación (Procesos de selección, gestión del «curriculum vitae», tratamiento informatizado y perfiles de candidatos) hasta la extinción de la relación laboral e incluso con posterioridad a la relación laboral.

Antes del análisis de los distintos puntos de interés en esta materia, tan poco abordada desde el punto de vista laboral, hemos de abordar -a modo introductorio-aquellos conceptos sobre los que, tanto inicialmente el Reglamento General de Protección de Datos (en adelante RGPD), como posteriormente la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD), articulan el tratamiento de datos para garantizar su correcta protección. Es necesario conocer los conceptos utilizados por la normativa para poder abordar posteriormente su incidencia en el ámbito laboral.

a) Exactitud de los datos. El art.5.1 apartado d) del RGPD expone que los datos personales serán exactos y, si fuera necesario, actualizados. El considerando 39 reseña que “deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos”. La obligación del responsable de corregir aquellos datos que sean inexactos es correlativa al derecho de rectificación de los interesados expresamente reconocido en el artículo 16 del RGPD. El principio de exactitud de los datos aparece también reconocido en el art. 4 de la LOPDGDD.

El principio de exactitud de los datos determina a su vez la necesidad de articular procedimientos que permitan al responsable realizar la actualización continua de los datos contenidos en el fichero con la finalidad de respetar el citado principio, de tal manera que sean exactos y se ajusten a la realidad del interesado. Téngase en cuenta que este principio está en estrecha relación con el derecho a la limitación del tratamiento regulado en el artículo 18 del RGPD y en el artículo 16 de la LOPDGDD.

b) Deber de confidencialidad. El art. 5.1.f) del RGPD expone que los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad adecuada, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento («principios de integridad y confidencialidad»).

La nueva LOPDGDD, por su parte, regula la confidencialidad en su art. 5 como un deber que atañe a los responsables, encargados y cualquier otra personal que intervenga en cualquier fase del tratamiento. Esta obligación será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable y se mantendrá aun cuando hubiese finalizado la relación del obligado con el responsable o encargado.

c) Tratamiento basado en el consentimiento del afectado. El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".

Sin duda en este apartado encontramos uno de los puntos más importantes que la LOPDGDD ha fijado en base al RGPD, como es el consentimiento expreso del titular de los datos que debe aceptar el tratamiento de los mismos a través de una declaración o acción afirmativa, resultado de una manifestación específica e inequívoca. Es decir, la norma concreta que cuando se soliciten los datos del usuario para diferentes finalidades no será válido que se pida su consentimiento en bloque y de forma tácita, sino que deberá obtenerse de manera diferenciada y específica para cada una de las diferentes finalidades.

En este sentido, el considerando citado ejemplifica -sin ánimo exhaustivo, pero con una clara vocación pedagógica- determinadas formas a través de las cuales el interesado puede expresar su consentimiento , señalando que tal manifestación “podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.”

Por tanto, atendiendo a lo dispuesto en el RGPD, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

Asimismo, la LOPDGDD menciona de lo recogido en el RGPD y excluye por tanto lo que se conocía como "consentimiento tácito", indicando, además, en cuanto al consentimiento del afectado para una pluralidad de finalidades, que será preciso que conste de manera específica e inequívoca que el consentimiento se otorga para todas ellas.

Para que el consentimiento pueda considerase informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. Por tanto, resultará necesario que la información sea facilitada al interesado antes del tratamiento, en caso contrario, el tratamiento no podrá ser considerado lícito. 

En este mismo sentido se ha pronunciado la Guía «La protección de datos en las relaciones laborales» de la AEPD (mayo 2021):

"En el ámbito de las relaciones laborales, la base jurídica principal es la ejecución del contrato de trabajo, porque el consentimiento del afectado no es válido cuando se proporciona en un contexto de «desequilibro claro entre el interesado y el responsable del tratamiento», La posición de desequilibrio entre la empresa y la persona trabajadora exige extremar las cautelas y, en particular, el respeto a los principios de proporcionalidad y de limitación de la finalidad."

RESOLUCIONES RELEVANTES

STJUE, nº. C-397/01, de 5 de octubre de 2014

El consentimiento de las personas trabajadoras, además, debe ser libre y específico, no siendo lícita la sustitución del consentimiento individual por un consentimiento indirecto y plural mediante la negociación colectiva

d) Consentimiento de los menores de edad. En relación con un posible trabajador menor de edad, conforme dispone el citado artículo 8.1 del RGPD, el tratamiento de los datos personales se considerará lícito cuando tenga como mínimo tenga 16 años, por lo que una de las condiciones aplicables al consentimiento del menor, será su edad. En el caso de un menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo da o autoriza el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se da o autoriza.

e) Categorías especiales de datos. Los conocidos como “datos especialmente protegidos” que ya preveía la derogada LOPD, encuentran su encaje en el Reglamento comunitario en lo que se han venido a denominar "categorías especiales de datos".

El tratamiento de datos en el ámbito laboral pertenecientes a categorías especiales como pueden ser la ideología, afiliación sindical, religión, orientación sexual, creencias y origen racial, gozarán de una especial y mayor protección, prevaleciendo la prohibición que marca la ley, con los requisitos de seguridad y confidencialidad necesarios para garantizar un amparo extra.

Como señala el considerando 51 los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, merecen especial protección ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales.

Por otra parte, debemos tener en cuenta que -atendiendo a lo previsto en el considerando 51- el tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física.

Con carácter general tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el Reglamento. Las excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales deben establecerse de forma explícita, -entre otras cosas- cuando el interesado dé su consentimiento explícito o concurran determinadas razones vinculadas al interés público, razones sanitarias, de seguridad, o cuando sea necesario para permitir el ejercicio de libertad fundamentales por razones de interés público.

Lo señalado en el apartado 1 del artículo 9 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

Por lo que respecta a la nueva LOPDGDD, se mantiene la prohibición de consentir tratamientos con la finalidad principal de almacenar información identificativa de determinadas categorías de datos especialmente protegidos, lo que no impide que los mismos puedan ser objeto de tratamiento en los demás supuestos previstos en el RGPD. Así, por ejemplo, la prestación del consentimiento no dará cobertura a la creación de «listas negras» de sindicalistas, si bien los datos de afiliación sindical podrán ser tratados por el empresario para hacer posible el ejercicio de los derechos de los trabajadores al amparo del artículo 9.2.b) del RGPD o por los propios sindicatos en los términos del artículo 9.2.d) de la misma norma europea.

Ya en la LOPDGDD el artículo 9 trata las específicamente las categorías especiales de datos indicando que "[...] el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda".