Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 8

De cualquier modo, y desde un punto de vista general, a todos los tratamientos con datos personales en el ámbito de las relaciones laborales le son de aplicación los principios básicos que se reconocen en el RGPD. En este sentido debemos destacar que el tratamiento de datos en el ámbito laboral debe limitarse a cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Así mismo, los datos no podrán usarse para finalidades incompatibles con aquéllas para las que hubieran sido recogidos.

Así, por ejemplo, no se consideró que existía legitimación de la empresa para el tratamiento en el caso de la apertura de una cuenta para la domiciliación de nóminas por un acuerdo entre la entidad financiera y la empresa, sin consentimiento del trabajador, tal y como señala la SAN, de 21 de marzo de 2013 (Rec. N.° 668/2011)8.

En lo que respecta al principio de transparencia e información, de conformidad con los artículos 12 y 13 RGPD es el propio contrato de trabajo, o un anexo al mismo, el medio más adecuado para informar al trabajador sobre el tratamiento que se realizará respecto de sus datos personales en relación con la prestación laboral9. Aunque es exigible dar cumplida respuesta al meritado principio de información, a través de una cláusula informativa, no es necesario contar con el consentimiento del trabajador, ya que la causa legitimadora del tratamiento viene determinada por la existencia de la propia relación laboral, siendo necesarios para su cumplimiento efectivo o, incluso, por venir exigida en una norma con rango de ley.

Es preciso recordar como el artículo 9.1 RGPD establece, como regla general, la prohibición del tratamiento de datos que revelen, entre otros, la afiliación sindical, datos biométricos dirigidos a identificar de manera unívoca a una persona física, o los datos relativos a la salud. No obstante, se permiten los tratamientos siempre que sea necesario “para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión o de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado” (artículo 9.2.b) RGPD)10.

Del mismo modo, se permiten los tratamientos con esa tipología de datos cuando sea necesario “para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, (…), sobre la base del Derecho de la Unión o de los Estados miembros” (artículo 9.2.h) RGPD). En este punto, la LOPDGDD (artículo 9.2) aclara que este tipo de tratamientos deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad. La LOPDGDD, por su parte, introduce en su artículo 9.1 la consideración de que únicamente el consentimiento del afectado no es suficiente para levantar la prohibición del tratamiento de datos cuya finalidad principal sea, entre otros, identificar su afiliación sindical.

No parece, en definitiva, que el consentimiento sea una causa demasiado fiable, en el ámbito laboral. Dado el desequilibrio de poder, los trabajadores solo pueden dar su libre consentimiento en circunstancias excepcionales, cuando la aceptación o el rechazo de una oferta no tiene consecuencias. Por tanto, “la base jurídica no puede ni debe ser el consentimiento de los trabajadores”11.

Así como ejemplo, la STS 4086/2015, de 21 de septiembre12, que se opone a que en el contrato de trabajo se haga constar mediante cláusula/tipo que el trabajador presta su “voluntario” consentimiento a aportar los datos (email y teléfono, en este caso), ya que el trabajador es la parte más débil del contrato y que al ser incluida por la empresa en el momento de acceso a un bien escaso como es el empleo puede entenderse que su consentimiento sobre tal extremo no es por completo libre y voluntario.

De interés resulta la sanción de multa de 150.000 euros impuesta por la Autoridad de Protección de Datos de Grecia, en su Resolución de 26 de julio de 2019, a la consultora PricewaterhouseCoopers por solicitar a sus trabajadores el consentimiento para el tratamiento de sus datos personales13. En la resolución la Autoridad griega concluye que el consentimiento de los interesados en el contexto de las relaciones laborales no puede considerarse libremente prestado debido al claro desequilibrio entre las partes. En este caso, la elección del consentimiento como base jurídica era inadecuada, ya que el tratamiento de los datos personales tenía por objeto realizar actos directamente relacionados con la ejecución de los contratos de trabajo, el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento y el buen y eficaz funcionamiento de la empresa, como su interés legítimo. Además, la empresa dio a los empleados la falsa impresión de que estaba tratando sus datos personales en virtud de la base jurídica del consentimiento, cuando en realidad estaba tratando sus datos en virtud de una base jurídica diferente sobre la que los empleados nunca habían sido informados. Ello vulneraba el principio de transparencia y, por tanto, la obligación de información. Por otro lado, la empresa trasladó sus obligaciones de cumplimiento a sus empleados pidiéndoles que firmaran una declaración según la cual reconocían que sus datos personales conservados y tratados por la empresa estaban directamente relacionados con las necesidades de la relación laboral y la organización del trabajo y que sus datos eran pertinentes y adecuados en el contexto de la relación laboral y la organización del trabajo.

Es claro, por otra parte, que la normativa sobre protección de datos no puede entenderse de forma independiente del Derecho del Trabajo y viceversa. Por tanto, los convenios colectivos14 deben tener un protagonismo destacado en la definición y concreción del derecho a la protección de datos en el ámbito laboral. Así, por ejemplo, el Tribunal Constitucional ya consideró (STC 170/201315) que cuando estuviese tipificado como sanción en el convenio colectivo el uso de medios informáticos de la empresa para fines distintos de los permitidos, tal tipificación es absolutamente vinculante para el trabajador y supone una prohibición expresa del uso extralaboral de tales medios16.

Por otro lado, el RGPD reconoce al trabajador el derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de un puesto de trabajo siempre que no medie intervención humana alguna (Considerando 71 RGPD)17. Es por ello por lo que se reconoce el derecho de oposición frente a decisiones individuales automatizadas (artículos 21 y 22 RGPD) que hayan evaluado aspectos personales relativos a un trabajador para analizar o predecir, por ejemplo, aspectos relacionados con el rendimiento en el trabajo.

Especialmente llamativa resulta la sanción de multa de más de 35 millones de euros por parte de la Autoridad de Protección de Datos de Hamburgo o Comisionado de Protección de Datos y Libertad de Información de Hamburgo (HmbBfDI)18, impuesta a la empresa H&M con sede en Núremberg por recabar, sin que existiese legitimación a tal fin, datos de salud y referentes a la vida privada de sus empleados. En este supuesto, la empresa almacenaba datos personales de sus trabajadores, al menos desde 2014, referidos, por ejemplo, a charlas realizadas con los superiores sobre las vivencias en las vacaciones de los empleados, o síntomas de enfermedad y diagnósticos. Igualmente, se registraban conversaciones individuales y “de pasillo”, que iban desde detalles más bien inofensivos hasta problemas familiares, así como confesiones religiosas que profesaban. Además, se realizaba una evaluación meticulosa del rendimiento laboral individual, utilizándose los datos, entre otras cosas, para obtener un perfil de los empleados para la adopción de decisiones en la relación laboral. La Autoridad de Protección de Datos concluyó que la combinación de datos la exploración de las vidas privadas de los empleados y la grabación continua de sus respectivas actividades dio lugar a una invasión especialmente intensa de los derechos de los afectados.