Читать книгу Las categorías especiales de datos del trabajador - Elisa Sierra Hernáiz - Страница 12

La Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantías de los derechos digitales tiene un papel secundario en el desarrollo normativo puesto que regula aquellos aspectos que le permite el RGPD43, entre los que cabe destacar los derechos laborales (artículo 88 del RGPD) y el tratamiento de las categorías especiales de datos personales (artículo 9 del RGPD).

Su regulación responde a dos objetivos fundamentales, tal y como se señala en el artículo 1. Por un lado, la adaptación del ordenamiento jurídico español al RGPD y, en su caso, completar sus disposiciones, y, por otro lado, la protección del derecho fundamental de las personas físicas en relación con el tratamiento de datos personales para dotarle de autonomía propia y garantizar los derechos digitales de la ciudadanía en cumplimiento de lo dispuesto en el artículo 18.4 de la Constitución Española(CE), siguiendo la doctrina del propio Tribunal Constitucional (TC) que así lo ha reconocido en dos fallos. En primer lugar, en la sentencia 94/1998, de 4 de mayo, en la que afirma que nos encontramos ante un derecho fundamental que garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y el control sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados. En este sentido, el TC sostiene que el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención. Y, en segundo lugar, en la Sentencia 292/2000, de 30 de noviembre, que considera el artículo 18.4 como un derecho autónomo e independiente que consiste en un poder de disposición y de control sobre los datos personales y que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa pose-sión o uso.

En cuanto a los principios de protección de datos, la LOPD regula ciertas particularidades de los artículos 5-11 del RGPD, aunque no se dispone del contenido del artículo 5 del RGPD respecto de los principios de licitud, lealtad y transparencia, limitación de finalidad, minimización de datos, limitación del plazo de conservación, integridad y confidencialidad y principio de responsabilidad proactiva por lo que dichos principios de la norma comunitaria son directamente aplicables en el ordenamiento jurídico español44.

Por lo que respecta al principio de exactitud de datos, el artículo 4.2 LOPD establece los supuestos en los que el responsable del tratamiento quedará exento de responsabilidad por el manejo de datos inexactos siempre que este haya adoptado todas las medidas razonables, aunque el derecho de rectificación del interesado de los datos inexactos se mantiene intacto45.

En cuanto al deber de confidencialidad, el artículo 5 de la LOPD señala que dicho deber será complementario del deber de secreto profesional. En lo referido al tratamiento del dato basado en el consentimiento del interesado el artículo 6 de la LOPD se limita en líneas generales a reproducir el artículo 6 y 7 del RGPD, aunque la norma española señala que “No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual ” mientras que el texto comunitario habla de que no sean necesarios para la ejecución del contrato. Tal y como ha sido señalado, habrá datos que guarden relación con el mantenimiento, desarrollo o control de la relación contractual pero que resulten innecesarios para la ejecución del contrato por lo que la LOPD es menos garantista que el RGPD46.

Respecto del ámbito laboral, la LOPD sí que desarrolla, a diferencia del RGPD derechos digitales específicos en los artículos 87-91 para garantizar el derecho a la intimidad en aspectos como el uso de dispositivos digitales, desconexión digital, uso de dispositivos de videovigilancia y de grabación de sonidos, así como en la utilización de sistemas de geolocalización. También se reconoce un papel específico a la negociación colectiva para establecer garantías específicas de los derechos digitales para el tratamiento de los datos personales de los trabajadores. Más allá de estos concretos aspectos no se existe una regulación legal, comunitario o nacional, que fije principios básicos o generales ni en el ámbito laboral ni tampoco respecto de las categorías especiales de datos personales.

1. Con este Reglamento se trata de dar cumplimiento al artículo 16 del Tratado de Funcionamiento de la Unión Europea(TFUE), apartado 1 “‘Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernen’, reproduciendo el artículo 8.1. de la Carta de los derechos fundamentales de la Unión Europea” y apartado 2 “El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes”.

2. Véase: GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), Albacete, Bomarzo, 2018, págs. 12-13 y “Nuevas tecnologías digitales, poderes empresariales y derechos de los trabajadores: análisis desde la perspectiva del Reglamento Europeo de Protección de Datos de 2016” en Revista de derecho social, núm. 78, 2017, págs. 15 y ss.

Sobrela importancia de esta nueva normativa y su evolución en el derecho comunitario véase: PRECIADO DOMENECH, C.H. El derecho a la protección de datos en el contrato de trabajo adaptado al nuevo reglamento 679/2016, de 27 de abril. Cizur: Thomson Reuters Aranzadi, 2017, págs. 29 y ss.; ORTEGA GIMÉNEZ, A. El nuevo régimen jurídico de la Unión Europea para las empresas en materia de protección de datos de carácter personal. Cizur: Thomson Reuters Aranzadi, 2017; BLÁZQUEZ AGUDO, E.M. “Novedades laborales en la nueva Ley orgánica de protección de datos” en Trabajo y derecho: nueva revista de actualidad y relaciones laborales, núm. 50, 2019, págs. 89 y ss.; MERCADER UGUINA, J.R. “Aspectos laborales de la Ley Orgánica 3/2018, de 5 de diciembre: una aproximación desde la protección de datos” en Trabajo y derecho: nueva revista de actualidad y relaciones laborales, núm. 52, 2019, págs., 110 y ss.; GARCÍA MURCIA, J; RODRÍGUEZ CARDO, I.A. “La protección de datos personales en el ámbito del trabajo: una aproximación desde el nuevo marco normativo”, Revista Española de Derecho del Trabajo, núm. 216, 2019, págs. 19 y ss. y BAZ RODRÍGUEZ, J. “La Ley Orgánica 3/2018 como marco embrionario de garantía de los derechos digitales laborales. Claves para un análisis sistemático” en Trabajo y derecho: nueva revista de actualidad y relaciones laborales, núm. 54, 2019.

Sobreel papel crucial del Tribunal de Justifica de la Unión Europea en esta materia véase: PIÑAR MAÑAS, J.L.; RECIO GAYO, M. El derecho a la protección de datos en la jurisprudencia del Tribunal de Justicia de la Unión Europea. Madrid: Wolters Kluwer, 2018.

3. Sobre esta definición véase: BLÁZQUEZ AGUDO, E.M. Aplicación práctica de la protección de datos en las relaciones laborales. Madrid: Wolters Kluwer, 2018, págs. 59 y ss.; GOÑI SEIN, J.L. La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., págs. 35 y ss. y PRECIADO DOMENECH, C.H. El derecho a la protección de datos en el contrato de trabajo adaptado al nuevo reglamento 679/2016, de 27 de abril, op. cit., págs. 38 y ss.

4. DE VAL TENA, A.: “La protección de datos personales en los procesos de selección de los trabajadores; en particular, aquellos datos especialmente sensibles”, Documentación Laboral, núm. 119, 2020, págs. 109-110.

5. GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., pág. 35 siguiendo la doctrina de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre en la que se indica: “De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que, por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo”.

6. Dictamen 4/2007, de 20 de junio, del Grupo de Trabajo del artículo 29 sobre el concepto de datos personales (DGT29, 4/2007), págs. 6 y 28, disponible en https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_es.pdf.

7. Dictamen 4/2007, de 20 de junio, del Grupo de Trabajo del artículo 29 sobre el concepto de datos personales, op. cit., pág. 7.

8. Dictamen 4/2007, de 20 de junio, del Grupo de Trabajo del artículo 29 sobre el concepto de datos personales, op. cit., pág. 8.

9. Dictamen 4/2007, de 20 de junio, del Grupo de Trabajo del artículo 29 sobre el concepto de datos personales, op. cit., pág. 11.

10. Dictamen 4/2007, de 20 de junio, del Grupo de Trabajo del artículo 29 sobre el concepto de datos personales, op. cit., pág. 13, defiende que estos tres elementos deben considerarse como condiciones alternativas y no acumulativas, sobre todo si existe el elemento de contenido, sin que sea necesario que un dato se centre exclusivamente en una persona para que se considere que se refiere a ella. Por lo tanto, para determinar si un dato se refiere a una persona hay que analizarlo en función de sus características.

11. Dictamen 4/2007, de 20 de junio, del Grupo de Trabajo del artículo 29 sobre el concepto de datos personales, op. cit., págs. 11-12.

12. Dictamen 4/2007, de 20 de junio, del Grupo de Trabajo del artículo 29 sobre el concepto de datos personales, op. cit., pág. 28.

13. Apartado 27. “Por tanto, procede responder a la primera cuestión que la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un ‘tratamiento total o parcialmente automatizado de datos personales’ en el sentido del artículo 3, apartado 1, de la Directiva 95/46 (LCEur 1995, 2977)”.

14. Dictamen 4/2007, de 20 de junio, del Grupo de Trabajo del artículo 29 sobre el concepto de datos personales, op. cit., pág. 14.

15. Tal y como señaló el Dictamen 4/2007, de 20 de junio, del Grupo de Trabajo del artículo 29 sobre el concepto de datos personales, op. cit., pág. 16: “La finalidad del tratamiento, la manera en que el tratamiento está estructurado, el rédito que espera obtener el responsable del tratamiento, los intereses individuales en juego, así como el riesgo de que se produzcan disfunciones organizativas (por ejemplo, un quebrantamiento del deber de confidencialidad) y los fracasos técnicos son todos ellos elementos que deben tenerse en cuenta. Por otra parte, se trata de una prueba dinámica, por lo que debe tenerse en cuenta el grado de avance tecnológico en el momento del tratamiento y su posible desarrollo en el período durante el cual se tratarán los datos”.

16. Dictamen 4/2007, de 20 de junio, del Grupo de Trabajo del artículo 29 sobre el concepto de datos personales, op. cit., pág. 22.

17. GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., pág. 36.

Asu vez, en el Considerando 14 del RGPD se indica que: “La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto”.

18. Aunque previamente en el Considerando 1.º del RGPD se reconoce que la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental, tal y como establece el artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea.

19. El Tribunal de Justicia de la Unión Europea (TJUE) en su fallo de 20 de diciembre de 2017, C434/16, Caso Nowack, señala en la cuestión prejudicial 34: “En efecto, el empleo de la expresión ‘toda información’ en la definición del concepto de ‘datos personales’, que figura en el artículo 2, letra a), de la Directiva 95/46, evidencia el objetivo del legislador de la Unión de atribuir a este concepto un significado muy amplio, que no se ciñe a los datos confidenciales o relacionados con la intimidad, sino que puede abarcar todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que sean ‘sobre’ la persona en cuestión”.

20. Tal y como se sostiene en la Sentencia de la Audiencia Nacional (SAN), de 8 de marzo de 2002, rec. núm. 948/2000, citada por DE VAL TENA, A.: “La protección de datos personales en los procesos de selección de los trabajadores; en particular, aquellos datos especialmente sensibles”, op. cit., nota 38, pág. 110.

21. Sentencia de 20 de diciembre de 2017, C434/1, cuestión prejudicial 27. Véase GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., pág. 37.

22. GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., págs. 37-38.

23. LÓPEZ ÁLVAREZ, L.F.: Protección de datos personales: adaptaciones necesarias al nuevo reglamento europeo, pág. 29, citado por GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., pág. 58, nota 51.

24. Artículos 13 y 14 del RGPD. Sobre la importancia y relevancia de estos requisitos véase GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., págs. 58 y ss.

25. GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., págs. 67 y ss.

26. GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., pág. 73.

27. GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., pág. 75.

28. GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., pág. 76. Véase al respecto las indicaciones que ofrece la Agencia Española de Protección de Datos (AEPD) en su informe 408/2000. https://www.aepd.es/es/documento/2010-0408.pdf.

29. LÓPEZ ÁLVAREZ, L.F.: Protección de datos personales: adaptaciones necesarias al nuevo reglamento europeo, pág. 262, citado por GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., pág. 80, nota 74.

30. Considerando 40 RGPD. “Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato”.

31. GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., pág. 83.

32. Considerando 32. “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta”.

33. Considerando 42. “El tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo, debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno”.

34. Considerando 43 RGPD “Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento”.

35. Considerando 44 RGPD. “El tratamiento debe ser lícito cuando sea necesario en el contexto de un contrato o de la intención de concluir un contrato”.

36. Considerando 45 RGPD. “Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base en el Derecho de la Unión o de los Estados miembros. El presente Reglamento no requiere que cada tratamiento individual se rija por una norma específica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. La finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros. Además, dicha norma podría especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal. Debe determinarse también en virtud del Derecho de la Unión o de los Estados miembros si el responsable del tratamiento que realiza una misión en interés público o en el ejercicio de poderes públicos debe ser una autoridad pública u otra persona física o jurídica de Derecho público, o, cuando se haga en interés público, incluidos fines sanitarios como la salud pública, la protección social y la gestión de los servicios de sanidad, de Derecho privado, como una asociación profesional”.

37. Considerando 39 RGPD. “Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios”.

38. GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., pág. 93.

39. Considerando 47 RGPD. “El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. Dado que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por parte de las auto-ridades públicas, esta base jurídica no debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus funciones. El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo”.

40. GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa (Incluido el Real-Decreto Ley 5/2018), op. cit., pág. 94-95.

41. Considerando 48 RGPD. “Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un grupo empresarial, a una empresa situada en un país tercero no se ven afectados”.

42. Considerando 49 RGPD. “Constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de ‘denegación de servicio’ y daños a los sistemas informáticos y de comunicaciones electrónicas”.

43. Como bien se resalta en el fundamento jurídico 4.º de la Sentencia del Tribunal Constitucional (RTC 2019, 76), 22 de mayo: “Para un correcto enjuiciamiento constitucional de la impugnación central, antes de formular en el fundamento jurídico siguiente el parámetro de constitucionalidad aplicable, debemos exponer sucintamente el régimen jurídico del tratamiento de datos personales relativos a las opiniones políticas de las personas. Ello implica aludir al contenido tanto del Reglamento (UE) 2016/679 como de la Ley Orgánica 3/2018, de 5 de diciembre (RCL 2018, 1629), de protección de datos personales y garantía de los derechos digitales, pues en la actualidad ambas fuentes configuran conjuntamente, de forma directa o supletoria, el desarrollo del derecho fundamental a la protección de datos de carácter personal que exigen los arts. 18.4 y 81.1 CE, dado que el art. 2.3 LOPDGDD declara la supletoriedad del Reglamento General y de la Ley Orgánica 3/2018, a falta de legislación específica, también para los tratamientos a los que el Reglamento General no resulte directamente aplicable por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea”.

44. PRECIADO DOMENECH, C.H. Los derechos digitales de las personas trabajadoras. Aspectos laborales de la LO 3/2018, de 5 de diciembre, de protección de datos y garantía de los derechos digitales. Cizur: Thomson Reuters Aranzadi, 2019, págs. 27-28.

45. PRECIADO DOMENECH, C.H. Los derechos digitales de las personas trabajadoras. Aspectos laborales de la LO 3/2018, de 5 de diciembre, de protección de datos y garantía de los derechos digitales, op. cit., pág. 28.

46. PRECIADO DOMENECH, C.H. Los derechos digitales de las personas trabajadoras. Aspectos laborales de la LO 3/2018, de 5 de diciembre, de protección de datos y garantía de los derechos digitales, op. cit., pág. 29.