Читать книгу Las categorías especiales de datos del trabajador - Elisa Sierra Hernáiz - Страница 8

La definición de dato personal se encuentra en el artículo 4.1 del RGPD, que entiende por tal3:

“toda información sobre una persona física identificada o identificable (‘el interesado’); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Este precepto supone que el legislador comunitario ha optado por una noción amplia de dato personal que implica que los principios de la protección de datos deben aplicarse a toda la información que lleve a la identificación de una persona física, de una manera directa o indirecta4, sin que quepa identificarla con datos íntimos5. De hecho, esta es la interpretación del Tribunal de Justicia de las Comunidades Europeas, en su sentencia de 6 de noviembre de 2003, C-101/2001, caso Lindqvist, apartado 24:

“El concepto de ‘datos personales’ que emplea el artículo 3, apartado 1, de la Directiva 95/46 comprende, con arreglo a la definición que figura en el artículo 2, letra a), de dicha Directiva ‘toda información sobre una persona física identificada o identificable’”. Este concepto incluye, sin duda, el nombre de una persona junto a su número de teléfono o a otra información relativa a sus condiciones de trabajo o a sus aficiones”.

Respecto de su contenido, el Dictamen 4/2007, de 20 de junio, del Grupo de Trabajo del artículo 29 sobre el concepto de datos personales, delimita sus cuatro componentes fundamentales6. En primer lugar, toda información; en segundo lugar, sobre; en tercer lugar, identificada o identificable y finalmente persona física. Tal y como se señala, estos cuatro componentes están estrechamente ligados y se complementan entre sí, determinando si una concreta información debe ser considerada como dato personal.

Por lo que se refiere a toda información, este componente abarca tanto datos objetivos como subjetivos de la persona, sin que sea necesario que la información sea verídica. En cuanto a su contenido, incluye todos los datos personales que proporcionan información, sea la que sea, incluidos los datos sensibles. Por lo tanto, se trata de información de la vida privada y familiar o de cualquier tipo de actividad desarrollada en su vida social, incluida las relaciones laborales, con independencia de la posición o capacidad de la persona (como consumidor, paciente, trabajador por cuenta ajena, cliente, etc.)7.

Desde el punto de vista del formato o soporte se incluye toda la información disponible que sea susceptible de un tratamiento automático de datos personales, en cualquier forma, alfabética, numérica, gráfica, fotográfica o sonora, conservada en medios como el papel, vídeos, memorias de un ordenador, etc., incluidos los sonidos e imágenes que sean considerados como datos personales, sin que sea necesario que la información esté recogida en una base de datos o un fichero estructurado, pudiendo estar contenida en un texto libre, como, por ejemplo, un documento electrónico o el correo electrónico8.

En segundo lugar, por lo que respecta al componente sobre se considera que la información versa sobre una persona física cuando se refiere a ella, esto es, “si hace referencia a su identidad, sus características o su comportamiento o si esa información se utiliza para determinar o influir en la manera en que se la trata o se la evalúa”9, siendo tres los elementos a tener en consideración10. Por un lado, el contenido existirá si el dato personal proporciona información concreta, con independencia de la intención del responsable del tratamiento de datos o de un tercero o de la repercusión de dicha información en el interesado. Por lo tanto, la información versa sobre una persona cuando se refiere a esa persona, lo que debe ser evaluado teniendo en cuenta todas las circunstancias que rodean el caso. Por otro lado, la finalidad puede ser lo que determine que la información se refiere a una determinada persona. Así, la finalidad existe cuando los datos se utilizan o es probable que se utilicen, teniendo en cuenta todas las circunstancias que rodean el caso concreto, con la finalidad de evaluar, tratar de determinada manera o influir en la situación o el comportamiento de una persona. Finalmente, en cuanto al resultado, se considera que los datos versan sobre una persona determinada si es probable que su uso repercuta en los derechos y los intereses de determinada persona. Por lo tanto, basta con que la persona pueda ser tratada de forma diferente por otras personas como consecuencia del tratamiento de tales datos11.

En tercer lugar, la información tiene que referirse a una persona física identificada o identificable, por lo que habrá de fijarse en qué condiciones deben darse para poder considerar a una persona como identificable y, especialmente, en los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona12.

Así, una persona física es identificada cuando dentro de un grupo se le puede distinguir del resto de miembros del grupo, por lo que será identifi-cable cuando sea posible hacerlo, aunque no se le haya identificado en un momento dado, lo que implica que en la práctica ésta última es condición suficiente para la existencia de este elemento. Normalmente la identificación se consigue a través de los identificadores por su relación cercana a una determinada persona como, por ejemplo, la altura, el color del cabello, la ropa, etc. o una cualidad de la persona que no puede percibirse inmediatamente, como su profesión, el cargo que ocupa, su nombre, etc. A su vez, la identificación podrá hacerse de manera directa o indirecta, lo que dependerá de las circunstancias concretas de cada caso. En este sentido, el nombre y apellidos de una persona es el identificador directo más común que permite, o lo posibilita, distinguir a una persona física de otras personas, aunque hoy en día los ficheros informatizados de datos personales hacen prescindibles esos datos desde el momento en que se les asigna un identificador único, tal y como fue señalado en el Caso Lindqvist13. En cuanto a la identificación indirecta, se refiere al fenómeno de las combinaciones únicas, sean éstas pequeñas o grandes14.

En lo referido a los medios para realizar la identificación de la persona habrá de tenerse en cuenta todos los factores objetivos conforme a la tecnología vigente, tal y como señala el Considerando 26 del RGPD15:

“Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación”.

Un elemento a considerar a la hora de evaluar el conjunto de los medios que puedan ser razonablemente utilizados para identificar a las personas será la finalidad perseguida por el responsable de su tratamiento. En este sentido, si la misma implica la identificación de personas puede asumirse que el responsable del tratamiento tiene medios para hacerlo, por lo que queda sujeto a la normativa de protección de datos. En el caso contrario, será necesario adoptar medidas técnicas para evitar la identificación de los datos personales16.

Finalmente, los datos personales se refieren a los datos de la persona física, de seres vivos identificados o identificables, no de la persona jurídica17. Así, el Considerando 2.º del RGPD señala18:

“Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal. El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas”.

De lo expuesto hasta ahora se puede afirmar que estamos ante un concepto amplio de datos personales, que comprende todos los datos, de carácter objetivo o subjetivo, que contengan información de la vida pública o privada de la persona, incluidas sus relaciones sociales19. En este sentido, para que exista un dato personal no es necesario la plena coincidencia entre el dato y la persona sino que es suficiente que la identificación pueda realizarse sin esfuerzos desproporcionados, debiendo considerarse el conjunto de medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona20.

“En el caso del ámbito laboral, cualquier dato relativo al trabajador, personal o profesional, queda comprendido dentro de la noción de dato personal. Especial relevancia adquieren las opiniones o manifestaciones durante los procesos de selección o promoción profesional de los candidatos. Así, el TJUE, en el caso Nowak, ha identificado como dato personal las respuestas escritas de un aspirante en un examen profesional y las eventuales anotaciones del examinador en relación con aquellas son datos personales (…) el contenido de esas anotaciones expresa la opinión o valoración del examinador sobre los resultados individuales del aspirante en el examen y, en particular, sobre sus conocimientos y competencias en el área de que se trate. Dichas anotaciones, por lo demás, tienen precisamente la finalidad de documentar la evaluación de los resultados del aspirante por parte del examinador, y pueden tener efectos para ese aspirante” 21.

A su vez, si el empresario opta por el tratamiento automatizado para evaluar candidatos y crear perfiles basados en el tratamiento, el artículo 22.1 RGPD establece que se debe informar al afectado de esas actuaciones; aportar información sobre la lógica y explicar la importancia y consecuencias del tratamiento. Finalmente, la protección se aplica a la huella digital, es decir, a las informaciones dejadas durante la navegación por Internet si es con los instrumentos proporcionados por la empresa y a las informaciones personales conexas al correo electrónico y redes sociales22.