Ecoley

Cesión de datos personales de empleados: peligro sin límites

La globalización obliga a los Estados a defender a las personas de intromisiones en su intimidad. Este derecho afecta también a los trabajadores y las empresas a vigilar el cumplimiento de la legislación de protección de datos, que limita la información a las empresas del propio grupo y a los representantes sindicales, bajo severas medidas sancionadoras.

A la hora de analizar los datos que la empresa puede facilitar a la matriz de su grupo empresarial, a los representantes sindicales o a terceras personas es preciso tener en cuenta que la Agencia Española de Protección de Datos (Aepd), respaldada por la Audiencia Nacional en reiteradas sentencias, considera que el tratamiento de los datos limitados tan sólo al número de identificación fiscal (NIF) o del documento nacional de identidad (DNI) de un individuo, ya implican un tratamiento de datos de carácter personal.

Incluso, en un informe de 8 de febrero de 2007, la Aepd consideró que también lo es el simple tratamiento limitado al número de la matrícula de los vehículos, el de las direcciones IP, estáticas o dinámicas, o la dirección de correo electrónico, incluso cuando no identifiquen directamente al interesado.

El hecho de que el éste no aparezca identificado en un fichero por su nombre y apellidos no supone que no contenga datos de carácter personal si la identificación puede o podría tener lugar con posterioridad a su recogida. En este sentido se ha pronunciado el Grupo de Autoridades de Protección de Datos (Gapd), al que pertenece la Agencia Española de Protección de Datos en su Dictamen 4/2007 (de 20 de junio) sobre el concepto de datos personales.

"Una persona puede ser identificada directamente por su nombre y apellidos o indirectamente por un número de teléfono, la matrícula de un coche, un número de seguridad social, un número de pasaporte o por una combinación de criterios significativos (edad, empleo, domicilio, etc.), que haga posible su identificación al estrecharse el grupo al que pertenece", afirma en el citado informe el Gapd.

Empresa matriz y participadas

La circunstancia de que una sociedad esté participada por otra, no afecta al hecho de que ambas sean distintas personas jurídicas, de modo que la comunicación de datos se produce entre dos personas distintas, sin que exista una previsión legal que flexibilice los requisitos de cesión.

Cada una de las empresas del grupo será responsable del fichero de datos de sus empleados. Y si por parte de alguna de las empresas del grupo se produce un acceso a los datos de cualquiera de las otras que componen dicho grupo o se crea una base de datos común, se crearía una situación clara de comunicación de carácter inconsentido.

Por ello, la incorporación de los datos de los empleados a una base de datos común, exige que cada empresa haya informado debidamente y obtenido el consentimiento de éstos para incorporar su información personal. Dicho consentimiento tiene, no obstante, el carácter de revocable.

Así, ocurre con los datos de salud de los empleados de una empresa filial. Para su cesión a la matriz es necesaria la información y que haya obtenido el consentimiento expreso de éstos para la incorporación de su información personal a la base de datos de la matriz del grupo.

'Listas negras' de empleo

Salvando aquellos supuestos en que las listas negras tienen de alguna manera una base legal, como sucede en el derecho español con los ficheros de solvencia patrimonial y crédito regulados en la propia Lopd, la inclusión de datos personales en un lista negra requeriría el consentimiento del interesado para ser conforme a lo dispuesto en la normativa de protección de datos.

Además, se debe garantizar a los afectados por el tratamiento, los derechos de acceso, rectificación, oposición y cancelación correspondientes. No puede entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre.

Entrega al Comité de Empresa

La única cesión prevista en la Ley de los datos referentes a los trabajadores es la derivada de las facultades atribuidas a los representantes de los trabajadores es decir, al Comité de Empresa, a los delegados de personal, según proceda.

Los datos a ceder al Comité deben ser necesarios y proporcionados para la vigilancia del cumplimiento de las normas y pactos que regulan la relación laboral, de modo que en la petición de los datos debe aclararse la necesidad concreta para la que se precisa tal información, pues de no ser así, se daría un tratamiento desproporcionado o innecesario.

Están amparadas en el ámbito de las competencias reconocidas por el Estatuto de los Trabajadores o en el convenio colectivo en vigor para los representantes de los trabajadores. En caso contrario, será necesario el consentimiento del interesado para proceder a la comunicación de sus datos.

Sólo cuando la vigilancia o el control se refieran a un sujeto concreto, que haya planteado una queja ante el Comité, será posible la cesión de datos de dicha persona. En los demás supuestos, la función de control quedará plenamente satisfecha mediante la cesión de la información debidamente disociada, que permita al Comité conocer las circunstancias pertinentes sin referenciar la información en un sujeto concreto.

No obstante, podrían ampararse las cesiones relativas a la relación de horas extraordinarias de los trabajadores si el convenio colectivo aplicable contempla la cesión genérica de la relación, y lo mismo cabe decir sobre la comunicación de las nóminas.

También, lo es la comunicación de datos referidos al cumplimiento nominativo del horario y de las ausencias al trabajo, así como de los permisos sin sueldo de los trabajadores, que en su conjunto hacen referencia al nivel de absentismo de los mismos.

Cuando no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley o convenio no disponga lo contrario, éste podrá oponerse a su tratamiento si existen motivos fundados y legítimos relativos a una situación personal concreta.

Comité Intercentros

Los datos personales de los trabajadores que formulan una reclamación de daños y perjuicios al Comité Intercentros de su empresa, no pueden ser comunicados a un sindicato que tiene representación en dicho Comité con la finalidad de entablar contacto entre el Sindicato y los reclamantes, salvo que así se reconozca expresamente en el convenio colectivo,.

Los representantes de los trabajadores, del Comité, que si tendrán acceso a esta información, están obligados a la guardar sigilo profesional sobre los datos personales que conozcan en el desarrollo de sus funciones en el ámbito de la empresa.

Prevención de accidentes

Los datos que hagan referencia al origen racial, a la salud y a la vida sexual sólo pueden recabarse, tratarse y procederse a su cesión cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente.

La Ley de Prevención de Riesgos Laborales establece que los representantes de prevención de riesgos deben ser informados por el empresario sobre los daños producidos en la salud de los trabajadores una vez que haya tenido conocimiento de ellos,

Tanto la relación de accidentes de trabajo como la información sobre los daños en la salud que aparezcan en los partes de accidentes de trabajo de los trabajadores que determinen una ausencia al trabajo superior a un día, pueden facilitarse a los delegados de prevención de forma disociada, siempre que los datos que se comuniquen respeten los principios de pertinencia y no sean excesivos sobre el ámbito y finalidades legítimas para las que se hayan obtenido.

Estos datos no pueden usarse para finalidades incompatibles con las finalidades para las que los datos hubieren sido recogidos y, además, los delegados de prevención deben guardar secreto respecto de la información así obtenida.

Ayudas sociales

Para que el listado de ayudas sociales a los trabajadores pueda ser facilitada a los representantes sindicales es preciso que esté regulada en el convenio colectivo , ya que de preverse que para la solicitud, tramitación, aprobación o denegación de las ayudas sea precisa la intervención del Comité de Empresa, la información solicitada a la empresa al respecto no podría ampararse legalmente.

No obstante, la función de vigilancia y control podría entenderse correctamente cumplida sin necesidad de proceder a una información masiva. Sólo en el supuesto aquellas se refieran a un sujeto concreto, que haya planteado una queja ante el Comité de Empresa, será posible la cesión de datos específicos de dicha persona. En los demás supuestos, la función de vigilancia y control quedarán satisfecha con la cesión de la información debidamente disociada,

Partes de baja

Entre las funciones que se le atribuyen a los delegados sindicales no está la de acceder a la información de quienes están de baja, por lo que podrán acceder a ella cuando consientan los afectados.

Si el parte de baja recoge datos de salud sólo podrá ser comunicado cuando una Ley lo prevea expresamente o si los afectados otorgan su consentimiento expreso. Por lo que el acceso de los delegados a los partes de baja, sólo podrá efectuarse cuando los afectados consientan expresamente.

No obstante, todo lo señalado es aplicable a la comunicación del parte de baja, cuando en él consta la causa de la baja laboral. Cuestión distinta, es si la información que aparece en el tablón y a la que posteriormente accede el delegado sindical, es a los días que los empleados han estado de baja, sin que en ningún caso acceda al propio parte de baja.

WhatsAppWhatsApp
FacebookFacebook
TwitterTwitter
Linkedinlinkedin
emailemail
imprimirprint
comentariosforum1

Áudea
A Favor
En Contra

Lamentablemente en España la gran mayoría de las empresas aún no está adecuada a la normativa de protección de datos, y ahora, en los tiempos de crisis estas cuestiones se deja en segundo plano. Incumpliendo la Ley las empresas se arriesgan a las sanciones muy importantes.

Puntuación 0
#1