domingo, 15 de julio de 2018

Relaciones laborales y protección de datos personales. Notas a propósito del Reglamento (UE) 2016/679, y lecturas recomendadas.


1. El 25 de mayo entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y delConsejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

En el ordenamiento jurídico español sigue vigente la Ley Orgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal, cuya última modificación de varios preceptos se produjo por la Ley 2/2011, de 4 de marzo, de economía sostenible, además de haber sido declarados inconstitucionales algunos preceptos por la Sentencia del Tribunal Constitucional núm. 292/2000, de 30 de noviembre.

Se encuentra actualmente en tramitación parlamentario un proyecto de ley orgánica quederogaría la de 1999, no habiendo sido aún informado el proyecto, y por ello tampoco objeto de su debate, en la Comisión de Justicia del Congreso de los Diputados, después de que fuera desestimada la enmienda a la totalidad presentada por el grupo parlamentario mixto, más concretamente por el PDeCat, que contó con el voto favorable del grupo parlamentario de Esquerra Republicana de Catalunya y la abstención del grupo nacionalista vasco, siendo desestimada por 318 votos en contra, 16 a favor y 7 abstenciones,

Se han presentado un total de 369 enmiendas, varias de ellas dedicadas a los artículos en los que se regulan cuestiones laborales y de protección social, que fueron objeto de mi atención en la entrada publicada el pasado 21 de abril con el título “Proyectode ley orgánica de protección de datos de carácter personal y derecho de lostrabajadores a la privacidad en la relación de trabajo. Enmiendas a los arts.19 y 22”, que ha merecido la atención, que le agradezco de la profesora Margarita Miñarro, secretaria de redacción de la RTSS CEF, en el editorial del número monográfico dedicado al Reglamento y al que más adelante me referiré con mayor detalle, titulado “Impacto del reglamento comunitario de protección de datos en las relaciones laborales: un – pretendido -  cambio cultural”.

2. El objeto de esta entrada es prestar atención a algunos de los considerandos del Reglamento y a los preceptos en los que se encuentran, de manera directa o indirecta, referencias a datos personales de las personas trabajadoras, es decir datos que son conocidos, o pueden serlo, en el ámbito de las relaciones de trabajo, tanto las estrictamente laborales como las de protección social; atención que presto, de manera descriptiva, después de haber procedido a una atenta lectura del texto comunitario. A buen seguro que la normativa europea y estatal reguladora de la protección de datos personales en la vida laboral deberá merecer especial atención en el programa de la asignatura de Derecho del Trabajo en estudios de grado, y de manera más detallada y con mayor intensidad en el máster de derechos sociolaborales y en alguna sesión del Aula Iuslaboralista de la UAB a desarrollar durante el curso 2018- 2019.

El contenido laboral y de protección social del Reglamento ya ha sido objeto de mucha atención por la doctrina laboralista, y a buen seguro que lo será aún más en los meses venideros a medida que vayan surgiendo interrogantes o conflictos jurídicos relativos a su interpretación y aplicación. He procedido a la lectura de varios de los artículos publicados en revistas especializadas, y deseo compartir con los lectores y lectoras algunos de sus contenidos que me han parecido de especial interés, en el bien entendido que tales análisis se realizan en muchas ocasiones en estrecha relación con la normativa interna vigente y con las resoluciones judiciales dictadas por los Tribunales Superiores de Justicia, Tribunal Supremo, Tribunal de Justicia de la Unión Europea y Tribunal Europeo de Derechos Humanos.

3. Muy recientemente, y la cito por su importancia general sobre la protección de datos personales y no en cuanto a su interés concreto laboral, ha merecido bastante atención, con toda razón, la sentencia del TC núm. 58/2018, de 4 dejunio de 2018, Recurso de amparo 2096-2016, que reconoce el “derecho al olvidodigital”. Dicha sentencia recuerda primeramente la doctrina general sobre el art. 18.4 de la Constitución en estos términos: “el artículo 18.4 CE garantiza un ámbito de protección específico pero también más idóneo que el que podían ofrecer, por sí mismos, los derechos fundamentales mencionados en el apartado primero del precepto (STC 292/2000, FJ 4), de modo que «la garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada ‘libertad informática’ es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención» (STC 292/2000, FJ 5, y jurisprudencia allí citada).  Y más adelante, expone que “A la hora de valorar el sacrificio requerido a la libertad de información [art. 20.1 d) CE], para asegurar el disfrute adecuado del derecho a la intimidad de las personas recurrentes en conexión con el derecho a la autodeterminación informativa (art. 18.1 y 4 CE), es necesario recordar la importancia de las hemerotecas digitales en el contexto de las actuales sociedades de la información. Esto significa que serán conducentes al restablecimiento del derecho al honor, a la intimidad y a la protección de los datos personales las medidas tecnológicas tendentes a limitar adecuadamente la difusión de la noticia, que garanticen, en lo que sea conciliable con dicha regla, la integridad de la hemeroteca y su accesibilidad en general”, para concluir que  “se ha vulnerado el derecho de las personas demandantes de amparo al honor e intimidad (art. 18.1 CE) y a la protección de sus datos personales (art. 18.4 CE)”, y procede “establecerlas en su derecho y, a tal fin, declarar la nulidad parcial de la Sentencia del Tribunal Supremo, de 15 de octubre de 2015, únicamente en lo relativo a la revocación del pronunciamiento de la Sentencia de la Sección Decimocuarta de la Audiencia Provincial de Barcelona, de 11 de octubre de 2013, consistente en prohibir la indexación de los datos personales de las demandantes de amparo, en lo que se refiere al nombre y apellidos de las recurrentes, para su uso por el motor de búsqueda interno de la hemeroteca digital gestionada por Ediciones El País, S.L., así como la nulidad de la providencia del mismo Tribunal, de 17 de febrero de 2016, ambas recaídas en el recurso de casación núm. 2772-2013”.

4. Al Proyecto de Ley en fase de tramitación parlamentaria se ha presentado una enmienda por el grupo parlamentario socialista que incluye la regulación de un nuevo título a incorporar al texto, titulado “garantía de los derechos digitales”, que incluye varias referencias importantes a la protección de datos en el ámbito laboral. Sobre dicha enmienda en particular, y sobre la protección de datos en general, tuve oportunidad de responder a finales de mayo a varias preguntas formuladas por la redacción de una cadena de televisión, preguntas y respuestas que ahora recupero para ponerlas a disposición de todos los lectores y lectoras del blog.

Pregunta. ¿Cómo valora a fines prácticos la enmienda del PSOE al Proyecto de Ley Orgánica de protección de datos de carácter personal, en el ámbito laboral?
Respuesta.  El grupo parlamentario socialista en el Congreso de los Diputados ha presentado las enmiendas núms. 298 a 313, proponiendo la adición al Proyecto de Ley de un nuevo título X, rotulado “Garantía de los derechos digitales”, que incluiría los nuevos artículos 79 a 93. Desde la perspectiva laboral son de especial interés las enmiendas núms. 306 a 309.
Se regula de forma cuidada y detallada el derecho a la intimidad y uso de dispositivos en el ámbito laboral, el derecho a la desconexión laboral, el derecho a la intimidad ante la utilización de sistemas audiovisuales o de geolocalización en el ámbito laboral, y los derechos digitales en la negociación colectiva. Consideradas en su conjunto, las enmiendas pretenden que una ley orgánica reconozca derechos, tanto individuales como colectivos, a las personas trabajadoras y a sus representantes para garantizar espacios de privacidad en la vida laboral, por una parte, y espacios separados y diferenciados, una vez finalizada la jornada de trabajo, entre vida laboral, por una parte, y vida privada personal por otra. Es un deseo loable a mi parecer, que permitiría mayor protección de la persona trabajadora.

Pregunta. ¿En su opinión, en materia de protección al trabajador en el nuevo contexto digital, en qué tendrían que pensar nuestros políticos? ¿Van en la dirección correcta?
Respuesta. Deberían prestar atención al nuevo marco jurídico tanto europeo como español.
Con respecto al segundo, la mayor protección de la persona trabajadora ante el control cada vez más amplio, y técnicamente posible, de su actividad laboral, deviene del todo punto necesario, y ello puede regularse en el proyecto de ley actualmente en tramitación parlamentaria.
En relación con el primero, conviene recordar que el 25 de mayo entra en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 “relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)”, siendo necesario prestar mucha atención a todo su contenido, que cabe sintetizar en el considerando núm. 2: “Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal. El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas”.

Pregunta. ¿Qué aspectos echa de menos en los artículos relativos a la desconexión laboral en lo que respecta al ámbito laboral y que podrían mejorarla?
Respuesta. Técnicamente, las enmiendas están bien redactadas, dado que abordan con carácter general la problemática existente en el ámbito laboral. En el desarrollo de los acuerdos que prevén dichas enmiendas, es donde debería prestarse atención a las particularidades de algunas relaciones laborales, como son las que se desarrollan mediante la fórmula del trabajo a distancia, las relaciones de trabajo en el marco de la economía de plataformas, o cuando la prestación laboral se desarrolla a tiempo parcial.

Pregunta ¿Considera que los políticos tienen una visión real del entorno laboral actual o cree que deberían conocerla mejor?
Respuesta. Una formulación general sobre “los/as políticos/as” me parece incorrecta, al igual que lo sería sobre “los/as periodistas” o “los/as profesores/as de Universidad, por citar los dos ámbitos profesionales en que se mueve la persona que formula las preguntas y quien está respondiendo.
Hecha esta afirmación previa, el conocimiento de dicha realidad será superior, sin duda, por quienes han tenido un acercamiento directo al mismo, ya sea como sujeto empleador o persona trabajadora, o bien por su actividad profesional relacionada con el mundo del trabajo (ej.: Inspección de Trabajo y Seguridad Social, judicatura, etc.), debiendo los restantes miembros tener puntos de apoyo técnico para poder conocer mejor dicha realidad y hacer propuestas bien elaboradas.

Pregunta. ¿Cómo delimitar el tiempo de trabajo y el tiempo de descanso, qué mecanismo? (ya se hace con los conductores profesionales)
Respuesta. El cumplimiento de la normativa laboral vigente (art. 34 de la Ley del estatuto de los trabajadores) permitiría superar gran parte de los problemas que se dan en la vida cotidiana laboral. Por otra parte, el cumplimiento de la normativa de la Unión Europea (Directiva 2003/88/CE del Parlamento Europeo y del Consejo, de 4 de noviembre de 2003, relativa a determinados aspectos de la ordenación del tiempo de trabajo) y de la interpretación efectuada por el Tribunal de Justicia de la UE de los conceptos de tiempo de trabajo y tiempo de descanso, resolvería igualmente gran parte de dichos problemas. Ya existen, pues, normas legales que lo delimitan, y no sólo para los transportistas. Cuestión distinta, y de ahí la búsqueda de una regulación adecuada más eficaz, es que se cumplan.

Pregunta. En la realidad, si un trabajador cierra el teléfono en su tiempo de descanso se expone a las consecuencias de una represalia de la empresa. ¿Esta ley cree que va a garantizar que esto no ocurra?
Respuesta. Justamente, como he respondido en la primera pregunta, las enmiendas del grupo parlamentario socialista tratan de conseguir garantizar los derechos de las personas trabajadoras a su privacidad fuera de la vida laboral. La futura ley, y la aplicación del Reglamento citado de la UE, pueden contribuir a ello, siempre y cuando, además, la negociación colectiva concrete en cada ámbito sectorial las características propias de dicha privacidad. Igualmente, la importante jurisprudencia del Tribunal Europeo de Derecho Humanos debe contribuir a ello.

Pregunta. ¿Cómo se entiende el derecho a la intimidad y el uso de dispositivos digitales en los entornos laborales (artículo 8) cuando las empresas implantan políticas que las autorizan a monitorizar todos los dispositivos de trabajo (ordenadores, móviles, etc.) ¿No son contradictorias? ¿Qué derechos asisten a los trabajadores ante estas políticas? ¿Son legales?
Respuesta. La tensión entre poder de dirección del sujeto empleador y derechos de las personas trabajadoras en su vida laboral ha sido siempre una constante en las relaciones laborales desde sus orígenes, siendo la tecnología un factor actual de modulación de dicha tensión, que requiere de marcos jurídicos claros respecto a cómo conciliar los derechos de una y otra parte. A dicho objetivo se dirigen las enmiendas objeto de atención en mis respuestas, así como también las de otros grupos parlamentarios.  Igualmente, la jurisprudencia del TEDH ha delimitado con claridad los requisitos que deben respetarse por la parte empleadora en su control,

Pregunta. Esto ya se viene haciendo (artículo 8 a. 8 b). ¿Qué novedad trae o más de lo mismo?
Respuesta. La importancia del precepto radica en su incorporación a una ley orgánica, que son aquellas que regulan los derechos fundamentales, a los que se reconoce en la Constitución una protección jurídica reforzada. Por otra parte, la nueva regulación, caso de ser aprobada, junto con la jurisprudencia del TJUE y del TEDH incrementaría la protección jurídica.

Pregunta. Sobre el artículo 9 (derecho a la desconexión laboral). ¿Está incompleto? ¿Cómo se puede garantizar el derecho a la desconexión laboral? Considerando que ya está legislado la compensación de las horas extraordinarias y no existen mecanismos para obligar a las empresas.
Respuesta. Las enmiendas tratan de conseguir que aquello que, en principio, debería ya ser una realidad con el respeto a los tiempos de trabajo, se convierta efectivamente en algo real, ante el incremento de las posibilidades de no separación de los tiempos de trabajo y de vida personal por la tecnología. Para que esa garantía sea verdadera, deberá no sólo regularse vía legal, sino también concretarse en la negociación colectiva y teniendo en consideración las particularidades de cada sector. 

Pregunta. El punto 3 de este artículo parece ciencia ficción. La empresa “concretará acciones de formación”. ¿Le parece viable?
Respuesta. Es una llamada a los sujetos negociadores para que creen una “cultura de la desconexión” en el ámbito laboral. No me parece una mala idea en absoluto, aun cuando serán en cada empresa, y en el ámbito de la negociación colectiva o pactos de empresa, como deberá concretarse.

Pregunta. Sobre artículo 10. El punto 2 ¿no está ya en el ET?  ¿Qué objetivo ve incluirlo en esta enmienda?
Respuesta: Como he dicho con anterioridad, la mayor protección de los derechos derivaría de su incorporación a una ley orgánica". 

La propuesta socialista ha sido muy recientemente objeto de detallada atención por la profesora Margarita Miñarro, en su artículo "La Carta de  derechos digitales para los trabajadores del grupo socialista en el Congreso: un análisis crítico ante su renovado interés", publicado en la RTSS CEF núm. 424 (julio 2018, que califica de un buen punto de partida, aun sin ser especialmente novedosa en su contenido, para la regulación de los derechos laborales, y más aún teniendo en cuenta la práctica inexistencia de regulación en la normativa vigente y la pocas atención que a los contenidos laborales se presta en el proyecto de ley en fase de tramitación. 

5. Con ocasión del 1º de mayo, el diario jurídico “Confilegal” publicó un artículo de su redactor Luis Javier Sánchez, titulado “¿Qué cuestiones preocupan a los trabajadores enla celebración del 1 de mayo Día del Trabajo?”, en el que recogió el parecer de diversos laboralistas, entre ellos el mío, y del que ahora reproduzco un fragmento.  

“Preguntamos a Rojo sobre la transformación digital de las empresas y como puede afectar a los trabajadores  “No debe significar pérdida de derechos si dicha transformación se realiza de forma negociada, tanto en el ámbito sectorial de la negociación colectiva como en acuerdos de empresa, además de un marco normativo adecuado, pudiendo repercutir en tal caso en una mejora de la calidad de vida laboral”.

En cuanto a la desconexión digital señala que “creo que lo más importante es el cumplimiento de la normativa sobre jornada y horario de trabajo, que en muchas ocasiones se incumple en perjuicio de las personas trabajadoras. La tecnología ha de estar al servicio de las personas y no significar un retroceso en los derechos laborales”:

Nuestro interlocutor advierte que en muchos fallos judiciales el control de los trabajadores se hace con proporcionalidad y respetando su intimidad, sin embargo señala que “matizaría la afirmación.  Tenemos una rica jurisprudencia del Tribunal Europeo de Derechos Humanos que establece una clara prioridad de la protección de la privacidad de las personas trabajadoras en su vida laboral, junto con una reciente sentencia del Tribunal Supremo que entiende que la jurisprudencia española respeta las reglas o criterios fijados por el TEDH.

A su juicio “la clave de bóveda es a mi parecer una política empresarial muy respetuosa con los derechos laborales y un conocimiento adecuado por parte de los trabajadores y trabajadoras de los límites de la privacidad. Deberemos estar muy atentos a la entrada en vigor el 25 de mayo del Reglamento europeo de protección de datos, y también al texto que finalmente apruebe el Parlamento de nuestra nueva ley orgánica sobre la materia”.

6. ¿Cuáles son los contenidos del Reglamento (UE) 2016/679 que considero conveniente destacar para estudio a los efectos de la incidencia sobre las relaciones de trabajo? Partiendo de la base que todo el contenido del texto es relevante, por la estrecha relación entre sus distintos preceptos, son los siguientes:

A) Considerandos.
2. Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal….
10. Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. En lo que respecta al tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del presente Reglamento….
22. Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de que el tratamiento tenga lugar en la Unión. Un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.
37. Un grupo empresarial debe estar constituido por una empresa que ejerce el control y las empresas controladas, debiendo ser la empresa que ejerce el control la que pueda ejercer una influencia dominante en las otras empresas, por razones, por ejemplo, de propiedad, participación financiera, normas por las que se rige, o poder de hacer cumplir las normas de protección de datos personales. Una empresa que controle el tratamiento de los datos personales en las empresas que estén afiliadas debe considerarse, junto con dichas empresas, «grupo empresarial»
52. Asimismo deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud….
53. Las categorías especiales de datos personales que merecen mayor protección únicamente deben tratarse con fines relacionados con la salud cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas sanitarios o de protección social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad y las autoridades sanitarias nacionales centrales con fines de control de calidad, gestión de la información y supervisión general nacional y local del sistema sanitario o de protección social, y garantía de la continuidad de la asistencia sanitaria o la protección social y la asistencia sanitaria transfronteriza o fines de seguridad, supervisión y alerta sanitaria, o con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, basados en el Derecho de la Unión o del Estado miembro que ha de cumplir un objetivo de interés público, así como para estudios realizados en interés público en el ámbito de la salud pública….
71. …. A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.
155. El Derecho de los Estados miembros o los convenios colectivos, incluidos los «convenios de empresa», pueden establecer normas específicas relativas al tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratación, la ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por convenio colectivo, la gestión, planificación y organización del trabajo, la igualdad y seguridad en el lugar de trabajo, la salud y seguridad en el trabajo, así como a los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y prestaciones relacionados con el empleo y a efectos de la rescisión de la relación laboral.

Texto articulado.
Art. 4. Definiciones.
1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona….
16. «establecimiento principal»:
a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal…
19. “grupo empresarial”: grupo constituido por una empresa que ejerce el control y sus empresas controladas.
Artículo 6
Licitud del tratamiento
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a)el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b)el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c)el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d)el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e)el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f)el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño….
Artículo 9
Tratamiento de categorías especiales de datos personales
1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
b)el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
h)el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
Artículo 37. Designación del delegado de protección de datos.
5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
Artículo 38. Posición de delegado de protección de datos.
1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
2. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.
Artículo 47
Normas corporativas vinculantes
1. La autoridad de control competente aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el artículo 63, siempre que estas:
a)sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados;
Artículo 82
Derecho a indemnización y responsabilidad
1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.
3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
Artículo 88
Tratamiento en el ámbito laboral
1. Los Estados miembros podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.
2. Dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo.
3. Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior de las mismas”.

7. Como he indicado con anterioridad, ya hay abundante aportación doctrinal sobre la protección de datos laborales según el nuevo Reglamento. Dos monografías recientes abordan con intensidad está temática: “El derecho a la protección dedatos en el contrato de trabajo, del magistrado de la sala Social del Tribunal Superior de Justicia de Cataluña Carlos Hugo Preciado (Ed. Aranzadi 2017), y “Protección de datos en las relaciones laborales”, del Catedrático de Derecho del Trabajo y de la Seguridad Social de la Universidad Carlos III Jesús R. Mercader (Ed. Lefevre, 2018).

A) La RTSS CEF dedica su núm. 423, del mes de junio, al estudio del Reglamento, desde la perspectiva tanto de las relaciones individuales como colectivas de trabajo. En el editorial, la profesora Margarita Miñarro destaca uno de los rasgos más relevantes de la norma, de aplicación a todos los supuestos en que se plantee algún conflicto y no sólo a los laborales, cual es que se ha producido “un drástico tránsito desde un derecho a la intimidad en clave negativa – no injerencia – hacia una dimensión positiva del tratamiento de datos, concretada en un derecho de control y decisión sobre los mismos por parte de los interesados. Las claves expuestas expresan la tensión que esa libertad/control entraña, que se hace evidente a lo largo del RGPD”. La autora destaca la importancia de que el nuevo Reglamento incorpore varias referencias concretas y específicas al tratamiento de datos en el marco de las relaciones laborales, si bien con numerosas dudas que a su parecer plantean y que no son sino el peaje “que necesariamente han de pagar por entrar por primera vez en un espacio con tan importantes peculiaridades y tan ostracista tradición en la materia”.

Como es comprensible, una parte importante del artículo está dedicada al estudio del art. 88, del que destaca su importancia ya que “rompe el aislamiento jurídico que, a estos efectos, ha venido manteniendo el ámbito laboral para incluirlo, aún modalizadamente, en el marco aplicativo y de protección general”, apuntado una tesis que comparto y que está por ver cómo será aplicada por los juzgados y tribunales, cual es que la norma europea “va a suponer la necesidad de establecer contrapesos al art. 20.3 del ET, introduciendo un equilibrio nunca antes contemplado entre los intereses de empresarios y trabajadores”.

B) El número monográfico contiene tres artículos de especial interés, dedicados al examen de la aplicación del Reglamento en el marco de las relaciones individuales y colectivas de trabajo. La profesora Susana Rodríguez, Catedrática de DTSS de la Universidad de León, aborda de forma exhaustiva, la perspectiva individual en su artículo “El derecho a la protección de datos personales en el contrato de trabajo: reflexiones a la luz del Reglamento europeo 2016/679”, en el que destaca, al igual que lo hacía la profesora Miñarro, que de la defensa del núcleo básico de la intimidad, entendida como pretensión de no injerencia de terceros, “se tiene que evolucionar hacia una nueva dimensión que faculte a cada sujeto a mantener el poder de disposición sobre el patrimonio informativo, surgiendo los derechos online de los trabajadores. Procede identificar así un nuevo derecho frente a sofisticadas formas empresariales de amenaza, el derecho a la libertad informática o el derecho a la autodeterminación informativa.

La profesora Rodriguez se muestra muy crítica con el panorama normativo vigente y con su  (no) aplicación,  llamando a una regulación concreta en el ámbito laboral, ya que “tratar de dar respuesta a los interrogantes generados por la protección de los datos personales de los trabajadores exige, pues, la difícil tarea de partir de las reglas jurídicas que ordenan con carácter general el tratamiento automatizado, ahora singularmente abanderadas por el Reglamento (UE) nº 2016/679, para, a partir de tales pilares, construir pautas especiales que atiendan a las características propias del trabajo asalariado”.

C) La perspectiva colectiva es abordada tanto con carácter general como más concretamente desde el ámbito de la acción sindical. Los profesores Jesús R. Mercader y Ana de laPuebla, Catedráticos de DTSS de la Universidad Carlos III y Autónoma de Madrid, respectivamente, abordan la “Protección de datos y relaciones colectivas”. La síntesis de su contenido se encuentra perfectamente recogida en su extracto o asbtract, en el que se explica que el análisis se efectúa desde un doble ámbito: por una parte, “el vinculado con los derechos de información que la normativa laboral reconoce a los representantes, en la medida en que puede suponer el acceso a datos personales de los trabajadores”, y por otra parte, “el relacionado con el ejercicio de la actividad sindical, que implica la información de difusión susceptible de afectar a la intimidad informática de los interesados”, prestando especial atención, subrayan los autores, “al dato sensible de la afiliación sindical y al papel que la negociación colectiva está llamada a desempeñar en el tratamiento de datos personales en el ámbito de las relaciones laborales”.

D) Más específicamente centrada la temática en la acción sindical, con una mirada incisiva a recientes resoluciones judiciales, es el artículo del director de la RTSS, profesor Cristóbal Molina, Catedrático de DTSS de la Universidad de Jaén, que lleva por título “Acción sindical y protección de datos: nuevos relatos de una relación espinosa”, en el que, tal como explica el autor, pretende “ilustrar la creciente conflictividad entre acción sindical y protección de datos en la experiencia de relaciones laborales de más rabiosa actualidad”, mediante el examen de algunas sentencias de indudable interés como son la dictada por la Sala de lo Social de la Audiencia Nacional el 6 de abril (caso despido colectivo Air Berlín, objeto de atención en mi entrada “ Despidos colectivos. Sobre las obligaciones de la empresa matrizextranjera con sucursal en España. Nulidad de la decisión empresarial. Notas ala sentencia de la AN de 30 de abril (caso Air Berlín)”), la de la Sala de lo Social del TSJ de Cataluña de 12 de marzo de 2018 (vulneración del derecho de huelga por la empresa Telefónica), y la de la Sala de lo C-A del TS de 7 de febrero (obligación de la Administración de facilitar la relación de puestos de trabajo a los representantes del personal).

Si bien el autor es crítico con la dificultad de aplicación del nuevo Reglamento comunitario, comparte la tesis ya expuesta en el editorial de que supone un reforzamiento del poder de autodeterminación informativa de los ciudadanos, incluidos los trabajadores, “revalorizando el papel del consentimiento informado”, así como también de aquellos  a los que el profesor Molina califica de “poderes de jurisdicción cautelar (autoridades gubernativas” a los que les atribuye “una mayor capacidad de intervención preventiva y de sanción en caso de incumplir los mandatos del nuevo marco regulador”.

E) Otros artículos que he tenido oportunidad de leer y que recomiendo a las personas interesadas, que a buen seguro que son muchas, en la temática de la protección de los datos personales en las relaciones laborales, son los que enumero a continuación.

a) Nuevamente hay que hacer referencia al profesor Jesús R. Mercader, en concreto a su artículo “Protección de datos y relaciones laborales: apuntes prácticos sobre la entrada en vigor del Reglamento (UE) 206-679”, publicado en el núm. 41/2018 (mayo) de la revista Trabajo y Derecho, en el que destaca la nueva normativa “supone un auténtico cambio de cultura en la materia de protección de datos”, siendo la piedra angular “el principio de responsabilidad proactiva o accountability”…, que apunta … al modo en que se ejercen las competencias y al modo en que esto puede comprobarse”, destacando que los cambios introducidos son de especial importancia en el ámbito de las relaciones laborales, ya que “los complejos problemas que se plantean en materia laboral con el tratamiento de datos se amplifican en un momento de hiperdatificación del lugar de trabajo, donde la empresa es un constante emisor de datos”.

El autor dedica especial atención al art. 88 del Reglamento, destacando “el papel reforzado de la negociación colectiva en el diseño del sistema de protección de datos”, hasta ahora con mínima presencia en el panorama convencional español, al tiempo que subraya sus dudas sobre hasta dónde puede llegar la intervención del convenio en este ámbito, dada la obligatoriedad de que la cesión de datos de los trabajadores requiere de su consentimiento expreso con carácter general.

b) El profesor Ferran Camas, Catedrático de DTSS de la Universidad de Girona, publicaba el 24 de mayo en su blog, justamente el día anterior a la entrada en vigor del Reglamento comunitario, un interesante artículo titulado “Protección de datospersonales en el ámbito laboral”, en el que presta atención a las que considera “algunas de las claves (del Reglamento) en el ámbito de las relaciones laborales”, partiendo de la premisa previa, como todos los autores y autoras que he citado con anterioridad, de que la nueva normativa europea “atribuye una responsabilidad activa en el tratamiento de los datos personales al “responsable del tratamiento”, que es la empresa, así como que ésta pasa a asumir una “responsabilidad pro-activa” en dicho ámbito, en el sentido que sobre las medidas que adopte debe estar en posición de garantizar, y poder demostrar en todo momento, que son conformes con el Reglamento”.

Destaca con acierto el profesor Camas, entre otras novedades, que “En relación al tratamiento de datos personales de los trabajadores por parte de sus empresas, un deber importante sigue siendo el de informarles de ello. Con el nuevo reglamento se ha añadido a dicho deber de información más contenido del que venía recogiéndose hasta ahora, de forma que con la regulación aplicable se debe comunicar a los trabajadores entre otros datos los del contacto del Delegado de protección de datos si la empresa dispone de él, la legitimación o base para el tratamiento de datos que se ha mencionado en el apartado 1 anteriormente comentado, los plazos de conservación de datos, el derecho a presentar reclamación, la existencia en la empresa de elaboración de perfiles o de mecanismos automatizados en la toma de decisiones, o la previsión de la transferencia de datos a terceros países”.

c) Por fin, cabe mencionar desde la perspectiva sindical dos artículos de abogados de los gabinetes jurídicos confederal y de Cataluña de la Unión General de Trabajadores respectivamente. En primer lugar, el elaborado por la letrada Susana Bravo Santamaria, titulado “El nuevo Reglamento de protección de datos y las relaciones laborales”, presentado en las jornadas de acción sindical y negociación colectiva para 2018 que tuvieron lugar en noviembre de 2017, en el que realiza un cuidado examen de cómo afecta al mundo laboral, previa premisa de los principios fundamentales del Reglamento de los que hay que partir: “la libre circulación de los datos de carácter personal, y la protección de las personas físicas respecto del tratamiento de dichos datos de carácter general”.

d) En segundo término, la aportación doctrinal del letrado Luis Ezquerra, “Nuevas tecnologíasen el control de la actividad del trabajador y sus límites. Especial referenciaal derecho a la intimidad del trabajador”, publicado en el Boletín del Gabinete Jurídico de la UGT de Catalunya, núm. 7 (junio 2018), que recoge su intervención en las XXIX Jornadas de Derecho Social de la Asociación Catalana de Iuslaboralistas. 

La tesis central del cuidado estudio, tras un examen del marco normativo y jurisprudencial, es que la utilización de los medios tecnológicos del empresario como mecanismos propios de control del trabajador dentro de la empresa “debe ser acordada con el trabajador y adaptada vía negociación colectiva”, y que “en todo caso, el empresario no tiene derecho a desconectar al trabajador de su entorno familiar y personal por el sólo hecho de entrar en el ámbito de la empresa. El margen de ejercicio del art. 18 CE no puede quedar a expensas de la tolerancia del empresario. Y el criterio a tener en cuenta, no pueden ser las potestades de dirección y control empresarial, sino la afectación al proceso productivo”.

8.Para concluir esta entrada, me permito remitir a las personas interesadas a la lectura (o relectura, en su caso) de algunas anteriores publicadas en el blog (desde octubre de 2015) y en las que he tratado y analizado diversas resoluciones judiciales internacionales y nacionales de indudable interés sobre la protección de los datos de las personas trabajadoras en las relaciones de trabajo. Son los siguientes:







Buena lectura.               

2 comentarios:

pequebabero dijo...

Muy interesante el blog. Gran trabajo

Eduardo Rojo dijo...

Muchas gracias por sus palabras. Saludos cordiales.