1. El 25 de mayo
entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y delConsejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos).
En el ordenamiento
jurídico español sigue vigente la Ley Orgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal, cuya última modificación de varios
preceptos se produjo por la Ley 2/2011, de 4 de marzo, de economía sostenible,
además de haber sido declarados inconstitucionales algunos preceptos por la Sentencia
del Tribunal Constitucional núm. 292/2000, de 30 de noviembre.
Se encuentra
actualmente en tramitación parlamentario un proyecto de ley orgánica quederogaría la de 1999, no habiendo sido aún informado el proyecto, y por ello
tampoco objeto de su debate, en la Comisión de Justicia del Congreso de los
Diputados, después de que fuera desestimada la enmienda a la totalidad
presentada por el grupo parlamentario mixto, más concretamente por el PDeCat, que
contó con el voto favorable del grupo parlamentario de Esquerra Republicana de
Catalunya y la abstención del grupo nacionalista vasco, siendo desestimada por
318 votos en contra, 16 a favor y 7 abstenciones,
Se han presentado
un total de 369 enmiendas, varias de ellas dedicadas a los artículos en los que
se regulan cuestiones laborales y de protección social, que fueron objeto de mi
atención en la entrada publicada el pasado 21 de abril con el título “Proyectode ley orgánica de protección de datos de carácter personal y derecho de lostrabajadores a la privacidad en la relación de trabajo. Enmiendas a los arts.19 y 22”, que ha merecido la atención, que le agradezco de la profesora
Margarita Miñarro, secretaria de redacción de la RTSS CEF, en el editorial del
número monográfico dedicado al Reglamento y al que más adelante me referiré con
mayor detalle, titulado “Impacto del reglamento comunitario de protección de
datos en las relaciones laborales: un – pretendido - cambio
cultural”.
2. El objeto de
esta entrada es prestar atención a algunos de los considerandos del Reglamento
y a los preceptos en los que se encuentran, de manera directa o indirecta,
referencias a datos personales de las personas trabajadoras, es decir datos que
son conocidos, o pueden serlo, en el ámbito de las relaciones de trabajo, tanto
las estrictamente laborales como las de protección social; atención que presto,
de manera descriptiva, después de haber procedido a una atenta lectura del
texto comunitario. A buen seguro que la normativa europea y estatal reguladora
de la protección de datos personales en la vida laboral deberá merecer especial
atención en el programa de la asignatura de Derecho del Trabajo en estudios de
grado, y de manera más detallada y con mayor intensidad en el máster de
derechos sociolaborales y en alguna sesión del Aula Iuslaboralista de la UAB a
desarrollar durante el curso 2018- 2019.
El contenido
laboral y de protección social del Reglamento ya ha sido objeto de mucha
atención por la doctrina laboralista, y a buen seguro que lo será aún más en
los meses venideros a medida que vayan surgiendo interrogantes o conflictos
jurídicos relativos a su interpretación y aplicación. He procedido a la lectura
de varios de los artículos publicados en revistas especializadas, y deseo
compartir con los lectores y lectoras algunos de sus contenidos que me han
parecido de especial interés, en el bien entendido que tales análisis se
realizan en muchas ocasiones en estrecha relación con la normativa interna
vigente y con las resoluciones judiciales dictadas por los Tribunales
Superiores de Justicia, Tribunal Supremo, Tribunal de Justicia de la Unión
Europea y Tribunal Europeo de Derechos Humanos.
3. Muy
recientemente, y la cito por su importancia general sobre la protección de
datos personales y no en cuanto a su interés concreto laboral, ha merecido
bastante atención, con toda razón, la sentencia del TC núm. 58/2018, de 4 dejunio de 2018, Recurso de amparo 2096-2016, que reconoce el “derecho al olvidodigital”. Dicha sentencia recuerda primeramente la doctrina general sobre el
art. 18.4 de la Constitución en estos términos: “el artículo 18.4 CE garantiza
un ámbito de protección específico pero también más idóneo que el que podían
ofrecer, por sí mismos, los derechos fundamentales mencionados en el apartado
primero del precepto (STC 292/2000, FJ 4), de modo que «la garantía de la vida
privada de la persona y de su reputación poseen hoy una dimensión positiva que
excede el ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE),
y que se traduce en un derecho de control sobre los datos relativos a la propia
persona. La llamada ‘libertad informática’ es así derecho a controlar el uso de
los mismos datos insertos en un programa informático (habeas data) y comprende,
entre otros aspectos, la oposición del ciudadano a que determinados datos
personales sean utilizados para fines distintos de aquel legítimo que justificó
su obtención» (STC 292/2000, FJ 5, y jurisprudencia allí citada). Y más adelante, expone que “A la hora de valorar
el sacrificio requerido a la libertad de información [art. 20.1 d) CE], para
asegurar el disfrute adecuado del derecho a la intimidad de las personas
recurrentes en conexión con el derecho a la autodeterminación informativa (art.
18.1 y 4 CE), es necesario recordar la importancia de las hemerotecas digitales
en el contexto de las actuales sociedades de la información. Esto significa que
serán conducentes al restablecimiento del derecho al honor, a la intimidad y a
la protección de los datos personales las medidas tecnológicas tendentes a
limitar adecuadamente la difusión de la noticia, que garanticen, en lo que sea
conciliable con dicha regla, la integridad de la hemeroteca y su accesibilidad
en general”, para concluir que “se ha
vulnerado el derecho de las personas demandantes de amparo al honor e intimidad
(art. 18.1 CE) y a la protección de sus datos personales (art. 18.4 CE)”, y
procede “establecerlas en su derecho y, a tal fin, declarar la nulidad parcial
de la Sentencia del Tribunal Supremo, de 15 de octubre de 2015, únicamente en
lo relativo a la revocación del pronunciamiento de la Sentencia de la Sección
Decimocuarta de la Audiencia Provincial de Barcelona, de 11 de octubre de 2013,
consistente en prohibir la indexación de los datos personales de las
demandantes de amparo, en lo que se refiere al nombre y apellidos de las
recurrentes, para su uso por el motor de búsqueda interno de la hemeroteca
digital gestionada por Ediciones El País, S.L., así como la nulidad de la
providencia del mismo Tribunal, de 17 de febrero de 2016, ambas recaídas en el
recurso de casación núm. 2772-2013”.
4. Al Proyecto de
Ley en fase de tramitación parlamentaria se ha presentado una enmienda por el
grupo parlamentario socialista que incluye la regulación de un nuevo título a
incorporar al texto, titulado “garantía de los derechos digitales”, que incluye
varias referencias importantes a la protección de datos en el ámbito laboral.
Sobre dicha enmienda en particular, y sobre la protección de datos en general,
tuve oportunidad de responder a finales de mayo a varias preguntas formuladas
por la redacción de una cadena de televisión, preguntas y respuestas que ahora
recupero para ponerlas a disposición de todos los lectores y lectoras del blog.
Pregunta. ¿Cómo valora a
fines prácticos la enmienda del PSOE al Proyecto de Ley Orgánica de protección
de datos de carácter personal, en el ámbito laboral?
Respuesta. El grupo parlamentario socialista en el
Congreso de los Diputados ha presentado las enmiendas núms. 298 a 313, proponiendo
la adición al Proyecto de Ley de un nuevo título X, rotulado “Garantía de los
derechos digitales”, que incluiría los nuevos artículos 79 a 93. Desde la
perspectiva laboral son de especial interés las enmiendas núms. 306 a 309.
Se regula de forma cuidada
y detallada el derecho a la intimidad y uso de dispositivos en el ámbito
laboral, el derecho a la desconexión laboral, el derecho a la intimidad ante la
utilización de sistemas audiovisuales o de geolocalización en el ámbito
laboral, y los derechos digitales en la negociación colectiva. Consideradas en
su conjunto, las enmiendas pretenden que una ley orgánica reconozca derechos,
tanto individuales como colectivos, a las personas trabajadoras y a sus
representantes para garantizar espacios de privacidad en la vida laboral, por
una parte, y espacios separados y diferenciados, una vez finalizada la jornada
de trabajo, entre vida laboral, por una parte, y vida privada personal por
otra. Es un deseo loable a mi parecer, que permitiría mayor protección de la persona
trabajadora.
Pregunta. ¿En su opinión,
en materia de protección al trabajador en el nuevo contexto digital, en qué
tendrían que pensar nuestros políticos? ¿Van en la dirección correcta?
Respuesta. Deberían
prestar atención al nuevo marco jurídico tanto europeo como español.
Con respecto al segundo,
la mayor protección de la persona trabajadora ante el control cada vez más
amplio, y técnicamente posible, de su actividad laboral, deviene del todo punto
necesario, y ello puede regularse en el proyecto de ley actualmente en
tramitación parlamentaria.
En relación con el
primero, conviene recordar que el 25 de mayo entra en vigor el Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 “relativo
a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga
la Directiva 95/46/CE (Reglamento general de protección de datos)”, siendo
necesario prestar mucha atención a todo su contenido, que cabe sintetizar en el
considerando núm. 2: “Los principios y normas relativos a la protección de las
personas físicas en lo que respecta al tratamiento de sus datos de carácter
personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus
libertades y derechos fundamentales, en particular el derecho a la protección
de los datos de carácter personal. El presente Reglamento pretende contribuir a
la plena realización de un espacio de libertad, seguridad y justicia y de una
unión económica, al progreso económico y social, al refuerzo y la convergencia
de las economías dentro del mercado interior, así como al bienestar de las
personas físicas”.
Pregunta. ¿Qué aspectos
echa de menos en los artículos relativos a la desconexión laboral en lo que
respecta al ámbito laboral y que podrían mejorarla?
Respuesta. Técnicamente,
las enmiendas están bien redactadas, dado que abordan con carácter general la
problemática existente en el ámbito laboral. En el desarrollo de los acuerdos
que prevén dichas enmiendas, es donde debería prestarse atención a las
particularidades de algunas relaciones laborales, como son las que se
desarrollan mediante la fórmula del trabajo a distancia, las relaciones de
trabajo en el marco de la economía de plataformas, o cuando la prestación
laboral se desarrolla a tiempo parcial.
Pregunta ¿Considera que
los políticos tienen una visión real del entorno laboral actual o cree que
deberían conocerla mejor?
Respuesta. Una
formulación general sobre “los/as políticos/as” me parece incorrecta, al igual
que lo sería sobre “los/as periodistas” o “los/as profesores/as de Universidad,
por citar los dos ámbitos profesionales en que se mueve la persona que formula
las preguntas y quien está respondiendo.
Hecha esta afirmación
previa, el conocimiento de dicha realidad será superior, sin duda, por quienes
han tenido un acercamiento directo al mismo, ya sea como sujeto empleador o
persona trabajadora, o bien por su actividad profesional relacionada con el
mundo del trabajo (ej.: Inspección de Trabajo y Seguridad Social, judicatura,
etc.), debiendo los restantes miembros tener puntos de apoyo técnico para poder
conocer mejor dicha realidad y hacer propuestas bien elaboradas.
Pregunta. ¿Cómo delimitar
el tiempo de trabajo y el tiempo de descanso, qué mecanismo? (ya se hace con
los conductores profesionales)
Respuesta. El cumplimiento de la
normativa laboral vigente (art. 34 de la Ley del estatuto de los trabajadores)
permitiría superar gran parte de los problemas que se dan en la vida cotidiana
laboral. Por otra parte, el cumplimiento de la normativa de la Unión Europea (Directiva
2003/88/CE del Parlamento Europeo y del Consejo, de 4 de noviembre de 2003,
relativa a determinados aspectos de la ordenación del tiempo de trabajo) y de
la interpretación efectuada por el Tribunal de Justicia de la UE de los
conceptos de tiempo de trabajo y tiempo de descanso, resolvería igualmente gran
parte de dichos problemas. Ya existen, pues, normas legales que lo delimitan, y
no sólo para los transportistas. Cuestión distinta, y de ahí la búsqueda de una
regulación adecuada más eficaz, es que se cumplan.
Pregunta. En la realidad,
si un trabajador cierra el teléfono en su tiempo de descanso se expone a las
consecuencias de una represalia de la empresa. ¿Esta ley cree que va a garantizar
que esto no ocurra?
Respuesta. Justamente,
como he respondido en la primera pregunta, las enmiendas del grupo
parlamentario socialista tratan de conseguir garantizar los derechos de las
personas trabajadoras a su privacidad fuera de la vida laboral. La futura ley,
y la aplicación del Reglamento citado de la UE, pueden contribuir a ello,
siempre y cuando, además, la negociación colectiva concrete en cada ámbito
sectorial las características propias de dicha privacidad. Igualmente, la
importante jurisprudencia del Tribunal Europeo de Derecho Humanos debe
contribuir a ello.
Pregunta. ¿Cómo se
entiende el derecho a la intimidad y el uso de dispositivos digitales en los
entornos laborales (artículo 8) cuando las empresas implantan políticas que las
autorizan a monitorizar todos los dispositivos de trabajo (ordenadores,
móviles, etc.) ¿No son contradictorias? ¿Qué derechos asisten a los
trabajadores ante estas políticas? ¿Son legales?
Respuesta. La tensión
entre poder de dirección del sujeto empleador y derechos de las personas
trabajadoras en su vida laboral ha sido siempre una constante en las relaciones
laborales desde sus orígenes, siendo la tecnología un factor actual de
modulación de dicha tensión, que requiere de marcos jurídicos claros respecto a
cómo conciliar los derechos de una y otra parte. A dicho objetivo se dirigen
las enmiendas objeto de atención en mis respuestas, así como también las de
otros grupos parlamentarios. Igualmente,
la jurisprudencia del TEDH ha delimitado con claridad los requisitos que deben
respetarse por la parte empleadora en su control,
Pregunta. Esto ya se
viene haciendo (artículo 8 a. 8 b). ¿Qué novedad trae o más de lo mismo?
Respuesta. La importancia
del precepto radica en su incorporación a una ley orgánica, que son aquellas
que regulan los derechos fundamentales, a los que se reconoce en la
Constitución una protección jurídica reforzada. Por otra parte, la nueva
regulación, caso de ser aprobada, junto con la jurisprudencia del TJUE y del
TEDH incrementaría la protección jurídica.
Pregunta. Sobre el
artículo 9 (derecho a la desconexión laboral). ¿Está incompleto? ¿Cómo se puede
garantizar el derecho a la desconexión laboral? Considerando que ya está
legislado la compensación de las horas extraordinarias y no existen mecanismos
para obligar a las empresas.
Respuesta. Las enmiendas
tratan de conseguir que aquello que, en principio, debería ya ser una realidad
con el respeto a los tiempos de trabajo, se convierta efectivamente en algo
real, ante el incremento de las posibilidades de no separación de los tiempos
de trabajo y de vida personal por la tecnología. Para que esa garantía sea
verdadera, deberá no sólo regularse vía legal, sino también concretarse en la
negociación colectiva y teniendo en consideración las particularidades de cada
sector.
Pregunta. El punto 3 de
este artículo parece ciencia ficción. La empresa “concretará acciones de
formación”. ¿Le parece viable?
Respuesta. Es una llamada
a los sujetos negociadores para que creen una “cultura de la desconexión” en el
ámbito laboral. No me parece una mala idea en absoluto, aun cuando serán en
cada empresa, y en el ámbito de la negociación colectiva o pactos de empresa,
como deberá concretarse.
Pregunta. Sobre
artículo 10. El punto 2 ¿no está ya en el ET?
¿Qué objetivo ve incluirlo en esta enmienda?
Respuesta: Como he dicho
con anterioridad, la mayor protección de los derechos derivaría de su
incorporación a una ley orgánica".
La propuesta socialista ha sido muy recientemente objeto de detallada atención por la profesora Margarita Miñarro, en su artículo "La Carta de derechos digitales para los trabajadores del grupo socialista en el Congreso: un análisis crítico ante su renovado interés", publicado en la RTSS CEF núm. 424 (julio 2018, que califica de un buen punto de partida, aun sin ser especialmente novedosa en su contenido, para la regulación de los derechos laborales, y más aún teniendo en cuenta la práctica inexistencia de regulación en la normativa vigente y la pocas atención que a los contenidos laborales se presta en el proyecto de ley en fase de tramitación.
La propuesta socialista ha sido muy recientemente objeto de detallada atención por la profesora Margarita Miñarro, en su artículo "La Carta de derechos digitales para los trabajadores del grupo socialista en el Congreso: un análisis crítico ante su renovado interés", publicado en la RTSS CEF núm. 424 (julio 2018, que califica de un buen punto de partida, aun sin ser especialmente novedosa en su contenido, para la regulación de los derechos laborales, y más aún teniendo en cuenta la práctica inexistencia de regulación en la normativa vigente y la pocas atención que a los contenidos laborales se presta en el proyecto de ley en fase de tramitación.
5. Con ocasión del
1º de mayo, el diario jurídico “Confilegal” publicó un artículo de su redactor
Luis Javier Sánchez, titulado “¿Qué cuestiones preocupan a los trabajadores enla celebración del 1 de mayo Día del Trabajo?”, en el que recogió el parecer de
diversos laboralistas, entre ellos el mío, y del que ahora reproduzco un
fragmento.
“Preguntamos a Rojo sobre la transformación digital de
las empresas y como puede afectar a los trabajadores “No debe significar pérdida de
derechos si dicha transformación se realiza de forma negociada, tanto en el
ámbito sectorial de la negociación colectiva como en acuerdos de empresa,
además de un marco normativo adecuado, pudiendo repercutir en tal caso en una
mejora de la calidad de vida laboral”.
En cuanto a la desconexión digital señala que “creo
que lo más importante es el cumplimiento de la normativa sobre jornada y
horario de trabajo, que en muchas ocasiones se incumple en perjuicio de las
personas trabajadoras. La tecnología ha de estar al servicio de las personas y
no significar un retroceso en los derechos laborales”:
Nuestro interlocutor advierte que en muchos fallos
judiciales el control de los trabajadores se hace con proporcionalidad
y respetando su intimidad, sin embargo señala que “matizaría la afirmación. Tenemos una rica jurisprudencia del Tribunal
Europeo de Derechos Humanos que establece una clara prioridad de la protección
de la privacidad de las personas trabajadoras en su vida laboral, junto con una
reciente sentencia del Tribunal Supremo que entiende que la jurisprudencia
española respeta las reglas o criterios fijados por el TEDH.
A su juicio “la clave de bóveda es a mi parecer una
política empresarial muy respetuosa con los derechos laborales y un
conocimiento adecuado por parte de los trabajadores y trabajadoras de los
límites de la privacidad. Deberemos estar muy atentos a la entrada en vigor el
25 de mayo del Reglamento europeo de protección de datos, y también al texto
que finalmente apruebe el Parlamento de nuestra nueva ley orgánica sobre la
materia”.
6. ¿Cuáles son los
contenidos del Reglamento (UE) 2016/679 que considero conveniente destacar para
estudio a los efectos de la incidencia sobre las relaciones de trabajo? Partiendo
de la base que todo el contenido del texto es relevante, por la estrecha
relación entre sus distintos preceptos, son los siguientes:
A) Considerandos.
2. Los principios
y normas relativos a la protección de las personas físicas en lo que respecta
al tratamiento de sus datos de carácter personal deben, cualquiera que sea su
nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en
particular el derecho a la protección de los datos de carácter personal….
10. Para
garantizar un nivel uniforme y elevado de protección de las personas físicas y
eliminar los obstáculos a la circulación de datos personales dentro de la
Unión, el nivel de protección de los derechos y libertades de las personas
físicas por lo que se refiere al tratamiento de dichos datos debe ser
equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión
que la aplicación de las normas de protección de los derechos y libertades
fundamentales de las personas físicas en relación con el tratamiento de datos
de carácter personal sea coherente y homogénea. En lo que respecta al
tratamiento de datos personales para el cumplimiento de una obligación legal,
para el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del tratamiento, los
Estados miembros deben estar facultados para mantener o adoptar disposiciones
nacionales a fin de especificar en mayor grado la aplicación de las normas del
presente Reglamento….
22. Todo
tratamiento de datos personales en el contexto de las actividades de un
establecimiento de un responsable o un encargado del tratamiento en la Unión
debe llevarse a cabo de conformidad con el presente Reglamento,
independientemente de que el tratamiento tenga lugar en la Unión. Un
establecimiento implica el ejercicio de manera efectiva y real de una actividad
a través de modalidades estables. La forma jurídica que revistan tales
modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es
el factor determinante al respecto.
37. Un grupo
empresarial debe estar constituido por una empresa que ejerce el control y las
empresas controladas, debiendo ser la empresa que ejerce el control la que
pueda ejercer una influencia dominante en las otras empresas, por razones, por
ejemplo, de propiedad, participación financiera, normas por las que se rige, o
poder de hacer cumplir las normas de protección de datos personales. Una
empresa que controle el tratamiento de los datos personales en las empresas que
estén afiliadas debe considerarse, junto con dichas empresas, «grupo
empresarial»
52. Asimismo deben
autorizarse excepciones a la prohibición de tratar categorías especiales de
datos personales cuando lo establezca el Derecho de la Unión o de los Estados
miembros y siempre que se den las garantías apropiadas, a fin de proteger datos
personales y otros derechos fundamentales, cuando sea en interés público, en
particular el tratamiento de datos personales en el ámbito de la legislación
laboral, la legislación sobre protección social, incluidas las pensiones y con
fines de seguridad, supervisión y alerta sanitaria, la prevención o control de
enfermedades transmisibles y otras amenazas graves para la salud….
53. Las categorías
especiales de datos personales que merecen mayor protección únicamente deben
tratarse con fines relacionados con la salud cuando sea necesario para lograr
dichos fines en beneficio de las personas físicas y de la sociedad en su
conjunto, en particular en el contexto de la gestión de los servicios y
sistemas sanitarios o de protección social, incluido el tratamiento de esos
datos por las autoridades gestoras de la sanidad y las autoridades sanitarias
nacionales centrales con fines de control de calidad, gestión de la información
y supervisión general nacional y local del sistema sanitario o de protección
social, y garantía de la continuidad de la asistencia sanitaria o la protección
social y la asistencia sanitaria transfronteriza o fines de seguridad,
supervisión y alerta sanitaria, o con fines de archivo en interés público,
fines de investigación científica o histórica o fines estadísticos, basados en
el Derecho de la Unión o del Estado miembro que ha de cumplir un objetivo de
interés público, así como para estudios realizados en interés público en el
ámbito de la salud pública….
71. …. A fin de
garantizar un tratamiento leal y transparente respecto del interesado, teniendo
en cuenta las circunstancias y contexto específicos en los que se tratan los
datos personales, el responsable del tratamiento debe utilizar procedimientos
matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar
medidas técnicas y organizativas apropiadas para garantizar, en particular, que
se corrigen los factores que introducen inexactitudes en los datos personales y
se reduce al máximo el riesgo de error, asegurar los datos personales de forma
que se tengan en cuenta los posibles riesgos para los intereses y derechos del
interesado y se impidan, entre otras cosas, efectos discriminatorios en las
personas físicas por motivos de raza u origen étnico, opiniones políticas,
religión o creencias, afiliación sindical, condición genética o estado de salud
u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las
decisiones automatizadas y la elaboración de perfiles sobre la base de
categorías particulares de datos personales únicamente deben permitirse en
condiciones específicas.
155. El Derecho de
los Estados miembros o los convenios colectivos, incluidos los «convenios de
empresa», pueden establecer normas específicas relativas al tratamiento de
datos personales de los trabajadores en el ámbito laboral, en particular en
relación con las condiciones en las que los datos personales en el contexto
laboral pueden ser objeto de tratamiento sobre la base del consentimiento del
trabajador, los fines de la contratación, la ejecución del contrato laboral,
incluido el cumplimiento de las obligaciones establecidas por la ley o por convenio
colectivo, la gestión, planificación y organización del trabajo, la igualdad y
seguridad en el lugar de trabajo, la salud y seguridad en el trabajo, así como
a los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y
prestaciones relacionados con el empleo y a efectos de la rescisión de la
relación laboral.
Texto articulado.
Art. 4.
Definiciones.
1) «datos
personales»: toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable
toda persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona….
16. «establecimiento
principal»:
a) en lo que se
refiere a un responsable del tratamiento con establecimientos en más de un
Estado miembro, el lugar de su administración central en la Unión, salvo que
las decisiones sobre los fines y los medios del tratamiento se tomen en otro
establecimiento del responsable en la Unión y este último establecimiento tenga
el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que
haya adoptado tales decisiones se considerará establecimiento principal…
19. “grupo
empresarial”: grupo constituido por una empresa que ejerce el control y sus
empresas controladas.
Artículo 6
Licitud del
tratamiento
1. El tratamiento
solo será lícito si se cumple al menos una de las siguientes condiciones:
a)el interesado
dio su consentimiento para el tratamiento de sus datos personales para uno o
varios fines específicos;
b)el tratamiento
es necesario para la ejecución de un contrato en el que el interesado es parte
o para la aplicación a petición de este de medidas precontractuales;
c)el tratamiento
es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d)el tratamiento
es necesario para proteger intereses vitales del interesado o de otra persona
física;
e)el tratamiento
es necesario para el cumplimiento de una misión realizada en interés público o
en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f)el tratamiento
es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales
del interesado que requieran la protección de datos personales, en particular
cuando el interesado sea un niño….
Artículo 9
Tratamiento de
categorías especiales de datos personales
1. Quedan
prohibidos el tratamiento de datos personales que revelen el origen étnico o
racial, las opiniones políticas, las convicciones religiosas o filosóficas, o
la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos
dirigidos a identificar de manera unívoca a una persona física, datos relativos
a la salud o datos relativos a la vida sexual o las orientaciones sexuales de
una persona física.
2. El apartado 1
no será de aplicación cuando concurra una de las circunstancias siguientes:
b)el tratamiento
es necesario para el cumplimiento de obligaciones y el ejercicio de derechos
específicos del responsable del tratamiento o del interesado en el ámbito del
Derecho laboral y de la seguridad y protección social, en la medida en que así
lo autorice el Derecho de la Unión de los Estados miembros o un convenio
colectivo con arreglo al Derecho de los Estados miembros que establezca
garantías adecuadas del respeto de los derechos fundamentales y de los
intereses del interesado;
h)el tratamiento
es necesario para fines de medicina preventiva o laboral, evaluación de la
capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia
o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios
de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de
los Estados miembros o en virtud de un contrato con un profesional sanitario y
sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
Artículo 37.
Designación del delegado de protección de datos.
5. El delegado de
protección de datos será designado atendiendo a sus cualidades profesionales y,
en particular, a sus conocimientos especializados del Derecho y la práctica en
materia de protección de datos y a su capacidad para desempeñar las funciones
indicadas en el artículo 39.
6. El delegado de
protección de datos podrá formar parte de la plantilla del responsable o del
encargado del tratamiento o desempeñar sus funciones en el marco de un contrato
de servicios.
Artículo 38.
Posición de delegado de protección de datos.
1. El responsable
y el encargado del tratamiento garantizarán que el delegado de protección de
datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones
relativas a la protección de datos personales.
2. El responsable
y el encargado del tratamiento respaldarán al delegado de protección de datos
en el desempeño de las funciones mencionadas en el artículo 39, facilitando los
recursos necesarios para el desempeño de dichas funciones y el acceso a los
datos personales y a las operaciones de tratamiento, y para el mantenimiento de
sus conocimientos especializados.
3. El responsable
y el encargado del tratamiento garantizarán que el delegado de protección de
datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas
funciones. No será destituido ni sancionado por el responsable o el encargado
por desempeñar sus funciones. El delegado de protección de datos rendirá
cuentas directamente al más alto nivel jerárquico del responsable o encargado.
4. Los interesados
podrán ponerse en contacto con el delegado de protección de datos por lo que
respecta a todas las cuestiones relativas al tratamiento de sus datos
personales y al ejercicio de sus derechos al amparo del presente Reglamento.
5. El delegado de
protección de datos estará obligado a mantener el secreto o la confidencialidad
en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho
de la Unión o de los Estados miembros.
6. El delegado de
protección de datos podrá desempeñar otras funciones y cometidos. El
responsable o encargado del tratamiento garantizará que dichas funciones y
cometidos no den lugar a conflicto de intereses.
Artículo 47
Normas
corporativas vinculantes
1. La autoridad de
control competente aprobará normas corporativas vinculantes de conformidad con
el mecanismo de coherencia establecido en el artículo 63, siempre que estas:
a)sean
jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros
correspondientes del grupo empresarial o de la unión de empresas dedicadas a
una actividad económica conjunta, incluidos sus empleados;
Artículo 82
Derecho a
indemnización y responsabilidad
1. Toda persona
que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia
de una infracción del presente Reglamento tendrá derecho a recibir del
responsable o el encargado del tratamiento una indemnización por los daños y
perjuicios sufridos.
2. Cualquier
responsable que participe en la operación de tratamiento responderá de los
daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto
por el presente Reglamento. Un encargado únicamente responderá de los daños y
perjuicios causados por el tratamiento cuando no haya cumplido con las
obligaciones del presente Reglamento dirigidas específicamente a los encargados
o haya actuado al margen o en contra de las instrucciones legales del
responsable.
3. El responsable
o encargado del tratamiento estará exento de responsabilidad en virtud del
apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya
causado los daños y perjuicios.
Artículo 88
Tratamiento en el
ámbito laboral
1. Los Estados
miembros podrán, a través de disposiciones legislativas o de convenios
colectivos, establecer normas más específicas para garantizar la protección de
los derechos y libertades en relación con el tratamiento de datos personales de
los trabajadores en el ámbito laboral, en particular a efectos de contratación
de personal, ejecución del contrato laboral, incluido el cumplimiento de las
obligaciones establecidas por la ley o por el convenio colectivo, gestión,
planificación y organización del trabajo, igualdad y diversidad en el lugar de
trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados
o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo,
de los derechos y prestaciones relacionados con el empleo y a efectos de la
extinción de la relación laboral.
2. Dichas normas
incluirán medidas adecuadas y específicas para preservar la dignidad humana de
los interesados así como sus intereses legítimos y sus derechos fundamentales,
prestando especial atención a la transparencia del tratamiento, a la
transferencia de los datos personales dentro de un grupo empresarial o de una
unión de empresas dedicadas a una actividad económica conjunta y a los sistemas
de supervisión en el lugar de trabajo.
3. Cada Estado
miembro notificará a la Comisión las disposiciones legales que adopte de
conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin
dilación, cualquier modificación posterior de las mismas”.
7. Como he
indicado con anterioridad, ya hay abundante aportación doctrinal sobre la
protección de datos laborales según el nuevo Reglamento. Dos monografías
recientes abordan con intensidad está temática: “El derecho a la protección dedatos en el contrato de trabajo, del magistrado de la sala Social del Tribunal
Superior de Justicia de Cataluña Carlos Hugo Preciado (Ed. Aranzadi 2017), y
“Protección de datos en las relaciones laborales”, del Catedrático de Derecho
del Trabajo y de la Seguridad Social de la Universidad Carlos III Jesús R.
Mercader (Ed. Lefevre, 2018).
A) La RTSS CEF
dedica su núm. 423, del mes de junio, al estudio del Reglamento, desde la
perspectiva tanto de las relaciones individuales como colectivas de trabajo. En
el editorial, la profesora Margarita Miñarro destaca uno de los rasgos más
relevantes de la norma, de aplicación a todos los supuestos en que se plantee
algún conflicto y no sólo a los laborales, cual es que se ha producido “un
drástico tránsito desde un derecho a la intimidad en clave negativa – no
injerencia – hacia una dimensión positiva del tratamiento de datos, concretada
en un derecho de control y decisión sobre los mismos por parte de los
interesados. Las claves expuestas expresan la tensión que esa libertad/control entraña,
que se hace evidente a lo largo del RGPD”. La autora destaca la importancia de
que el nuevo Reglamento incorpore varias referencias concretas y específicas al
tratamiento de datos en el marco de las relaciones laborales, si bien con
numerosas dudas que a su parecer plantean y que no son sino el peaje “que necesariamente han de pagar
por entrar por primera vez en un espacio con tan importantes peculiaridades y
tan ostracista tradición en la
materia”.
Como es
comprensible, una parte importante del artículo está dedicada al estudio del
art. 88, del que destaca su importancia ya que “rompe el aislamiento jurídico
que, a estos efectos, ha venido manteniendo el ámbito laboral para incluirlo,
aún modalizadamente, en el marco aplicativo y de protección general”, apuntado
una tesis que comparto y que está por ver cómo será aplicada por los juzgados y
tribunales, cual es que la norma europea “va a suponer la necesidad de
establecer contrapesos al art. 20.3 del ET, introduciendo un equilibrio nunca
antes contemplado entre los intereses de empresarios y trabajadores”.
B) El número
monográfico contiene tres artículos de especial interés, dedicados al examen de
la aplicación del Reglamento en el marco de las relaciones individuales y
colectivas de trabajo. La profesora Susana Rodríguez, Catedrática de DTSS de la
Universidad de León, aborda de forma exhaustiva, la perspectiva individual en
su artículo “El derecho a la protección de datos personales en el contrato de
trabajo: reflexiones a la luz del Reglamento europeo 2016/679”, en el que
destaca, al igual que lo hacía la profesora Miñarro, que de la defensa del
núcleo básico de la intimidad, entendida como pretensión de no injerencia de
terceros, “se tiene que evolucionar hacia una nueva dimensión que faculte a
cada sujeto a mantener el poder de disposición sobre el patrimonio informativo,
surgiendo los derechos online de los
trabajadores. Procede identificar así un nuevo derecho frente a sofisticadas
formas empresariales de amenaza, el derecho a la libertad informática o el
derecho a la autodeterminación informativa.
La profesora
Rodriguez se muestra muy crítica con el panorama normativo vigente y con
su (no) aplicación, llamando a una regulación concreta en el
ámbito laboral, ya que “tratar de dar respuesta a los interrogantes generados
por la protección de los datos personales de los trabajadores exige, pues, la
difícil tarea de partir de las reglas jurídicas que ordenan con carácter
general el tratamiento automatizado, ahora singularmente abanderadas por el
Reglamento (UE) nº 2016/679, para, a partir de tales pilares, construir pautas
especiales que atiendan a las características propias del trabajo asalariado”.
C) La perspectiva
colectiva es abordada tanto con carácter general como más concretamente desde
el ámbito de la acción sindical. Los profesores Jesús R. Mercader y Ana de laPuebla, Catedráticos de DTSS de la Universidad Carlos III y Autónoma de Madrid,
respectivamente, abordan la “Protección de datos y relaciones colectivas”. La
síntesis de su contenido se encuentra perfectamente recogida en su extracto o
asbtract, en el que se explica que el análisis se efectúa desde un doble
ámbito: por una parte, “el vinculado con los derechos de información que la
normativa laboral reconoce a los representantes, en la medida en que puede
suponer el acceso a datos personales de los trabajadores”, y por otra parte,
“el relacionado con el ejercicio de la actividad sindical, que implica la
información de difusión susceptible de afectar a la intimidad informática de
los interesados”, prestando especial atención, subrayan los autores, “al dato
sensible de la afiliación sindical y al papel que la negociación colectiva está
llamada a desempeñar en el tratamiento de datos personales en el ámbito de las
relaciones laborales”.
D) Más específicamente
centrada la temática en la acción sindical, con una mirada incisiva a recientes
resoluciones judiciales, es el artículo del director de la RTSS, profesor
Cristóbal Molina, Catedrático de DTSS de la Universidad de Jaén, que lleva por
título “Acción sindical y protección de datos: nuevos relatos de una relación
espinosa”, en el que, tal como explica el autor, pretende “ilustrar la
creciente conflictividad entre acción sindical y protección de datos en la
experiencia de relaciones laborales de más
rabiosa actualidad”, mediante el examen de algunas sentencias de indudable
interés como son la dictada por la Sala de lo Social de la Audiencia Nacional
el 6 de abril (caso despido colectivo Air Berlín, objeto de atención en mi
entrada “ Despidos colectivos. Sobre las obligaciones de la empresa matrizextranjera con sucursal en España. Nulidad de la decisión empresarial. Notas ala sentencia de la AN de 30 de abril (caso Air Berlín)”), la de la Sala de lo
Social del TSJ de Cataluña de 12 de marzo de 2018 (vulneración del derecho de
huelga por la empresa Telefónica), y la de la Sala de lo C-A del TS de 7 de
febrero (obligación de la Administración de facilitar la relación de puestos de
trabajo a los representantes del personal).
Si bien el autor
es crítico con la dificultad de aplicación del nuevo Reglamento comunitario,
comparte la tesis ya expuesta en el editorial de que supone un reforzamiento
del poder de autodeterminación informativa de los ciudadanos, incluidos los
trabajadores, “revalorizando el papel del consentimiento informado”, así como
también de aquellos a los que el
profesor Molina califica de “poderes de jurisdicción cautelar (autoridades
gubernativas” a los que les atribuye “una mayor capacidad de intervención
preventiva y de sanción en caso de incumplir los mandatos del nuevo marco regulador”.
E) Otros artículos
que he tenido oportunidad de leer y que recomiendo a las personas interesadas,
que a buen seguro que son muchas, en la temática de la protección de los datos
personales en las relaciones laborales, son los que enumero a continuación.
a) Nuevamente hay
que hacer referencia al profesor Jesús R. Mercader, en concreto a su artículo
“Protección de datos y relaciones laborales: apuntes prácticos sobre la entrada
en vigor del Reglamento (UE) 206-679”, publicado en el núm. 41/2018 (mayo) de
la revista Trabajo y Derecho, en el que destaca la nueva normativa “supone un
auténtico cambio de cultura en la materia de protección de datos”, siendo la
piedra angular “el principio de responsabilidad proactiva o accountability”…, que apunta … al modo
en que se ejercen las competencias y al modo en que esto puede comprobarse”,
destacando que los cambios introducidos son de especial importancia en el
ámbito de las relaciones laborales, ya que “los complejos problemas que se
plantean en materia laboral con el tratamiento de datos se amplifican en un
momento de hiperdatificación del lugar de trabajo, donde la empresa es un
constante emisor de datos”.
El autor dedica
especial atención al art. 88 del Reglamento, destacando “el papel reforzado de
la negociación colectiva en el diseño del sistema de protección de datos”,
hasta ahora con mínima presencia en el panorama convencional español, al tiempo
que subraya sus dudas sobre hasta dónde puede llegar la intervención del convenio
en este ámbito, dada la obligatoriedad de que la cesión de datos de los
trabajadores requiere de su consentimiento expreso con carácter general.
b) El profesor
Ferran Camas, Catedrático de DTSS de la Universidad de Girona, publicaba el 24
de mayo en su blog, justamente el día anterior a la entrada en vigor del
Reglamento comunitario, un interesante artículo titulado “Protección de datospersonales en el ámbito laboral”, en el que presta atención a las que considera
“algunas de las claves (del Reglamento) en el ámbito de las relaciones
laborales”, partiendo de la premisa previa, como todos los autores y autoras
que he citado con anterioridad, de que la nueva normativa europea “atribuye una
responsabilidad activa en el tratamiento de los datos personales al “responsable
del tratamiento”, que es la empresa, así como que ésta pasa a asumir una
“responsabilidad pro-activa” en dicho ámbito, en el sentido que sobre las
medidas que adopte debe estar en posición de garantizar, y poder demostrar en
todo momento, que son conformes con el Reglamento”.
Destaca con
acierto el profesor Camas, entre otras novedades, que “En relación al
tratamiento de datos personales de los trabajadores por parte de sus empresas,
un deber importante sigue siendo el de informarles de ello. Con el nuevo
reglamento se ha añadido a dicho deber de información más contenido del que
venía recogiéndose hasta ahora, de forma que con la regulación aplicable se
debe comunicar a los trabajadores entre otros datos los del contacto del
Delegado de protección de datos si la empresa dispone de él, la legitimación o
base para el tratamiento de datos que se ha mencionado en el apartado 1
anteriormente comentado, los plazos de conservación de datos, el derecho a
presentar reclamación, la existencia en la empresa de elaboración de perfiles o
de mecanismos automatizados en la toma de decisiones, o la previsión de la
transferencia de datos a terceros países”.
c) Por fin, cabe
mencionar desde la perspectiva sindical dos artículos de abogados de los
gabinetes jurídicos confederal y de Cataluña de la Unión General de
Trabajadores respectivamente. En primer lugar, el elaborado por la letrada
Susana Bravo Santamaria, titulado “El nuevo Reglamento de protección de datos y
las relaciones laborales”, presentado en las jornadas de acción sindical y
negociación colectiva para 2018 que tuvieron lugar en noviembre de 2017, en el
que realiza un cuidado examen de cómo afecta al mundo laboral, previa premisa
de los principios fundamentales del Reglamento de los que hay que partir: “la
libre circulación de los datos de carácter personal, y la protección de las
personas físicas respecto del tratamiento de dichos datos de carácter general”.
d) En segundo
término, la aportación doctrinal del letrado Luis Ezquerra, “Nuevas tecnologíasen el control de la actividad del trabajador y sus límites. Especial referenciaal derecho a la intimidad del trabajador”, publicado en el Boletín del Gabinete
Jurídico de la UGT de Catalunya, núm. 7 (junio 2018), que recoge su intervención en las XXIX Jornadas de Derecho Social de la Asociación Catalana de Iuslaboralistas.
La tesis central
del cuidado estudio, tras un examen del marco normativo y jurisprudencial, es
que la utilización de los medios tecnológicos del empresario como mecanismos
propios de control del trabajador dentro de la empresa “debe ser acordada con
el trabajador y adaptada vía negociación colectiva”, y que “en todo caso, el
empresario no tiene derecho a desconectar al trabajador de su entorno familiar
y personal por el sólo hecho de entrar en el ámbito de la empresa. El margen de
ejercicio del art. 18 CE no puede quedar a expensas de la tolerancia del empresario.
Y el criterio a tener en cuenta, no pueden ser las potestades de dirección y
control empresarial, sino la afectación al proceso productivo”.
8.Para concluir
esta entrada, me permito remitir a las personas interesadas a la lectura (o
relectura, en su caso) de algunas anteriores publicadas en el blog (desde
octubre de 2015) y en las que he tratado y analizado diversas resoluciones
judiciales internacionales y nacionales de indudable interés sobre la
protección de los datos de las personas trabajadoras en las relaciones de
trabajo. Son los siguientes:
Buena lectura.
2 comentarios:
Muy interesante el blog. Gran trabajo
Muchas gracias por sus palabras. Saludos cordiales.
Publicar un comentario