lunes, 1 de mayo de 2023

Sobre la importancia de los datos personales en la vida laboral. ¿Hay que pedir permiso al profesorado del sector educativo público para difundir la docencia por videoconferencia? Notas a propósito de la sentencia del TJUE de 30 de marzo de 2023 (asunto C-34/21, Estado Federado de Hesse).

 

1. El pasado 30 de marzo fue hecha pública la sentencia dictada por la Sala primera del Tribunalde Justicia de la Unión Europea en el asunto C-34/21  , dictada con ocasión de la cuestión prejudicial planteada, al amparo del art. 267 del Tratado de funcionamiento de la UE, por el Tribunal de lo Contencioso-Administrativo de la ciudad alemana de Wiesbaden.

El conflicto versaba sobre la interpretación del art. 88, apartados 1 y 2, del Reglamento(UE) 2016/679   del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

De la publicación de dicha sentencia nos facilitó rápidamente debida información, como hace en cada ocasión que el TJUE publica sentencias de contenido laboral y de protección social, el profesor José María Miranda Boto , reconocido experto en el ámbito del Derecho Social Europeo.

El resumen oficial de la sentencia es el siguiente: “Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículo 88, apartados 1 y 2 — Tratamiento de datos en el ámbito laboral — Sistema escolar regional — Enseñanza por videoconferencia debido a la pandemia de COVID‑19 — Aplicación sin el consentimiento expreso de los docentes”.

La mención en dicho resumen al “tratamiento de datos en el ámbito laboral” permitía ya pensar en su importancia, y más para quienes nos dedicamos a la docencia, ya que se cuestionaba la impartición de esta por videoconferencia “sin el consentimiento expreso de los docentes”. Por ello, era merecedora sin duda de un examen por mi parte, en la línea de seguimiento habitual que realizado de la jurisprudencia social del TJUE desde hace varios años en este blog y que también ha quedado plasmada en varios artículos publicadas en revistas iuslaboralistas.

De la jurisprudencia comunitaria en materia de discriminación tendremos una visión general de indudable importancia el próximo viernes, 5 de mayo, en la Facultad de Derecho de la UAB, con la impartición de una conferencia   sobre esa materia, con ocasión de la celebración del día de Europa el 9 de mayo, a cargo de la magistrada españoladel TJUE María Lourdes Arastey, cuyo acreditado currículum puede consultarse en este enlace 

Ahora bien, el inicio del período no lectivo de la Semana Santa y una dedicación especial a mis nietos y nietas hizo que aplazara ese comentario para el reinicio de la actividad académica, no siendo así finalmente por diversas razones, todas agradables, tanto laborales como familiares.

2. Fue poco después de su publicación, el 11 de abril, cuando leí el excelente y muy bien documentado artículo del profesor Jesús Mercader Uguina, en el ya plenamente consolidado blog del Foro de Labos, dedicado a dicha sentencia y que lleva por título ¿Hay vida más allá del RGPD?: Límites a las previsiones legales oconvencionales de tratamiento de datos personales en materia laboral (apropósito de la STJUE de 30 de marzo de 2023, asunto C‑34/21  .     Su lectura reanimó mi interés por la sentencia, y de ahí el breve comentario que ahora realizo. 

Tuve oportunidad de felicitar presencialmente al profesor Mercader con ocasión de su participación en el Primer Congreso Catalán del Trabajo   , organizado por la Generalitat los días 24 a 26 de abril con el título de “El trabajo en una nueva economía para la vida” , ya que participó en la mesa de trabajo (o más exactamente “en las butacas de trabajo”) dedicada a “Condiciones de trabajo para una sociedad justa y diversa: perspectiva académica”, que contó también con la participación de los profesores Miguel Rodríguez-Piñero Royo    y Adrián Todolí Signes   , y la Sra. María Luz Vega Ruiz que ha desarrollado su actividad profesional desde 1989 en la Organización Internacional del Trabajo y que por ello ha sido, y me atrevo a decir que sigue siendo, gran conocedora de todos los cambios que se han operado en las relaciones de trabajo a escala mundial en las últimas décadas.

Es muy recomendable, y casi obligada, la lectura del artículo del profesor Mercader para conocer todo el litigio y la importancia que, sin duda, tiene la sentencia que motiva esta entrada y sobre cuyo contenido voy a referirme brevemente a continuación.

3. Pero antes, me permito recordar que el tratamiento de datos personales en el ámbito laboral ya ha merecido mi atención con anterioridad.

En primer lugar, “Relacioneslaborales y protección de datos personales. Notas a propósito del Reglamento(UE) 2016/679, y lecturas recomendadas” , en el que manifestaba que deseaba “compartir con los lectores y lectoras algunos de sus contenidos que me han parecido de especial interés, en el bien entendido que tales análisis se realizan en muchas ocasiones en estrecha relación con la normativa interna vigente y con las resoluciones judiciales dictadas por los Tribunales Superiores de Justicia, Tribunal Supremo, Tribunal de Justicia de la Unión Europea y Tribunal Europeo de Derechos Humanos”.

Sirva como segundo ejemplo “Ejercicio y protección de los derechos fundamentales en la relaciónlaboral. Atención especial a la protección de datos personales”  en el que reproduje el texto de la introducción de la ponencia presentada el 19 de octubre de 2018 en las IV Jornadas de Derecho del Trabajo y de la Seguridad Social que organiza la Universidad del País Vasco, dedicadas a  "Los derechos fundamentales de los trabajadores y la jubilación a debate”, en la que expuse mi parece de que “Debates como el que nos reúne en estas Jornadas deben servir a mi parecer (no es una tesis en absoluto nueva, sino que la mantengo desde hace muchos años atrás en el tiempo) para mantener viva la llama de un debate jurídico teórico y práctico sobre cómo conseguir que el Derecho del Trabajo y de la Seguridad Social no se convierta en un subproducto de las decisiones económicas, adoptadas además en muchas ocasiones sin tener en consideración las necesidades y demandas de una gran parte de la ciudadanía. Un debate que debe atender, repito, a esa obligada adecuación del DTSS, pero justamente para dar debida respuesta protectora a nuevas, y no tan nuevas, situaciones de precariedad laboral que afectan cada vez a más trabajadores y trabajadoras”.

Y mucho más directamente relacionado con la temática abordada en la sentencia del TJUE fue el artículo “¿Puede vulnerar la vida privada de un profesor universitario la grabación de sus clases en un anfiteatro de la Universidad donde presta ordinariamente sus servicios? Sobre la sentencia del Tribunal Europeo de Derechos Humanos de 28 de noviembre de 2017 (Aplication nº 70838/13)   , de la que reproduzco un breve fragmento:

“... que plantea un asunto de especial interés para todos aquellos que nos dedicamos a la docencia en la Universidad, como puede comprobarse en el título de la presente entrada, y además debió ser objeto de un intenso debate en el tribunal, dado que la sentencia declara que hubo violación del art. 8 del Convenio Europeo de Derechos Humanos (“1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia. 2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás”) … por cuatro votos a favor y tres en contra, y, además, con un voto concurrente al afirmativo de dos de los cuatro magistrados que afirmaron existente la vulneración de la vida privada de dos profesores universitarios  de la Facultad de Matemáticas de la Universidad de Montenegro por haberse grabado, durante un cierto tiempo, las clases en el auditorio de la citada Facultad en la que impartían docencia, en el bien entendido, como en seguida explicaré, que el motivo de la grabación, más allá de su conformidad o no a la normativa internacional citada y también, por supuesto, a la estatal propia, no era únicamente el de la vigilancia de la docencia sino que estaba relacionado con el control de las medidas de seguridad en dicho espacio universitario”.

4. El litigio que dio origen a la sentencia del TJUE se inició con ocasión de dos actos adoptados en 2020 por el Ministro de Educación y Cultura del Estado Federado de Hesse, mediante los que estableció el marco jurídico y organizativo de la enseñanza escolar durante el período de pandemia de COVID‑19.

Conocemos en el apartado 14 de la sentencia que dicho marco “establecía, en particular, la posibilidad de que los alumnos que no pudieran estar presentes en clase asistieran en directo a las clases por videoconferencia”, que “con el fin de preservar los derechos de los alumnos en materia de protección de datos personales, se dispuso que la conexión al servicio de videoconferencia solo se autorizaría con el consentimiento de los propios alumnos o, en caso de minoría de edad de estos, de sus padres”, y que, siendo este el eje central del posterior conflicto, “en cambio, no se prescribió el consentimiento de los docentes a su participación en dicho servicio”.

La decisión ministerial provocó la presentación de un recurso contencioso-administrativo por el Comité Principal del Personal Docente del Ministerio de Educación y Cultura, por no haber sido solicitada la autorización del personal docente para la impartición de las clases por videoconferencia.

Siguiendo con el relato de los hechos tal como aparecen recogidos en la sentencia del TJUE,  conocemos que la autoridad ministerial alegó en defensa de su actuación que el tratamiento de datos personales que constituía la difusión en directo de las clases por videoconferencia “estaba cubierto por el artículo 23, apartado 1, primera frase, de la Ley de protección de datos y libertad de información del Estado Federado de Hesse, de 3 de mayo de 2018 (HDSIG), de modo que podía realizarse sin solicitar el consentimiento del docente implicado”.

En apartados posteriores encontramos una amplia explicación de las dudas suscitadas al tribunal que posteriormente elevaría la petición de decisión prejudicial, no solo sobre el citado art. 23 sino también sobre el art. 86.4 de la Ley de la función pública de dicho Estado, de 21 de junio de 2018. En concreto, y partiendo de la voluntad de legislador de considerar dichas normas como “normas más específicas” que los Estados miembros pueden establecer, de conformidad con el artículo 88, apartado 1, del Reglamento comunitario para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral”, plantea diversas dudas de la compatibilidad de dichos con las exigencias impuestas por el artículo 88, apartado 2, del RGPD. Se desarrollan dichas dudas en los apartados 18 a 20, para llegar al planteamiento de estas cuestiones prejudiciales, que son las siguientes:

“ 1)      ¿Debe interpretarse el artículo 88, apartado 1, del [RGPD] en el sentido de que, para que una disposición legislativa constituya una norma más específica para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, a los efectos del citado artículo 88, apartado 1, del [RGPD], debe satisfacer las exigencias impuestas por el artículo 88, apartado 2, del [RGPD] en relación con tales disposiciones?

2)      ¿Puede seguir aplicándose, así y todo, una norma nacional cuando resulte claro que no satisface las exigencias impuestas por el artículo 88, apartado 2, del [RGPD]?”.

5. El abogado general, M. Campos Sánchez-Bordona, presentó sus conclusiones generales el 22 de septiembre de 2022  , enmarcando perfectamente a mi parecer el litigio en una breve introducción: “1. En el litigio del que dimana esta petición de decisión prejudicial se dilucida, en esencia, si los profesores al servicio de un Ministerio del Land de Hesse (Alemania) han de prestar su consentimiento para la difusión de sus enseñanzas por videoconferencia o si, de no consentirlo, el tratamiento de sus datos personales puede ampararse en un objetivo legítimo de los que contempla el Reglamento (UE) 2016/679. 2.        El reenvío prejudicial ofrece al Tribunal de Justicia la oportunidad de pronunciarse por vez primera, salvo error por mi parte, sobre el artículo 88 del RGPD. A tenor de ese precepto, los Estados miembros pueden establecer, a través de disposiciones legislativas o de convenios colectivos, normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de los datos personales de los trabajadores en el ámbito laboral” (la negrita es mía).

Su conclusión, es decir la propuesta de fallo sugerida al TJUE fue la siguiente: el art. 88, apartado 1 y 2 del Reglamento (UE) 2016/679 ha de interpretarse en el sentido de que “Una disposición legislativa adoptada por un Estado miembro solo constituirá una norma más específica para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, si satisface las exigencias impuestas por el artículo 88, apartado 2, del Reglamento 2016/679.

Si esa disposición legislativa no satisface las exigencias impuestas por el artículo 88, apartado 2, del Reglamento 2016/679, solo será aplicable, en su caso, en la medida en que pueda encontrar cobertura en otros preceptos de ese Reglamento o en las normas nacionales de adaptación a las que alude su artículo 6, apartado 2”.

6. El TJUE pasa primeramente revista a la normativa europea y alemana aplicable.

De la primera, es referenciada la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que  fue derogada, con efectos a partir del 25 de mayo de 2018, por el Reglamento (UE) 2016/679. En concreto de dicha Directiva, el art. 3 (ámbito de aplicación).

Inmediatamente a continuación, es citado el Reglamento, en concreto los considerandos 8, a 10, 13, 16, 45 y 155, y los arts. 1 (objeto), 2 (ámbito de aplicación material), art 4 (definiciones), 5 (principios relativos al tratamiento de datos personales), 6 (licitud del tratamiento), y 88 (tratamiento de datos en el ámbito laboral).

Del derecho alemán, se menciona en primer lugar la Ley federal de protección de datos de 30 de junio de 2017, en concreto su art. 26.1, y a continuación el art. 23.4 de la ley del Estado de Hesse sobre protección de datos y libertad de información, para acabar con la cita del art. 86.4 de la Ley de función pública de dicho Estado.  

Por su importancia para la mejor comprensión del litigio, reproduzco los artículos de la legislación alemana, tanto de la federal como de la del Estado de Hesse.

El artículo 26, apartado 1, de la Bundesdatenschutzgesetz (Ley Federal de Protección de Datos), de 30 de junio de 2017 (BGBl. 2017 I, p. 2097), dispone:

«Los datos personales de los trabajadores podrán ser objeto de tratamiento por necesidades de la relación laboral si resulta necesario para decidir sobre el establecimiento de una relación laboral o, tras el establecimiento de la relación laboral, para su ejecución o su extinción, o para el ejercicio de los derechos o el cumplimiento de las obligaciones inherentes a la representación de los intereses de los trabajadores derivados de una ley o de un instrumento de regulación colectiva, de un convenio de empresa o de servicio (convenio colectivo). […]»

12      A tenor del artículo 23 de la Hessisches Datenschutz‑ und Informationsfreiheitsgesetz (Ley de Protección de Datos y Libertad de Información del Estado Federado de Hesse), de 3 de mayo de 2018 (en lo sucesivo, «HDSIG»):

«1.      Los datos personales de los trabajadores pueden ser tratados a efectos de la relación laboral si es necesario para la decisión sobre el establecimiento de una relación laboral o, tras el establecimiento de la relación laboral, para su aplicación, rescisión o resolución, así como para la aplicación de medidas internas de planificación, organización, de naturaleza social o de personal. […]

2.      Cuando el tratamiento de los datos personales de los empleados se efectúe sobre la base de un consentimiento, para apreciar si se ha dado libremente el consentimiento, deberá tenerse en cuenta, en particular, la dependencia del trabajador en la relación laboral, así como las circunstancias en las que se haya dado el consentimiento. El carácter libre del consentimiento podrá acreditarse, en particular, si existe una ventaja jurídica o económica para el trabajador o si el empresario y el trabajador tienen intereses convergentes. El consentimiento deberá otorgarse por escrito, salvo que sea necesaria otra forma debido a circunstancias particulares. El empresario estará obligado a informar por escrito al trabajador sobre la finalidad del tratamiento de los datos y de su derecho a retirar su consentimiento, previsto en el artículo 7, apartado 3, del [RGPD].

3.      No obstante lo dispuesto en el artículo 9, apartado 1, del [RGPD], el tratamiento de las categorías especiales de datos personales en el sentido del artículo 9, apartado 1, del [RGPD] se autorizará a efectos de la relación laboral cuando sea necesario para ejercer derechos o cumplir obligaciones jurídicas derivadas del Derecho del trabajo, del Derecho de la seguridad social y de la protección social, y no hay motivo para pensar que prevalece el interés legítimo del interesado en excluir el tratamiento. El apartado 2 también será válido para el consentimiento al tratamiento de las categorías especiales de datos personales. A este respecto, el consentimiento debe referirse expresamente a esos datos. […]

4.      El tratamiento de datos personales, incluidas las categorías especiales de datos personales de los trabajadores a efectos de la relación laboral, estará permitido con arreglo a lo dispuesto en convenio colectivo. En ese marco, las partes negociadoras deben respetar el apartado 2 del artículo 88 del [RGPD].

5.      El responsable del tratamiento deberá adoptar medidas adecuadas para garantizar, en particular, el cumplimiento de los principios relativos al tratamiento establecidos en el artículo 5 del [RGPD].

[…]

7.      Los apartados 1 a 6 se aplicarán también cuando los datos personales, incluidas las categorías especiales de datos personales de los empleados, sean tratados sin que estén contenidos o destinados a ser incluidos en un fichero. Las disposiciones de la Hessisches Beamtengesetz [(Ley de la Función Pública del Estado Federado de Hesse)], de 21 de junio de 2018 (en lo sucesivo, «HBG»), aplicables a los expedientes del personal, se aplicarán mutatis mutandis a los trabajadores del sector público, salvo disposición en contrario prevista en el instrumento de regulación colectiva de trabajo.

8.      Son empleados en el sentido de la presente Ley:

1.      los trabajadores, incluidos los trabajadores cedidos por empresas de trabajo temporal en las relaciones con el usuario;

[…]

7.      los funcionarios sometidos a la HBG, los magistrados del estado federado y las personas que desempeñen un servicio civil.

[…]»

13      El artículo 86, apartado 4, de la HBG, dispone:

«El empleador puede recoger datos personales de los aspirantes, funcionarios y antiguos funcionarios solo en la medida en que sea necesario para el establecimiento de una relación laboral o para su aplicación, cese o resolución, así como para la aplicación de medidas de organización, de naturaleza social o de personal, especialmente también para la planificación y el despliegue del personal, o si una disposición legislativa o un acuerdo colectivo de la función pública lo permiten. […

7. Remito a la detallada explicación del profesor Mercader en el artículo antes citado, y subrayo ahora solo algunos de los contenidos más destacados a mi parecer de la fundamentación jurídica de la sentencia.

En primer lugar, se pregunta el TJUE si el tratamiento de los datos personales de los docentes está comprendido en el ámbito de aplicación material del Reglamento. Respuesta afirmativa, por no estar encuadrada dicha actividad dentro de las actividades excluidas del tal ámbito de aplicación, debiendo además estas, según consolidada jurisprudencia, ser interpretadas restrictivamente.

En segundo lugar, y de especial interés en el ámbito laboral, se cuestiona el TJUE si el tratamiento de datos de docentes que forman parte del servicio público del Estado Federado en su calidad de empleados o funcionarios, está o no comprendido dentro del art. 88 del Reglamento, que se refiere al “tratamiento de datos personales de los trabajadores en el ámbito laboral” (la negrita es mía).

La respuesta es afirmativa, partiendo del presupuesto que no hay una definición en el Reglamento de los términos “trabajadores” y “ámbito laboral”, y que tampoco hay una remisión a los Estados miembros para su concreción, por lo que debe aplicarse, y así lo recoge el TJUE en muchas sentencias, “una interpretación autónoma y uniforme”. Procede a continuación a recordar las líneas básicas de su jurisprudencia sobre el concepto de trabajador y sobre las características de una relación laboral, para concluir, muy acertadamente a mi parecer, que tales expresiones, “entendidas en su sentido habitual, no excluyen a personas que ejercen su actividad profesional en el ámbito público”.

No hay duda de la importancia de la fijación de este criterio para hipotéticos posteriores conflictos que se susciten en el sector público. De especial interés considero las manifestaciones vertidas en el apartado 47, que reproduzco a continuación: “la falta de pertinencia de la calificación del vínculo jurídico entre el empleado y la administración que lo emplea se ve corroborada por el hecho de que la gestión, planificación y organización del trabajo, la igualdad y diversidad en el lugar de trabajo, la salud y seguridad en el trabajo, la protección de los bienes de empleadores o clientes, el ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo, así como la extinción de la relación laboral, también enunciados en ese artículo 88, apartado 1, del RGPD, se refieren al empleo tanto en el sector privado como en el sector público”. El desarrollo y ampliación posterior de esta tesis le lleva a concluir que el conflicto suscitado entra dentro del ámbito de aplicación material y personal del art. 88, es decir que es conforme con el objeto del Reglamento “realizar una interpretación amplia del artículo 88, apartado 1, del RGPD, según la cual las «normas más específicas» que los Estados miembros pueden establecer para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral pueden referirse a todos los trabajadores, con independencia de la naturaleza del vínculo jurídico que los une a su empleador”.

8. Una vez resuelta, afirmativamente, la ubicación del conflicto, el tratamiento de datos del personal docente del servicio público del Estado federado, en el art. 88 del Reglamento, la Sala pasa a dar respuesta a las dos cuestiones prejudiciales. Respecto a la primera, conviene destacar lo siguiente:

En primer lugar (apartado 65) que “... del tenor del artículo 88 del RGPD se desprende que el apartado 2 de este artículo delimita el margen de apreciación de los Estados miembros que pretenden establecer «normas más específicas» en virtud del apartado 1 de dicho artículo. De esta manera, por una parte, tales normas no pueden limitarse a reiterar las disposiciones del referido Reglamento, sino que deben tener por objeto la protección de los derechos y libertades de los trabajadores en relación con el tratamiento de sus datos personales en el ámbito laboral e incluir medidas adecuadas y específicas destinadas a proteger la dignidad humana, los intereses legítimos y los derechos fundamentales de los interesados”.

En segundo término (apartado 71) que “si bien, en el ejercicio de la facultad que les concede una cláusula de apertura del RGPD, los Estados miembros pueden incorporar elementos de dicho Reglamento a su Derecho en la medida necesaria para garantizar la coherencia y a fin de que las disposiciones nacionales sean comprensibles para las personas destinatarias, las «normas más específicas» adoptadas sobre la base del artículo 88, apartado 1, de dicho Reglamento no pueden limitarse a constituir la reiteración de las condiciones de licitud del tratamiento de los datos personales y de los principios de dicho tratamiento, enunciados, respectivamente, en los artículos 6 y 5 del mismo Reglamento o a remitir a dichas condiciones y principios”.

Y por último (apartado 74) que “... para poder ser calificada de «norma más específica» en el sentido del artículo 88, apartado 1, del RGPD, una norma jurídica debe cumplir las condiciones establecidas en el apartado 2 de dicho artículo. Además de tener un contenido normativo propio del ámbito regulado y distinto de las normas generales de dicho Reglamento, estas normas más específicas deben tener por objeto la protección de los derechos y libertades de los trabajadores en relación con el tratamiento de sus datos personales en el ámbito laboral e incluir medidas adecuadas y específicas destinadas a proteger la dignidad humana, los intereses legítimos y los derechos fundamentales de los interesados. Debe prestarse especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo”.

9. Del marco teórico de la primera pregunta hay que pasar al mucho más concreto de la segunda, dejando claro el TJUE que será el órgano jurisdiccional nacional remitente el que interprete si las disposiciones controvertidas “respetan las condiciones y los límites establecidos en el art. 88 del Reglamento”, y si no fuera así debería dejarlas inaplicadas. Tienen que ser, subraya el TJUE “normas más específicas”, ya que de no ser así se sigue aplicando el art. 88. Además (apartado 88) “en caso de que el órgano jurisdiccional remitente llegara a la conclusión de que las disposiciones nacionales relativas al tratamiento de datos personales en el ámbito laboral no respetan las condiciones y los límites establecidos por el artículo 88, apartados 1 y 2, del RGPD, deberá comprobar además si dichas disposiciones constituyen una base jurídica contemplada en el artículo 6, apartado 3, de dicho Reglamento, en relación con su considerando 45, que cumple las exigencias establecidas en el mismo Reglamento. Si es así, no deberá excluirse la aplicación de las disposiciones nacionales”.  

9. Por todo lo anteriormente expuesto, el TJUE falla que el art.88 del Reglamento (UE) 2016/679, debe interpretarse en el sentido de que “una normativa nacional no puede constituir una «norma más específica», a los efectos del apartado 1 de dicho artículo, en caso de que no cumpla las condiciones impuestas en el apartado 2 del referido artículo”, y que el art. 88, apartados 1 y 2, debe interpretarse en el sentido de que “la aplicación de disposiciones nacionales adoptadas para garantizar la protección de los derechos y libertades de los trabajadores en cuanto se refiere al tratamiento de sus datos personales en el ámbito laboral deberá excluirse cuando esas disposiciones no respeten las condiciones y los límites establecidos por el citado artículo 88, apartados 1 y 2, a menos que dichas disposiciones constituyan una base jurídica contemplada en el artículo 6, apartado 3, de dicho Reglamento que cumple las exigencias establecidas en este”.

10. Concluyo estas notas con una nueva remisión al artículo del profesor Mercader, que cierra su texto con una reflexión final que comparto y que por ello me permito reproducir: “La moraleja de la sentencia parece clara: una intervención normativa (o convencional) en materia de protección de datos impone, paralelamente, un sistema reforzado de garantías. La ausencia de esos mecanismos tutelares hace ineficaz la regulación resultante y obligan a aplicar, en la medida en que resulte posible, el régimen general establecido en el RGPD. Un buen aviso a los navegantes de estas turbulentas y desconocidas aguas”.

Buena lectura.  


No hay comentarios: