Protección de datos y obligaciones y responsabilidades empresariales. Su afectación a las relaciones de trabajo. A propósito de la tercera sesión del Aula Iuslaboralista de la UAB.

 

1. El viernes 9 de enero se reanuda la actividad de la XVIII edición del Aula Iuslaboralista de la Universidad Autónoma de Barcelona, que codirijo junto con el profesor Albert Pastor   

Cabe recordar que las dos primeras sesiones abordaron asuntos de indudable interés, como fueron si había finalizado o no la reparación apropiada ante el despido, a cargo del magistrado Joan Agustí   , y si estábamos en presencia de una jubilación reversible a partir de los últimos cambios operada en la normativa reguladora de dicha modalidad de protección social, a cargo de la profesora Carolina Gala  

2. Iniciamos el recién estrenado 2026 con una ponencia que va más allá de los lindes del Derecho del Trabajo y de la Seguridad Social, si bien al mismo tiempo interesa, y mucho, a todas las personas asistentes al Aula, cual es la de “Protección de datos. Obligaciones y responsabilidades empresariales. Claves para su correcto cumplimiento”.

La ponencia estará a cargo de un muy reconocido experto en la materia, el profesor Josep Cañabate   Profesor lector Serra Húnter de Historia del Derecho en la Universidad Autónoma de Barcelona.

En su página web de  la UAB podemos leer que “sus líneas de investigación se han centrado en los últimos años en dos ámbitos: a) la historia del colonialismo jurídico, con un enfoque especial en las situaciones de pluralismo jurídico del Protectorado de Marruecos; y la historia social, en particular, el análisis de la emigración española a principios del s. XIX, y b) privacidad y protección de datos personales, en el que ha estudiado el impacto del Reglamento General de Protección de datos en diversas áreas (salud, transferencia internacional de datos, etc.)”.

Por lo que respecta al segundo bloque de su currículum, es decir sobre la materia que versará su ponencia en el Aula, cabe decir que “ha sido abogado especializado en derecho digital y en ciberseguridad, y cuenta actualmente con las siguientes certificaciones: Certified Data Privacy Solution Engineer (CDPSE), Certified Information System Auditor (CISA) emitidas por la Information System Audit and Control Association (ISACA), Auditor de entornos digitales por el ICAB. Ha sido vocal de la comisión de transformación digital del ICAB, y secretario de la junta directiva del capítulo de ISACA Barcelona. Actualmente es vocal de la junta directa de ENATIC-Abogacía digital (Asociación de expertos nacionales en abogacía TIC”.        

3. Desde luego, no le falta materia al profesor Cañabate para su ponencia, dada la importancia de la normativa comunitaria, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),   y estatal, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales,  existente, y en particular como afecta toda a las relaciones de trabajo.

A título de ejemplo algo más que significativo, el listado de cumplimiento normativo ocupa un total de nueve páginas en un documento informativo de la Agencia Española deProtección de Datos 

Otro documento de especial interés es “Directrices 07/2020 sobre los conceptos de «responsabledel tratamiento» y «encargado del tratamiento» en el RGPD”  , elaborado por el European Data Protection Board  .

Por supuesto, en materia laboral hay que acudir sin duda al documento elaborado por la Agencia Española de Protección de Datos sobre su protección en las relaciones laborales (actualizado a diciembre de 2025)    El informe se elaboró con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales, y en su presentación   se explica que

“La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte del empresariado. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte de la persona empleadora de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control”.

Y no conviene olvidar en absoluto el Dictamen 2/2017 sobre el tratamiento de datos en el trabajo, elaborado en sede comunitaria por el grupo de trabajo sobre protección de datos del artículo 29 de la (ya derogada) “Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos”   

4. La celebración de esta tercera sesión del aula me ha animado a repasar las entradas, o cuando menos algunas de ellas, que he ido publicando en el blog sobre la protección de datos y su afectación a las relaciones de trabajo, y de las que ahora aporto las referencias y algunos fragmentos de las mismas. Por supuesto, es obligado a mi parecer remitir a todas las personas interesadas al blog del profesor Ignasi Beltrán, en el que encontrarán en la etiqueta “protección de datos personales” una amplísima información sobre toda la temática objeto de la tercera sesión del aula 

- Entrada  “Relaciones laborales y protección de datos personales. Notas a propósito del Reglamento (UE) 2016/679, y lecturas recomendadas” (15 de julio de 2018) , en la que manifestaba que deseaba

“compartir con los lectores y lectoras algunos de sus contenidos que me han parecido de especial interés, en el bien entendido que tales análisis se realizan en muchas ocasiones en estrecha relación con la normativa interna vigente y con las resoluciones judiciales dictadas por los Tribunales Superiores de Justicia, Tribunal Supremo, Tribunal de Justicia de la Unión Europea y Tribunal Europeo de Derechos Humanos”.

- Entrada “Ejercicio y protección de los derechos fundamentales en la relación laboral. Atención especial a la protección de datos personales” (17 de octubre de 2028),  en la que reproduje el texto de la introducción de la ponencia presentada el 19 de octubre de 2018 en las IV Jornadas de Derecho del Trabajo y de la Seguridad Social que organizó la Universidad del País Vasco, dedicadas a  "Los derechos fundamentales de los trabajadores y la jubilación a debate”, en la que expuse mi parece de que

“Debates como el que nos reúne en estas Jornadas deben servir a mi parecer (no es una tesis en absoluto nueva, sino que la mantengo desde hace muchos años atrás en el tiempo) para mantener viva la llama de un debate jurídico teórico y práctico sobre cómo conseguir que el Derecho del Trabajo y de la Seguridad Social no se convierta en un subproducto de las decisiones económicas, adoptadas además en muchas ocasiones sin tener en consideración las necesidades y demandas de una gran parte de la ciudadanía. Un debate que debe atender, repito, a esa obligada adecuación del DTSS, pero justamente para dar debida respuesta protectora a nuevas, y no tan nuevas, situaciones de precariedad laboral que afectan cada vez a más trabajadores y trabajadoras”.

- Entrada “¿Puede vulnerar la vida privada de un profesor universitario la grabación de sus clases en un anfiteatro de la Universidad donde presta ordinariamente sus servicios? Sobre la sentencia del Tribunal Europeo de Derechos Humanos de 28 de noviembre de 2017 (demanda nº 70838/13)” (2 de  diciembre de 2017), de la que reproduzco un breve fragmento:

“... plantea un asunto de especial interés para todos aquellos que nos dedicamos a la docencia en la Universidad, como puede comprobarse en el título de la presente entrada, y además debió ser objeto de un intenso debate en el tribunal, dado que la sentencia declara que hubo violación del art. 8 del Convenio Europeo de Derechos Humanos por cuatro votos a favor y tres en contra, y, además, con un voto concurrente al afirmativo de dos de los cuatro magistrados que afirmaron existente la vulneración de la vida privada de dos profesores universitarios  de la Facultad de Matemáticas de la Universidad de Montenegro por haberse grabado, durante un cierto tiempo, las clases en el auditorio de la citada Facultad en la que impartían docencia, en el bien entendido... que el motivo de la grabación, más allá de su conformidad o no a la normativa internacional citada y también, por supuesto, a la estatal propia, no era únicamente el de la vigilancia de la docencia sino que estaba relacionado con el control de las medidas de seguridad en dicho espacio universitario”.

- Entrada “Delegado de protección de datos y extinción del contrato por causas no vinculadas a su actividad. Aceptación por el TJUE. Notas a la sentencia de 22 de junio de 2022 (asunto C- 534/20)       (27 de junio de 2020)

“La importancia de la sentencia es mucha a mi parecer ya que, aun cuando referida a la interpretación de la normativa comunitaria sobre protección de datos en relación con la alemana, es de perfecta aplicación a la normativa española, es decir a la Ley Orgánica 3/2018 de 5 de diciembre, de protección de datos personales y de garantía de los derechos digitales de la persona. Recordemos que el art. 36 (“posición del delegado de protección de datos) dispone en su apartado 2 que “Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses”.

Y se trata, en esta ocasión, de una importancia de valor negativo para quienes, en su condición de personas trabajadoras por cuenta ajena, sean nombradas delegadas de protección de datos en el ámbito empresarial, ya que el título o base jurídica de la normativa reguladora de tal nombramiento es distinto de aquel que sirve para la regulación de la normativa laboral en el TFUE, y ello llevará a que la protección no pueda ir más allá de aquella que la norma europea le otorga en el ámbito estricto de su actividad como tal delegado o delegada de protección de datos”.

-  Entrada “Cesión no autorizada de datos personales de un trabajador de una entidad bancaria a otra que provocan su despido. Impacto negativo de su reputación profesional y vulneración de su derecho al honor. Notas la sentencia de la Sala Civil del TS de 9 de enero de 2024  (24 de enero de 2024). 

“Desde la perspectiva laboral, el interés de la sentencia radica, una vez más, en conocer el uso de datos personales de un trabajador para transferirlos de una entidad bancaria (Banco Santander) a otra (Banco Pastor, más adelante absorbido por Banco Popular y después siendo absorbido este por Banco Santander), sin autorización de aquel, y que varios años después provocarían su despido de la entidad bancaria para la que prestaba sus servicios, vulnerándose su derecho al honor y siendo por ello condenada la empresa demandada al abono de una indemnización por los daños morales provocados.

No es en puridad una “lista negra”, ya que se trata de un único trabajador, si bien la transmisión de los datos, que la sentencia de instancia, confirmada por la de apelación y que después también lo será por el TS, conceptúa como “de contenido inveraz, y que comprometían su reputación y proyección profesional”, surte un impacto semejante al de aquella, por cuanto el trabajador fue finalmente despedido, aun cuando en el trámite de conciliación, y el contenido del acuerdo es el que suscita varias de las alegaciones de la parte recurrente para solicitar la casación de la sentencia de la AP, se llegó a un acuerdo de reconocimiento de la improcedencia y el abono de una cuantiosa indemnización”.

Entrada  "Sobre la importancia de los datos personales en la vida laboral. ¿Hay que pedir permiso al profesorado del sector educativo público para difundir la docencia por videoconferencia? Notas a propósito de la sentencia del TJUE de 30 de marzo de 2023 (asunto C-34/21, Estado Federado de Hesse)" (1 de mayo de 2023) 

“... el TJUE falla que el art.88 del Reglamento (UE) 2016/679, debe interpretarse en el sentido de que “una normativa nacional no puede constituir una «norma más específica», a los efectos del apartado 1 de dicho artículo, en caso de que no cumpla las condiciones impuestas en el apartado 2 del referido artículo”, y que el art. 88, apartados 1 y 2, debe interpretarse en el sentido de que “la aplicación de disposiciones nacionales adoptadas para garantizar la protección de los derechos y libertades de los trabajadores en cuanto se refiere al tratamiento de sus datos personales en el ámbito laboral deberá excluirse cuando esas disposiciones no respeten las condiciones y los límites establecidos por el citado artículo 88, apartados 1 y 2, a menos que dichas disposiciones constituyan una base jurídica contemplada en el artículo 6, apartado 3, de dicho Reglamento que cumple las exigencias establecidas en este”.

-  Entrada “Vulneración de la normativa sobre protección de datos. Notas a la Resolución de la AEPD en el “caso UNIQLO” (envío erróneo por correo de las nóminas de todo el personal)”   (30 de agosto de 2024).

En esta entrada, de la que ahora reproduzco un fragmento, efectué amplias referencias a la normativa europea y estatal aplicable, así como a las aportaciones de la doctrina laboralista sobre la protección de datos en el trabajo, y expuse que la AEPD

“... pasa a continuación al examen de la obligación incumplida en materia de seguridad del tratamiento, en segundo lugar, con transcripción literal del art. 32 del RGPD, que regula las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, constatándose la vulneración de su apartado 1, “... debido a la falta de adopción de medidas de carácter técnico y organizativas apropiadas, que posibilitó a un tercero no autorizado el acceso a los datos personales de los trabajadores de UNIQLO, que vino provocado por el envío mediante correo electrónico de las nóminas de 447 trabajadores de la empresa UNIQLO”, al haberse llegado a la conclusión, a partir de toda la información disponible en el expediente, que se evidenciaba “que las medidas de seguridad implantadas en relación con los datos que sometía a tratamiento no eran las adecuadas para garantizar la seguridad y confidencialidad de los datos personales en el momento de producirse la quiebra”, y que no se podían valorar las medidas adoptadas con posterioridad al conocimiento de la brecha de protección de datos para valorar la responsabilidad empresarial en los hechos acaecidos con anterioridad, enfatizando, con amplio apoyo en la jurisprudencia del TS, que la actuación negligente que tuvo un trabajador en la gestión de datos personales que se encontraban en las nóminas de todo el personal no eximía de responsabilidad a la empresa, siendo esta por consiguiente imputable por vulneración de la normativa aplicable”.

-  Entrada “Registro de jornada: derecho de la representación del personal a conocer los datos personales de cada persona trabajadora. Notas a la sentencia del TS de 24 de septiembre de 2024 que confirma la dictada por la AN el 19 de abril de 2022     (24 de octubre de 2024)

Se trata, sin duda, de una importante sentencia sobre los requisitos que deben cumplirse por la parte empresarial respecto a sus obligaciones de registro de la jornada de trabajo de sus trabajadores y trabajadoras, muy especialmente la de informar a la representación del personal sobre el registro de cada persona trabajadora, sin que ello suponga en modo alguno una vulneración de la normativa comunitaria y estatal sobre protección de datos , ni tampoco del derecho constitucional a la intimidad. El camino hacia estas obligaciones ya fue abierto por la AN, y ahora el TS, al desestimar el recurso de la parte empresarial, lo ha plenamente confirmado.

- Entrada “Registro de ordenador de un empleado público. Aplicación de la doctrina Barbulescu del TEDH. Notas a la importante sentencia del TS (C-A) de 7 de octubre de 2024.   (24 de octubre de 2024)

“... La importancia de la sentencia del TS es innegable, pues tal como se expone el auto por el que se admitió a trámite el recurso contra la sentencia de la AN y al que me referiré más adelante, es la primera ocasión en que el alto tribunal se pronuncia sobre la aplicación de la denominada doctrina Barbulescu cuando se trata del registro del ordenador de un empleado público, a y fin y efecto de determinar si son de aplicación las mismas reglas en orden a garantizar la protección del derecho de la persona trabajadora a la intimidad, y sin que ello sea incompatible con el poder de dirección, organización y sancionador de la parte empleadora.

5. Concluyo esta entrada, no sin antes recordar que las cinco siguientes sesiones del Aula, a las que espero prestar atención de forma separada en próximas entradas, versarán igualmente sobre temáticas de indudable importancia, tanto teórica como práctica, para las relaciones de trabajo. Son las siguientes:

Viernes 6 de febrero de 2026 La garantía de indemnidad y otras garantías de la representación legal de las personas. Una aproximación desde la jurisprudencia y doctrina judicial.

Ponente: RemediosMenéndez    . Profesora de Derecho del Trabajo y de la S.S. de la Universidad de Alcalá de Henares.

Viernes 6 de marzo de 2026 Del greenwashing a la responsabilidad medioambiental como nuevo derecho de los trabajadores.

Ponente: MargaritaMiñarro   . Profesora de Derecho del Trabajo y de la Seguridad Social de la Universitat Jaume I.

Viernes 10 de abril de 2026 Vigilancia de la salud en la empresa. Límites.

Ponente: Sonia Isabel Pedrosa  . Profesora de Derecho del Trabajo y de la S.S. de la Universidad de Zaragoza.

Viernes 8 de mayo de 2026 El contrato fijo discontinuo. Funciones y disfunciones.

Ponente: EmmaRodríguez  Profesora de Derecho del Trabajo y de la S.S. de la Universidad de Alcalá de Henares.

Viernes 5 de junio de 2026. Los tiempos vitales en el Derecho del Trabajo.

Ponente: MaríaJosé Romero  . Profesora de Derecho del Trabajo y de la S.S. de la Universidad de Castilla-La Mancha.

Buena lectura.