TRATAMIENTO INFORM¡TICO DE LOS DATOS RELATIVOS AL TRABAJADOR Y DERECHO A LA INTIMIDAD: AN¡LISIS DE LAS NORMAS REGULADORAS Y COMENTARIO DE LAS SENTENCIAS DEL TRIBUNAL CONSTITUCIONAL APARECIDAS SOBRE EL TEMA DESDE 1998
TRATAMIENTO INFORM¡TICO DE LOS DATOS RELATIVOS AL TRABAJADOR Y DERECHO A LA INTIMIDAD: AN¡LISIS DE LAS NORMAS REGULADORAS Y COMENTARIO DE LAS SENTENCIAS DEL TRIBUNAL CONSTITUCIONAL APARECIDAS SOBRE EL TEMA DESDE 1998
Joan Martínez. (Imagen: E&J)
I.- INTRODUCCIÓN.
A nadie extraña que el empresario, como director del proceso productivo, tenga interés en conocer ciertos datos o informaciones relativas al trabajador que contrata, con objeto se deduce, de la propia organización de la actividad productiva y que pueden afectar a aquella esfera que pudiéramos llamar personal ño más intimas- del empleado: estado civil, si tiene hijos, disposición a trasladarse de puesto de trabajo. Esta intromisión en la esfera personal de los datos del trabajador debe estar en todo momento conectada con el desarrollo de la relación laboral, pues de lo contrario estaríamos ante supuestos de ilegalidad contemplados por la ley.
Lo anteriormente expuesto puede conducir a obtenerse datos que superan, con creces, aquellos que llamamos «conexos´´ con la relación laboral.
La actual organización del trabajo también contribuye a ello, pues nos podemos encontrar que para cubrir ciertas plazas vacantes laboralmente hablando, sea preciso, no ya conocer ciertos perfiles de los candidatos a ocuparla, sino otras serie de características muy personales que nos aseguren la optimación en la selección.
Además este recogimiento de datos se hará generalmente por vía informática o telemática lo que añade un plus de manejabilidad de la información y que trascienda de la mera esfera concreta de la relación laboral a que se refiere. Incluso fuera del contexto donde se ha producido puede dar lugar a discriminaciones positivas o negativas del mismo trabajador.
Pareciera como si el tiempo hubiera dado un salto en vacío y lo que antes no resultaba tan atrayente: el conocimiento de circunstancias personales de la mano de obra contratada, ahora se ha convertido nuevamente en un factor de trascendencia.
Todo lo anterior nos ha conducido a tratar de una nueva manera el derecho fundamental a la intimidad.
II.- EL DERECHO A LA INTIMIDAD
El derecho a la intimidad queda regulado, con el carácter de derecho fundamental, en el artículo 18 de nuestro vigente texto constitucional. Se haya unido en el mismo precepto a otros derechos fundamentales con los que guarda una estrecha relación, tales como el honor y la propia imagen. Más, todos ellos a su vez, contribuyen a preservar otro derecho personal: la dignidad. La dignidad está unida al hombre de tal manera que se tiene dignidad precisamente, por ser hombre. Son derechos mínimos de las personas, irrenunciables e inherentes a su propia condición como tales. Como todo derecho personal puede variar de una persona a otra, dado que aunque su concepto pueda llegar a ser pacífico, no es menos cierto, que variará de la personalidad de cada cual la extensión que se dé al mismo. Incluso las épocas hacen que el concepto sea más tenido en cuenta y dé lugar a situaciones distintas o diferentes a las actuales y los ejemplos son obvios en la historia y en la literatura.
La relación con la informática (art. 18.4) no ha sido prevista por el legislador constituyente sin tener en cuenta la trascendencia que puede tener en un futuro no sólo en la persona en sí misma considerada, sino en los casos de los trabajadores, por el innegable peligro que se produce en la actualidad en la movilidad de esos datos personales e íntimos que deben ser objeto de protección.
1.- Intimidad y «privacidad´´.
En las últimas décadas y por influjo de de la cultura anglosajona se ha introducido por muchos autores el término «privacidad´´ (la «privacy´´) con características sinónimas, o bien muy paralelas al vocablo intimidad. En un término más amplio que el de intimidad pero con un menor estatus jurídicos, como si se situara en un escalón inferior.
Nos dice Davara Rodríguez (1) que la privacidad es la pertenencia de los datos a una persona, y que en ellos se pueden analizar aspectos que individualmente no tienen mayor trascendencia, pero que si los unimos a otros pueden configurar un perfil determinado sobre una o varias características del individuo que éste tiene derecho a exigir permanezcan en su esfera interna, en su ámbito de privacidad. Por tanto, la podemos definir como el derecho de todas las personas relativo a su esfera íntima que desea proteger e impedir del conocimiento de terceros.
Esta intromisión del concepto anglosajón tiene mucho que ver con la conjugación de los apartados 1 y 4 del citado artículo 18 del texto de nuestra Carta Magna. La protección ante la informática es un nuevo derecho que ha establecido el Tribunal Constitucional para la protección de datos, por lo que la función entre intimidad y privacidad es distinta, así como también se diferencia en su objeto y contenido.
No vamos a entrar aquí en un estudio si quiera mínimo de la Ley Orgánica nº 1/1982, de 5 de Mayo, de Protección Civil del Derecho al honor, a la intimidad personal y familiar y a la propia imagen, que desarrolla el artículo 18.1 de la Constitución, sólo destacar que son conceptos muy unidos y eminentemente «sociales´´ como tuvimos ya ocasión de manifestar, pues dependen de la época histórica, sujeto o condiciones objetivas que los puedan delimitar en cada momento y contexto.
La introducción de la informática o telemática en nuestras vidas ha hecho que la frontera entre lo íntimo y lo privado se esté difuminando ya que el elemento principal lo forma la capacidad de decisión sobre la circulación de la información que se tiene sobre una persona y que pueda trascender al exterior.
El Tribunal Constitucional ha sido consciente de lo relatado con anterioridad y ha comprendido, como estudiaremos en apartado diferente de que en el lugar de trabajo no existe propiamente intimidad, pero a través del control del trabajador, de una forma sistemática, se pueden revelar datos de su vida íntima.
Aún considerando, como hemos dicho, de que ambos conceptos no son sinónimos (hay autores que mantienen la tesis contraria, tan defendible como la nuestra) sino que es hablar del género en relación a la especie (intimidad-privacidad) lo que si queda meridianamente claro es que la primera Ley Orgánica que reguló el tratamiento de datos de carácter personal, se extendía únicamente a los ficheros sometidos a tratamiento automatizado. En cambio, la nueva Ley Orgánica 15/1999, de 15 de Diciembre, de protección de datos de carácter personal (trasunto a la legislación española de la Directiva 95/46/CE extiende su protección a todos los ficheros de carácter personal como manifestación de la tutela de la intimidad de la persona. El cambio de perspectiva es patente.
2. Intimidad y el control del poder directivo del empresario.
El empresario tiene un poder de organización sobre el trabajo que se desarrolla en su empresa, y así puede ordenar o definir las prestaciones de trabajo que cada empleado tiene que ejecutar. Este poder de dirección y su fundamentación jurídica nacen, precisamente, del propio contrato de trabajo. No vamos a analizar pero sí citar algunas artículos del Estatuto de los Trabajadores donde se regula las diversas facetas de desarrollar ese poder directivo y de organización (arts 5, 18, 20.2 y 3, 39 y 41, como botón de muestra). Como todo derecho o potestad implica, de contrario, un deber del trabajador, básico en el ejercicio de su relación laboral, la de someterse a aquel poder directivo del empresario (art. 5 E.T.).
En el contenido del poder directivo del empresario se «podrán adoptar las medidas más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana-´´.
No es un poder ilimitado sino que tiene unos linderos, pues no cubre los actos ilegales que generen riesgos para el trabajador, y, en todo caso, que se respete la dignidad del trabajador, por lo que no se pueden dar instrucciones, órdenes o actuar de forma discriminatoria.
No obstante, es obvio que el empleador puede controlar la actividad diaria de ejecución de la relación laboral del trabajador para comprobar que efectivamente por ambas partes se tutela el principio de la buena fé contractual que establece el derecho del trabajo. Por ello ha sido muy frecuente el tratamiento de la utilización por parte de los trabajadores del correo electrónico en la empresa en actividades diversas y distintas a la que tiene encomendada, lo que ha dado lugar a abundante literatura y jurisprudencia.
Corolario de los derechos del trabajador frente al poder directivo del empresario lo encontramos en el artículo 4.2. del Estatuto de los Trabajadores donde se establece que tiene derecho «al respeto de su intimidad y a la consideración debida a su dignidad´´. Se ha encargado la jurisprudencia del Tribunal Constitucional del alcance de este derecho en conflicto con el de dirección organizativa y así ha afirmado que «el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes´´ instaurando unos principios de proporcionalidad, finalidad y esencialidad para que sean conjugables.
3. Intimidad y artículo 18 del Estatuto de los Trabajadores.
El artículo 18 de la norma referida lleva por título: «Inviolabilidad de la persona del trabajador´´ y en el se dictan las pautas que debe seguir el empresario si va a efectuar un registro de las pertenencias de un trabajador. Lo transcribo: «Sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible´´.
Se me puede preguntar el por qué de la referencia en este punto al citado artículo del Estatuto de los Trabajadores. Aparte de la relación que tiene con el tema que estamos analizando, lo hago porque este trabajo es general sobre los derechos a la intimidad del trabajador, y una gran parte de la doctrina hace comparación del registro de la taquilla y efectos particular del trabajador con el acceso a la lectura del «correo electrónico´´.
Digo todo esto porque sobre el examen concreto del «correo electrónico´´ hay multitud de doctrina que analiza el asunto desde variados y distintos puntos de vista.
Cuando trato el tema de la intimidad, no me puedo dejar seducir por un punto concreto de lo que abarca dicho derecho fundamental en una posible relación laboral (registro de taquillas, acceso al correo electrónico, etc) porque el último punto, por ejemplo, tiene literatura para realizar un trabajo en exclusiva sobre él.
Así que mi tratamiento va a ser general y no referido a un aspecto concreto del derecho a la intimidad y dignidad del trabajador por muy en boga que esté su estudio en la actualidad. Aún así, en el estudio jurisprudencial, haré referencia a algunas sentencias en relación con el tema para no obviar aspecto tan relevante, y conste que no comparto que el acceso al correo electrónico tenga que tener el mismo tratamiento que el de un registro de taquilla. Son excesivamente distantes ambas conductas empresariales, en opinión personal.
III. EL OBJETO DE PROTECCIÓN: LOS DATOS DE CAR¡CTER PERSONAL DEL TRABAJADOR.
1. NOCIONES DE CAR¡CTER GENERAL.
Como quiera que durante la exposición de este artículo vamos a encontrar una serie de conceptos, cuyo uso puede ser general en el lenguaje común, tienen una significación especial en la terminología con que lo utiliza la Ley de Protección de Datos. Por ello, no me parece innecesario, más al contrario, lo entiendo conveniente, incluiré ñsiguiendo lo dispuesto el artículo 3 de la citada ley- los siguientes, para que el lector, no se pierda en el contexto de la lectura:
– Fichero: Es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
– Tratamiento de datos: Son aquellas operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
– Responsable de fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u organismo administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
– Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento a que se refiere la definición transcrita en segundo lugar antecedente.
– Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
– Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
– Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
– Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
– Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tiene la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
Son definiciones que he preferido transcribir del texto legal en auxilio del lector. He saltado la primera conceptualización que realiza la Ley por ser el contenido del siguiente apartado.
Dada la importancia subsiguiente que va a desprenderse del concepto fichero añadiremos que toda empresa, si tiene una mínima organización del trabajo, del trabajador y de sus derechos, tendrá que crear ficheros para recoger sus datos de carácter personal.
El fichero puede consistir en cualquier soporte, ya que la ley no recoge uno expreso o concreto, y por tanto, se puede llevar a cabo la recopilación de datos por cualquier vía admisible en Derecho. Bien distinta es la opción de si la empresa puede almacenar y tratar en un fichero cualquier dato personal de un trabajador. Mi opinión al respecto es que no, dado que la propia definición en colación con lo dicho supone que el hecho de haber una base organizativa empresarial es limitativo, a su vez, de los datos que deben tener acceso a cualquier fichero.
2. DATOS DE CAR¡CTER PERSONAL.
La definición de lo que debemos entender por «datos de carácter personal´´ la encontramos en el art. 3.a. de la Ley Orgánica de Protección de Datos de 1999 (en adelante, LOPD) y se nos dice que tienen tal condición «cualquier información concerniente a personas físicas identificadas o identificables´´.
Se habla de cualquier tipo de información, lo que como indica HERRERO HIGUERAS (2) debe entenderse incluida las opiniones, evoluciones y apreciaciones de la persona interesada.
El concepto es excesivamente amplio y demasiado general. El determinación de persona identificada no creo que presente mayor dificultad, al contrario de lo que supondría el de «identificable´´ pues supondría una serie de operaciones de «investigación´´ que deben dar el resultado de la identificación concreta, y además serlo en un corto período de tiempo, pues de lo contrario iría contra el propio espíritu de la Ley.
Por consiguiente, y a tenor de lo dicho, si datos de carácter personal en cualquier persona tienen un alcance extenso, debo entender que al referirse a la relación laboral se pueden englobar las obligaciones derivadas de la normativa, convenios colectivos y contratos de trabajo (los dos últimos como parte de esa normativa) que incluya cualquier información sobre los datos de trabajo del empleado en la ejecución de su cometido.
La jurisprudencia entiende dentro de la categoría de esos datos el registro de las conexiones realizadas a internet desde los ordenadores de la empresa.
2.- DATOS PERSONALES «SENSIBLES´´.
Quedan regulados en el art. 7 de la LOPD al establecer en su apartado 1. que «de acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias´´ para a continuación se más explícito en el contenido propiamente dicho del concepto de datos personales sensibles, disponiendo en su apartado 3 que tendrán esa consideración «los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente´´. Asimismo aquellos datos que revelen la «ideología, afiliación sindical, religión y creencias´´ (apartado 2).
Estos datos «sensibles´´, en contradicción con los que no tienen esa adjetivación, están especialmente protegidos y así: en primer lugar, si se procede a recabar el consentimiento a que se refiere en dichos datos, se advertirá al interesado de su derecho a prestarlo o no. En segundo lugar, sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento tales datos personales (apartado 2) con la excepción de los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas o asociaciones, fundaciones u otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.
En los supuestos del apartado 3 (origen racial, salud y vida sexual) sólo pueden ser recabados, tratados o cedidos cuando por razones de interés general así lo disponga una ley o el afecto consienta expresamente. Como vemos se añade la garantía de ser una normativa con la categoría de «ley´´ (entendemos que en sentido amplio´´) pero no cualquier otro tipo de norma. Sólo nos cabe la duda de aquellos datos que no siendo «sensibles´´ por deducción te pueden llevar a descubrir aquellos. Entiendo que en estos supuestos, si se dieren, se debería aplicar la limitación estudiada.
¿Pueden existir otros datos sensibles?. Entiendo que la ley ha sido clara y taxativa en su relación y, de este modo, entender que estamos ante un «numerus clausus´´ de supuestos, aunque aventuro que en un futuro puede extenderse con la inclusión de algún datos más, garantizando los derechos del trabajador.
3.- EL CONSENTIMIENTO DEL INTERESADO.
Es fundamental en este estudio el artículo 6, en relación con el 7 y 11 de la LOPD.
Así se dispone que el tratamiento de los datos de carácter personal, requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. La doctrina entiende que el consentimiento puede ser oral o escrito, aunque en opinión particular para resaltar el término «inequívoco´´ (que no creo que haya sido utilizado por el legislador a su gusto) y en garantía de los derechos de la parte más débil, el trabajador, debería ser siempre escrito. Observamos, nuevamente reiterada, la excepción de que una ley dispusiere otra cosa al efecto. De todas maneras, la no necesidad de ese consentimiento, siempre que la ley no disponga otra cosa, podrá ser opuesto por el interesado su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En esos casos, el responsable del fichero lo excluirá de su tratamiento.
Tampoco será preciso dicho consentimiento en los casos de que los datos de carácter personal estén vinculados con la relación laboral o tenga por objeto el cumplimiento del contrato. Se establece una necesidad: la relación laboral. No es tan concreto este término y ha dado lugar a discrepancias en la doctrina, así se entiende ñpor la mayoritaria- que los datos necesarios para el empresario con respecto al trabajador se debería limitar a los supuestos en que haya un interés objetivo y limitado a la relación laboral. El interés objetivo es totalmente legítimo pero habrá que estarse, a cada caso en particular, para saber si las circunstancias que se han recogido, almacenado y tratado son las necesarias y suficientes de delimitación.
Tal como expone MARTINEZ FONS (3) la instrumentalización de este derecho por parte de los trabajadores se podría hacer a través del conocimiento de esas informaciones de modo preventivo antes de que tenga lugar su recogida, almacenamiento y tratamiento, o a posteriori, esto es siendo informado de cualquier modificación que se produzca en los datos ya almacenados. Con ello se mantiene un control dinámico por parte del trabajador sobre sus datos de carácter personal. El trabajador debe ser informado de una forma transparente de esos datos, para un mayor aseguramiento de su tutela, que aunque común en cualquier persona, debe primarse que se haga efectiva en el trabajador dada su situación de dependencia en la relación laboral.
En los datos protegidos «sensibles´´ vimos que las garantías se multiplicaban y la regla general es la no necesidad del consentimiento, justo al contrario de los datos que hemos tratado en la primera parte de este epígrafe, donde hemos hechos alusión a las excepciones, cuando en estos especialmente protegidos la «excepción es regla´´.
Aún así, como era predecible la LOPD y otra normativa que examinaremos requiere unos requisitos específicos según el carácter del dato sensible.
En lo que respecta a los datos que nos den conocimiento sobre ideología, afiliación sindical, religión o creencias, se exige un interés empresarial en su conocimiento y aunque sean conocidos es obligatorio el consentimiento expreso y por escrito de los trabajadores (el ejemplo es la afiliación de un trabajador a un sindicato y el pago de su cuota sindical). Tuvimos ocasión de comentar la excepción que contempla el apartado 2 de dicho artículo al que hacemos remisión expresa, salvo la ampliación que a continuación incorporamos:
En cuanto a los datos que afecten al origen racial, salud y vida sexual se requiere igualmente la concurrencia del consentimiento del trabajador.
Comentamos los supuestos de excepción, donde ahora nos detendremos un poco más:
– Cuando una Ley así lo disponga. Un supuesto concreto lo establece la Ley de Prevención de Riesgos Laborales que obliga a que el empresario mantenga almacenadas las conclusiones de los reconocimientos médicos, sin consentimiento del trabajador.
– El absentismo Laboral tratado en el Estatuto de los Trabajadores (art. 52.d). Ni con el consentimiento del trabajador podrá tratarse los diagnósticos médicos para controlar las ausencias.
– Cuando el tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de los servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto (art. 7.6. LOPD). Habrá que tener presente la normativa de Prevención de Riesgos Laborales. Los artículos 22 («vigilancia de la salud´´) garantiza (obligación para el empresario) que los trabajadores tengan un servicio de vigilancia periódica de su estado de salud (en algunos casos, hasta después de terminada la relación laboral) pero sólo en los «riesgos inherentes al trabajo, siempre que consienta el interesado. Ese consentimiento no será necesario cuando «la realización de los reconocimientos sean imprescindibles para evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores´´, «para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o, para otras personas relacionadas con la empresa´´ o « cuando así esté establecido en una disposición legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad´´. El empresario no tiene derecho, sin consentimiento del empleado, a la información médica de carácter personal´´ aunque sí a las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que pueda desarrollar correctamente sus funciones en materia preventiva´´. El art. 23 («documentación´´), por su parte, preceptúa el deber del empleador del tratamiento de esta documentación, a disposición de la autoridad laboral cuando atienda a las «enfermedades profesionales que hayan causado al trabajador una incapacidad laboral superior a un día de trabajo´´.
Tengamos en cuenta que los servicios de prevención pueden ser internos o externos (según el lugar donde se practiquen). De ello deriva una distinta responsabilidad: en el primer supuesto sería del empresario y, en el segundo, del personal sanitario externo, que ha practicado el mismo, según disposiciones legales al respecto.
– Añade un segundo párrafo del artículo anterior la posibilidad de tratamiento cuando el mismo sea necesario para salvaguardar el interés vital del afectado de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.
– Por último, el aparto 5 del artículo 7 establece como criterio la prohibición de incluir en los ficheros los datos de carácter personal relativos a la comisión de infracciones penales o administrativas , que sólo lo podrán ser en los ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras. Llamo la atención ante la posible contradicción, o al menos, engarce entre esta norma y lo dispuesto en el art. 45.1.g del Estatuto de los Trabajadores (privación de libertad del trabajador, mientras no exista sentencia condenatoria). ¿Podría cumplir el deber que le impone la norma ñET- sin vulnerar la LOPD?.
– Citaré a modo de excepción parcial la que obliga al empresario a no dar conocimiento de los datos de carácter personal de un trabajador a los representantes del mismo de conformidad con lo previsto en el art. 8.3.a. del E.T, esto es, como sabemos la obligación de facilitar copia básica de los contratos de trabajo que deban celebrarse por escrito. Al tratarse de una copia básica no tendría porque facilitar su domicilio ni su documento de identidad, pues son datos que para nada necesitan aquellos representantes, que sí el empresario.
IV. PRINCIPIOS DE LA PROTECCIÓN DE DATOS
1.- PRINCIPIO DE LA CALIDAD DE LOS DATOS.
Son muchos los principios que a lo largo del texto de la ley se van atribuyendo a la protección de datos, algunos con epígrafes concretos en su tratamiento y otros incluidos dentro de epígrafes distintos, pero donde destacan con entidad propia.
Algunos, los lectores, habrán podido ir sonsacando de nuestras explicaciones, mas ahora me voy a dedicar al estudio de aquellos que vienen contemplados en el propio texto de la norma.
1.1. Principio de calidad de los datos.
Ha quedado indicado de los «peligros´´ que comporta la utilización de la informática o telemática para la circulación de los datos personales de cualquier persona, máxime en nuestro caso del trabajador. No son «peligros´´ supuestos y además de la insuficiencia de los controles sobre las informaciones telemáticas, el alcance de los daños que pueda ocasionar el conocimiento de esos datos al trabajador puede ser de distinta graduación, alguna de alto nivel.
Para evitar en los posibles aquellos «peligros´´ la LOPD ha regulado en el artículo 4 lo que denomina «calidad de datos´´, aunque en sí parece ser un solo principio, la realidad es que en su contenido se van incluyendo diversidad de ellos, todos con la fin teleológico de evitar el riesgo de que los datos de carácter personal del trabajador salgan de la esfera dentro de la que deben permanecer.
El apartado primero nos dice que los datos de carácter personal, para su tratamiento, deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas.
El apartado segundo insiste en que dichos datos no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. En esta última contemplación se excluye la incompatibilidad si el tratamiento posterior de dichos datos se hace con fines históricos, estadísticos o científicos.
La adecuación y pertinencia se circunscribe al ámbito de la recogida de los datos, mientras que el de finalidad (incompatibilidad) lo hace sobre su utilización posterior.
El apartado tercero significa como parte de esa calidad de datos el hecho de que sean exactos y puestos al día de forma que respondan a la veracidad de la situación actual del afectado. Se les ha llamado también principios de veracidad o de contextualización. Se persigue que los datos no sean inexactos o incompletos por su no puesta al día y provocar, de esta forma, lesión al trabajador. Por consiguiente no sólo vale con recoger, tratar y almacenar los datos sino que éstos deben tener en cuenta su exactitud y para ello pueden ser cancelados o sustituidos de oficio por los correspondientes datos rectificados o completados o, en todo caso, por el responsable último del fichero, que cuidará de que estos datos contengan estos principios en su integridad si tiene conocimiento de la inexactitud de los mismos. Es decir, al manifestarse de oficio es una obligación para el empresario o encargado del fichero, y a mayor garantía también podrá instarla el trabajador de conformidad con lo dispuesto en el art. 16 de la LOPD.
1.2. Principio de proporcionalidad.
Está implícito en el propio artículo 4.1. del texto legal ya que requiere que esos datos de carácter personal del trabajador sólo se podrán recoger (es, consecuentemente, una prohibición o limitación). En los casos de adecuación y pertinencia, con unas finalidades concretas, explícitas y legítimas para las que se hayan obtenido. Resumiendo, debe haber una proporcionalidad entre los datos recogidos y la finalidad de esta actuación.
Este principio trae su base, en consecuencia, con la frecuencia en que se usa por la jurisprudencia del Tribunal Constitucional, como ya aludiremos en el apartado que corresponde al estudio de aquella.
1.3 Principio a la información.
Más que ante un principio nos hallamos ante un derecho de información en la recogida de datos, como titula el artículo 5 de la LOPD.
En aras a su propia intimidad, dignidad y seguridad dijimos que los interesados, salvo las excepciones asimismo comentadas, deberán ser previamente informados, de modo expreso, preciso e inequívoco de la recogida de sus datos. La ley no repara en calificativos restrictivos o de necesidad.
Dicha información incluye, a saber, los siguientes supuestos:
– La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
– Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
– De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
– De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. En este último supuesto, y con un sentido eminentemente previsor se prevé la posibilidad de que el responsable no esté sito en el territorio de la Unión Europea, por lo que deberá designar un representante en nuestro país, sin perjuicio de las acciones que se puedan ejercitar contra al propio responsable del fichero.
Si la información no se ha recabado de los datos ofrecidos por el propio trabajador ese deber de información subsiste, debiéndosele notificar en el plazo de tres meses el conocimiento de los datos, su contenido y la fuente de la que proviene.
Se excluye los ya citados datos cuyo tratamiento tengan fines históricos, estadísticos o científicos. Igualmente queda exenta la información cuando la misma resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico correspondiente, en consideración al número de interesados, antigüedad de los datos o posibles medidas compensatorias.
IV. OBLIGACIONES DEL EMPRESARIO.
A la vez, muchas de estas obligaciones, tienen su correspondiente paralelismo en derechos del trabajador, aunque no será siempre necesariamente así:
1.- SEGURIDAD DE LOS DATOS.
Dentro del término seguridad se deben incluir tanto el tratamiento propio de los datos como la adopción de aquellas medidas técnicas necesarias para que no se vulnere dicha seguridad.
Debe incluir dos conductas bien distintas, tanto la discreción del empresario como de aquellas personas que por su condición o relación laboral en la empresa tengan acceso a esos datos de carácter personal de los trabajadores (en las definiciones que dimos al principio ya hicimos alusión a los responsable de ficheros o encargados del tratamiento de datos). El art. 9 de la LOPD, en su apartado 1 dispone de que estás personas (incluimos al empresario) deberán adoptar las medidas de índole técnica como organizativas en pos de esa garantía de seguridad y evitar su alteración. Pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, bien por una acción humana o proveniente del medio físico o natural. Este apartado ha sido desarrollado por el Real Decreto 994/1999, de 11 de Junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal. Este Reglamento ha desarrollado el contenido tan amplio del apartado de la LOPD. Acciona el Reglamento al empresario a la definición de políticas y elaboración de planes de seguridad, dependiendo de la naturaleza de la información del tratamiento de datos, para elevarla a tres niveles:
– Básico: Tienen cabida en él todos los ficheros de carácter personal.
– Medio: Comprende los ficheros que tengan datos relativos a infracciones administrativas y penales, servicios financieros y de la Hacienda Pública.
– Alto: En el se encuentran los ficheros que almacenan datos considerados especialmente protegidos por la Ley.
Cada uno de estos niveles precisa de su correlativo de carácter técnico.
Además de este Reglamento que realiza una especie de, llamémosle, control privado, existe un control público en dicha seguridad que viene determinado por sendas normas: El Real Decreto 1334/1994 en lo referente a medidas preventivas, y el Real Decreto 428/1993, de 26 de Marzo (Estatuto de la Agencia de Protección de Datos) que fija unas medidas a posteriori.
2.- DEBER DE SECRETO.
Como especifica el art. 10 de la LOPD incumbe al responsable del fichero y a quienes intervengan en cualquier fase del tratamiento de los datos.
Es un deber de secreto profesional que subsistirá aún después de finalizar las relaciones con el titular del fichero, o en su caso, con el responsable del mismo. Esta última apreciación es del todo acertada más aún cuando estamos asistiendo a unos tiempos donde la compra de la información va avalada con cifras que contienen muchos ceros en moneda.
Para evitar que se diluya este deber de secreto se crean medidas de carácter preventivo (especialmente medidas éticas o deontológicas) e incluso medidas penales (que se pueden encardinar en varios títulos, dependiendo de la conducta típica). Ello sin olvidar la posible responsabilidad civil ex art. 1903.4 con la salvedad de que no exista en el responsable una culpa in vigilando. También es un deber genérico nacido de la buena fé contractual entre trabajador y empresario.
No perdamos de vista, que, en principio, el responsable de todo este tipo de infracciones que hemos citado es el responsable del fichero, o en su caso, el encargado del tratamiento. Sólo en última lugar y apreciando su culpa en vigilando será responsable «en escalera´´ el titular de la empresa.
3.- CONSERVACIÓN DE LOS DATOS.
Queda expuesto en el art. 16.5 de la LOPD que preceptúa su conservación durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
En el primer punto, no he encontrado disposición alguna que establezca un plazo. La segunda parte del articulado lo deja a lo establecido en el contrato de trabajo.
Desde mi punto de vista no creo que los plazos de conservación deben ser muy amplios, y no deben ir más allá de lo necesario para cubrir la finalidad por la que se crearon dichos ficheros de datos.
4.- COMUNICACIÓN DE DATOS.
Iniciamos el estudio de un artículo que constituye una mezcolanza entre deber, obligación y derecho del empresario.
Queda regulado en el ordinal 11 de la LOPD. La regla general del apartado 1 consiste en que sólo podrán ser comunicados a un tercero los datos de carácter personal para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
Las excepciones del consentimiento no se dejan esperar y se relacionan a continuación, en el apartado 2, a saber:
– Cuando la cesión esté autorizada por una Ley. Citamos como ejemplo el contenido en el art. 8.3 del Estatuto de los Trabajadores (entrega de copia básicade los contratos a los representantes de los trabajadores). No es sólo la única: hay un deber de cesión de datos a la Seguridad Social, a la Agencia Estatal de Administración Tributaria, a la Oficina del INE, etc)
– Cuando se trate de datos recogidos de fuentes accesibles al público. El límite lo encontramos en la finalidad que tenga esa cesión. No llego a entender porque no se exige que se informe al trabajador sí, de todos modos, las fuentes son accesible al público.
– Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con fichero de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. Pongamos por ejemplo la cesión de datos de las ETT a la empresa donde efectivamente el trabajador realiza su labor.
– Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. Es una excepción que no ofrece problemas, porque no plantea dudas, pero en mi opinión el Defensor del Pueblo tiene unas funciones que no otorga el imperium de Jueces o Tribunales, interés general legal que defiende el Ministerio Fiscal o el interés económico que pueda defender el Tribunal de Cuentas.
– Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. Los ejemplos son abundantes: prestación del servicio militar y lugar donde se efectuó y con que graduación (el número de militares de complemento nos puede hacer una idea del porcentaje de estudios de las personas que en un futuro se incorporará a puestos de trabajo que requieren una titulación mínima de diplomado o licenciado) , estadística de nivel cultural (en el mismo sentido que el anterior, pero a la inversa, esto es, por la posible falta de cualificación cultural o profesional que recojan esos datos), etc.
– Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. Como no podía ser de otra manera prima el derecho a la salud (y con él el derecho a la vida y a la integridad física que consagra el art. 15 del texto constitucional) ante dato/s relativo/s a trabajador/es.
Se anula el consentimiento de comunicación a tercero cuando la información que se facilite al interesado no le permita conocer la finalidad de la misma ni a que tipo de actividad irá encaminada dicha comunicación.
El consentimiento es revocable, aunque sabemos que una disposición legal puede eximir del mismo.
El receptor debe observar las mismas obligaciones y deberes que la ley obligaba al cedente.
No se aplicará todo lo visto en los apartados anteriores si la comunicación se efectúa previo procedimiento de disociación.
Establece el artículo siguiente de la LOPD, el 12, que la realización de tratamientos de datos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, y el tratamiento de los mismos no podrá ser distinto del contenido del contrato, bajo la responsabilidad de la persona responsable de la recogida, almacenamiento o tratamiento de los datos de carácter personal.
El contrato de acceso a los datos de un tercero estipulará las medidas de seguridad a que ya hemos hecho referencia.
Una vez cumplida la prestación contractual, los datos de carácter personal deben ser destruidos, o devueltos al responsable de su tratamiento, bajo los perjuicios que puedan recaer sobre la persona que está obligada a ello.
Hasta ahora el asunto le observamos meridianamente claro pero me pregunto qué ocurriría si en vez de una empresa estamos ante un grupo de empresa (holding, etc). Sabemos que los trabajadores no se pueden oponer a que sus datos se comuniquen a determinadas entidades u organismos públicos (Seguridad Social, AEAT, Jueces o Tribunales, Defensor del Pueblo, Ministerio Fiscal, etc). Es normal que entre este grupo de empresa se comuniquen datos de cualquier trabajador que pertenezca a algunas de las empresas del grupo. No queda más remedio que aceptar que esta comunicación tiene los efectos de una comunicación a tercero, a fin de no debilitar de por sí la parte más frágil en la relación laboral, el trabajador, y por tanto se debe someter dicha comunicación a lo dispuesto en los principios que anteceden (especialmente el de finalidad) y lo dispuesto en el artículo 11 de la LOPD.
V.- DERECHOS DE LOS TRABAJADORES
1.- IMPUGNACIÓN DE VALORACIONES.
Trae causa del artículo 13 de la LOPD y obedece al criterio de que los trabajadores afectados por el tratamiento de sus datos personales tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.
Con este objetivo el precepto ofrece dos garantías:
– La posibilidad de impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.
– Obtener información del responsable del fichero sobre los criterios de valoración y programa utilizados en el tratamiento y que sirvió para adoptar la decisión en que consistió el acto.
Este derecho plantea dificultad de aplicación en supuestos como el teletrabajo donde no hay otros medios de valoración que algunos de los citados.
La Directiva 95/46/CE parece haber solucionados estos posibles conflictos aceptando la audición del trabajador para que explique las razones que ha dado lugar a los actos o decisiones que impugna y sobre las que se ha realizado esa valoración, para así poder razonar con el empresario las causas que han llevado a el tratamiento de aquel fichero.
2.- DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN DE DATOS.
Es un derecho que se concede a cualquier persona en general, y por tanto, incluye los trabajadores. Es un Registro de la Agencia Española de Protección de Datos donde las consultas son públicas y gratuitas.
3.- DERECHO DE ACCESO A LOS DATOS DE CAR¡CTER PERSONAL.
Es el mejor exponente de lo que se ha dado en llamar «habeas data´´. Consiste, como indica el art. 15 de la Ley, en el derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometido a tratamiento, el origen de los mismos, y de las comunicaciones realizadas o que se prevean efectuar.
No podrá, bajo ningún concepto, el responsable del fichero, de denegar el acceso peticionado, salvo razones excepcionales que se concretarán y que, lógicamente, serán temporales. Tampoco se le puede exigir a dicho interesado unos requisitos específicos no recogidos en ninguna normativa: verbi gracia, que se acceda siempre en horario de descanso o fuera de la jornada de trabajo. Se contempla la posibilidad de imponérsele sanciones administrativas.
La forma de obtener el acceso es bastante libre pues la propia ley recoge que pueda hacerse por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificado o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
En principio, el trabajador interesado debe tener acceso a todos sus datos de carácter personal, tanto los incluidos como los que estén pendientes de ser tratados en el fichero. No debe existir limitación alguna a dicho acceso global y total.
Las formas han sido examinadas, si bien este autor prefiere, en caso de posible problemática el acceso por medio de documento certificado.
Resulta del todo imprescindible que dicho acceso no se restringa con el uso de códigos u otros usos para su acceso, pues ello sólo es labor de la persona encargada del fichero, no así del interesado, por lo que se debe impedir cualquier tipo de excusa de este tipo, bajo apercibimiento de su denuncia por si los hechos son sancionables administrativamente.
Finaliza el artículo regulando la temporalidad del ejercicio del derecho de acceso a sus datos de carácter personal y así establece que este no podrá ser inferior a doce meses de intervalo, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.
Estimo, con prudente arbitrio, que el plazo que concede la ley como mínimo para el ejercicio de este derecho es excesivamente amplio. Estamos hablando de unos datos de carácter personal que pueden lesionar los derechos del trabajador afectado y doce meses me parece, en humilde opinión, una temporalidad excesiva, pues en tal plazo pueden producirse multiplicidad de situaciones que hagan variar los datos contenidos en el fichero. Se debería otorgar un plazo menor, tampoco que suponga un constante abuso del derecho, pero, sin lugar a dudas, acortarlo. Hace bien la segunda parte del párrafo de disponer la excepción cuando se acredite un interés legítimo. Ahora dejamos un concepto jurídico abierto, ante cuya negativa por el empresario o encargado del fichero no queda más solución que acudir al recurso pertinente ante la Agencia Española de Protección de Datos y lo que este organismo tarde en resolver la materia.
¿Cómo podríamos obviar este problema?. Es patente que no se puede contener en contratos aislados, trabajador por trabajador, y regular un período con carácter general va a provocar que en determinas actividades se pueda considerar muy extenso y en otras muy breves. Una solución plausible sería que los distintos Convenios Colectivos recogieran expresamente este derecho, pues en todo aquello que límite ese espacio temporal sería aplicable antes que la propia LOPD por ser normativa más favorable para el trabajador.
4.- DERECHO DE RECTIFICACION Y CANCELACION.
Son dos derechos que se hallan articulados en el mismo precepto, es decir, artículo 16 de la LOPD. Parecen tratarse de derechos de facultad conjunta ya que vienen en la ley como interconectados, cuando está claro
...