Con motivo de la trigésimo primera Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, la Agencia de Protección de datos ha publicado la guía “La protección de datos en las relaciones laborales”. Este documento viene a cubrir un pequeño vacío divulgativo en algo tan fundamental como es el tratamiento de datos de carácter personal en las áreas de recursos humanos.
Efectivamente, si existe un área especialmente intensiva en el uso de información personal, y que encontramos en prácticamente todas las organizaciones, es el área de recursos humanos. En este sentido si bien la guía llega un poco tarde, es bien recibida.
No obstante, la Agencia no acaba de darle un sentido práctico a la protección de datos dentro de las organizaciones, lo que a la postre repercute en la propia imagen de la Agencia frente a los empresarios, y su animadversión hacia la protección de datos que conciben como un obstáculo severo en su dinámica mercantil.
Como ejemplo de lo anterior veamos dos de los procesos que encontramos frecuentemente en las empresas y que vienen mencionados por la Guía.
1.- Cesión de nóminas y TC2 de los trabajadores de subcontratas a las empresas contratistas.
Se trata de un supuesto ampliamente extendido en la actividad empresarial, mediante el cual la empresa principal busca garantías frente a una posible responsabilidad solidaria con la empresa contratista, en lo que al pago de los salarios de sus trabajadores se refiere, así como al pago de las cuotas de la Seguridad Social, de acuerdo al artículo 42.1 del Estatuto de los Trabajadores.
Inicialmente la Agencia se había mostrado contraria a esta práctica, debido a que en la información contenida en estos documentos podrían aparecer datos especialmente protegidos tales como salud o pertenencia a un sindicato. Para poder comunicar estos datos la Ley exige consentimiento expreso del afectado, o que una Ley contemple la mencionada cesión (art. 7.3 de la LOPD).
Sin embargo, a partir del informe 412/2009 la Agencia cambió su criterio, en el que entiende que “dado que el Estatuto de los Trabajadores impone un deber al empresario principal, la comunicación de ciertos datos tales como el TC2, resulta conforme con al Ley Orgánica 5/1999 y el Reglamento de desarrolla, pues se haya expresamente prevista en una norma con rango de Ley“.
La Agencia también justifica el tratamiento de las nóminas por parte del empresario principal, que debe poder conocer el dato relativo a la afiliación sindical de los trabajadores. Argumenta la Agencia que “dado que la finalidad de dicho tratamiento va ligada al pago de la nómina y que en virtud de la obligación solidaria que impone el artículo 42.2 del Estatuto de los Trabajadores, al contratista principal, para el pago de las deudas salariales correspondientes, podemos concluir que el tratamiento de dicha información es para un fin idéntico del que justifica el tratamiento efectuado por el subcontratista. Por ello, siendo los fines idénticos, podemos entender que la comunicación de dichos datos es conforme con el artículo 7.2 en conexión con el artículo 4.2 de la Ley Orgánica 15/1999 y la obligación impuesta por el artículo 42.2 del Estatuto de los Trabajadores.”
No obstante la Agencia matiza en el mencionado informe que el acceso por parte del empresario principal debería limitarse a los datos relacionados con los trabajadores subcontratados, no al resto de trabajadores de la empresa subcontratada, y siempre aplicando el principio de proporcionalidad respecto a los datos que se ceden.
Estas conclusiones de la Agencia fueron las que se recogieron en la Guía recientemente publicada, si bien de una manera más escueta y concisa.
Resuelto el hecho de que una práctica tan extendida no está prohibida o sujeta a sanción, todavía nos queda una duda: ¿Cómo llevarla a la práctica? En este punto es donde la Agencia empieza a fallar en el sentido pragmático expuesto al principio de este post. Cualquiera que se haya acercado a la realidad empresarial conoce las dificultades que implica el estar remitiendo TC2 y nóminas a nuestros clientes, debiéndose tener cuidado de tachar manualmente toda información relativa a los trabajadores que no son objeto de subcontratación, así como aquellos datos que no precisen ser cedidos a efectos de lo dispuesto en el artículo 41.2 del Estatuto de los Trabajadores.
Es decir, la Agencia, en lugar de resolver y proponer soluciones desde la propia Administración Pública, sigue dejando la carga al empresario de sumar procesos (y por lo tanto costes). Pensemos en un sector como el de la construcción, en el que el flujo de subcontrataciones se da a un ritmo vertiginoso. El tiempo y el cuidado que deben invertir las empresas en procurar que el envío de documentos se hace con las debidas garantías se me antoja difícil de cumplir. ¿No sería más eficiente para la Agencia de Protección de Datos trabajar articuladamente con la Seguridad Social a la hora de buscar mecanismos documentales, electrónicos o físicos, que faciliten un trámite tan extendido entre las empresas?
2.- Recepción de currículum vítae (CV) en las empresas
En el caso de que la organización cuente con formularios específicos para atender vía online, o de manera presencial, las solicitudes de empleo, facilitan en gran medida el deber de información en lo relacionado al tratamiento de sus datos, ya que se solventa insertando cláusulas en los documentos de recogida. El problema sin embargo se da, generalmente, con la recepción no controlada de currículums a través de las diferentes cuentas de correo electrónico con que cuente la empresa. Esta práctica, a la que ya inclusive se le ha puesto el nombre de CV-Spam, se intensifica en tiempos de crisis, impulsada por una mayor demanda de empleo y un uso generalizado de las nuevas tecnologías para conseguirlo.
La Agencia en su Guía nos sugiere para estos casos lo siguiente:
“Si el currículum se remitió por correo postal o electrónico y se cuenta con una dirección electrónica facilitada por el propio interesado puede remitírsele información* por ese medio solicitando confirmación de la recepción y condicionando el tratamiento de los datos al acuse de recibo”.
*La información se refiere al deber de información previsto en el artículo 5 de la LOPD
Es decir, las empresas que reciban un CV que no han solicitado, y que llegue por vías diferentes a las previamente establecidas, deberán articular un procedimiento administrativo en el que en primer lugar, se informe a los demandantes de empleo del tratamiento de datos que se va a llevar a cabo, advirtiéndoles que su CV será tenido en cuenta siempre y cuando hagan llegar un acuse de recibo de las cláusulas enviadas. En segundo lugar hay que fijar un plazo para saber si se puede empezar a utilizar ese currículum o no, todo en función del mencionado acuse de recibo. Pasado este plazo debemos designar a alguien la función de filtrar e ir cancelando aquellos CV de los cuales no se ha recibido el acuse de recibo, lo cual implicará el bloqueo durante tres años de los CV antes de proceder a su eliminación. La recomendación de cualquier consultor a un empresario frente a esto, y teniendo en cuenta que el hecho de tener debidamente procedimentado la tramitación de CV puede no librarte de una sanción, es que trate esos datos como si fueran un producto tóxico o altamente radiactivo.
Lo anterior es una muestra más de que no basta con difundir, Ley en mano, guías didácticas de lo que se puede y no se puede hacer, sino que hay que poner empeño en el “cómo” llevar a la práctica el buen uso de los datos de carácter personal, atendiendo a la realidad empresarial y social.
PD: Creo que la empresa que contrató al parado de telefónica no ha sido multada por el reenvío no consentido de su CV vía un smartphone 
