La empresa reveló datos de salud del trabajador (en concreto fechas de bajas médicas, motivos, y permisos) a otra empresa, así como su dirección de correo personal, sin su consentimiento. Foto: AEPD.
La AEPD multa con 50.000 euros a una constructora que cedió datos de salud de un empleado sin su consentimiento
|
22/12/2021 01:00
|
Actualizado: 22/12/2021 13:05
|
La cesión de datos de un trabajador a un tercero sin consentimiento a otra empresa es una falta grave que vulnera el Reglamento General de Protección de Datos (RGPD) y la propia Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Esta es la base legal de la Agencia Española de Protección de Datos (AEPD) para multar con 50.000 euros a la constructora IZA que reveló datos personales de uno de sus jefes de obra por represalia ante la denuncia que éste hizo ante la Entidad Pública Empresarial de Vivienda-Donostiako Etxegintza el 14 de julio y 9 de septiembre de 2020 por falta de adscripción de medios humanos y materiales, entre otros.
En la resolución queda probado que el denunciante manifiesta que la entidad reclamada reveló datos de salud del reclamante (en concreto fechas de bajas médicas, motivos, y permisos) a otra empresa, así como su dirección de correo personal, y todo ello sin su consentimiento.
La entidad reclamada facilitó no solo las ausencias, sino también las fechas de las bajas y permisos con sus respectivas causas, entre ellas Covid.
En la resolución PS00324/2021 se indica que se ha producido el tratamiento de una categoría especial de datos personales, como son los datos de salud, de conformidad con el artículo 9 del RGPD.
La doble protección de los datos de los trabajadores
Para Eduard Blasi, abogado experto en privacidad, y profesor del Posgrado de Protección de Datos de la UOC, «este reciente procedimiento sancionador de la AEPD refuerza la sensibilidad de los datos de salud en el entorno empresarial”.
Este jurista recuerda que “los datos de los trabajadores gozan de una doble protección, no solo por parte del RGPD (en materia de protección de datos) sino también por la normativa laboral (Estatuto de los Trabajadores y Ley de Prevención de Riesgos Laborales)».
En este caso la empresa tenía habilitación para tratar internamente y conocer determinada información, pero no estaba legitimada para cederla o transferirla a terceros.
“La cesión de datos de una empresa a otra, para ser lícita, debe contar con una base jurídica que la legitime. En el caso de que la cesión además incorpore datos sensibles (como datos de salud) es necesario el consentimiento del interesado”, aclara.
Para este experto, “atendiendo al ámbito laboral este consentimiento, en el caso de haber sido recabado previo a la cesión, podría incluso haber sido puesto en entredicho por la relación jerárquica empleador-trabajador, y la posible falta de plena libertad a la hora de otorgarlo (el consentimiento debe ser libre para que sea válido.”.
También recuerda que “tal como ha indicado la AEPD en numerosas ocasiones, dada la relación desigual entre empresas y personas trabajadoras y la naturaleza sensible de los datos de salud, las personas trabajadoras no son verdaderamente libres para consentir, y por ello el consentimiento podría no ser válido en muchos casos”.
A su juicio, “el principio de minimización de los datos aplica por supuesto también en este supuesto. La norma establece que los datos tratados deben ser «adecuados, pertinentes y limitados a lo estrictamente necesario».
Este jurista indica que “la entidad no solo se limitó a facilitar el dato de las ausencias, sino también las bajas y permisos, con las respectivas causas (entre ellas la baja por Covid)».
“En este caso se consideró que los datos cedidos fueron excesivos. Era desproporcionado y carecía de necesidad concretar las vacaciones, permisos con los datos de salud del trabajador”, comenta Blasi.
En el fallo de la resolución de la AEPD, “otro principio que aplica al caso es el de limitación de finalidad que delimita el propósito del tratamiento de los datos. En este sentido la empresa estaba habilitada para tratar los datos de salud (bajas médicas, motivos de las mismas, entre ellas la COVID) dentro del marco de relación y comunicación trabajador-empresa”.
“Ahora bien, la cesión de estos datos excede del propósito original del tratamiento y por ende resulta contrario a la normativa”, comenta.
Para este experto en privacidad la sanción está bien fundamentada “leyendo la resolución la vemos bien razonada. La cesión irregular con datos sensibles era constitutiva de infracción y se apuntó bien a los principios vulnerados”.
“Sin embargo, llama la atención quizás la cuantía de la sanción, ya que existe cierta incertidumbre sobre el criterio a la hora de de determinar las cantidades”, destaca.
En cuanto a qué deben hacer las empresas en materia de privacidad para evitar este tipo de sanciones, nos aclara que “hay que extremar cautelas cuando se facilitan datos de trabajadores a terceras empresas y, aún más, cuando se trata de datos de salud».
Este experto concreta que “los datos de salud de los trabajadores los puede tratar muy pocas veces la empresa internamente y en circunstancias muy concretas. La empresa raramente podrá comunicar a terceros estas categorías de datos”.
“En la gran mayoría de casos la comunicación o la difusión de esta tipología de datos a terceros sería irregular”, afirma.
La visión de un laboralista
Para Pere Vidal, abogado laboralista profesor de la Universidad Oberta de Catalunya y socio de ASNALA, tanto el RGPD como la LOPDGDD tienen por objeto garantizar los derechos fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales amparado por el artículo 18.4 de la Constitución
“De esta forma, cualesquier dato personal que la empresa pueda tratar en relación con los trabajadores, quedan protegidos por la normativa de protección de datos personales, que protege a las personas físicas mediante la aplicación de una serie de principios y garantías que resultan exigibles en relación con cualquier tratamiento que se realice” comenta.
A su juicio, “en estos casos, el responsable del tratamiento es la empresa, teniendo como base jurídica del tratamiento que el mismo es necesario para cumplir con las obligaciones y derechos específicos en el ámbito del Derecho Laboral y de la Seguridad Social (artículo 9.2.b del RGPD)”.
Hay que reiterar que la empresa, respecto de los ficheros o tratamientos que tengan relación con los datos personales de sus empleados, está sujeta a lo que dispone la normativa de protección de datos y debe velar por el cumplimiento de los principios y obligaciones establecidos en la misma.
Y ello supone prestar especial atención a las categorías especiales de datos (artículo 9.1 del RGPD), como lo son los datos de salud (bajas médicas, por ejemplo:
Regla general: Queda prohibido el tratamiento de datos personales que revelen, entre otros, datos relativos a la salud.
Excepción: Esta prohibición no será de aplicación cuando “el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial” (9.2 f RGPD).
Vidal recuerda que el “uso de datos de salud, aun cuando se cuente con la excepción (defensa de reclamaciones), no queda amparado si los datos cedidos son excesivos en relación con la finalidad. En este caso, la AEPD constata que no se ha justificado la necesidad de explicitar todas las vacaciones, permisos y las bajas (especialmente, al ser datos de salud), con sus causas para procurar su defensa”.
¿Y en un procedimiento judicial?
Este jurista destaca que “esa información se puede proporcionar sin necesidad de entregar documentos y, en su caso, de forma disociada (anonimizada o sin vinculación de la información a personas físicas concretas) pues los datos personales identificativos quedan fuera de esa finalidad defensiva en un proceso judicial, salvo una necesidad de concreción específica de identificación para una finalidad determinada. Por ejemplo, supuestos de tutela antidiscriminatoria y/o protección del principio de igualdad o llamamientos, criterio que deberá ser debidamente ponderado”.
Y en cualquier caso, subraya que “a falta de consentimiento de los afectados, deberá solicitarse su aportación ante el órgano judicial ante el que los datos se quieren presentar (artículo 90.3 de la Ley Reguladora de la Jurisdicción Social o LRJS), a quien corresponde resolver el latente conflicto de intereses, atendiendo al caso concreto, pues es el órgano judicial a quien, por Ley, corresponde ponderar este conflicto (artículo 90.6 de la LRJS):
“Si, como resultado de las medidas anteriores, se obtuvieran datos innecesarios, ajenos a los fines del proceso o que pudieran afectar de manera injustificada o desproporcionada a derechos fundamentales o a libertades públicas, se resolverá lo necesario para preservar y garantizar adecuada y suficientemente los intereses y derechos que pudieran resultar afectados”.
De lo contrario, podría vulnerar el derecho a la intimidad y protección de datos personales de sus empleados, con riesgo a elevadas multas por parte de la AEPD (artículo 76 LOPDGDD y art. 83 RGPDGDD) como dice la Sentencia de la Audiencia Provincial de Barcelona de 27/11/2013.
Como conclusión, Vidal recuerda que “en cualquier caso, cuando aportemos datos sensibles a un procedimiento judicial (porque el órgano judicial así lo requiere), es recomendable subrayar, mediante el correspondiente escrito, el carácter confidencial de la información, solicitando su exhibición en sede judicial (sin que pueda obtenerse duplicado) y solicitando que se adopten las medidas de seguridad necesarias, tal y como establece el artículo 236 bis y siguientes de la LOPJ”.
Noticias Relacionadas:
