Ana Belén Muñoz Ruiz
Profesora Titular de Derecho del Trabajo y de la Seguridad Social
Universidad Carlos III de Madrid (Catedrática acreditada)
1. El convenio colectivo como pieza crucial para la protección de datos de carácter personal
El convenio colectivo es una pieza clave en la protección de datos de carácter personal de las personas trabajadoras. Existen experiencias de gran interés en la negociación colectiva española y de otros países que reflejan gran calidad técnica. Precisamente, recientemente se ha resuelto por parte del Tribunal de Justicia de la Unión Europea una cuestión prejudicial que nos informa de cuáles son los límites que el convenio colectivo debe cumplir en esta materia.
Nos referimos al Asunto C-65/23, K GmbH, que versa sobre el artículo 88 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
En el litigio la normativa de protección de datos (en este caso, de origen alemán) indica lo siguiente: «El tratamiento de datos personales, incluidas las categorías especiales de datos personales de los trabajadores a efectos de la relación laboral, estará permitido con arreglo a lo dispuesto en convenio colectivo. En ese marco, las partes negociadoras deben respetar el artículo 88, apartado 2, del Reglamento (UE) 2016/679 (LA LEY 6637/2016)» [Artículo 26 Bundesdatenschutzgesetz de 30 de junio de 2017].
A grandes rasgos, se plantea si cuando se legitima al convenio colectivo para permitir el tratamiento de datos de las personas empleadas, la norma colectiva debe cumplir también con los principios relativos al tratamiento de datos personales, las condiciones de legalidad de dicho tratamiento y las normas sobre el tratamiento de las categorías particulares de tales datos previstas en los artículos 5 (LA LEY 6637/2016), 6 (LA LEY 6637/2016) y 9 del RGPD (LA LEY 6637/2016).
En este sentido, el artículo 88.2 RGPD (LA LEY 6637/2016) indica: «Dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad humana de los interesados, así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo».
2. La reciente doctrina del Tribunal de Justicia de la Unión Europea sobre los límites del convenio colectivo
El Tribunal es contundente y se inclina por una interpretación garantista. Si bien el artículo 88 RGPD (LA LEY 6637/2016) es una cláusula de apertura, cuando se introduzcan mediante convenio colectivo (o mediante ley) normas más específicas de protección de datos, deben cumplirse los requisitos derivados de las demás disposiciones (el artículo 5, el artículo 6, apartado 1, así como también deberá cumplirse el artículo 9, apartados 1 y 2, del RGPD).
Esta decisión se motiva en dos argumentos principales. El primero se refiere al objetivo del Reglamento comunitario que es garantizar un alto nivel de protección de los derechos y libertades de las personas afectadas por dicho tratamiento, como se desprende de su consideración 10. Por tanto, las normas adoptadas por un Estado miembro (incluidos los convenios colectivos) sobre la base del artículo 88 deben tener por objetivo proteger los derechos y libertades de los trabajadores en lo que respecta al tratamiento de sus datos personales.
Se añade como segundo argumento que los principios relativos al tratamiento de datos personales, las condiciones de legalidad y las garantías específicas para las categorías especiales de datos tienen un alcance más general y son aplicables en todo caso.
En la Sentencia se hace una especial alusión a la protección reforzada de los datos sensibles (entre ellos, los datos biométricos) prevista en el RGPD y que no puede ser derogada por el convenio colectivo, pues esto podría suponer una injerencia especialmente grave en los principios fundamentales.
Conforme al criterio judicial, podemos entender que el convenio colectivo no podría introducir nuevos tratamientos de los datos de los trabajadores que no estuvieran previstos en el RGPD ni tampoco inaplicar los límites y garantías que fija la normativa comunitaria. Por ejemplo, no sería lícito que el convenio colectivo eludiera las obligaciones de la empresa como responsable del tratamiento de los datos. Según nuestro entendimiento, tampoco el convenio colectivo gozaría de la prerrogativa de autorizar el tratamiento de datos biométricos de las personas trabajadoras para el control horario (tratamiento no previsto en el RGPD ni en la legislación española), ni siquiera, aunque se pactaran garantías adicionales.
Muy importante es la parte de la Sentencia comunitaria que se refiere al control judicial del convenio colectivo que estipule la necesidad de un tratamiento de datos de carácter personal de las personas trabajadoras. Indica el Tribunal que, sin perjuicio del margen de apreciación que el artículo 88 del RGPD (LA LEY 6637/2016) deja a las partes de un convenio colectivo, el control jurisdiccional ejercido respecto de tal convenio debe ser completo. Es decir, el mismo control que se aplicaría a una norma de Derecho nacional y aplicando todas las condiciones y límites prescritos por las disposiciones de este reglamento para el tratamiento de datos personales.
Esto significa que, pese a que un convenio colectivo pacte la necesidad de determinado tratamiento de datos de las personas empleadas, dicha cláusula puede ser objeto de revisión judicial y, en su caso, declarada inaplicable si vulnera los límites y garantías del RGPD.
Cabe deducir del fallo judicial que tanto los convenios colectivos de sector como de empresa deben cumplir las directrices del Tribunal Comunitario. En este punto, hay que recordar que el considerando 155 del RGPD indica, en particular, que el concepto de «convenio colectivo», en el sentido del artículo 88, incluye los «acuerdos de empresa», como el controvertido en el litigio principal.
En efecto, en el supuesto litigioso fue un acuerdo de empresa el que autorizó la introducción y el uso del sistema informático de personal llamado Workday y que la empresa subió a la nube. En el sistema se procesaron los datos de las personas empleadas y la empresa transfirió diversos datos a un servidor de la empresa matriz, ubicado en Estados Unidos.
En definitiva, como anticipó con gran acierto el Prof. Eduardo Rojo Torrecilla en su excelente blog esta Sentencia es muy importante, porque refuerza el alto nivel de tutela que debe guiar el desarrollo y la aplicación del derecho de protección de datos de carácter personal de las personas empleadas por parte de las normas nacionales y también los convenios colectivos. Dicho con otras palabras, se prohíben las cláusulas derogatorias del mencionado derecho a través de los convenios colectivos y se refuerza la premisa de que se trata de un derecho fundamental de especial relevancia también en el ámbito laboral.