Protección de Datos y Expedientes de Regulación Temporal de Empleo

La pandemia ocasionada por la enfermedad COVID-19 ha generado una crisis sanitaria a nivel global que ha desembocado en una situación de extraordinaria vulnerabilidad económica.

Como parte del plan de contingencia derivado de la crisis, el 18 de marzo de 2020 se publicó en España el Real Decreto-Ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 que establece una serie de medidas potestativas de flexibilización de los mecanismos de ajuste temporal de la actividad, agilizando los trámites y plazos de autorización de los Expedientes de Regulación Temporal de Empleo de suspensión de contrato de trabajo y reducción de jornada laboral por fuerza mayor (en adelante, ERTES).

Asimismo, el 28 de marzo de 2020 fue publicado el Real Decreto-Ley 9/2020, de 27 de marzo, por el que se adoptan medidas complementarias, en el ámbito laboral, para paliar los efectos derivados del COVID-19, que establece medidas extraordinarias sobre el procedimiento a seguir en la gestión de ERTES por fuerza mayor y viene a completar su regulación en lo relativo a las obligaciones impuestas al empresario en la tramitación del Expediente de Regulación Temporal de Empleo por fuerza mayor, así como a la solicitud de las prestaciones por desempleo a percibir por los empleados afectados por dicha medida.

El carácter novedoso de estas medidas excepcionales así como la urgencia con la que deben ser implementadas ha generado diversas cuestiones en lo relativo a su ejecución práctica, entre las que se encuentran los interrogantes derivados de la aplicación de la normativa de protección de datos personales europea y nacional[1] en el marco de la tramitación de los ERTES por fuerza mayor.

En este escenario, y a la luz de las recientes disposiciones normativas ya mencionadas en relación con la legislación vigente sobre protección de datos, la presente newsletter informativa pretende despejar dudas de cumplimiento normativo en materia de protección de datos en el contexto de la ejecución, desarrollo y tramitación de ERTES de suspensión de contrato de trabajo o reducción de jornada laboral por fuerza mayor.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

 

¿Qué datos de los trabajadores puede tratar el empresario en el contexto de un ERTE por fuerza mayor?

De acuerdo con el principio de minimización de los datos (artículo 5.1.c del RGPD) únicamente debe hacerse uso de aquellos datos que sean necesarios, pertinentes y no excesivos para poder cumplir con la finalidad pretendida en cada caso.

Así, el empresario deberá tratar exclusivamente aquellos datos de los empleados que sean estrictamente necesarios para tramitar el ERTE, de acuerdo con las previsiones de la legislación Laboral y de la Seguridad Social y demás normativa reguladora de los Expedientes de Regulación Temporal de Empleo por fuerza mayor.

¿Es necesario solicitar el consentimiento de todos los trabajadores afectados por el ERTE para comunicar sus datos personales al SEPE en el contexto de la solicitud colectiva de prestaciones por desempleo?

El Servicio Público de Empleo Estatal (SEPE) ha establecido un procedimiento obligatorio de solicitud colectiva de la prestación por desempleo de los trabajadores afectados por el ERTE que debe ser tramitado de modo directo por el empresario y que, entre otras cuestiones, exige la presentación de una autorización de los trabajadores que la empresa debe solicitar y conservar, por si le fuera requerida en un futuro.

La exigencia de disponer de dicha autorización de los trabajadores afectados ha suscitado dudas e interrogantes en materia de protección de datos, habiéndose asimilado incluso a un consentimiento expreso del trabajador en lo relativo al tratamiento de sus datos personales por parte del empresario y a la comunicación de tales datos al SEPE.

La mencionada autorización queda, no obstante, encuadrada en el ámbito del Derecho Laboral y de la Seguridad Social al referirse a la autorización que el trabajador debe proporcionar al empresario para solicitar la prestación por desempleo en su nombre (tomando en consideración que la solicitud y cobro de la prestación por desempleo resulta voluntaria para el trabajador al ser un derecho, pero no un deber u obligación).

Desde la óptica de la protección de datos personales, la base legitimadora que ampara al empresario para la comunicación al SEPE de datos personales de sus trabajadores afectados por un ERTE por fuerza mayor debe encontrarse en el propio desenvolvimiento de la relación laboral (aunque se trate de relación laboral en suspenso en el caso de ERTE de suspensión de contrato) y en el cumplimiento de obligaciones legales aplicables al empresario (que necesariamente debe cumplimentar el trámite de solicitud colectiva de la prestación por desempleo que el SEPE ha establecido de manera obligatoria).

Por su lado, el tratamiento de los datos por parte de la Administración queda legitimado en el cumplimiento de una misión realizada en interés público por parte del SEPE.

No obstante lo anterior, es preciso recordar que el deber de información en materia de protección de datos subsiste independientemente de la base legitimadora del tratamiento, por lo que el empresario deberá asegurarse que sus empleados fueron debidamente informados sobre el tratamiento de datos en cuestión o, en su caso, proporcionar a sus empleados información adecuada y completa sobre el tratamiento de datos personales que va a llevar a cabo, a través de la correspondiente cláusula informativa.

¿Es lícito utilizar el número de teléfono móvil personal o la dirección correo electrónico personal de los empleados en el contexto del ERTE?

La respuesta a esta cuestión debe partir de una premisa fundamental: durante el ERTE subsisten necesidades de ejecución y desarrollo de la relación laboral que pueden legitimar la realización por parte del empresario de determinados tratamientos de datos excepcionales.

Así, en el caso de ERTE de suspensión de contrato, los contratos laborales no se extinguen sino que quedan en suspenso, por lo que el empresario puede precisar comunicar a sus trabajadores cuestiones relativas a su relación laboral en suspenso (como pueden ser la prórroga o finalización del ERTE), en un contexto en el que probablemente el acceso del empleado a los recursos digitales corporativos (correo electrónico profesional, teléfono móvil corporativo, etc.) habrá quedado igualmente suspendido.

Por otro lado, el procedimiento obligatorio de tramitación colectiva de prestaciones por desempleo establecido por el SEPE al que ya nos hemos referido, requiere de la aportación por parte del empresario de determinados datos de contacto de los trabajadores en cuyo nombre se solicita la prestación por desempleo.

Las situaciones descritas legitiman un tratamiento de datos personales del empleado habitualmente no presentes en el desenvolvimiento de la relación laboral, como puede ser el número de teléfono móvil personal o la dirección de correo electrónico personal del empleado.

El desarrollo de tales tratamientos de datos debe, no obstante, cumplir los principios rectores del tratamiento establecidos en el artículo 5 del RGPD, como son:

  • Que el tratamiento respete el principio de minimización de datos, esto es, implique el menor número de datos personales posible (por ejemplo, optar alternativamente por el tratamiento del dato de correo electrónico personal o del dato teléfono móvil personal, pero no de ambos).
  • Que el tratamiento sea proporcional, esto es, los datos solicitados al empleado deben ser los más idóneos y menos intrusivos posibles.
  • Que el tratamiento sea necesario para el fin perseguido. En el contexto descrito, el tratamiento deviene necesario por cuanto que:
  • Resulta preciso aportar al SEPE información adecuada para la tramitación colectiva de las prestaciones por desempleo, facilitando el contacto de dicho Organismo Público con los trabajadores afectados; o
  • En el supuesto de ERTE de suspensión de contrato, el empleador precisa mantener el contacto con sus empleados que temporalmente no cuentan con acceso a medios tecnológicos corporativos, con la finalidad principal de comunicar novedades relativas a la situación laboral.
  • Que el tratamiento quede limitado a la finalidad perseguida, esto es, que el empresario no utilice los datos personales del empleado para ninguna otra cuestión no relativa a la ejecución o tramitación del ERTE. Ello implica que, una vez finalizada la contingencia derivada del ERTE, el empresario no podrá seguir haciendo uso de esos datos personales de sus trabajadores que excepcionalmente hubiera recabado y tratado.

¿Es preciso incluir el proceso de tramitación del ERTE en el Registro de Actividades del Tratamiento (RAT) corporativo?

El propio proceso de ERTE y la tramitación de la solicitud colectiva de prestaciones por desempleo que debe llevar a cabo la empresa constituyen actividades de tratamiento de datos en sí mismas, probablemente novedosas y que, hasta el momento, no había resultado preciso incorporar al registro de actividades de tratamiento.

Como parte de las exigencias de cumplimiento normativo en materia de protección de datos personales y de acuerdo con el principio de responsabilidad proactiva o accountability (artículo 5.2 del RGPD), resultará precisa la inclusión de la finalidad de tratamiento de datos en el registro de actividades de tratamiento establecido a nivel corporativo.

A la hora de abordar la inclusión de la finalidad de tratamiento en el RAT, debe tenerse presente la necesidad de incorporar aquellos datos personales “extra” del empleado de los que vaya a hacerse uso en el marco de la tramitación del ERTE (número de teléfono personal, correo electrónico personal, etc.).

Una vez finalizado el proceso de ERTE, deberá quedar documentada la inclusión de dicha actividad de tratamiento en el RAT, a modo de histórico, posibilitando así la trazabilidad y evidencia de cumplimiento exigidas por la normativa.

A nivel corporativo, ¿quién queda legitimado para acceder a los datos de los trabajadores afectados por el ERTE?

De acuerdo con el principio de confidencialidad en el tratamiento de datos personales (artículo 5.1.f del RGPD y artículo 4 de la LOPDGDD), únicamente estará legitimado el acceso a tal información por parte del personal que tenga la necesidad de conocerla como consecuencia del desempeño de sus funciones laborales (por ejemplo, el personal de Recursos Humanos, de Relaciones Laborales, del Departamento Financiero, etc.).

Del mismo modo, queda legitimado el acceso a la información por parte de aquellos prestadores de servicios que actúen como encargados de tratamiento que habitualmente colaboren en la ejecución corporativa de tales labores (por ejemplo, asesorías laborales, gestorías, etc.).

Asimismo, deberán aplicarse las medidas organizativas y técnicas corporativas habituales para garantizar la integridad y confidencialidad de los datos en su tratamiento, comunicación, archivo y almacenamiento (almacenamiento seguro, registro de accesos, etc.).

Compartir

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp