CN13-032_DIC_D13-039 - Agencia Vasca de Protección de Datos

Anuncio
CN13-032
DICTAMEN QUE SE EMITE EN RELACION CON LA CONSULTA FORMULADA POR
EL COMITÉ DE TRABAJADORES Y TRABAJADORAS DE UN AYUNTAMIENTO EN
RELACIÓN CON LA CESIÓN DE DATOS PERSONALES DE LA PLANTILLA DE ESE
AYUNTAMIENTO PARA PODER REPRESENTAR Y DEFENDER LOS INTERESES DE
LOS TRABAJADORES.
ANTECEDENTES
PRIMERO. Con fecha 24 de julio de 2013 tiene entrada en esta Agencia Vasca de
Protección de Datos escrito del Comité de trabajadores y trabajadoras de un
Ayuntamiento en relación con el asunto arriba referenciado.
SEGUNDO. El artículo 17.1 n) de la Ley 2/2004 de 25 de febrero, de Ficheros de Datos
de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de
Protección de Datos establece que es Función de seta Institución:
“n) Atender a las consultas que en materia de protección de datos de carácter personal le
formulen las administraciones públicas, instituciones y corporaciones a que se refiere el
artículo 2.1 de esta ley, así como otras personas físicas o jurídicas, en relación con los
tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.”
Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa más
arriba citada, la emisión del informe en respuesta a la consulta formulada.
CONSIDERACIONES
I
Desde el punto de vista de la protección de datos de carácter personal, la puesta a
disposición de los datos personales de la plantilla a que se refiere la consulta supone una
cesión de datos definida en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de Carácter Personal (en adelante LOPD), concretamente en el artículo 3 i)
como “toda revelación de datos realizada a una persona distinta del interesado.”
El régimen general de la cesión de datos se regula en el artículo 11 de la LOPD,
estableciéndose en el punto 1 como criterio general la necesidad de consentimiento.
“Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados
a un tercero para el cumplimiento de fines directamente relacionados con las
funciones legítimas del cedente y del cesionario con el previo consentimiento del
interesado.”
Las excepciones a la necesidad del consentimiento se recogen en el punto 2 del citado
artículo, siendo conveniente destacar a nuestros efectos, la recogida en el apartado a):
“Cuando la cesión está autorizada en una ley.”
c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 avpd@avpd.es - www.avpd.es
En nuestro Dictamen CN07-003, al que se refiere el escrito de consulta, analizamos el
contenido y límites de este derecho, y para ponderar como afectaba este derecho
fundamental al derecho fundamental a la protección de datos de carácter personal,
también analizamos las competencias que el ordenamiento jurídico atribuye a los
representantes sindicales, por lo que a él nos remitimos, aunque consideramos
conveniente recordar que en el mismo se señalaba que:
“…del examen de todas las normas legales citadas no aparece atribuido a los
representantes sindicales el derecho a recibir la concreta información de las
personas que ocupan cada puesto de trabajo, ni el derecho a conocer todas
las resoluciones en materia de función pública con los datos personales de los
empleados municipales.
Tampoco creemos que se pueda extraer la obligación del Ayuntamiento de
suministrar esa información con los datos personales de los empleados
públicos, del genérico derecho de actividad sindical contenido en el artículo 2
.1 d) de la LOLS.
(…)
De acuerdo con la jurisprudencia constitucional citada, esta AVPD considera
que una cesión generalizada de los datos personales de los empleados
públicos por parte del Ayuntamiento de xxx, para dar cumplimiento al derecho
de libertad sindical, resultaría desproporcionada, irrazonable y en definitiva,
contraria a la protección de datos, al carecer de amparo o habilitación legal.
Es indiscutible que el Ayuntamiento de xxx ha de poner a disposición de los
representantes sindicales toda la información y documentación que sea
necesaria para el ejercicio de los derechos, facultades y funciones que tienen
legalmente atribuidas, (información, vigilancia…) pero entendemos que el
ejercicio de dichas funciones no exige, con carácter general, la cesión de datos
personales de los empleados públicos salvo en los supuestos tasados en la
ley.
A nuestro juicio, sólo sería posible la comunicación de esos datos en aquellos
concretos supuestos en los que la cesión de datos de empleados públicos
fuese una medida imprescindible y justificada desde la perspectiva de la
proporcionalidad del sacrificio del derecho a la protección de datos para
garantizar el cumplimiento de las funciones que la ley reconoce a los
representantes sindicales”
La consulta origen del dictamen, en concreto, se planteaba:
“a)Sobre si vulnera o no la LOPD facilitar a los representantes sindicales la
Relación de Puestos de Trabajo (RPT) identificando a las personas (nombre,
apellidos y DNI) que ocupan cada puesto de trabajo. Si es necesario recabar
su consentimiento inequívoco y si este debe ser expreso.
b)Sobre la compatibilidad o no con la LOPD de trasladar a los representantes
sindicales copia de las resoluciones que se adoptan en materia de función
pública en las que consten datos de carácter personal de los empleados
públicos (nombre, apellidos, DNI u otros (ej: el nombre del hijo/a, cuando se
trate de solicitud de reducción de jornada por cuidado de hijo menor). Si es
necesario solicitar previamente el consentimiento del trabajador.”
2
En cambio ahora se solicita un pronunciamiento general “sobre los datos personales que
debe proporcionar el Ayuntamiento a los representantes legales de los y las trabajadoras
municipales, es decir, al Comité de trabajadores para poder llevar a cabo su cometido”.
En la materia que nos ocupa, donde se plantea la posible colisión entre dos derechos
fundamentales, por un lado, el derecho a la protección de datos de carácter personal,
derivado del artículo 18.4 CE y consagrado como derecho autónomo e informador del
texto constitucional por la STC 292/2000, de 30 de noviembre, y, por otro, el derecho a la
libertad sindical recogido como derecho fundamental por el articulo 28.1 de la CE,
debemos comenzar recordando la jurisprudencia constitucional, por todas STC 70/2003,
de 12 de marzo, que señala que "ningún derecho, ni siquiera los derechos fundamentales, es
absoluto o ilimitado. Unas veces el propio precepto constitucional que lo consagra ya establece
explícitamente los límites; en otras ocasiones, éstos derivan de la necesidad de preservar otros
derechos o bienes constitucionalmente dignos de tutela”.
De acuerdo con la Sentencia de 24 de noviembre de 2011 del Tribunal de Justicia de la
Unión Europea (TJCE 2011,373), en orden a evaluar la procedencia del tratamiento de
datos personales sin consentimiento del afectado, a los efectos del artículo 7.f) de la
Directiva 95/45 que tiene efecto directo, deben ponderarse dos elementos fundamentales:
El primero, si el tratamiento de los datos es necesario para satisfacer un interés legítimo
(del responsable de los datos o del cesionario). El segundo, si han de prevalecer o no los
derechos fundamentales del interesado esencialmente referidos a la protección de sus
datos personales.
La libertad sindical al igual que el derecho a la protección de datos, no constituye, una
excepción a esta regla y, por ello, en cada caso y en atención a las circunstancias
concurrentes, deberán ponderarse los intereses enfrentados para determinar que interés
merece mayor protección. Además, muchas veces, los supuestos legales habilitantes de
la cesión son genéricos y difusos y requieren una interpretación “ad hoc”.
De esta premisa deriva la dificultad de efectuar un pronunciamiento general como el que
se solicita, por lo que esta Agencia sólo puede ofrecer los parámetros de referencia que
deben seguirse para determinar si una comunicación de datos es acorde con la normativa
de protección de datos de carácter personal y velar con ello por la adecuada tutela del
derecho fundamental a la protección de datos de carácter personal.
II
Entrando ya en estos parámetros generales, lo que debe constatarse es que los datos
que pueden comunicarse sin consentimiento del afectado son los expresamente previstos
en normas legales, sin que se pueda extender, en principio, y sin dicho consentimiento, a
otros. En este sentido, debe tenerse en cuenta que los supuestos legales que pueden
contemplar cesiones de datos personales de empleados públicos no se reducen a los
contemplados en las normas específicas de regulación del empleo público (vgr: Ley
7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP) o al Real
Decreto 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del
Estatuto de los Trabajadores (ET)), ni a la Ley Orgánica 11/1985, de 2 de agosto, de
3
Libertad Sindical (LOLS), sino que se pueden prever en otras normas, como por ejemplo,
la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
En segundo lugar, cabe recordar que en nuestro Dictamen CN07-003 ya dijimos “que una
cesión generalizada de los datos personales de los empleados públicos por parte del
Ayuntamiento de xxx, para dar cumplimiento al derecho de libertad sindical, resultaría
desproporcionada, irrazonable y en definitiva, contraria a la protección de datos, al carecer de
amparo o habilitación legal”, y en el CN11-012 que” resulta evidente que no puede quedar
vedada la obtención de información (incluyendo datos de carácter personal) por la representación
de los trabajadores. Sería necesario para ello, descartada la posibilidad de la obtención masiva e
indiscriminada de la misma, justificar la finalidad a la que va destinada dicha obtención (más allá
de una genérica referencia a las facultades de vigilancia del cumplimiento de la normativa vigente
por parte del empresario) y una justificación también en relación a de qué manera son adecuados,
necesarios y no excesivos los datos solicitados para el efectivo cumplimiento de la finalidad
alegada, de tal manera que permita al hipotético cedente realizar la correspondiente valoración”.
En igual sentido se ha pronunciado la AEPD, informes 91/2010 o 0196/2010, que
concluyen: “la función de vigilancia y protección de las condiciones de trabajo, atribuida a las
Juntas de Personal por la Ley 7/2007 puede llevarse a adecuado desarrollo sin necesidad de
proceder a una cesión masiva de los datos referentes al personal que presta sus servicios en el
Órgano o Dependencia correspondiente. Sólo en el supuesto en que la vigilancia o control se
refieran a un sujeto concreto, que haya planteado la correspondiente queja ante la Junta de
Personal, será posible la cesión del dato específico de dicha persona”.
En resumen, en consonancia con el artículo 11.1 de la LOPD (los datos de carácter personal
objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines
directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo
consentimiento del interesado) y con la excepción de prestación del consentimiento en los
supuestos en que una Ley así lo permita (artículo11.2.a) LOPD), para ceder datos
personales de los empleados públicos siempre (1) se deberá acreditar la existencia de un
interés legítimo y un objetivo o relevancia laboral –Sentencia 2679/2010, de 5 de octubre,
del Tribunal Superior de Justicia de Andalucía- y (2) los datos que se faciliten deben ser
adecuados, pertinentes y no excesivos para la consecución de ese fin legítimo, por lo que
se deberá ponderar la posibilidad de cesión con el ejercicio de las funciones que las
normas atribuyen a los órganos de representación de los empleados públicos, de modo
que se respete el principio de proporcionalidad, que exige superar el juicio de idoneidad,
necesidad y proporcionalidad que requiere la doctrina constitucional.
Finalmente, les informamos que la AEPD tiene publicada una guía sobre “La protección
de datos en las relaciones laborales” que podría ser de su interés.
III
El escrito de consulta expone que el Ayuntamiento no traslada al comité de trabajadores y
trabajadoras la información necesaria para poder representar y defender los intereses de
los trabajadores, citando algunos ejemplos. A este respecto, y desconociendo las razones
que llevan al Ayuntamiento a denegar la información solicitada, creemos conveniente
matizar que los posibles incumplimientos de las obligaciones legales que incumban a las
Administraciones Públicas y que no afecten a la legislación de protección de datos o a su
4
aplicación, no son competencia de esta Agencia de acuerdo con el artículo 17 de la Ley
2/2004, de 25 de febrero, por lo que el consultante deberá acudir a la jurisdicción
competente para la defensa de su derecho, si así lo considera oportuno.
Respecto a los casos concretos que se citan como ejemplo en la consulta, a continuación
trataremos de darles una respuesta, bien a través de dictámenes ya emitidos, bien a
través de su análisis en el presente.
1.- Facilitar las relaciones de puestos de trabajo, con identificación de las personas que
ocupan cada puesto.
La posibilidad de facilitar las Relaciones de Puestos de Trabajo con identificación de las
personas que ocupan cada puesto fue examinada en el Dictamen CN07-003 referenciado
en la consulta y en el que concluíamos que: “La transmisión a los representantes sindicales de
las RPTs con indicación de las personas que ocupan cada puesto de trabajo, no encuentra
cobertura legal en la normativa en materia de protección de datos”.
2.- Cesión de datos retributivos del personal.
Esta cesión fue analizada en nuestro dictamen CN05-011, donde concluimos que “para el
caso de que lo que se pretenda sea una relación nominal de los funcionarios con determinación
de la cuantía retributiva que cada uno de ellos tiene atribuida, debe decirse que el precepto de la
LFPV tantas veces citado, no constituye, a juicio de esta Agencia, la autorización legal a la que
hace referencia el artículo 11.2 a) de la LOPD y por lo tanto dicha cesión por parte de la
Administración supondría por su parte, una vulneración de dicha normativa para el caso de que se
realice sin el consentimiento de los interesados (…) A juicio de esta Agencia y por lo dicho más
arriba sobre los diferentes mecanismos posibles para hacer de público conocimiento las cuantías
retributivas de los funcionarios sin afectar al derecho fundamental a la protección de sus datos de
carácter personal, no es necesaria la cesión del dato relativo a la concreta identidad del
funcionario para dar efectivo cumplimiento al artículo 80 LFPV”.
En concreto, respecto al acceso por la Junta de Personal a los datos referidos a la
percepción del complemento de productividad, la Agencia Española de Protección de
datos, en el Informe de 27 de mayo de 2009, establece que “debe entenderse derogado por
el artículo 40 del EBEP, de cuyo tenor literal se induce que ha desaparecido la función atribuida
por la anterior normativa a los representantes sindicales de los empleados públicos, consistente
en tener conocimiento y ser oídos sobre las cantidades que percibe cada funcionario por
complemento de productividad.(…) En el caso de cesión de los datos de trabajadores
laborales concluye que “sólo en el supuesto en que la vigilancia o control se refieran a un sujeto
concreto, que haya planteado la correspondiente queja ante el Comité de Empresa, será posible la
cesión de datos específicos de dicha persona”.
3.- Cesión de datos personales de participantes en procesos selectivos.
A este respecto, resulta clarificador nuestro Dictamen CN09-046, en el que se consultaba
sobre la licitud de la cesión de los datos personales contenidos en el listado de admitidos
y excluidos de un proceso selectivo, sin consentimiento, realizada por un consorcio
educativo a una organización sindical. En el mismo, se recalcaba “la importancia de que la
solicitud de los datos venga suscrita por quien viene legalmente legitimado para hacerla, esto es,
Juntas de Personal y Delegados de Personal; pues sólo en ese caso, y motivando de que se
necesitan los datos para el ejercicio de la función sindical, estaría legitimada la cesión”.
5
4.- Datos sobre el personal eventual.
Los puestos ocupados por personal eventual deben figurar con tal carácter en la Relación
de Puestos de Trabajo y sus nombramientos y ceses se publican en el BOTHA (por
ejemplo, BOTHA de 19-10-2012 o de 9-1-2013), en consonancia con el artículo 104.3 de
la Ley de Bases de Régimen Local, por lo que este es el medio para identificarlos (El
nombramiento del personal eventual, el régimen de sus retribuciones y su dedicación deben
publicarse en el Boletín Oficial de la Provincia y en su caso, en el propio de la Corporación).
La finalidad de la publicación es dar publicidad y transparencia al nombramiento, por lo
que, aún desconociendo las razones que motivan la negativa a dar información, la
situación en esta materia parece referirse, más bien, a la forma de acceder a dicha
información y a los datos personales y no a una cuestión de denegación de comunicación
de datos de carácter personal necesarios para llevar a cabo las funciones que el comité
tiene encomendadas.
En Vitoria-Gasteiz, a 27 de septiembre de 2013
6
Descargar