CN13-032 DICTAMEN QUE SE EMITE EN RELACION CON LA CONSULTA FORMULADA POR EL COMITÉ DE TRABAJADORES Y TRABAJADORAS DE UN AYUNTAMIENTO EN RELACIÓN CON LA CESIÓN DE DATOS PERSONALES DE LA PLANTILLA DE ESE AYUNTAMIENTO PARA PODER REPRESENTAR Y DEFENDER LOS INTERESES DE LOS TRABAJADORES. ANTECEDENTES PRIMERO. Con fecha 24 de julio de 2013 tiene entrada en esta Agencia Vasca de Protección de Datos escrito del Comité de trabajadores y trabajadoras de un Ayuntamiento en relación con el asunto arriba referenciado. SEGUNDO. El artículo 17.1 n) de la Ley 2/2004 de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos establece que es Función de seta Institución: “n) Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.” Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES I Desde el punto de vista de la protección de datos de carácter personal, la puesta a disposición de los datos personales de la plantilla a que se refiere la consulta supone una cesión de datos definida en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), concretamente en el artículo 3 i) como “toda revelación de datos realizada a una persona distinta del interesado.” El régimen general de la cesión de datos se regula en el artículo 11 de la LOPD, estableciéndose en el punto 1 como criterio general la necesidad de consentimiento. “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.” Las excepciones a la necesidad del consentimiento se recogen en el punto 2 del citado artículo, siendo conveniente destacar a nuestros efectos, la recogida en el apartado a): “Cuando la cesión está autorizada en una ley.” c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 avpd@avpd.es - www.avpd.es En nuestro Dictamen CN07-003, al que se refiere el escrito de consulta, analizamos el contenido y límites de este derecho, y para ponderar como afectaba este derecho fundamental al derecho fundamental a la protección de datos de carácter personal, también analizamos las competencias que el ordenamiento jurídico atribuye a los representantes sindicales, por lo que a él nos remitimos, aunque consideramos conveniente recordar que en el mismo se señalaba que: “…del examen de todas las normas legales citadas no aparece atribuido a los representantes sindicales el derecho a recibir la concreta información de las personas que ocupan cada puesto de trabajo, ni el derecho a conocer todas las resoluciones en materia de función pública con los datos personales de los empleados municipales. Tampoco creemos que se pueda extraer la obligación del Ayuntamiento de suministrar esa información con los datos personales de los empleados públicos, del genérico derecho de actividad sindical contenido en el artículo 2 .1 d) de la LOLS. (…) De acuerdo con la jurisprudencia constitucional citada, esta AVPD considera que una cesión generalizada de los datos personales de los empleados públicos por parte del Ayuntamiento de xxx, para dar cumplimiento al derecho de libertad sindical, resultaría desproporcionada, irrazonable y en definitiva, contraria a la protección de datos, al carecer de amparo o habilitación legal. Es indiscutible que el Ayuntamiento de xxx ha de poner a disposición de los representantes sindicales toda la información y documentación que sea necesaria para el ejercicio de los derechos, facultades y funciones que tienen legalmente atribuidas, (información, vigilancia…) pero entendemos que el ejercicio de dichas funciones no exige, con carácter general, la cesión de datos personales de los empleados públicos salvo en los supuestos tasados en la ley. A nuestro juicio, sólo sería posible la comunicación de esos datos en aquellos concretos supuestos en los que la cesión de datos de empleados públicos fuese una medida imprescindible y justificada desde la perspectiva de la proporcionalidad del sacrificio del derecho a la protección de datos para garantizar el cumplimiento de las funciones que la ley reconoce a los representantes sindicales” La consulta origen del dictamen, en concreto, se planteaba: “a)Sobre si vulnera o no la LOPD facilitar a los representantes sindicales la Relación de Puestos de Trabajo (RPT) identificando a las personas (nombre, apellidos y DNI) que ocupan cada puesto de trabajo. Si es necesario recabar su consentimiento inequívoco y si este debe ser expreso. b)Sobre la compatibilidad o no con la LOPD de trasladar a los representantes sindicales copia de las resoluciones que se adoptan en materia de función pública en las que consten datos de carácter personal de los empleados públicos (nombre, apellidos, DNI u otros (ej: el nombre del hijo/a, cuando se trate de solicitud de reducción de jornada por cuidado de hijo menor). Si es necesario solicitar previamente el consentimiento del trabajador.” 2 En cambio ahora se solicita un pronunciamiento general “sobre los datos personales que debe proporcionar el Ayuntamiento a los representantes legales de los y las trabajadoras municipales, es decir, al Comité de trabajadores para poder llevar a cabo su cometido”. En la materia que nos ocupa, donde se plantea la posible colisión entre dos derechos fundamentales, por un lado, el derecho a la protección de datos de carácter personal, derivado del artículo 18.4 CE y consagrado como derecho autónomo e informador del texto constitucional por la STC 292/2000, de 30 de noviembre, y, por otro, el derecho a la libertad sindical recogido como derecho fundamental por el articulo 28.1 de la CE, debemos comenzar recordando la jurisprudencia constitucional, por todas STC 70/2003, de 12 de marzo, que señala que "ningún derecho, ni siquiera los derechos fundamentales, es absoluto o ilimitado. Unas veces el propio precepto constitucional que lo consagra ya establece explícitamente los límites; en otras ocasiones, éstos derivan de la necesidad de preservar otros derechos o bienes constitucionalmente dignos de tutela”. De acuerdo con la Sentencia de 24 de noviembre de 2011 del Tribunal de Justicia de la Unión Europea (TJCE 2011,373), en orden a evaluar la procedencia del tratamiento de datos personales sin consentimiento del afectado, a los efectos del artículo 7.f) de la Directiva 95/45 que tiene efecto directo, deben ponderarse dos elementos fundamentales: El primero, si el tratamiento de los datos es necesario para satisfacer un interés legítimo (del responsable de los datos o del cesionario). El segundo, si han de prevalecer o no los derechos fundamentales del interesado esencialmente referidos a la protección de sus datos personales. La libertad sindical al igual que el derecho a la protección de datos, no constituye, una excepción a esta regla y, por ello, en cada caso y en atención a las circunstancias concurrentes, deberán ponderarse los intereses enfrentados para determinar que interés merece mayor protección. Además, muchas veces, los supuestos legales habilitantes de la cesión son genéricos y difusos y requieren una interpretación “ad hoc”. De esta premisa deriva la dificultad de efectuar un pronunciamiento general como el que se solicita, por lo que esta Agencia sólo puede ofrecer los parámetros de referencia que deben seguirse para determinar si una comunicación de datos es acorde con la normativa de protección de datos de carácter personal y velar con ello por la adecuada tutela del derecho fundamental a la protección de datos de carácter personal. II Entrando ya en estos parámetros generales, lo que debe constatarse es que los datos que pueden comunicarse sin consentimiento del afectado son los expresamente previstos en normas legales, sin que se pueda extender, en principio, y sin dicho consentimiento, a otros. En este sentido, debe tenerse en cuenta que los supuestos legales que pueden contemplar cesiones de datos personales de empleados públicos no se reducen a los contemplados en las normas específicas de regulación del empleo público (vgr: Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP) o al Real Decreto 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (ET)), ni a la Ley Orgánica 11/1985, de 2 de agosto, de 3 Libertad Sindical (LOLS), sino que se pueden prever en otras normas, como por ejemplo, la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales. En segundo lugar, cabe recordar que en nuestro Dictamen CN07-003 ya dijimos “que una cesión generalizada de los datos personales de los empleados públicos por parte del Ayuntamiento de xxx, para dar cumplimiento al derecho de libertad sindical, resultaría desproporcionada, irrazonable y en definitiva, contraria a la protección de datos, al carecer de amparo o habilitación legal”, y en el CN11-012 que” resulta evidente que no puede quedar vedada la obtención de información (incluyendo datos de carácter personal) por la representación de los trabajadores. Sería necesario para ello, descartada la posibilidad de la obtención masiva e indiscriminada de la misma, justificar la finalidad a la que va destinada dicha obtención (más allá de una genérica referencia a las facultades de vigilancia del cumplimiento de la normativa vigente por parte del empresario) y una justificación también en relación a de qué manera son adecuados, necesarios y no excesivos los datos solicitados para el efectivo cumplimiento de la finalidad alegada, de tal manera que permita al hipotético cedente realizar la correspondiente valoración”. En igual sentido se ha pronunciado la AEPD, informes 91/2010 o 0196/2010, que concluyen: “la función de vigilancia y protección de las condiciones de trabajo, atribuida a las Juntas de Personal por la Ley 7/2007 puede llevarse a adecuado desarrollo sin necesidad de proceder a una cesión masiva de los datos referentes al personal que presta sus servicios en el Órgano o Dependencia correspondiente. Sólo en el supuesto en que la vigilancia o control se refieran a un sujeto concreto, que haya planteado la correspondiente queja ante la Junta de Personal, será posible la cesión del dato específico de dicha persona”. En resumen, en consonancia con el artículo 11.1 de la LOPD (los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado) y con la excepción de prestación del consentimiento en los supuestos en que una Ley así lo permita (artículo11.2.a) LOPD), para ceder datos personales de los empleados públicos siempre (1) se deberá acreditar la existencia de un interés legítimo y un objetivo o relevancia laboral –Sentencia 2679/2010, de 5 de octubre, del Tribunal Superior de Justicia de Andalucía- y (2) los datos que se faciliten deben ser adecuados, pertinentes y no excesivos para la consecución de ese fin legítimo, por lo que se deberá ponderar la posibilidad de cesión con el ejercicio de las funciones que las normas atribuyen a los órganos de representación de los empleados públicos, de modo que se respete el principio de proporcionalidad, que exige superar el juicio de idoneidad, necesidad y proporcionalidad que requiere la doctrina constitucional. Finalmente, les informamos que la AEPD tiene publicada una guía sobre “La protección de datos en las relaciones laborales” que podría ser de su interés. III El escrito de consulta expone que el Ayuntamiento no traslada al comité de trabajadores y trabajadoras la información necesaria para poder representar y defender los intereses de los trabajadores, citando algunos ejemplos. A este respecto, y desconociendo las razones que llevan al Ayuntamiento a denegar la información solicitada, creemos conveniente matizar que los posibles incumplimientos de las obligaciones legales que incumban a las Administraciones Públicas y que no afecten a la legislación de protección de datos o a su 4 aplicación, no son competencia de esta Agencia de acuerdo con el artículo 17 de la Ley 2/2004, de 25 de febrero, por lo que el consultante deberá acudir a la jurisdicción competente para la defensa de su derecho, si así lo considera oportuno. Respecto a los casos concretos que se citan como ejemplo en la consulta, a continuación trataremos de darles una respuesta, bien a través de dictámenes ya emitidos, bien a través de su análisis en el presente. 1.- Facilitar las relaciones de puestos de trabajo, con identificación de las personas que ocupan cada puesto. La posibilidad de facilitar las Relaciones de Puestos de Trabajo con identificación de las personas que ocupan cada puesto fue examinada en el Dictamen CN07-003 referenciado en la consulta y en el que concluíamos que: “La transmisión a los representantes sindicales de las RPTs con indicación de las personas que ocupan cada puesto de trabajo, no encuentra cobertura legal en la normativa en materia de protección de datos”. 2.- Cesión de datos retributivos del personal. Esta cesión fue analizada en nuestro dictamen CN05-011, donde concluimos que “para el caso de que lo que se pretenda sea una relación nominal de los funcionarios con determinación de la cuantía retributiva que cada uno de ellos tiene atribuida, debe decirse que el precepto de la LFPV tantas veces citado, no constituye, a juicio de esta Agencia, la autorización legal a la que hace referencia el artículo 11.2 a) de la LOPD y por lo tanto dicha cesión por parte de la Administración supondría por su parte, una vulneración de dicha normativa para el caso de que se realice sin el consentimiento de los interesados (…) A juicio de esta Agencia y por lo dicho más arriba sobre los diferentes mecanismos posibles para hacer de público conocimiento las cuantías retributivas de los funcionarios sin afectar al derecho fundamental a la protección de sus datos de carácter personal, no es necesaria la cesión del dato relativo a la concreta identidad del funcionario para dar efectivo cumplimiento al artículo 80 LFPV”. En concreto, respecto al acceso por la Junta de Personal a los datos referidos a la percepción del complemento de productividad, la Agencia Española de Protección de datos, en el Informe de 27 de mayo de 2009, establece que “debe entenderse derogado por el artículo 40 del EBEP, de cuyo tenor literal se induce que ha desaparecido la función atribuida por la anterior normativa a los representantes sindicales de los empleados públicos, consistente en tener conocimiento y ser oídos sobre las cantidades que percibe cada funcionario por complemento de productividad.(…) En el caso de cesión de los datos de trabajadores laborales concluye que “sólo en el supuesto en que la vigilancia o control se refieran a un sujeto concreto, que haya planteado la correspondiente queja ante el Comité de Empresa, será posible la cesión de datos específicos de dicha persona”. 3.- Cesión de datos personales de participantes en procesos selectivos. A este respecto, resulta clarificador nuestro Dictamen CN09-046, en el que se consultaba sobre la licitud de la cesión de los datos personales contenidos en el listado de admitidos y excluidos de un proceso selectivo, sin consentimiento, realizada por un consorcio educativo a una organización sindical. En el mismo, se recalcaba “la importancia de que la solicitud de los datos venga suscrita por quien viene legalmente legitimado para hacerla, esto es, Juntas de Personal y Delegados de Personal; pues sólo en ese caso, y motivando de que se necesitan los datos para el ejercicio de la función sindical, estaría legitimada la cesión”. 5 4.- Datos sobre el personal eventual. Los puestos ocupados por personal eventual deben figurar con tal carácter en la Relación de Puestos de Trabajo y sus nombramientos y ceses se publican en el BOTHA (por ejemplo, BOTHA de 19-10-2012 o de 9-1-2013), en consonancia con el artículo 104.3 de la Ley de Bases de Régimen Local, por lo que este es el medio para identificarlos (El nombramiento del personal eventual, el régimen de sus retribuciones y su dedicación deben publicarse en el Boletín Oficial de la Provincia y en su caso, en el propio de la Corporación). La finalidad de la publicación es dar publicidad y transparencia al nombramiento, por lo que, aún desconociendo las razones que motivan la negativa a dar información, la situación en esta materia parece referirse, más bien, a la forma de acceder a dicha información y a los datos personales y no a una cuestión de denegación de comunicación de datos de carácter personal necesarios para llevar a cabo las funciones que el comité tiene encomendadas. En Vitoria-Gasteiz, a 27 de septiembre de 2013 6