El Reglamento General de Protección de Datos introduce en su artículo 5 los principios que deben respetarse en relación con el tratamiento de los datos personales. Uno de estos principios es el relativo a la minimización de datos.

Asimismo, no existe ninguna ley que habilite al empresario a tratar los datos de salud de los trabajadores o familiares de los mismos. Por tanto, únicamente con el consentimiento explícito de los afectados podrían tratarse estos datos de salud.

Cabe indicar que no tendrá la consideración de dato de salud el hecho de que el justificante señale que la ausencia laboral se debe a una hospitalización o a una intervención quirúrgica sin hospitalización.

Esta cesión únicamente podría entenderse amparada en caso de que se produjera en el ámbito de las funciones desarrolladas por los Delegados de Personal o el Comité de Empresa (según sea uno u otro al órgano de representación de los trabajadores), al encontrarse reconocido por el Estatuto de los Trabajadores el derecho de los representantes de los trabajadores, principalmente en el artículo 64, a acceder a determinados datos de los trabajadores en el ámbito de sus competencias. En este sentido, el artículo 64. 7 b) del Estatuto de los Trabajadores remite al Convenio Colectivo la determinación de la participación de los representantes de los trabajadores en la gestión o tramitación de la ayuda social de la empresa.

Para la AEPD, la función de vigilancia y control, desde la perspectiva de la protección de datos de carácter personal, podría entenderse correctamente cumplida sin necesidad de proceder a una información masiva.

Sólo en el supuesto en que la vigilancia o control se refieran a un sujeto concreto, que haya planteado la correspondiente queja ante el Comité de Empresa, será posible la cesión de datos específicos de dicha persona. En los demás supuestos, la función de control quedará plenamente satisfecha, a nuestro juicio, mediante la cesión de la información debidamente disociada, que permita al Comité conocer las circunstancias cuya vigilancia le ha sido encomendada sin referenciar la información en un sujeto concreto.

En consecuencia, procederá, en caso de haber sido formalmente solicitada, la cesión de los datos de las ayudas concedidas, siempre que los mismos sean cedidos de forma disociada, sin poder referenciar los datos a personas identificadas o identificables. En caso contrario, deberá recabarse el consentimiento de los interesados.

Estos trabajadores, que deben llevar dichas tarjetas identificativas, están de cara al público y en consecuencia, sus datos estarán a la vista de terceras personas ajenas al estricto ámbito laboral. Si la finalidad que justifica la inclusión de los datos de identidad de los trabajadores en sus tarjetas es precisamente garantizar su identificabilidad en el desempeño de sus funciones, el tratamiento de los datos puede considerarse amparado en el marco de la ejecución de un contrato, en base a lo dispuesto en el artículo 6 del RGPD, y sin perjuicio del cumplimiento del derecho de información del artículo 13 de la misma norma.

El tratamiento de la huella digital para el control de cumplimiento de la jornada laboral ha sido indirectamente considerada por la Audiencia Nacional en sentencia de 4 de marzo de 2010, considerando que en este caso no sería preciso contar con el consentimiento de los trabajadores, sin perjuicio del ineludible cumplimiento por parte del empresario del derecho de información.

En el presente caso, se indica que los sistemas no incorporarán el dato de la huella digital sino únicamente el relacionado con un identificador numérico obtenido a partir de la misma que se almacena en las tarjetas de proximidad de los empleados.

De este modo, en el momento de acceso al edificio se utilizarán por el empleado terminales en los que será necesario tanto la aproximación de la tarjeta como la lectura de la huella digital. Es decir, el lector generará el identificador numérico de la huella que habrá de corresponderse con el de la tarjeta, entendiéndose que se ha producido el acceso al puesto de trabajo como consecuencia de la coincidencia entre el identificador generado y el que consta en la huella.

En relación con la responsabilidad solidaria de las obligaciones de naturaleza salarial y de las contraídas con la Seguridad Social, existiría una legitimación para la comunicación de datos de las personas trabajadoras entre las distintas empresas que forman la cadena de contratación que deriva del cumplimiento de una obligación legal prevista en el artículo 42 del ET.

Esta legitimación alcanzaría al  documento de cotización RNT y nóminas de las personas trabajadoras que pueden contener datos de salud y también datos relativos a la afiliación sindical del personal, siendo este último necesario para que el empleador deduzca en la nómina la cuota sindical de la persona trabajadora. La legitimación para su tratamiento, al tratarse de categorías especiales de datos personales, sería el art. 9.2.b) en relación con el art. 6.1.c) del RGPD, de manera que el tratamiento de los datos de categorías especiales resulta necesario para el cumplimiento de una obligación legal y el ejercicio de los derechos del responsable en el ámbito del Derecho laboral y de la seguridad y protección social.

En todo caso, la comunicación de datos debe respetar el principio de minimización, por lo que el acceso por parte del contratista debería limitarse a los datos relacionados con las personas trabajadoras subcontratadas y no a cualesquiera personas trabajadoras de la empresa subcontratada.

La legitimación que permitiría este tratamiento de datos personales sería, en base a lo dispuesto en el artículo 6 del RGPD, la ejecución de un contrato, teniendo en cuenta, además, que el artículo 20.3 del Estatuto de los Trabajadores establece que el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

No obstante, la existencia de esta legitimación, sin necesidad de que preste consentimiento previo el trabajador, no excluye el cumplimiento del derecho de información del artículo 13 del RGPD. De esta forma, con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

La LOPDGDD establece en su artículo 10 que los datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en la propia LOPDGDD o en otras normas de rango legal.

Por consiguiente, no es legalmente posible exigir a los candidatos a un puesto de trabajo un certificado de antecedentes penales, que no puede ser objeto de tratamiento salvo en aquellos supuestos excepcionales en que, autorizados por una Ley y con las debidas garantías se contemple dicha medida.

En este sentido existen específicas normativas que lo contemplan, por ejemplo, en lo relativo a seguridad de aeropuertos en que una norma europea de directa aplicación como es el Reglamento europeo sobre normas comunes para la seguridad de la aviación civil, impone la medida relativa a la comprobación de los antecedentes personales del personal que accede a zonas restringidas de seguridad.

En consecuencia, solamente resultará conforme a lo establecido en la LOPDGDD la solicitud de un certificado de antecedentes penales a las personas que se contraten por una entidad en el supuesto de que una Ley nacional, o una norma europea de directa aplicación, contemplen dicha medida, en otro caso, la misma resultaría contraria a lo regulado en la normativa de protección de datos.

El tratamiento del dato del correo electrónico y teléfono particulares del trabajador puede ser ignorado por el empresario, dado que ninguna norma exige que el trabajador, para la adecuada perfección de su relación contractual, haya de facilitar estos datos al empresario al que presta sus servicios.

Es decir, dicho tratamiento excedería en cuanto al mismo de lo permitido inicialmente por la normativa de protección de datos, y más concretamente, de la legitimación del artículo 6 del RGPD en base a la ejecución de un contrato. No obstante, si las circunstancias de la prestación de servicios para la empresa conllevara una disponibilidad personal del trabajador fuera de su centro u horario de trabajo, una medida más moderada e igual de eficaz para conseguir la comunicación de la empresa con el trabajador sería la puesta a disposición del mismo de un instrumento de trabajo como sería un teléfono de empresa.

En todo caso, sería posible que los afectados facilitaran los datos referentes a su e-mail y número telefónico particulares, si bien la recogida de estos datos habría de ser de cumplimentación voluntaria, previa la obtención del consentimiento del trabajador, que podrá oponerse posteriormente a su tratamiento ejerciendo los derechos de oposición o supresión.

En lo que se refiere al tratamiento de los datos de salud por los servicios de prevención según el artículo 22.1 de la Ley 31/1995, el empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo.

Si bien es voluntaria para el trabajador, de este carácter voluntario sólo se exceptuarán, previo informe de los representantes de los trabajadores, los supuestos en los que la realización de los reconocimientos sea imprescindible para evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores o para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa o cuando así esté establecido en una disposición legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad". Asimismo, y según el apartado 3 del citado artículo 22, "Los resultados de la vigilancia a que se refiere el apartado anterior serán comunicados a los trabajadores afectados".

Por último el párrafo segundo del artículo 22.4 de la Ley 31/1995 establece que "El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador", añadiendo el párrafo tercero que "No obstante lo anterior, el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva".

En consecuencia, el empresario y los órganos con responsabilidades en materia de prevención, sólo podrán acceder a las conclusiones de dicha vigilancia de la salud referidas al concepto de "apto o no apto", salvo consentimiento expreso del trabajador.

La empresa podrá habilitar el sistema que considere más adecuado y por tanto, desde la perspectiva del derecho fundamental de la protección de datos, tendrían la misma base de legitimación y no precisarían el tratamiento consensuado con los trabajadores los sistemas manuales, analógicos o digitales al efecto de generar la correspondiente prueba justificativa del registro diario de la jornada de cada trabajador, que deberá estar a disposición tanto de los propios trabajadores como de la Inspección de Trabajo y los Representantes Legales de los Trabajadores y deberá almacenarse por un periodo de 4 años.

Con carácter general y para la implementación del registro de jornada no se precisa el consentimiento del trabajador, siendo base suficiente de legitimación la propia norma laboral, que en el artículo 34.9 ET establece la obligación de las empresas de realizar dicho registro de la jornada con carácter individual de cada persona trabajadora y que, de acuerdo con lo previsto en el artículo 6.1.c del Reglamento europeo 2016/679 (RGPD), el tratamiento de datos personales de los trabajadores derivado de la implantación del registro de jornada es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. No obstante lo anterior, la existencia de una lícita condición para el tratamiento de los datos de los empleados sin necesidad del consentimiento de los trabajadores no excluye el deber de las empresas de informar a los trabajadores de la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con dicho registro.

Las empresas que sean empleadores, con relación a sus trabajadores, actuarán como responsables del tratamiento de los datos obtenidos mientras que, en su caso, los proveedores externos de los sistemas de registro actuarán como entidades encargados del tratamiento, con las obligaciones que respectivamente para entidades responsables o entidades encargadas dispone la normativa de protección de datos. Para ello se deberá suscribir el correspondiente contrato de encargo con el contenido que contempla el art. 28 RGPD.