Convenios Colectivos vs RGPD

Convenios Colectivos vs RGPD: no todo vale, my friend: TJUE C-65/23

 

Too long, don´t read

Un convenio colectivo no puede definir lo que es tratamiento de datos «necesario» si al hacerlo rebaja la protección prevista en el RGPD para los derechos del trabajador.

Y si lo hace, es inaplicable, de acuerdo con la sentencia C-65/23 del TJUE (MK vs. K GmbH).

 

Es posible que estas afirmaciones no parezcan sorprendentes, por eso procederé a visibilizar su aplicación en dos o tres casos típicos de la confluencia entre protección de datos y derecho laboral.

 

El caso

La sentencia del TJUE trae causa de un litigio entre un trabajador (MK) y su empleador (K GmbH) en Alemania, relacionado con la transferencia de datos personales del trabajador a un servidor en Estados Unidos como parte de la implementación de un nuevo sistema de gestión de personal (vía convenio colectivo, se había reconocido la necesidad de una de estas transferencia internacionales de datos).

 

1/3.- Relevancia en transferencias internacionales de datos

La cuestión origen de la sentencia ya se las trae, porque si los trabajadores empiezan a rascar la “necesidad objetiva” de las transferencias internacionales de sus datos a estados distintos de los declarados idóneos por la Comisión Europea, y si dichas transferencias cumplen-cumplen, como todos sabemos, muchos responsables las van a pasar canutas.

Ojo: Esta pispa semana el TJUE condenó a la Comisión Europea a pagar 400 euros de indemnización a un ciudadano por la transferencia internacional sin garantías a Facebook USA de ¡¡una IP!! al loguearse en una web usando el Facebook login.

Pero las cuestiones planteadas al TJUE y su categórica resolución, van mucho más allá:

 

.- ¿Un convenio colectivo puede definir lo que es o no necesario a efectos del RGPD?

.- ¿Una disposición nacional puede introducir excepciones a los principios y obligaciones del RGPD en el caso del 88 RGPD? –Sí hay otras vías claras, como las del 23-

Y, last but not least…

.- ¿Qué pasa entonces con los que lo han hecho aunque no podían?

 

2/3.- Relevancia en controles biométricos laborales

Antecedentes: la infausta guía de control biométrico de presencia de la AEPD. Recordemos que la guía de la AEPD, haciendo una interpretación bastante pasada de vueltas de la “necesidad” de los controles biométricos en el contexto laboral, pasó a sostener lo siguiente:

 

.- El contrato laboral no sirve como base legal (art 6) de tratamiento porque, previamente, el control biométrico de jornada no cumple (art 5) el principio de proporcionalidad (la AEPD asume que siempre hay medios eficaces para la misma finalidad, pero menos intrusivos en privacidad).

.- La “obligación legal” puede funcionar como base general del art. 6, pero no como excepción del 9.2 RGPD (la habilitación de tratamientos biométricos, que como se sabe están prohibidos en principio), porque el Estatuto de los Trabajadores obliga a controlar el cumplimiento de la jornada, pero no específicamente a que ese control sea biométrico.

.- Según la AEPD la regulación del control vía convenio colectivo es una posibilidad, pero imponía nuevos requisitos: debe prever expresamente supuestos, perímetro de tratamiento, consecuencias y garantías aplicables al tratamiento… y superar el “triple juicio” de necesidad.

 

A lo que íbamos: el Bundesarbeitsgericht o TS alemán planteó tres cuestiones prejudiciales al TJUE  

«Bundesarbeitsgericht» no es imposible de pronunciar. Puede ser, de hecho, hasta divertido: simplemente métase un polvorón en la boca y lea -mejor ¡grite!- lo siguiente: “BUNDES-AGBAIT-GEGIGT”).

Simplesh

 

Primera Cuestión Prejudicial: Alcance del Artículo 88 del RGPD

¿Una disposición nacional (esto incluye tanto disposiciones legislativas como un convenio colectivo) debe cumplir no solo el artículo 88.2 RGPD, sino también los principios generales de los artículos 5, 6, apartado 1, y 9, apartados 1 y 2, del mismo?

 

La pregunta en sí misma es como para hacérselo mirar. Lo bueno de las preguntas tontas sobre cuestiones relevantes es que el TJUE se pone las botas en la sentencia.

Y este es el caso.

Afirmaciones relevantes del TJUE:

El 88 RGPD permite a los Estados miembros establecer “cláusulas de apertura”, es decir:

(…) normas nacionales específicas (más estrictas o que contengan excepciones) para la protección de datos en el ámbito laboral, pero sin eludir las obligaciones establecidas en otras disposiciones del RGPD. (35).

¿Por qué?

Porque “según reiterada jurisprudencia, el tenor de una disposición del Derecho de la Unión que, como el artículo 88 del RGPD, no contenga una remisión expresa al Derecho de los Estados miembros para determinar su sentido y su alcance debe normalmente ser objeto de una interpretación autónoma y uniforme en toda la Unión, que debe buscarse, en particular, teniendo en cuenta el tenor de la disposición en cuestión, los objetivos perseguidos por esta y el contexto en el que se inscribe”. (37).

“El artículo 88 RGPD no puede interpretarse en el sentido de que las «normas más específicas» que los Estados miembros pueden adoptar en virtud de dicho artículo puedan tener por objeto o como efecto eludir las obligaciones del responsable o del encargado del tratamiento que resultan de otras disposiciones de dicho Reglamento.” (42).

 Las “«normas más específicas», a través de disposiciones legislativas o de convenios colectivos, también deben cumplirse las exigencias derivadas de las demás disposiciones a que se refiere específicamente esta cuestión prejudicial, a saber, los artículos 5, 6, apartado 1, y 9, apartados 1 y 2, de dicho Reglamento.

Así sucede, en particular, con el cumplimiento del criterio de necesidad del tratamiento previsto por las referidas disposiciones, sobre el que se pregunta más concretamente el órgano jurisdiccional remitente”. (43)

Peo no se vayan todavía, aún hay más:

 

 

Segunda cuestión prejudicial

 

En la segunda cuestión, el BUNDESAGBAITGEGIGT venía a preguntar si lo legislado en norma específica o pactado en convenio colectivo quedaba exento de control judicial (no quiero saber qué dice la norma laboral alemana para justificar semejante pregunta).

 

El TJUE dice que cómo no, coño, que claro que es competente. Y aquí viene lo bueno:

En virtud del principio de primacía del Derecho de la Unión, en caso de que dicho órgano jurisdiccional llegue a la conclusión de que las disposiciones nacionales (recordemos: también se refiere a un convenio colectivo) de que se trate no respetan esas condiciones y límites (los principios del 5, 6 y 9 RGPD), deberá abstenerse de aplicar tales disposiciones. A falta de normas más específicas que respeten las exigencias del referido artículo 88, el tratamiento de datos personales en el ámbito laboral se rige directamente por dicho Reglamento (por el RGPD).

 

Ah, los contubernios!

Como traca final el TJUE hasta se pregunta qué podría llevar a los representantes de los trabajadores y a la patronal a pactar cosas contrarias al RGPD en perjuicio de los derechos de los interesados…

Las partes de un convenio colectivo se encuentran generalmente bien situadas para evaluar si un tratamiento de datos reviste un carácter necesario en un marco profesional concreto, ya que dichas partes poseen habitualmente amplios conocimientos sobre las necesidades propias del ámbito del empleo y del sector de actividad de que se trate. No obstante, tal proceso de evaluación no debe llevar a que dichas partes lleguen a compromisos, por razones económicas o de conveniencia, que puedan menoscabar indebidamente el objetivo del RGPD consistente en garantizar la protección, a un elevado nivel, de las libertades y los derechos fundamentales de los trabajadores en lo que respecta al tratamiento de sus datos personales.” (57)

 

En Román paladino

Uséase, que si las partes hubieran pactado en convenio colectivo no sé, por poner un ejemplo muy loco, que sí, que es necesario un control biométrico de fichaje, y ese convenio llegara a manos de un juez que entendiera como entiende la AEPD que hay alternativas menos intrusivas y por tanto no concurre necesidad en sentido estricto, el juez debería inaplicar la parte ilegal del convenio (por incumplir el art. 5: proporcionalidad y minimización de tratamiento) y el art. 9 (prohibición de tratamientos biométricos) y aplicar directamente el RGPD: ese art. 9.

Con funestas consecuencias para la empresa, que creía salvado el marrón via entente cordiale con su RLT.

 

3/3.- Relevancia en la polémica jurisprudencial española sobre control laboral por videovigilancia.

Una última cosa: Ayer mismo se cruzó otra interesante aplicación de esta sentencia (ver el post de Gerard Espuga y la versión alternativa de Adrian Todoli), sobre la movida de la obligación de información en sanciones laborales basadas en videovigilancia, En este sentido, alguien podría pensar que si, como señala Adrian Todoli, la excepción del 89 LOPDgdd no tiene soporte suficiente en el RGPD, los tribunales deberían inaplicarla por efecto del comentado principio de primacía… y exigir en todo caso el cumplimiento previo de la obligación de informar para considerar válida la prueba derivada de la videovigilancia… 

 

Conclusión

El 88 RGPD no otorga a las partes en un convenio colectivo un cheque en blanco para legitimar tratamientos de datos personales.

Se reafirma la importancia del principio de necesidad y el control jurisdiccional para garantizar un equilibrio entre los intereses de los empleadores y la protección de los derechos fundamentales de los trabajadores.

Muy buen fin de semana.

 

Jorge García Herrero

Abogado y Delegado de protección de datos