¿Es el Comité de Empresa un encargado del tratamiento?

En nuestra experiencia, un gran número de organizaciones se plantean de modo recurrente si  deben suscribir contratos de encargado de tratamiento con el Comité de Empresa y/o sus Delegados Sindicales, dado el acceso por los mismos a datos personales de los trabajadores.

Y es que, en no pocos casos, encontramos que las empresas tienen registrados al Comité y a sus Delegados de manera errónea como encargados del tratamiento en sus registros de actividad del tratamiento (RAT).

La confusión es muy lógica, dado que estos órganos representativos en cierto modo prestan servicios también al empresario, al poder ser consultados por el mismo.

Para aclarar esta cuestión, debe considerarse en primer lugar que el Comité de Empresa carece de personalidad jurídica, por lo que no tiene capacidad jurídica para ser sujeto de deberes y obligaciones, no pudiendo ser propiamente considerado ni encargado del tratamiento, ni responsable, no estando legitimado por tanto para firmar contratos de ningún tipo.

Al recibir la información personal que solicitan, los miembros del Comité de Empresa se convierten en consecuencia, en una nueva categoría de destinatarios o cesionarios de  datos, de los que la empresa deberá informar a sus empleados e incluir en sus RAT.

Tratamiento de Datos por el Comité de EmpresaDeber de sigilo

Por otro lado, los miembros del Comité de Empresa están sujetos a deberes de confidencialidad y secreto específicos (“deber de sigilo”) establecidos en los apartados 2º y 3º del artículo 65 del Estatuto de los Trabajadores (“ET”) respecto a la información que les haya sido expresamente comunicada con carácter reservado por la empresa o el centro de trabajo.

Dichas normas establecen además, de forma expresa, que  ningún tipo de documento facilitado al Comité de Empresa puede utilizado para fines distintos de los que motivaron su entrega, ni para funciones que excedan de su ámbito de competencia.

Este mismo deber de sigilo resulta de aplicación a los Delegados Sindicales por remisión del artículo 10.3.1º de la Ley de Libertad Sindical.

El problema con el que nos encontramos es que dichas normas, no cubren por completo la obligación de velar por la seguridad de la información a la que están obligadas las empresas en su condición de responsables del tratamiento.

 

¿Cómo puedo proteger la seguridad de los datos personales que cedo?

Para minar el riesgo indicado, como medida de responsabilidad proactiva, resulta recomendable que las empresas, si lo desean, hagan suscribir de manera individual a cada uno de los miembros del Comité de Empresa y de los Delegados Sindicales un Compromiso de confidencialidad específico (NDA).

De esta forma la empresa podrá reforzar los deberes de sigilo referidos (p.ej. incluyendo potentes cláusulas penales) y aprovechar para regular  las medidas técnicas y organizativas a aplicar en los tratamientos de los datos personales comunicados.

 

¿Estoy obligado a comunicar datos personales al Comité de Empresa?

Otra de las consultas frecuentes con la que nos encontramos, es hasta qué punto el empresario está obligado a facilitar al Comité información que contenga datos personales de sus trabajadores y en qué casos se podría negar a entregar la misma, en base a la normativa vigente de protección de datos.

El artículo 64 del ET establece el catálogo de derechos de información y de competencias del Comité de Empresa, estableciendo en qué casos está legitimado a recibir información  por parte del empresario sobre  los trabajadores.

En dicho artículo se define el “derecho de información” como <<la transmisión de datos por el empresario al comité de empresa, a fin de que éste tenga conocimiento de una cuestión determinada y pueda proceder a su examen>>.

La polémica se presenta cuando la información solicitada incluye datos de trabajadores identificados o identificables y cuando además la empresa tiene sospechas fundadas de que la información solicitada excede de las funciones de vigilancia y control que el Comité de Empresa o los Delegados Sindicales tienen encomendadas.

 

Solicitudes de información genéricas

Debe tenerse en cuenta que en muchos casos dicho listado de información es abstracto y no establece de forma clara si la misma debe incluir datos identificativos de los trabajadores. Por citar algunos ejemplos:

– información sobre planes de formación profesional en la empresa,

-estadísticas sobre el índice de absentismo y las causas, accidentes de trabajo acaecidos, enfermedades profesionales y sus consecuencias,

-medidas  para fomentar la igualdad,

-decisiones adoptadas sobre reestructuraciones de plantilla y ceses totales o parciales,

-decisiones sobre implantación y revisión de sistemas de organización y control del trabajo.

Para valorar esta cuestión, las empresas deberán consultar asimismo los convenios colectivos aplicables, dado que éstos pueden contener disposiciones específicas y/o adicionales sobre los derechos de información y consulta que corresponden al Comité de Empresa.

 

¿Entonces…cómo legitimo el envío de datos personales al Comité de Empresa?

Podemos encontrarnos dos situaciones diferentes:

-Si la información solicitada se encuentra claramente recogida entre los derechos de información reconocidos en el ET o en los convenios aplicables,  la comunicación de datos personales será obligatoria y estará legitimada en el cumplimiento de obligaciones legales que afectan a la empresa en su condición de responsable del tratamiento.

P. ej., comunicar las copias básicas de los contratos o proporcionar el censo electoral para la celebración de elecciones.

-Sin embargo, en caso de que la información solicitada exceda claramente de las competencias legalmente atribuidas al Comité de Empresa y/o a los Delegados Sindicales, la comunicación de datos personales por parte del empresario tendrá carácter voluntario.

P.ej. la intermediación del Comité de Empresa en la gestión de la contratación de pólizas de seguro de salud para trabajadores como medida de retribución flexible ofrecida por la empresa, o  la iniciativa de felicitar el cumpleaños a los trabajadores.

En este segundo tipo de casos, para que la cesión de datos al Comité de Empresa o a los Delegados Sindicales sea legítima, será preciso que la empresa informe previamente a sus trabajadores de la finalidad del tratamiento y de los destinatarios de sus datos  y que recabe su consentimiento expreso y por escrito.

Resultará fundamental asimismo guardar evidencias que acrediten haber cumplido dichas obligaciones (principio de responsabilidad proactiva).

 

¿Debo incluir necesariamente datos personales?         

Por último, en base al principio de minimización de datos, recomendamos a las empresas que utilicen técnicas de disociación, o cifrado en aquellos casos en los que consideren que la información solicitada no precisa incluir datos personales para cumplir la finalidad pretendida. De esta forma podrán cumplir sus obligaciones legales, preservando a su vez la privacidad e intimidad de sus empleados.

Recomendamos por último consultar previamente al Delegado de Protección de Datos, en caso de que se tenga designado y, en casos de especial dificultad técnica o interpretativa, a la AEPD.

 

Concluyendo

Ante consultas de envío de información del Comité de Empresa se deberá valorar por la empresa:

(i) si procede dar curso a la información solicitada en base al listado de competencias atribuidas por Ley y convenios;

(ii) si resulta realmente necesario incluir en dicha información datos personales en la misma y cuáles;

(iii) si ha informado a sus trabajadores previamente de dichas cesiones mediante la correspondiente cláusula informativa;

(iv) si procede recabar el consentimiento de los empleados y, en  caso afirmativo, solicitarlo por escrito (guardando evidencias);

(v)  hacer suscribir acuerdos de confidencialidad específicos regulando medidas técnicas y organizativas de seguridad.

 

¿Necesitas ayuda?

En Elece Legal, estamos especializados en adecuación a la vigente normativa de protección de datos personales. Puedes plantearnos tu consulta haciendo clic aquí.