Nuestra Autoridad de control, la Agencia Española de Protección de datos (en adelante, AEPD), ha considerado que la Central Sindical Independiente de funcionarios (CSIF) ha cometido una infracción del articulo 5 del Reglamento General de Protección de datos, que recoge los principios que rigen en materia de protección de datos, en relación con el articulo 5 de la Ley Orgánica de Protección de Datos (LOPDGDD) que regula la confidencialidad. Este incumplimiento deriva, finalmente, en una sanción pecuniaria, por parte de la AEPD a la entidad.
Lo cierto es que no es la primera vez que la AEPD debate sobre la ponderación entre la libertad sindical y la protección de datos, hay una extensa variedad de resoluciones de la AEPD en esta línea (PS/00310/2011, PS/00303/2012, PS/00222/2014).
Centrándonos en el caso que nos ocupa y tal y como se explica en los antecedentes de la resolución PS/00274/2019, la delegada sindical del CSIF decidió publicar en un grupo abierto de WhatsApp en el que se encontraban casi todos los trabajadores de la Unidad Central de Radiodiagnóstico de la Comunidad de Madrid, un listado del censo electoral que era de publicidad exclusiva para los sindicatos y en los que figuraban datos como el DNI de todos los votantes que formaban el personal estatutario.
Una vez recibida la reclamación, se procedió por parte de la AEPD a realizar las pertinentes investigaciones para el esclarecimiento de los hechos alegados por la reclamante, así como el requerimiento, tanto a denunciante como denunciado, de los correspondientes informes para determinar finalmente las posibles responsabilidades.
La AEPD decidió admitir a trámite la reclamación presentada después de que el Delegado Sindical de CSIF esgrimiera sus argumentos en base a los artículos 14 y 18 del RD 1846/1994 por el que se aprueba el Reglamento de elecciones del personal al servicio de las Administraciones Publicas alegando la accesibilidad de los datos a través de internet. Alega, el DPD, que la comunicación se realizó por WhatsApp en el marco de un proceso de elecciones sindicales amparado por el artículo 28 de nuestra Constitución española, y bajo petición de varios integrantes del grupo, que alegaban tener dificultades para acceder a la intranet.
Dicho lo cual, ¿Cuál es la fundamentación que esgrime la AEPD en la mencionada cuestión?
1. En primer lugar, una infracción del artículo 5 del RGPD, en concreto del principio de seguridad del tratamiento, y en base al cual se establece que los datos personales deberán ser tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas (…).
2. En segundo lugar, e íntimamente ligado al anterior, el artículo 5 de la LOPDGDD donde se señala que: Los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del RGPD.
Este deber de confidencialidad debemos entenderlo con la finalidad de evitar que se realicen filtraciones de los datos, no consentidas por parte de los titulares de los mismos. Esta obligación, además, incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y que resulte complementaria del deber de secreto profesional.
3. En tercer lugar, y en virtud del principio de licitud del tratamiento de los datos recogido en el artículo 5.1 del RGPD, el tratamiento de los datos personales del reclamante llevado a cabo solo sería lícito en tanto en cuanto se cumpla alguna de las causas legitimadoras del artículo 6.1 del RGPD. En este caso la AEPD determina que no existe base legal, basada en el consentimiento, que legitime la publicación de los datos en un grupo abierto de WhatsApp con el nº de DNI de los participantes dado que la reclamante se opone al mismo.
Tras la fundamentación alegada, parece que nos encontramos ante una situación donde se pondera el derecho a la libertad sindical y el derecho a la protección de datos y donde concurren el interés legítimo en el tratamiento de los datos (por ser información de relevancia pública/interés general de los trabajadores) y la oposición al consentimiento por parte de la denunciante.
En este caso, la responsabilidad en la publicación de los datos recae en la mesa electoral realizándose la misma en el tablón de anuncios a efectos de rectificar posibles errores. Es más, el propio ejercicio de la actividad sindical implica promover elecciones, presentar candidaturas, realizar la campaña electoral y la publicación de un censo, hasta aquí ninguna intromisión en cuanto a protección de datos se refiere. Sin embargo, para lo acontecido no existe base legal ni siquiera desde el punto de vista del interés legítimo en publicar en la citada red social dichos datos persiguiendo únicamente la satisfacción del derecho a la libertad sindical.
Dicho derecho ya se ha materializado con lo trascrito anteriormente, sin ser en absoluto necesaria la publicación de dichos datos personales en la red social lo que implica un claro menoscabo de la privacidad de la demandante.
De conformidad con lo argumentado por la AEPD, la información facilitada no es pertinente para con los fines del citado derecho fundamental, siendo incluso excesivo el hecho de incluir un dato personal como es el DNI. Este hecho supone, consecuentemente, una vulneración del principio de integridad y confidencialidad concluyendo en un tratamiento ilícito en base a los arts. 5.1.f en relación con el art 6.1 del RGPD.
Dicha conducta se encuentra tipificada en el art. 83.5.a) del RGPD, como infracción muy grave. Pese a ello, se decide imponer al CSIF una sanción de tres mil euros una vez valorada la situación concreta bajo los parámetros que sigue la AEPD (gravedad, intencionalidad, duración, reincidencia etc.…) para la imposición de sanciones.
Se concluye por tanto que ningún derecho fundamental es ilimitado, sino que encuentran sus límites en otros bienes y derechos constitucionalmente protegidos, por lo que no puede afirmarse que, para el ejercicio del derecho a la libertad sindical, pueda disponerse de manera incondicional de los datos personales de un tercero ni que los mismos puedan utilizarse sin limitaciones. En el caso que hoy hemos analizado, queda claro que los intereses perseguidos por la entidad CSIF no prevalecen sobre los derechos y libertades fundamentales del interesado, es decir, que una vez han sido ponderados los intereses en juego debe prevalecer la privacidad del reclamante sobre el derecho a la libertad sindical.