Una entidad local ostenta la condición de responsable del tratamiento en relación con el tratamiento de los datos personales que lleva a cabo, siendo, a su vez, cada uno de los entes que la conforman, responsables del tratamiento de datos personales que les competen directamente, de conformidad con lo establecido en los arts. 4.7) y 24 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).
De acuerdo al art. 25.2 RGPD, el responsable del tratamiento tiene el deber de aplicar aquellas medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para dar cumplimiento a los fines para los que se recopilaron. Esto tiene que ver con el volumen de datos personales a tratar, su extensión geográfica y temporal, así como el cumplimiento de los criterios de seguridad de la información en que se incluyen tales datos, tales como: la integridad, la confidencialidad y la disponibilidad de tales datos personales en relación con el fin específico por el cual son objeto de tratamiento.
Esta responsabilidad proactiva que corresponde desarrollar y, en su caso, demostrar al responsable, entidad local, en el tratamiento de los datos personales de sus empleados se fundamenta en los principios relativos al tratamiento de datos personales, tal y como viene recogido en el art. 5 RGPD. De hecho, las medidas de seguridad técnicas y organizativas se deben encaminar a garantizar con suficiencia la protección de los datos personales objeto de tratamiento, en la medida en que se alcance un nivel óptimo de cumplimiento normativo.
Por consiguiente, podemos decir que es de aplicación la normativa de protección de datos en la gestión de los datos personales de los empleados públicos por parte de la entidad local como empleadora, siempre teniendo presente la normativa específica aplicable. En este caso, nos referimos al Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público (TREBEP), Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, entre otras normas de ámbito autonómico y/o local.
En esta ocasión, en continuación de entradas anteriores sobre los datos identificativos de los empleados públicos, ahora recordaremos la necesidad de implementar una política de seguridad específica para la gestión habitual de los datos personales de los empleados de una entidad local; asimismo, se determinará la mejor forma de garantizar el cumplimiento normativo por parte de la entidad en el respeto del derecho a la intimidad que tiene el empleado público, el cual representa un derecho individual adquirido en el ejercicio de las funciones que impliquen la participación directa o indirecta en el ejercicio de las potestades públicas o en la salvaguarda de los intereses generales del Estado y de las Administraciones públicas, de conformidad con los arts. 9.2 y 10.5 TREBEP y 92.3 Ley 7/1985, de 2 de abril mencionada.
A este respecto, recientemente la resolución de la Agencia Española de Protección de Datos (AEPD) con número de expediente PS/00465/2021, ha evidenciado la necesidad de implementar la privacidad por defecto en el tratamiento de los datos personales de los empleados públicos, con el objetivo de encontrar un punto de equilibrio entre la gestión interna eficaz y la protección del derecho a la protección de datos de los empleados. Los hechos objeto de la presente reclamación son los siguientes:
- Publicación de datos de empleados públicos en los tablones de anuncios general del área municipal a la que tienen acceso todos los empleados adscritos al departamento.
- Entrega de documentación con datos personales de los empleados a terceras personas no autorizadas sin medidas de seguridad.
- Instalación de un sistema de videovigilancia sin cumplir con el deber de información.
En aquellas situaciones en las que se produce un cierto desequilibrio entre el interés propio de una parte y la necesidad de garantizar la protección debida de los derechos y libertades fundamentales de los interesados, conviene realizar la oportuna ponderación a partir de los principios relativos al tratamiento de datos personales.
Según el ya citado art. 5 RGPD, para que el tratamiento de datos personales se realice de manera lícita, deberá determinarse previamente cuál es la base jurídica en que se fundamenta dicho tratamiento que, en el caso de las relaciones laborales entre empleador y empleado, recae en la relación contractual entre las partes, lo que obliga a ser especialmente diligente en cuanto al cumplimiento de los principios de proporcionalidad y limitación de la finalidad de tales datos personales. Asimismo, el tratamiento por parte del empleador responderá al cumplimiento de una obligación de la legislación específica de aplicación antes mencionada y, en su caso, en la satisfacción del interés legítimo del empleador, siempre que este no prevalezca sobre los derechos y libertades fundamentales de los interesados empleados, tal y como se adelantó en una entrada anterior de este blog al respecto de los datos identificativos y el deber de transparencia de los empleados públicos.
La cuestión principal de la resolución recae, por tanto, en qué datos de los empleados públicos son necesarios para garantizar el cumplimiento de la finalidad de gestión organizativa y, al mismo tiempo, cumplir con la debida confidencialidad al respecto de los mismos.
En este punto, el criterio de la AEPD se ciñe al cumplimiento de los principios relativos al tratamiento de datos, concretamente, al recordar que los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (artículo 5.1.c RGPD). Este principio, denominado minimización de datos, debe ser el principal fundamento de la gestión de los datos personales de los empleados públicos, directamente relacionado con el principio de limitación de la finalidad, que consiste en que los datos personales sean recogidos con un fin determinado, explícito y legítimo, no siendo ulteriormente tratados para un fin incompatible con el inicial.
Directamente relacionado con esta vulneración de los principios de minimización y limitación de la finalidad del tratamiento, el hecho de que se haya puesto a disposición de terceros no autorizados información confidencial sobre otra persona física identificada o identificable a partir de los datos personales contenidos en la misma, entraña un conflicto con el criterio de confidencialidad del art. 5.1.f) RGPD e, indirectamente, con el art. 32 RGPD relativo a las medidas de seguridad, técnicas y organizativas, que deberán implementarse a efectos de garantizar el cumplimiento de los criterios de seguridad de los datos personales a cargo y por cuenta de la entidad local. De hecho, el art. 32.1.b) RGPD recuerda la obligación del responsable de implementar, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos implicados, todas aquellas medidas técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas de información.
En suma, de acuerdo con el art. 25 RGPD, la privacidad por defecto supone que el responsable llevará a cabo el tratamiento de datos personales que tenga un menor impacto intrusivo en la privacidad de los interesados y que garantice la protección de los principios relativos al tratamiento esbozados. En esta línea, cabe hacer referencia a la Guía de protección de datos por defecto de la AEPD, concretamente, en lo relativo a la limitación de la accesibilidad de los datos personales objeto de tratamiento para garantizar la debida confidencialidad de los mismos y determinar el grado de accesibilidad de terceros, tal y como se incluye entre las diferentes medidas que plantea la AEPD en su listado de medidas complementarias para la protección de datos por defecto que, en todo caso, deberá adecuarse a la casuística de aplicación.
A continuación, se recoge la clasificación de las medidas de seguridad recomendadas en su aplicación a los hechos objeto de sanción por el presente informe:
Privacidad por defecto en la gestión de empleados
Hecho denunciado | Medida correctora desde privacidad por defecto |
Publicación de datos de empleados públicos en el tablón de anuncios del área municipal a la que tienen acceso todos los empleados adscritos al departamento | – Diseño y ubicación de los espacios en que se localizan los tablones informativos que incluyan datos personales dirigidos exclusivamente a los empleados interesados no accesibles por terceros. – Utilizar exclusivamente los datos identificativos del empleado que sean necesarios para cumplir con la finalidad para la que se recabaron (limitación de la finalidad) y que los datos personales sean adecuados pertinentes y limitados a lo necesario en relación con dicha finalidad para la que son tratados (minimización de datos) Medida correctora: Núm. DNI/Núm. identificativo empleado público + régimen de turno de servicios. |
Entrega de documentación con datos personales de los empleados a terceras personas no autorizadas sin medidas de seguridad. | – Utilizar canales de comunicación corporativos de carácter restringido (área privada) y limitado su acceso a personal autorizado. Preferentemente, enviar esta información a través de canales de comunicación directa y privados entre el empleador y el empleado. – En defecto de las anteriores, la misma se puede ubicar en el tablón de anuncios a empleados del ente responsable, ubicado en un área restringida de acceso solo a personal autorizado y en cumplimiento del principio de minimización. Medida correctora: – Creación de un entorno virtual privado para la gestión de los recursos humanos de la entidad local y el envío de comunicaciones internas con la posibilidad de enviar mensajería privada y alta de confirmación de recepción de comunicaciones a través de un registro de la trazabilidad de los mensajes (registro fecha de recepción y apertura y solicitud de confirmación de recepción). – Acceso al área privada por los empleados públicos a través de autenticación y bloqueo automático de sesión; definición y configuración de perfiles de acceso y asignación granular de privilegios de acceso; asignación de perfiles de acceso a los usuarios en función del rol de usuario en la organización para cada fase del tratamiento de los datos; configuración de la recepción de avisos cuando la información personal se encuentra accesible a terceros; deshabilitación o anulación selectiva de funcionalidades limitada al tratamiento de aplicación, entre otras definidas en la Política de seguridad del uso de la plataforma interna. – En ausencia de área privada, envío de comunicación en un archivo cifrado a través de correo electrónico, haciendo uso de la copia oculta en caso de múltiples destinatarios. – Solo en ausencia de los anteriores, en caso de comunicación en soporte físico (correo postal): sobre cerrado y precintado con registro de envío y recogida. |
Instalación de un sistema de videovigilancia sin cumplir con el deber de información. | Ubicar en lugar visible y como mínimo en todos los accesos a las zonas videovigiladas del distintivo en correctas condiciones donde se especifique, en un lenguaje claro y sencillo y en un formato apto para su comprensión por todos los públicos, la siguiente información: Existencia del tratamiento (videovigilancia)Identidad del responsable del tratamiento y la dirección Información sobre la posibilidad de ejercitar los derechos en materia de protección de datosInformación adicional indicando la vía de acceso a dicha información (página web y/o dirección social). Asimismo, el responsable pondrá a disposición de los interesados que lo requieran toda la información adicional sobre el tratamiento de videovigilancia. Toda la información sobre este tratamiento de datos personales deberá constar en el Registro de Actividades del Tratamiento del responsable conforme al art. 30 RGPD. |
Atendiendo a la Guía sobre la protección de datos en las relaciones laborales de la AEPD, cabe suponer cierta expectativa de razonabilidad sobre la tipología de datos personales que resultan necesarios para llevar a efecto la ejecución del contrato y/o la implementación de medidas precontractuales en el ámbito laboral, así como el cumplimiento de una obligación legal relativa a la contratación de los empleados públicos, tales como datos identificativos, datos de características personales y profesionales e inclusive, en determinados supuestos, determinadas categorías especiales de datos como los datos de salud, grado de discapacidad, etc.
Sin perjuicio de lo anterior, el empleador debe garantizar el cumplimiento de los principios relativos al tratamiento de datos en cuanto al tratamiento de datos para una finalidad ulterior que, aunque se engloba dentro de la relación laboral que une a las partes, impele al responsable del tratamiento a garantizar, durante todo el proceso del tratamiento de los datos personales, la confidencialidad de los datos de los empleados públicos, y su limitación de la finalidad y minimización de los datos objeto de tratamiento, así como garantizar que tales datos personales no resultan accesibles por terceros no autorizados, entendiendo que la difusión de datos personales a terceros ajenos al empleado persona física cuyos datos son objeto de tratamiento supone el acceso no autorizado a los datos personales del empleado.
En conclusión, deberán ser objeto de tratamiento exclusivamente los datos personales de los empleados que sean necesarios para lograr el propósito para el que se recopilaron, procurando utilizar el sistema menos invasivo para la privacidad de los empleados, por el que se garantice la proporcionalidad de dicho tratamiento con los derechos y libertades fundamentales del interesado para cumplir con la finalidad inicial.
La privacidad por defecto debe servir de fundamento a la hora de determinar el alcance y el impacto de un tratamiento de datos personales sobre los derechos de los interesados y otras terceras personas que pudieran verse afectadas por el mismo una vez se ha demostrado que el tratamiento de datos personales entraña un riesgo inherente grave para los interesados afectados.