Límites en la justicia europea al tratamiento de datos en la relación laboral también en la negociación colectiva

La justicia europea admite el margen de apreciación que la normativa europea sobre protección de datos reconoce a las partes de un Convenio Colectivo, pero dispone que el control jurisdiccional pueda recaer sobre el respeto del Convenio a todas las condiciones y límites establecidos en la norma

La Sentencia del Tribunal de Justicia de la Unión Europea de 19 de diciembre 2024, asunto MK, asunto C-65/23, aporta una nueva interpretación sobre el alcance del Reglamento General de Protección de Datos de la Unión Europea (Reglamento 2016/679, 27 de abril, DOUE, 4 de mayo, en adelante RGPD), en concreto acerca de su artículo 88. Este último señala que los Estados miembros podrán, «a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral». En la cuestión prejudicial, surgida dentro del ordenamiento alemán, se plantea la demanda de un trabajador cuyos datos personales eran tratados por la empresa a través de un programa (SAP) a efectos de contabilidad. Posteriormente, la empresa celebra varios acuerdos con el comité de empresa permitiendo que el grupo empresarial al que pertenece pueda utilizar otro programa informático (Workday) como sistema único de gestión en la nube (cloud) de la información sobre todo el personal. En este contexto, la empresa transfiere datos personales a un servidor de la matriz del grupo situado en EEUU. Entre los acuerdos firmados por el comité de empresa se encuentra el de «tolerancia» que prohíbe utilizar el nuevo programa en la gestión de recursos humanos, por ejemplo, para evaluar al trabajador, toda vez que el citado programa se halla en fase de prueba. Los datos que se podían transferir estaban previamente tasados (nombre y apellidos del trabajador, teléfono, fecha de inicio en la empresa, fecha de inicio en el grupo, lugar de trabajo, dirección de e-mail, etc.) pero se proporcionaron, además, otros distintos (datos de contacto privados, los detalles de su contrato incluida la retribución, sus números de Seguridad Social y de identificación fiscal, su nacionalidad o su estado civil, entre otros). El trabajador reclama indemnización por esta conducta empresarial de utilización innecesaria de datos personales con fines laborales.

En torno a este litigio, el órgano jurisdiccional remitente plantea tres cuestiones. La primera, si una norma nacional reguladora de los tratamientos de datos personales para fines de la relación laboral —que establece, en esencia, que tal tratamiento efectuado sobre la base de Convenios Colectivos es lícito siempre que se respete el artículo 88 del RGPD— es compatible con dicho Reglamento o si, a tal fin, el tratamiento en cuestión debe ser también conforme con el resto de disposiciones contenidas en el mismo. La segunda, si las partes de tal Convenio Colectivo poseen un margen de apreciación que solo debería ser objeto de un control judicial limitado a la evaluación de la necesidad del tratamiento en cuestión. Y, por último y en su caso, desea conocer los criterios de apreciación a los que deberá constreñir su control jurisdiccional.

La sentencia estima que la interpretación más correcta del artículo 88 RGPD es que, «aun cuando los Estados miembros se basen en este artículo para introducir, en sus respectivos ordenamientos jurídicos internos, “normas más específicas”, a través de disposiciones legislativas o de convenios colectivos, también deben cumplirse las exigencias derivadas de las demás disposiciones»(Considerando 43). Por consiguiente, una disposición nacional que tiene por objeto el tratamiento de datos personales para fines de la relación laboral y que ha sido adoptada en virtud del artículo 88 RGPD debe tener el efecto de obligar a sus destinatarios a cumplir no sólo las exigencias del citado precepto sino las del resto de la norma y principios aplicables. Asimismo, y en virtud de la primacía del Derecho de la Unión, en caso de que dicho órgano jurisdiccional llegue a la conclusión de que las disposiciones nacionales de que se trate no respetan esas condiciones y límites, deberá abstenerse de aplicarlas. A falta de normas más específicas que respeten las exigencias del referido artículo 88 RGPD, el tratamiento de datos personales en el ámbito laboral se regirá directamente por dicho Reglamento (Considerando 53). Pues «a pesar del margen de apreciación que el artículo 88 RGPD reconoce a las partes de un convenio colectivo, el control jurisdiccional ejercido sobre tal convenio, al igual que el relativo a una norma de Derecho nacional adoptada en virtud de dicha disposición, debe poder tener por objeto sin restricción alguna el respeto de todas las condiciones y límites establecidos por las disposiciones de dicho Reglamento para el tratamiento de datos personales» (Considerando 55). Es cierto que las partes de un Convenio Colectivo «se encuentran generalmente bien situadas para evaluar si un tratamiento de datos reviste un carácter necesario en un marco profesional concreto…(pero) tal proceso de evaluación no debe llevar a que dichas partes lleguen a compromisos, por razones económicas o de conveniencia, que puedan menoscabar indebidamente el objetivo del RGPD consistente en garantizar la protección, a un elevado nivel, de las libertades y los derechos fundamentales de los trabajadores en lo que respecta al tratamiento de sus datos personales» (Considerando 57). En consecuencia, no sería compatible con el Reglamento encausado una interpretación de su artículo 88 según la cual los órganos jurisdiccionales nacionales no pudieran ejercer un control jurisdiccional completo de un Convenio Colectivo, en particular con el fin de comprobar si las justificaciones alegadas por las partes en dicho Convenio acreditan el carácter necesario del tratamiento de datos personales que se deriva de él.