Datos personales de trabajadores en el marco de un ERTE: sanción de la AEPD por infringir la LOPD
Varios miembros de una Comisión Negociadora de una compañía que presentó un Expediente de Regulación Temporal (ERTE) en la delegación del aeropuerto de Palma de Mallorca, denunciaron a la empresa ante la Agencia Española de Protección de Datos (AEPD) por vulneración de la normativa de protección de datos (Ley Orgánica de Protección de Datos Personales, LOPD).
En concreto, el día que tuvo lugar la reunión de entrega de documentación relativa del procedimiento ERTE a los miembros de la Comisión Negociadora, se les facilitó la información en dispositivos de almacenamiento de datos USB. Las memorias USB contenían dos archivos denominados: «Personal afectado por el ERTE» y «Personal no afectado por el ERTE», con datos personales de la plantilla de trabajadores fijos de la empresa.
Según los denunciantes (miembros de la comisión negociadora) ninguno de los trabajadores incluidos en esos listados fueron consultados ni se les solicitó el consentimiento para la cesión de dichos datos personales, así como tampoco se les solicitó a los tres denunciantes. Los denunciantes entendían que a pesar del sigilo profesional al que se deben los miembros de la Comisión Negociadora por ser delegados sindicales, los datos facilitados NO eran necesarios para la negociación del ERTE como DNI/NIF, dirección postal personal, nº de cuenta bancaria, nº de afiliación a la seguridad social, teléfonos, fecha de nacimiento y datos salariales, y que no son necesarios al no ser un expediente de regulación temporal por causas económicas.
Datos excesivos
La AEDP entiende en su resolución (Resolución R/00597/2018, de terminación del procedimiento por pago voluntario, de fecha 13 de abril de 2018) que la compañía ha cometido una infracción del artículo 4.1. de la LOPD que señala que: “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.
En su resolución, la Agencia de Protección de Datos considera que la compañía ha proporcionado datos personales excesivos de los empleados a la Comisión Negociadora del ERTE para la finalidad de su tramitación, tal como expone el art. 4.1 de la LOPD. En la resolución, se explica que tras las evidencias obtenidas en la fase de investigaciones previas «se considera, de conformidad con el art. 45.5 LOPD, que procede la aplicación de la escala de sanciones que precede inmediatamente en gravedad a aquella en que se integra la considerada en el presente caso, por la concurrencia del supuesto previsto en el punto a) del citado artículo que establece que ‘cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo'».
La AEPD concluye que «a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de octubre y art. 127 letra b) del RLOPD, la sanción que pudiera corresponder sería de 15.000
euros, sin perjuicio de lo que resulte de la instrucción«.
