No explico nada nuevo cuando indico que el consentimiento no debería considerarse como base legitimadora para los tratamientos de datos de los empleados. Esto es debido a que el consentimiento ha de ser otorgado de forma libre por parte del individuo y esto no es compatible con la posición de poder que ostenta el empleador frente al empleado. De esta manera, difícilmente se podrá obtener un consentimiento de un trabajador que cumpla los requisitos del Reglamento General de Protección de Datos (RGPD).
Asimismo, que el RGPD prevea la posibilidad de retirar el consentimiento en cualquier momento confirma aún más que no se trata de una base legitimadora idónea. Si estás basando todo el tratamiento de datos del empleado en el consentimiento y éste lo retira, ¿cómo vas a poder pagar su nómina o desarrollar las actividades cotidianas de recursos humanos sin sus datos? Sin necesidad de ningún elemento más, esto ya nos indica que este planteamiento es erróneo. De hecho, antes del RGPD, incluso en algunas jurisdicciones «consentimiento-centristas», como era la española, las leyes nacionales preveían otras bases legitimadoras para el tratamiento de datos de empleados (por ejemplo, art. 6.2 de la antigua LOPD).
Esto ha sido confirmado a lo largo de los años por parte del Grupo de Trabajo del Artículo 29 y, a raíz de esto, por parte de numerosas autoridades de protección de datos, como la ICO británica o las diferentes autoridades alemanas. De hecho, en mi experiencia trabajando en el Reino Unido, la obtención del consentimiento del trabajador para tratamiento de datos es algo que en la práctica se encuentra ampliamente rechazado. Por tanto, podemos afirmar categóricamente que el consentimiento del empleado no es válido. Pero ¿es esta regla general aplicable a todos los casos?
Como bien sabemos, el artículo 6 del RGPD incluye el listado de bases legitimadoras que podemos utilizar para los tratamientos de datos. Entre ellas, se encuentra que el tratamiento sea necesario para ejecutar un contrato en el que el individuo sea parte (art. 6.1.b RGPD). Esta base legitimadora parece perfecta ya que, a menos que estés desarrollando alguna clase de actividad fuera de la legalidad, debería existir un contrato de trabajo firmado con el empleado que serviría para legitimar la mayoría de los tratamientos derivados del mismo.
Sin embargo, debe tenerse en cuenta que el RGPD es muy claro cuando dice que el tratamiento podrá basarse en dicha base legitimadora cuando sea estrictamente “necesario” para la ejecución del contrato o la aplicación de medidas previas al contrato. Desafortunadamente, cuando uno se pone a listar todos los tratamientos de datos que una empresa lleva a cabo en relación con el empleado, casi siempre hay alguno que no cumple este principio de «necesidad». Voy a poner un ejemplo muy concreto: tomar fotos del trabajador para publicarlas en la página web de la empresa. ¿Es este tratamiento realmente “necesario” para la ejecución del contrato de trabajo? En principio no lo parece.
En este tipo de casos, siempre podemos intentar acudir a la base legitimadora conocida como “interés legítimo”, pero sinceramente no veo que el interés de tener la fotografía del empleado en una web pueda prevalecer sobre los derechos y libertades del individuo. Al fin y al cabo, una persona debería poder decidir si su rostro se difunde por el ciberespacio o no, especialmente cuando esta difusión esta relacionada con una marca o empresa concreta.
Sentado lo anterior, ¿por qué el consentimiento del empleado no habría de ser válido en estas situaciones si se configura adecuadamente?
Cuando vemos todas las guías del Grupo de Trabajo del Artículo 29 (actualmente Consejo Europeo de Protección de Datos) y de las autoridades de protección de datos, podemos ver claramente como no existe un rechazo categórico del consentimiento como base legitimadora con respecto al empleado, sino que explican su poca idoneidad en numerosos supuestos. Sin embargo, no excluyen la posibilidad de que se pueda generar una situación por parte del empleador en la que, tomando una serie de medidas, se pueda obtener consentimiento del empleado de forma válida.
Siguiendo con el ejemplo de la obtención de la imagen del trabajador para publicarla en el sitio web, imaginemos que damos la posibilidad a los empleados de decidir libremente si quieren que se muestre su fotografía o no, indicando expresamente que no hay ninguna consecuencia negativa en caso de no otorgar su consentimiento y se le da la posibilidad de retirarlo en cualquier momento. Asimismo, nos encargamos de asegurar que no existe ninguna clase de presión y que los empleados que sí han otorgado el consentimiento no cuentan con ningún tipo de trato preferencial o ventajoso. En mi opinión, en este supuesto el consentimiento del empleado podría ser válido, insisto, haciendo especial hincapié en que no existan consecuencias negativas por no prestarlo, de manera que el empleado no se sienta obligado a otorgarlo solo para contentar al empleador.
Con todo esto no estoy queriendo decir que el consentimiento del empleado sea válido para cualquier cosa. Todo lo contrario, es una figura que evidentemente presenta serias dificultades en la práctica. No obstante, existen situaciones en las que podría ser una opción para legitimar ciertos tratamientos que no encajen en otras bases legitimadoras. Por tanto, recordemos que ni lo blanco es tan blanco ni lo negro es tan negro: visualicemos, exploremos y disfrutemos la escala de grises.
