Employee consent is not valid

El consentimiento del empleado no es válido… ¿o sí?

No explico nada nuevo cuando indico que el consentimiento no debería considerarse como base legitimadora para los tratamientos de datos de los empleados. Esto es debido a que el consentimiento ha de ser otorgado de forma libre por parte del individuo y esto no es compatible con la posición de poder que ostenta el empleador frente al empleado. De esta manera, difícilmente se podrá obtener un consentimiento de un trabajador que cumpla los requisitos del Reglamento General de Protección de Datos.

Asimismo, el hecho de que el RGPD prevea la posibilidad de retirar el consentimiento en cualquier momento confirma aún más que no se trata de una base legitimadora idónea. Si estás basando todo el tratamiento de datos del empleado en el consentimiento, y éste lo retira, ¿cómo vas a poder pagar su nómina o desarrollar las actividades cotidianas de recursos humanos sin sus datos? Sin necesidad de ningún elemento más, esto ya nos indica que este planteamiento es erróneo. De hecho, antes del RGPD, incluso en algunas jurisdicciones consentimiento-centristas, como era la española, las legislaciones nacionales preveían otras bases legitimadoras para el tratamiento de datos de empleados (por ejemplo, art. 6.2 de la antigua LOPD).

Esto ha sido identificado a lo largo de los años por parte del Grupo de Trabajo del Artículo 29 y, a raíz de esto, por parte de numerosas autoridades de protección de datos, como la ICO británica o las diferentes autoridades alemanas. De hecho, en mi experiencia trabajando en el Reino Unido, la obtención del consentimiento del trabajador para tratamiento de datos es algo que en la práctica se encuentra ampliamente rechazado. Por tanto, podemos afirmar categóricamente que el consentimiento del empleado no es válido. Pero ¿es esta regla general aplicable a todos los casos?

Como bien sabemos, el artículo 6 del RGPD incluye el listado de bases legitimadoras que podemos utilizar para los tratamientos de datos. Entre ellas, se encuentra que el tratamiento sea necesario para ejecutar un contrato en el que el individuo sea parte (art. 6.1.b RGPD). Esta base legitimadora parece perfecta ya que, a menos que estés desarrollando alguna clase de esclavismo o actividades forzadas clandestinas, deberías tener un contrato firmado con tu empleado que serviría para legitimar la mayoría de los tratamientos derivados del mismo.

Sin embargo, debe tenerse en cuenta que el RGPD es muy claro cuando dice que el tratamiento podrá basarse en dicha base legitimadora cuando sea estrictamente “necesario” para la ejecución del contrato o la aplicación de medidas previas al contrato. Desafortunadamente, cuando uno se pone a listar todos los tratamientos de datos que una empresa lleva a cabo en relación con el empleado, casi siempre hay alguno que no cumple este principio de «necesidad». Voy a poner un ejemplo muy concreto: tomar fotos del trabajador para publicarlas en la página web de la empresa. ¿Es este tratamiento realmente “necesario” para la ejecución del contrato de trabajo? Pues no, la verdad.

En este tipo de casos, siempre podemos intentar acudir al comodín del “interés legítimo”, pero sinceramente no veo que el interés de tener el jeto de tu empleado en tu sitio web se pueda anteponer a los derechos del individuo. Al fin y al cabo, una persona debería poder decidir si su rostro se difunde por el ciberespacio o no, especialmente cuando esta difusión esta relacionada con una marca o empresa concreta.

Sentado lo anterior, ¿por qué el consentimiento del empleado no habría de ser válido en estas situaciones? A veces me siento solo en el mundo cuando veo que la mayoría de la gente interpreta que todo es blanco o negro. Quizá es defecto profesional, pero yo no dejo de visualizar una inmensa escala de grises, también en este caso.

Cuando vemos todos los textos del Grupo de Trabajo del Artículo 29 y de las autoridades de protección de datos, podemos ver claramente como no existe un rechazo categórico del consentimiento como base legitimadora con respecto al empleado, sino que explican su poca idoneidad en numerosos supuestos. Sin embargo, no excluyen la posibilidad de que se pueda generar una situación por parte del empleador en la que, tomando una serie de medidas, se pueda obtener consentimiento del empleado de forma válida.

Siguiendo con el ejemplo de la obtención de la imagen del trabajador para publicarla en el sitio web, imaginemos que damos la posibilidad a los empleados de decidir libremente si quieren que se muestre su fotografía o no. De esta manera, lo configuramos de tal forma que se le indica que no hay ninguna consecuencia negativa en caso de no otorgar su consentimiento y se le da la posibilidad de retirarlo en cualquier momento. Asimismo, nos encargamos de asegurar que no existe ninguna clase de presión y que los empleados que sí han otorgado el consentimiento no cuentan con ningún tipo de trato preferencial o ventajoso. En mi opinión, en este supuesto el consentimiento del empleado podría ser válido, insisto, haciendo mucho hincapié en que no existan consecuencias negativas por no prestarlo, de manera que el empleado no sienta “presión” a darlo para contentar al empleador.

Con todo esto no estoy queriendo decir que el consentimiento del empleado sea válido para cualquier cosa. Todo lo contrario, es una figura que evidentemente presenta serias dificultades en la práctica. No obstante, existen situaciones en las que podría ser una opción para legitimar ciertos tratamientos que no encajen en otras bases legitimadoras. Como siempre he pensado, ni lo blanco es tan blanco ni lo negro es tan negro. Visualicemos, exploremos y disfrutemos la escala de grises.

Compartir:
Escrito por Jose Caballero Gutierrez
Abogado especializado en tecnología, medios y privacidad. Associate en Promontory (UK). Antes en PwC y ECIJA. Escribo sobre Derecho, internet, estrategia e innovación.