El derecho a la protección de datos de los empleados públicos: similitudes y peculiaridades en comparación con los trabajadores por cuenta ajena

El trabajo analiza el derecho a la protección de datos de los empleados públicos tras la publicación de nueva Ley Orgánica que regula dicho derecho. Será denominador común del trabajo la cuestión de si bienes jurídicos como el “interés público” o la sujeción especial que vincula a los empleados públicos con las AAPP interfieren, y cuánto, en el ejercicio pleno del derecho a la protección de datos de aquellos.

Edurne Terradillos Ormaetxea es Profesora Titular de Derecho del Trabajo y de la Seguridad Social UPV/EHU

El artículo se publicó en el número 54 de la Revista General de Derecho del Trabajo y de la Seguridad Social (Iustel, noviembre 2019)

RESUMEN: El trabajo analiza el derecho a la protección de datos de los empleados públicos tras la publicación de nueva Ley Orgánica que regula dicho derecho. Será denominador común del trabajo la cuestión de si bienes jurídicos como el “interés público” o la sujeción especial que vincula a los empleados públicos con las AAPP interfieren, y cuánto, en el ejercicio pleno del derecho a la protección de datos de aquellos. Desde una perspectiva general, el trabajo se enfoca a la transposición de la nueva normativa de protección de datos al ámbito del empleo público, subrayando las deficiencias en que ha podido incurrir el legislador en comparación con los trabajadores por cuenta ajena, y realizando una labor interpretativa y sistemática de aquéllas con el objetivo de aportar algunas propuestas. Desde una perspectiva más concreta, el trabajo analiza el estado de la cuestión del derecho a la protección de datos personales cuando estos se tratan “en el ejercicio de los poderes públicos” (registros del personal que maneja la Administración para la ordenación de sus recursos humanos, tratamiento de datos para el control de la actividad laboral, etc.), pasando al final a explorar la dimensión del tratamiento “para el cumplimiento de una misión realizada en interés público” (publicación de datos personales de los empleados públicos a fin de colmar los principios de transparencia y buen gobierno o el principio de reutilización de los datos públicos).

I. INTRODUCCIÓN (1)

La recientemente publicada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) que desarrolla el Reglamento General de Protección de Datos (RGPD) (2) prevé varias disposiciones aplicables al ámbito del sector público. Los datos personales de los empleados públicos necesitan ser tratados(3), en general, a los efectos de planificar los recursos humanos de la Administración, pero también a los efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de los dispositivos digitales puestos a su disposición. Los mecanismos utilizables a este último efecto, por citar algunos, son la videovigilancia, la geocalización o la grabación de sonidos en el lugar de trabajo, lo mismo que puede suceder en el sector privado, y a esos fines se ha dedicado un Título, el X, de la LOPDGDD. Sin embargo, el RGPD permite también que los datos personales sean tratados por razón de otros fines y/o conforme a otras bases legítimas. Y por ello, el derecho a la protección de datos de los empleados públicos colisiona a veces con otros derechos o libertades fundamentales; también con otros bienes jurídicos. Así, por ejemplo, la información a la ciudadanía sobre la actuación administrativa de la Administración, que puede incorporar ciertos datos personales de los empleados, puede ser otra perspectiva del tratamiento. En el marco de esta última finalidad, los datos de los empleados públicos pueden quedar comprometidos, así como requerir ciertas reservas o mayores garantías.

Tomando todas esas dimensiones en consideración, partimos de que, como parece obvio, hay más amenazas en el tratamiento de datos de los empleados en el ámbito de la empresa privada que en el de la Administración Pública. Las empresas son cada vez más conscientes de la trascendencia económica de los tratamientos de datos personales y cada uno de nosotros es conocedor de ello. Por el contrario, la Administración Pública no persigue ese lucro económico, aunque pueda compartir intereses de eficacia y rentabilidad con el sector privado, tal y como proclama el Estatuto Básico del Empleado Público (EBEP)(4). Expresado en otras palabras, creemos que en el sector público “Los motores de la transformación digital son asimismo diferentes a los del sector privado: si éste se encuentra espoleado por la demanda de los clientes, el intenso peso de la competencia y la naturaleza misma de las actividades que se desarrollan, esas presiones son menos intensas para las Administraciones públicas>>(5).

En cualquier caso, sin desmentir lo sostenido, se comprueba que las organizaciones administrativas se están acercando a las enormes ventajas que van aparejadas al “Big Data”, de modo que “el sector público es, a día de hoy, uno de los principales actores en lo que se refiere a la posesión de activos de información. Tal vez el ejemplo más sobresaliente sea el del desarrollo de las Smart Cities (ver por ejemplo los casos de Tokio, Nueva York o Medellín)”(6). La imparable digitalización ha facilitado nuevas formas de organización económica que se están extendiendo a cada vez más sectores y actividades, revolución que está creando importantes desequilibrios socioeconómicos y cambios en el trabajo y en el empleo(7), también en el ámbito de las organizaciones administrativas.

A lo largo de las siguientes páginas, comenzando por una aproximación desde la regulación europea del derecho a la protección de datos, se revisará la transposición de la nueva normativa de protección de datos al ámbito del empleo público, subrayando las deficiencias en que ha podido incurrir el legislador y realizando una labor interpretativa y sistemática de aquéllas a fin de aportar algunas propuestas. La gestión de los recursos humanos y el tratamiento de datos que dicha gestión conlleva será también foco de nuestro interés. Sin embargo, el control de la actividad laboral de los empleados públicos no será objeto de atención de este trabajo(8), por mucho que dicho control conlleve un preciso tratamiento de datos y sin perjuicio de que se repare someramente en aquél por razones de sistemática. En este trabajo distinguiremos el derecho a la protección de datos en su dimensión “organizacional” (datos personales ordinarios y “sensibles” tratados merced a la gestión de los recursos humanos en las AAPP(9)), de su dimensión “de interés público” (publicación de datos personales de los empleados públicos en aras de colmar los principios de transparencia y buen gobierno o el principio de reutilización de los datos públicos).

A modo de objetivo más concreto, el trabajo pretende dar pautas que puedan ser utilizadas por las Administraciones Públicas en la implementación, vía códigos de conducta(10), por ejemplo, de la nueva legislación ya que la Ley, con ser vanguardista, utiliza términos jurídicos desconocidos para el Derecho colectivo del Trabajo español así como remite bastantes aspectos a la negociación colectiva. Es también premisa de la que partimos que la negociación, como herramienta de gestión de las relaciones laborales, encuentra más dificultades de desarrollo en el sector público que en el privado. El convenio colectivo ha sido consagrado como fuente de legitimación del derecho a la protección de datos por el Reglamento General de Protección de Datos; y también por parte de la Ley Orgánica. Con ser una buena noticia, la referencia explícita al “convenio colectivo” proyecta sombras sobre la negociación colectiva específica que se realiza en el ámbito del empleo público; aparte de los límites de su contenido, y de la necesidad de que su resultado sea acogido por una resolución administrativa que le provea de cobertura legal.

En todo momento de este trabajo nos preguntaremos si bienes jurídicos como el “interés público” o la sujeción especial que vincula a los empleados públicos con las AAPP interfieren, y cuánto, en el ejercicio pleno del derecho a la protección de datos de aquellos. La hipótesis de este trabajo se apoya en que la LOPDGDD introduce nuevas garantías respecto del derecho a la protección de datos y de los derechos digitales, proyectando esos derechos al ámbito de los empleados públicos por primera vez y, en gran medida, situándolos a la par que los trabajadores por cuenta ajena. No obstante, ciertas omisiones -conscientes o inconscientes- de la ley hacia la figura del empleado público, junto a la sintética transposición de la nueva regulación legal del derecho a la protección de datos a los textos jurídicos del empleo público, circunstancias unidas a nuevos planteamientos como el del “Open Data” –datos abiertos al servicio del sector privado-, y no tan nuevos como el “interés público”, o “la relación de sujeción especial” al que se debe también el empleado público en tanto que forma parte de la organización de la Administración Pública, convocan no pocas incertidumbres. Dado lo anterior, quizás el apriorístico mimetismo del ejercicio de este derecho por parte de empleados públicos y de trabajadores por cuenta ajena no sea tal; porque tampoco el empleador tiene la misma naturaleza.

II. LA NUEVA REGULACIÓN JURÍDICA EUROPEA Y ESPAÑOLA SOBRE LA PROTECCIÓN DE DATOS

De conformidad con el art. 8 de la Carta de Derechos Fundamentales de la UE (en adelante, la Carta)(11), “Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan”. La mención del sujeto titular del derecho es muy amplia, lo más amplia que podría ser. Y, sin embargo, los empleados estuvieron al margen de la normativa europea de protección de datos que ha estado vigente hasta hace bien poco y que bebía de las fuentes de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de datos de las personas y de la libre circulación de datos . Cierto es que la Carta data de una fecha posterior a la Directiva, pero un texto tan importante como la Carta podría haberse desarrollado antes que dieciocho años después de la aprobación de la misma. La Carta no describe qué datos son de carácter personal, ni menos aún cómo pueden obtenerse pero ya en el segundo apartado del art. 8.2 se refiere a alguno de los principios que deben alumbrar la recogida y tratamiento de los datos, así como a la relación causa-fin exigible entre la recogida y el tratamiento: “Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley”. Una vez recogidos los datos, la persona no pierde el control sobre ellos, ni siquiera mediando su consentimiento o un interés legítimo que lo haya justificado. Al contrario, continúa la Carta, “La persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación”. Es sabido que la Carta tiene eficacia directa cuando aplica el Derecho de la Unión, por lo que es realmente importante conocer qué prevé este Derecho sobre la protección de datos de los trabajadores.

Sin remontarnos ahora a la regulación anterior al Reglamento de 2016 (RGPD), es conocido que el art. 88 del Reglamento actualmente en vigor hace por primera vez referencia al tratamiento de datos personales en el ámbito laboral, aludiendo a los “trabajadores” en sentido amplio. Sin embargo, con ser bienvenida esa emersión de la materia laboral al espectro legislativo, proveniente del más absoluto olvido y silencio en relación con la protección de datos, no obstante, el precepto apenas regula materias laborales donde el derecho a la protección de datos es materia sensible, y opta por remitirse a otras fuentes en demasiadas ocasiones(12). En concreto dicho precepto contempla en su primer apartado que “Los Estados miembros podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral” (13).

El peculiar reparto de competencias entre la UE y los Estados miembros, así como las sempiternas reticencias de los Estados hacia armonizar, siquiera, la política social, son factores que han debido protagonizar este resultado.

Por su parte, la LOPDGDG ha recogido de modo incompleto ese testigo brindado por el RGPD(14), y, en esa línea se ha centrado, con muchas objeciones técnicas y materiales, en el desarrollo del apartado segundo del art. 88 , que reza así: “Dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo”.

Aparte de la novedad que representa este precepto europeo en el reconocimiento del derecho fundamental a la protección de datos en el ámbito laboral –siquiera de modo “aplazado” al desarrollo de los Estados miembros o, en su caso, de la negociación colectiva-, debe llamarnos la atención que ha sido el legislador español el que ha optado por extender estas garantías -y otras más específicas derivadas de la utilización de las TICs en el lugar de trabajo-, a los empleados públicos. En efecto, la ley española ha extendido el ámbito subjetivo del Reglamento, no proyectándose únicamente a los trabajadores en general. En efecto, en el RGPD las alusiones a instituciones propias del Derecho del Trabajo aplicables al sector privado, que no al empleo público, son constantes: convenios colectivos, trabajadores en el ámbito laboral, relación laboral o grupo empresarial.

Además, el Reglamento emplaza a los Estados miembros a establecer que las normas relativas a la protección de datos que se contemplan en la norma comunitaria adquieran notas más específicas en relación con el lugar de trabajo respecto de las siguientes materias: contratación de personal, ejecución del contrato laboral, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.

Sin duda alguna, los convenios colectivos tendrán mucho que decir en esa visión sectorial o empresarial de una parcela de las relaciones laborales, ahora en relación con los datos y su tratamiento, pero también de su protección. Con todo, y a pesar de las posibilidades que procura el art. 88 RGPD a la autonomía colectiva, el art. 91 LOPGDGG invoca a la negociación colectiva para que únicamente desempeñe esa labor protectora, en el sentido de desarrollar las garantías relativas a los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos digitales en el ámbito laboral(15). En cualquier caso, habrá que estar expectantes a lo que dispongan estas normas autorreguladoras de las relaciones laborales aunque el optimismo decae cuando se acude al vigente Acuerdo para el Empleo y la Negociación Colectiva (AINC)(16), ya que ignora completamente los derechos digitales o sus garantías, cuando fue aprobado en un momento en el que el RGPD estaba ya en vigor(17).

A pesar del silencio del Reglamento europeo en cuanto a la extensión de su contenido al ámbito del empleo público, no fue ésa la opción elegida por la Recomendación CM/Rec (2015)5 del Comité de Ministros del Consejo de Europa(18). Esta norma extiende al ámbito público, los principios generales que contempla en el ámbito privado (art. 1). En la primera parte de la Recomendación (arts. 1-13) se establecen los principios generales en materia del derecho fundamentales de protección de datos personales, principios a los que podría haber acudido el legislador español en el desarrollo del Reglamento. La citada Recomendación distingue entre los principios generales de la protección de datos en el lugar de trabajo y los principios específicos (arts. 14-21), como se señalaba más arriba.

Sin perjuicio de que desarrollemos estos principios en los apartados siguientes, intentando exponerlos en contraposición con otros principios que afectan señaladamente al ámbito público, como el principio de transparencia de la actuación administrativa y el Open Data –o la reutilización de los datos públicos- queremos insistir en que la Recomendación no efectúa ninguna distinción entre empresario público y privado. Expuesto con otras palabras, en su articulado despliega los principios aplicables al lugar de trabajo en general, sin importarle que estemos en un ámbito público o en un ámbito privado, que es, en gran parte, lo que ha hecho la LOPDGDD por lo que es momento de aproximarse a esta Ley con más detalle.

III. UNA PRIMERA APROXIMACIÓN A LAS PECULIARIDADES DEL DERECHO PÚBLICO QUE PUEDEN REPERCUTIR EN EL DERECHO A LA PROTECCIÓN DE DATOS DE LOS EMPLEADOS PÚBLICOS A PARTIR DE LA NORMATIVA EUROPEA Y ESPAÑOLA SOBRE PROTECCIÓN DE DATOS

Tal como se expresaba más arriba, el tratamiento de datos en el ámbito de la empresa privada puede discutirse en contraposición con la libertad de empresa mientras que la Administración Pública no persigue ese beneficio económico, aunque también se mueva por intereses de eficacia y rentabilidad. En el ámbito de las AAPP, es indudable que ese tratamiento de datos se realiza para desarrollar la vertiente objetiva de los derechos fundamentales y garantizar la efectividad de los derechos reconocidos en la Constitución como la libertad sindical –arts. 7 y 28 CE-, el derecho a la educación universal y gratuita (art. 27 CE) o las prestaciones de Seguridad Social (art. 41 CE)(19). Quizás por este motivo el art. 77 LOPDGDD regula un régimen peculiar aplicable a determinadas categorías de responsables o encargados del tratamiento que coinciden, básicamente, con el sector público (los diferentes niveles de AAPP, las autoridades administrativas independientes, las Universidades Públicas, etc.) (20); régimen que se concreta en la suavización de las infracciones comentadas por los órganos citados y que se contestarán con apercibimiento (apdo. 2, art. 77 ), amén de otras previsiones de tipo comunicativo que se contemplan en ese mismo artículo.

Cuando los datos a tratar proceden de los administrados en abstracto, con quienes las organizaciones administrativas no están vinculadas por una relación especial, la Administración cuenta con más títulos habilitantes para tratar sus datos, ya que el interés público por el que vela es más extenso, pero, no se descuide, siempre precisará de una base legal para proceder. En uno y otro caso, esto es, sean simples ciudadanos o empleados públicos los destinatarios del tratamiento, la Administración Pública se erige como <<responsable del tratamiento>> en cuanto que responde a la definición del Reglamento de “autoridad pública, servicio u otro organismo” y, por ello, estará obligada a determinar los fines y los medios del tratamiento” [art. 4 7 ) RGPD]. Precisamente por ello, la Administración será la responsable del cumplimiento de los principios que irradian sobre el derecho a la protección de datos, pero también capaz de demostrar, con pruebas, aquel cumplimiento (art. 5.2 RGPD). Otra figura clave en esta materia es la del encargado del tratamiento definida como “la persona física o jurídica, autoridad pública o servicio u otro organismo que trate datos por cuenta del responsable” (art. 4.8 RGPD) ejecuta las concretas actividades de tratamiento decididas por el responsable. En el ámbito de la empresa pública, encargados de tratamiento pueden ser “un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las Entidades que integran la Administración Local o a los Organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el art. 28.3 del Reglamento (UE) 2016/679”. Este precepto obliga a que el tratamiento llevado a cabo por el encargado se rija por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable, entre otras tareas(21).

La LOPDGDD (art. 33.5 ) ha hecho suyo ese encargo y distingue la figura del encargado del tratamiento en el ámbito del sector público de su correligionaria en el sector privado, de modo que esa labor podrá atribuírsele a un “determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las Entidades que integran la Administración Local o a los Organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el art. 28.3 del Reglamento (UE) 2016/679”. En definitiva, pues, la singularidad del ámbito público vuelve a estar presente y habrá que esperar a dicho desarrollo(22).

Centrándonos ahora en la publicidad de datos personales de los empleados públicos, señaladamente, de los funcionarios, hay que partir de la premisa de que en el desempeño de su actividad, el interés público está muy presente(23). Todos ellos disfrutan de un estatuto propio que garantiza su imparcialidad(24), con un sistema de incompatibilidades y con un acceso a la función pública de acuerdo a los principios de mérito y capacidad (art. 103.3 CE).

En efecto, los empleados públicos se rigen por un código de conducta (art. 52.1 EBEP) que les exhorta a desempeñar sus tareas con diligencia, y velar por los intereses generales con sujeción y observancia de la Constitución y del resto del ordenamiento jurídico. Su labor será guiada y estará sometida a los principios de objetividad, integridad, neutralidad, responsabilidad, imparcialidad, confidencialidad, dedicación al servicio público, transparencia, ejemplaridad, austeridad, accesibilidad, eficacia, honradez, promoción del entorno cultural y medioambiental, además del respeto a la igualdad entre mujeres y hombres. Los principios éticos que provee el art. 53 EBEP se nutren de los criterios del art. 52, entre otros, que los empleados públicos “cumplirán con diligencia las tareas que les correspondan o se les encomienden y, en su caso, resolverán dentro de plazo los procedimientos o expedientes de su competencia” (apdo. 10). El interés general y el principio de dedicación al interés público son estelas que guían el desempeño del trabajo desarrollado en el seno del sector público. A partir del tándem descrito, el EBEP bajo el rótulo “Principios de conducta” reproduce algunos deberes laborales en similares términos a los previstos en el art. 5 del Estatuto de los Trabajadores (ET).

En definitiva, el desempeño de la labor de los empleados públicos es deudor de los principios que sustentan la labor pública: transparencia y control democrático. Por eso debemos preguntarnos si, dependiendo de la finalidad buscada por la norma, el derecho de los empleados públicos a la protección de datos personales puede y debe ceder a favor de esas otras finalidades o bienes más valiosos. En efecto, los datos de los empleados públicos pueden exigirse desde el ángulo de otras leyes como la relativa a la reutilización de los datos públicos (Ley 37/2007, de 16 de noviembre, sobre Reutilización de la Información del Sector Público ), la ley de transparencia (Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno ), o la ley de procedimiento administrativo (Ley 39/2015 de 1 de octubre del procedimiento administrativo común de las administraciones públicas extiende la responsabilidad al personal al servicio de las Administraciones Públicas (LPRJ PAC) , en aras de transparentar la labor de las Administraciones Públicas (AAPP). No es la rentabilidad económica lo que persigue la Administración, pero la aplicación de la legislación citada puede provocar efectos perjudiciales sobre los datos personales de los empleados públicos. Yendo más allá, la posible re-utilización de esos datos por parte del sector privado invita a ser especialmente cautelosos con los datos personales de los empleados públicos.

Así, por ejemplo, en línea con lo recogido más arriba en el Código de conducta laboral de los empleados públicos (art. 53 EBEP), el art. 20 de la Ley 39/2015 de 1 de octubre del procedimiento administrativo común de las administraciones públicas extiende la responsabilidad de la tramitación de los expedientes administrativos de que se ocupen al personal al servicio de las Administraciones Públicas (LPRJ PAC). En concreto, la ley del proceso citada llama a aquellos a adoptar las medidas oportunas para remover los obstáculos que impidan, dificulten o retrasen el ejercicio pleno de los derechos de los interesados o el respeto a sus intereses legítimos, disponiendo lo necesario para evitar y eliminar toda anormalidad en la tramitación de procedimientos (art. 20 LPRJ PAC), aunque finalmente responda la Administración (apdo. 2, art. 20); o el supuesto del art. 22.6 de la misma ley adjetiva, que proclama que el personal al servicio de las Administraciones Públicas que tenga a su cargo el despacho de los asuntos, es directamente responsable, en el ámbito de sus competencias del cumplimiento de la obligación legal de dictar resolución expresa en plazo; siendo su incumplimiento motivo de la exigencia de responsabilidad disciplinaria, sin perjuicio de la que hubiere lugar de acuerdo con la normativa aplicable. Muchos trámites de un expediente administrativo, donde es posible que haya actuado un funcionario, suelen ser publicados en la red, por lo que la identidad digital de estos empleados(25) puede ser más fácil de perfilar que la de los trabajadores del sector privado.

Por otra parte, como es sabido, el principio de proporcionalidad, como regla de administración de conflictos entre derechos(26), se aplica para resolver las dudas sobre la legitimidad de algunos tratamientos que puedan suponer injerencias en otros derechos fundamentales y/o libertades públicas. De hecho, el Considerando 4 del RGPD sostiene que “El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de datos debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad”. El RGPD invoca la Carta de derechos fundamentales de la UE y sus derechos fundamentales, libertades y principios, recogiendo explícitamente el respeto de la vida privada y familiar, el domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.

Si el tratamiento de datos efectuado por las Administraciones Públicas (AAPP) está respaldado por un interés público, que no privado, es de recibo suponer que habrá más riesgos de que la aplicación de la regla de administración de conflictos, o el principio de proporcionalidad, ceda del lado del interés público antes que del lado de la protección de datos personales. Y así, por ejemplo, la ley de transparencia informativa o la que propicia el acceso a los datos públicos, no se aplican a la actuación de la empresa privada(27).

Teniendo en cuenta lo anterior, aunque el tratamiento de datos deberá estar apoyado siempre en un título legal, en algunas ocasiones esto no es suficiente. Por eso el RGPD refuerza el derecho con una serie de principios que beben de la misma fuente que el principio de proporcionalidad, y que el tratamiento deberá respetar (art. 5 ). Nos interesan dos en este momento del trabajo: (i) el principio de limitación de la finalidad, esto es que los datos sean recogidos con fines determinados, explícitos y legítimos, y que no sean tratados ulteriormente de manera incompatible con dichos fines. Incluso se añade en el apdo. b) de ese art. 5 RGPD una importante excepción, por antonomasia, pero también porque puede tener una elevada proyección en este trabajo: que “de acuerdo con el art. 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales”(28). El segundo principio al que queríamos referirnos es (ii) el principio de minimización de datos (art. 5 apdo. c RGPD), esto es que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que serán tratados(29); tal y como apuntábamos, otro de los juicios del principio de proporcionalidad(30).

Expuestos los principios que alumbran el derecho a la protección de datos, situado este derecho, con sus matizaciones, en el ámbito del sector público, pasemos ahora a analizar cómo se manifiesta la LOPDGDD respecto de ésas y otras cuestiones relacionadas con el objeto de este trabajo; y cómo ha repercutido su nuevo contenido jurídico en la legislación del empleo público.

IV. LA MODIFICACIÓN DE LA LEGISLACIÓN ADMINISTRATIVA POR OBRA DE LA APROBACIÓN DE LA LOPDGDD: ALGUNOS ASPECTOS DESTACADOS

La LOPDGDD ha modificado algunos preceptos del Derecho Administrativo español, tanto del EBEP como de las citadas normas relativas al proceso (LPRJ PAC), al Buen Gobierno o la reutilización de datos. En estos momentos, y debido a la repercusión doctrinal que el Título X de la LOPDGDG relativo a la garantía de los derechos digitales ha tenido, e indudablemente, por la repercusión que empieza a tener en las distintas administraciones públicas, repararemos en la transposición de este título al EBEP.

La tarea del legislador de la ley orgánica a la hora de ordenar la transposición del contenido de la legislación en materia de protección de datos y garantía de los derechos digitales a la legislación administrativa ha sido sustancialmente distinta de lo ocurrido en sede laboral. En el apartado de coincidencias con el sector privado, se ha optado por retocar mínimamente el EBEP como de hecho se ha efectuado con el ET. La diferencia sustancial es que en el caso del EBEP la alusión a los derechos digitales se ha efectuado añadiéndose una nueva letra (j bis) a los derechos individuales de los empleados públicos (art. 14 ). De modo que actualmente los empleados públicos tienen derecho “A la intimidad en el uso de dispositivos digitales puestos a su disposición y frente al uso de dispositivos de videovigilancia y geolocalización, así como a la desconexión digital en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales”.

Obviamente, en el espacio de la función pública las facultades de dirección de la actividad laboral no ocupan el mismo espacio que en la legislación laboral(31). Prueba llamativa de lo anterior es que el deber de obediencia se recoge en sede del Código de conducta de los empleados públicos. En concreto, el art. 54.3 EBEP exige a estos que obedezcan las instrucciones y órdenes profesionales de los superiores, salvo que constituyan una infracción manifiesta del ordenamiento jurídico, en cuyo caso las pondrán inmediatamente en conocimiento de los órganos de inspección procedentes.

Con parecernos más acertada -en comparación con la técnica empleada en el ET (nuevo art, 20 bis)-, la ubicación de este derecho a la protección de datos en el citado art. 14 EBEP, entre los derechos individuales de los empleados públicos, sin embargo no podemos dejar de criticar que (i) esa modificación legislativa prescinde de la alusión al derecho a la protección de datos y recoge únicamente la posible vulneración del derecho a la intimidad, y que (ii) el legislador no haya realizado un esfuerzo mayor por acompasar ambas normativas: la del EBEP y la de la LOPDGDD. Por último, nos referiremos al rol que podrá desempeñar la negociación colectiva en el ámbito del sector público (iii).

1. La opción de acoger los nuevos derechos digitales entre los derechos individuales de los empleados públicos con referencia exclusiva al derecho a la intimidad

La primera cuestión que debemos despejar es qué sentido tienen las únicas referencias de la LOPDGDD al derecho a la intimidad en una ley que desarrolla el Reglamento General de Protección de Datos. Efectivamente, no podemos obviar que el Título X de la Ley orgánica se destina a las garantías de los derechos “digitales”. Por su parte, en el art. 79 de la ley orgánica –enmarcado ya en el Título X- se reconoce que “Los derechos y libertades consagrados en la Constitución y en los Tratados y Convenios Internacionales en que España sea parte son plenamente aplicables en Internet”.

Sin embargo, aunque se apele a los derechos y libertades consagrados en esas normas jurídicas de primer orden, posteriormente, los arts. 87-91 sólo se refieren al derecho a la intimidad(32). Incluso el art. 18.1 de la Constitución se refiere a la intimidad personal y familiar, sin que la LOPDGDD distinga estas dos vertientes del mismo derecho. Por otra parte, nada se recoge respecto del resto de derechos provistos en el art. 18 Constitución Española, como el derecho al honor y a la propia imagen (apdo. 1), el secreto de las comunicaciones, salvo resolución judicial (apdo. 3), o, expresamente, la limitación del uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos (apdo. 4).

En efecto, los arts. 87 , 89 y 90 lucen un denominador común en sus rótulos: el derecho a la intimidad. El art. 88 recoge el nuevo derecho a la desconexión digital en el ámbito laboral, contenido desprovisto de naturaleza de ley orgánica (DF 1ª LOPDGDD) y que analizaremos a continuación de manera separada. Finalmente, el art. 91 amplía el campo de los derechos refiriéndose a las garantías adicionales de los “derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de los derechos digitales en el ámbito laboral”.

El rigor técnico del legislador orgánico al referirse únicamente al “derecho a la intimidad” en varios preceptos de una ley orgánica destinada a la protección de datos no parece que haya sido muy alto, por lo que se impone recurrir a las reglas de interpretación de las normas jurídicas. En primer lugar, defenderemos que no debería interpretarse restrictivamente la alusión al “derecho a la intimidad”. Por un lado, la Constitución Española desglosa en varios derechos el denominado derecho a la privacidad conocido en otros países de nuestro entorno. Sin embargo, ese término no fue acogido por el legislador constituyente, optando por diferenciar los distintos derechos que puede abrazar ese vocablo más amplio de la “privacidad”. Ahora bien, en España el derecho a la intimidad tiene un contenido polisémico(33), lo que ha podido conducir al legislador a optar por ese término y omitir otros derechos separados de la intimidad y con un contenido más específico.

Otro argumento a favor del entendimiento amplio del derecho a la intimidad lo hallamos en la norma europea, concretamente en el art. 88 RGPD. Aquí el reglamento emplaza a los Estados miembros, a través de disposiciones legislativas o de convenios colectivos, a establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular, en relación con distintos y variados campos de actuación. Además, deseamos hacer hincapié en que el apdo. 2 de ese mismo precepto mandata que dichas normas incluyan medidas adecuadas y específicas para preservar la dignidad humana de los interesados, así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención, entre otros ámbitos, a “los sistemas de supervisión en el lugar de trabajo”. Es éste el campo de actuación al que se refieren los arts. 87-91 LOPDGDD, de modo que como el Reglamento es aplicable conjuntamente con la ley orgánica, la invocación huérfana al derecho a la intimidad no puede separarse del resto de derechos del art. 18 CE. En realidad, la propia Exposición de Motivos, al referirse al Título X, describe su función de reconocimiento y garantía del elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución.

Abundando en esto último, el propio art. 1 de la LOPDGDD relativo al objeto de la ley prevé “Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución”. Y hace ya tiempo que el TC ha incluido el derecho a la protección de datos en ese apdo. 4 del art. 18 CE(34). En definitiva, por tanto, el derecho a la protección de datos de los empleados públicos no se ve mermado por la alusión única y/o preponderante del derecho a la intimidad en ese preciso Título X de la LOPDGDD.

2. La integración sintética de los derechos digitales en la normativa jurídico-administrativa

Tal como se expresaba más atrás, el legislador orgánico ha optado por el modo más sencillo y simple de integrar el contenido de la LOPDGDD en la normativa del empleo público: la inclusión de un apartado bis en el art. 14 del Estatuto Básico del Empleado Público (EBEP)(35). Partimos además de que aunque ese precepto se refiera únicamente al derecho a la intimidad de los empleados públicos frente al uso de dispositivos varios, dada la posible acumulación de datos personales y de su tratamiento, y dada la posible interpretación amplia de ese derecho, también debemos entender incluido el derecho a la protección de datos personales de los empleados públicos en ese art. 14 j) bis. A mayor abundamiento, respecto del ejercicio y garantías de ese derecho, el precepto citado se remite a “los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales” (36).

Sin embargo, de acudir a la LOPDGDD, por ejemplo, en relación con el derecho a la desconexión digital -y de cómo dotar a ese derecho de contenido, ya que la LOPDGDD elude hacerlo-, la ley orgánica se remite a la negociación colectiva o, en su defecto, al acuerdo entre la empresa y sus representantes. La LOPDGDD parece olvidar completamente el universo de la función pública, haciendo alusiones únicamente a la negociación colectiva en el ámbito de la empresa(37). Lo mismo ocurre cuando ese mismo precepto emplaza al empleador a elaborar una política interna dirigida a los trabajadores en la que definirán las modalidades de ejercicio del derecho a la desconexión y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.

Desconocemos si el legislador orgánico, al prescindir de la referencia a los empleados públicos, ha querido excluirlos de la legislación(38). En principio, si el legislador ha diferenciado en el texto, tratando conjuntamente a los trabajadores y a los empleados púbicos en algunos párrafos y en otros no, deberíamos convenir en que donde diferencia la ley también deberemos diferenciar nosotros; y por tanto, descartar que cuando la ley se dirija en exclusiva a los trabajadores, se haya de sobreentender que pueda aplicarse también a los empleados públicos.

Sin embargo, en la lectura de la LOPDGDD hay indicios que nos llevan a concluir que la inclusión de ambos colectivos, en algunas ocasiones y en otras, no, puede explicarse por una posible falta de rigor en el legislador. Así, por ejemplo, en el art. 89 relativo al “Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo”, la Ley orgánica exige a los empleadores que informen con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o a los empleados públicos y, en su caso, a sus representantes, acerca de esta medida. En esa misma línea se sitúa el art. 90 relativo a los dispositivos de geolocalización, en cuyos dos apartados las referencias a los trabajadores y a los empleados públicos van de la mano.

Sin embargo, el art. 87 , titulado “Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral”, después de reconocer el derecho de trabajadores y empleados públicos a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador (apdo. 1), el resto de apartados 2 y 3 de ese mismo artículo se refiere sólo a los trabajadores. En particular, en el apdo. 2 se invoca solamente a los trabajadores en su primera parte, para apelar a las obligaciones “laborales o estatutarias” a continuación(39).

Sea como fuere, las dudas generadas por la LOPDGDD respecto de ciertos derechos de los empleados públicos en contraposición a los reconocidos a los trabajadores, como la escasa voluntad del legislador por acomodar la legislación administrativa a la nueva legislación en materia de protección de datos e intimidad en relación con los dispositivos digitales, convocan muchas incertidumbres en la aplicación y desarrollo de esta normativa. De todas formas, una lectura sistemática del EBEP y de la LOPDGDD conduce a concluir que las referencias omitidas a los empleados públicos parecen debidas a la imprecisión del legislador orgánico. Con todo, lugar destacado de esa vaguedad rampante ocupa la negociación colectiva, a la que el legislador de la LOPDGDD invoca en varias ocasiones. Las razones de acometer esta temática a continuación son varias y disímiles: la diferente naturaleza jurídica de esta institución en el sector privado y en el público; la ausencia total de mandato transpositivo desde la LOPDGDD al EBEP en esta materia; y el lugar significado que la negociación colectiva puede ocupar en el desarrollo de la LOPDGDD. Otros derechos colectivos se encuentran también regulados en la LOPDGDD, por lo que también abordaremos su a-transposición.

3. Negociación colectiva, derechos colectivos en materia de protección de datos y legislación administrativa

Son bastantes las ocasiones en las que la LOPDGDD se remite a la negociación colectiva, al acuerdo de empresa o a la participación de los trabajadores para desarrollar la regulación de las garantías digitales o los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores.

Llama la atención, por lo demás, que sobre todo al regular ciertos derechos colectivos, en muchas o todas las ocasiones la Ley orgánica parece referirse únicamente a la empresa privada. ¿Significa esto que los empleados públicos han sido excluidos? ¿Que el derecho a la protección de datos, o los derechos relacionados con éste, no pueden ser desarrollados por instituciones como la participación o la negociación colectiva del sector público?

1) En primer lugar, respecto del “derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral”, el art. 87 emplaza a los empleadores a establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente”. Pero en la elaboración de los mismos deberán participar los representantes de los trabajadores. El término “participar” se recoge, explícitamente, en el art. 15 EBEP titulado “Derechos individuales ejercidos colectivamente” y se refiere, en su apdo. b), “A la negociación colectiva y a la participación en la determinación de las condiciones de trabajo”. Aunque posteriormente el art. 31 de ese texto distinta entre “representación” y “participación institucional”, una interpretación del precepto según el contexto y según el espíritu y finalidad de la misma (art. 3 Código Civil), favorece entender incluida la “representación” en la “participación en la determinación de las condiciones de trabajo”. Y así, la propia Constitución, art. 129.2 , donde encuentran su razón de ser los órganos de representación unitaria de los trabajadores (SSTC 74/1996, de 30 de abril y 95/1996, de 29 de mayo ), reclama a los poderes públicos promover “eficazmente las diversas formas de participación en la empresa”.

Por su parte, si acudimos al Convenio nº 151 OIT, Convenio sobre las relaciones de trabajo en la administración pública, 1978 (núm. 151) ratificado por España, la Parte IV de dicho Convenio se titula “Procedimientos para la Determinación de las Condiciones de Empleo”, incluye los términos “participar” y “negociar”, pudiendo entenderse la representación ínsita en la participación. En concreto, su art. 7 prevé que: “Deberán adoptarse, de ser necesario, medidas adecuadas a las condiciones nacionales para estimular y fomentar el pleno desarrollo y utilización de procedimientos de negociación entre las autoridades públicas competentes y las organizaciones de empleados públicos acerca de las condiciones de empleo, o de cualesquiera otros métodos que permitan a los representantes de los empleados públicos participar en la determinación de dichas condiciones.” Es más, en ningún otro lugar recoge dicho Convenio OIT alusión alguna a la “representación”.

En conclusión, entonces, cuando la ley se refiere a la “participación” podemos entender incluida en su seno la representación, como una de las variantes de la participación en la determinación de las condiciones de trabajo. En base a ello, el derecho de representación sería un “derecho individual de ejercicio colectivo” de los empleados públicos. La doctrina ya ha reparado en que la relevancia del último texto del EBEP, desde el 2007, consiste en diseñar un modelo de titularidad de los derechos colectivos fundamentado en su atribución a cada empleado público, considerado individualmente, cuando históricamente el modelo legal ha potenciado al sindicato “como único agente de la acción sindical”(40).

Quizás por lo anterior, el apdo. 5, art. 31 EBEP no se opone a la existencia de “otras formas de colaboración entre las Administraciones Públicas y sus empleados públicos o los representantes de éstos”, distintas de las contenidas en el propio EBEP. Pero en lo que se refiere a lo que nos interesa ahora, creemos poder defender que los órganos de representación de los funcionarios públicos, Juntas y Delegados de personal y, obviamente, de los trabajadores con contrato laboral, Comités de empresa y Delegados de personal, podrán participar en la elaboración de aquellos criterios solicitados por el art. 87 LOPDGDD. En el art. 40.1 b) EBEP se recoge la facultad de las Juntas de personal de emitir informe, a solicitud de la Administración Pública correspondiente, sobre la implantación o revisión de sus sistemas de organización y métodos de trabajo, precepto que posibilitaría la participación de estas instancias en este otro quehacer. Con todo, señalaremos de nuevo que habría sido conveniente una reforma de este apartado, ampliando ese campo a éste de la elaboración de criterios sobre la utilización de los dispositivos digitales.

En relación con los representantes de los trabajadores con contrato laboral de la función pública, lo mismo podría sostenerse, aunque con el fundamento jurídico del art. 64.5 f) ET, precepto que igualmente podría haber acogido explícitamente la participación de los representantes en la elaboración de criterios de elaboración de los dispositivos digitales.

2) En lo que se refiere al llamamiento al acuerdo, por ejemplo, en materia de desconexión digital (art. 88 LOPDGDD), ya se señalaba más arriba que la Ley orgánica, ante el escaso contenido normativo, apela a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores. Dado que situamos el derecho a la desconexión digital entre los derechos de limitación de jornada y descansos, entendemos que una materia de este tipo podría ser objeto de la negociación colectiva en el ámbito de la función pública: no habría problema en encuadrarla en el art. 37.1 m) EBEP, apartado que apela a las materias referidas, entre otras, a horarios, jornadas o vacaciones. Por ello, aunque la LOPDGDD no lo contemple explícitamente, sostenemos que las partes negociadoras de un pacto o acuerdo en la función pública, podrían abordar esta temática(41), lo que no excluye que la Administración adopte los códigos de conducta(42) oportunos para abordar esta temática(43).

Posteriormente, el mismo precepto dedicado a la desconexión digital (art. 88.3 LOPDGDD) impone al empleador la audiencia de los representantes de los trabajadores, previamente a la elaboración de una política interna dirigida a los trabajadores. Las alusiones a los “trabajadores” únicamente, sin mencionar a los empleados públicos, son constantes en este apartado, aunque, al final, se opta por el término “empleado”, como se observa a continuación: “En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas”.

3) En cuanto a la negociación colectiva, la modificación del EBEP para integrar las referencias de la LOPDGDD a esta herramienta, que no se produce, sería todavía más pertinente que en el supuesto de la legislación laboral, cuyo art. 85 ET tampoco ha sufrido variaciones tras la acomodación del texto del ET a la LOPDGDD; y lo sería dadas las facultades más parcas con las que cuentan los sujetos legitimados para negociar en la función pública en comparación con las que se disfrutan en la empresa privada. Los límites de contenido previstos en el EBEP (art. 37 ), así como la distinta naturaleza de los acuerdos y pactos de la función pública, dificultan la simetría entre la negociación colectiva en la empresa privada y en la función pública.

En efecto, que la LOPDGDD emplace a los “convenios colectivos” en el art. 91 a añadir garantías adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos digitales en el ámbito laboral y que, por tanto, especifique una de entre las fuentes de la negociación colectiva, conduce a inferir, a contrario, que los acuerdos y pactos de la función pública no están llamados a ampliar dichas garantías. Otra evidencia de esta tesis descansa en que el art. 91 de la Ley Orgánica sólo se refiere a los “trabajadores” cuando en los preceptos precedentes la Ley ha utilizado, aunque no regularmente, el binomio trabajadores-empleados públicos. La propia materia a acordar en esa hipotética negociación, esto es, la implementación de las garantías de ciertos derechos fundamentales (derecho a la protección de datos incluido), es otro argumento que invita a expresar las serias dudas existentes acerca de la viabilidad de los pactos y acuerdos como instrumentos que insuflen más garantías a los derechos fundamentales. Y así, la lista del art. 37 del EBEP contiene una serie de materias entre las cuales no es fácil derivar la ampliación de garantías de los derechos y libertades relacionados con la protección de datos de los trabajadores(44). Ni tampoco negociar sobre el contenido de los derechos fundamentales es una de las materias tradicionalmente tratadas por la negociación colectiva que se desenvuelve en el sector público(45).

Una vez más se manifestará que, si de lo que se trata es de incidir en el ámbito individual del derecho a la protección de datos, creemos que es oportuno mirar al elenco de materias que “obligatoriamente” deberán ser objeto de negociación en el art. 37.1 EBEP, donde destaca en su apdo. h), en el sentido de que deberán negociarse “las propuestas sobre derechos sindicales y de participación”. De lo anterior se concluye que si los legitimados para negociar en este ámbito, los sindicatos (art. 33.1 EBEP), únicamente pueden negociar “las propuestas”, parece lógico pensar que lo mismo ocurrirá respecto del derecho a la protección de datos.

Abundando en lo anterior, en lo que se refiere al apdo. h) que nos concierne, la doctrina científica, particularmente la administrativista, apostilla que esas “propuestas” deben entrar “obviamente” dentro de los límites legales(46). De ahí que se defienda(47) –y esto es importante- que el carácter normativo de los pactos y acuerdos sólo es predicable cuando regulan, directamente, condiciones de trabajo de los funcionarios.

Otro argumento a favor de esta tesis puede encontrarse en la dicción del art. 33 EBEP donde, refiriéndose sólo a los funcionarios públicos, la ley al definir la “Negociación colectiva de condiciones de trabajo de los funcionarios públicos” recuerda que estará sujeta a los principios de igualdad, cobertura presupuestaria, obligatoriedad, buena fe negocial, publicidad y transparencia. Previamente, el art. 32.1 EBEP, titulado “Negociación colectiva, representación y participación del personal laboral” había advertido que la regulación de esas materias, cuando se refieran a los empleados públicos con contrato laboral, se hará por la legislación laboral, “sin perjuicio de los preceptos de este capítulo que expresamente les son de aplicación”. En otras palabras, una lectura conjunta de lo dispuesto en el art. 32.1 citado, y en el 38.7 EBEP arroja como resultado que los acuerdos que contengan condiciones generales de trabajo comunes al personal funcionario y laboral, tendrán la consideración y efectos previstos en este artículo para los funcionarios, “y en el art. 83 del ET para el personal laboral”. Creemos que la cita del ET es errónea ya que es el art. 82 –cuyo título reza “concepto y eficacia”- el que se refiere a la eficacia de los convenios. En concreto, su apdo. 3º recoge que “Los convenios colectivos regulados por esta ley obligan a todos los empresarios y trabajadores incluidos dentro de su ámbito de aplicación y durante todo el tiempo de su vigencia”. Por consiguiente, se desprende una eficacia jurídica de los convenios colectivos negociados para el personal laboral de las Administraciones Públicas.

Siguiendo con el ET, las diferencias entre las materias objeto de negociación autorizadas por el EBEP y lo previsto en el ET, art. 85 , son manifiestas. Con todo, también el apdo. 1 del precepto laboral citado comienza condicionando la negociación al “respeto a las leyes”. Después, como contenido de la negociación colectiva, los convenios colectivos podrán “regular” materias distintas, las de “índole sindical” incluidas. En otras palabras, el ET no antepone el término “propuesta” a la negociación de las cuestiones sindicales, sino que permite que las partes regulen, directamente, sobre ellas.

De todos modos, aunque los art. 82.3 y 85.3 ET sean más generosos respecto de cómo abordar la negociación de las materias sindicales –aunque no puede descuidarse que la Administración competente podrá superar lo que por obligación deba negociar, y por tanto, negociar materias no obligatorias, que no prohibidas (véase el art. 37.2 EBEP)- no debe perderse de vista que el EBEP sólo se remite expresamente a la legislación laboral en relación con la eficacia de los acuerdos, y es más cuestionable en relación con las materias objeto de negociación colectiva; que, en principio, deberán ser las listadas en el art. 37.1 EBEP. Expresado de otro modo, dado que el legislador del apartado citado no ha sido muy ortodoxo a la hora de determinar los destinatarios de las materias relacionadas en ese apdo. 1º, se deberá estar al enunciado de las letras en éste incluidas. La STS (4ª) 14 septiembre 2015 y la STSJ (Social) Madrid de 18 noviembre han efectuado ya ese análisis respecto de las letras m) e i), respectivamente, recurriendo para ello a las reglas hermenéuticas del Código Civil. En ninguno de esos dos parágrafos se mencionan los destinatarios aunque las sentencias llegan a la misma conclusión: se decantan por los funcionarios públicos. Parecen dar por hecho que al ser el EBEP la legislación específica del personal funcionario, se sobreentiende que es este personal su primer destinatario.

Utilizando esas dos sentencias como referencia, procede concluir que dado que la letra h) del art. 37.1 EBEP tampoco recoge a quién se dirige su contenido, si a los funcionarios públicos, a los trabajadores o a ambos grupos, serán los primeros a quienes se destine este apartado. Y ello porque, aunque el art. 32.1 EBEP exige que “la negociación colectiva, representación y participación de los empleados públicos con contrato laboral se regirá por la legislación laboral, sin perjuicio de los preceptos de este capítulo que expresamente les son de aplicación”, esa exigencia se incumple respecto de la enumeración del art. 37.1 del mismo texto legal.

En conclusión, en el plano del “ser” –que no del “deber ser”-, el modelo vigente de negociación colectiva de los funcionarios públicos muestra demasiadas resistencias para albergar el desarrollo del derecho a la protección de datos en lo que se refiere al plano individual del derecho fundamental; incluidos los derechos fundamentales relacionados con éste(48). Detrás de esta realidad pueden encontrarse los distintos fines perseguidos por la empresa privada y por el sector público que, si bien tienden a parecerse, todavía no pueden equipararse, ni el sector público representa, en principio, una amenaza a la mercadotecnia de los datos de sus empleados. Lo anterior no es óbice para defender que la negociación colectiva del sector público, tal cual está formulada en estos momentos, podría desarrollar garantías de los derechos y libertades relacionados con la protección de datos al amparo de su propia legislación, aunque con un anclaje diferente. En concreto, partiendo de que las garantías adicionales del derecho a la protección de datos y los derechos digitales previstas en la LOPDGDD se dirigen a racionalizar el poder de dirección y control del empleador, entendemos que su negociación es posible en el marco del apdo. m) del art. 37.1 EBEP(49). Sin embargo habrán de tenerse en cuenta tres nuevas apreciaciones: la primera, que ese epígrafe llama a la negociación de ”los criterios generales sobre la planificación estratégica de los recursos humanos, en aquellos aspectos que afecten a condiciones de trabajo de los empleados públicos”(50); la segunda, que partimos de que la utilización masiva de datos en el contexto del empleo se basa esencialmente en la combinación de datos procedentes de todo tipo de fuentes de información digitalizada, con datos típicos sobre rendimiento, comportamiento y ejecución del contrato de trabajo, a fin de elaborar “perfiles”(51) de los empleados a través de la formulación de algoritmos y modelos estadísticos, que servirán más tarde para adoptar cualquier tipo de decisiones empresariales afectantes a la esfera laboral(52);y la tercera, que entre las materias excluidas de la negociación colectiva pública se encuentran los “poderes de dirección y control propios de la relación jerárquica” aunque el TS ya ha declarado(53) que cuando las condiciones de trabajo resultan afectadas por unas medidas en las que se concreta el ejercicio de la potestad de organización y que son de adscripción voluntaria, se está ante una modificación de las mismas, que por lo dicho deben ser también negociadas.

Pero como se apuntaba al inicio de este trabajo, el tratamiento de datos de los empleados públicos no sólo se realiza con el propósito de verificar el cumplimiento laboral de aquellos. Hay muchos otros momentos en que ese tratamiento es necesario, sea de datos ordinarios como de datos relativos a “categorías especiales”.

V. LA GESTIÓN DEL RECURSOS HUMANOS EN LA FUNCION PÚBLICA A LA LUZ DEL NUEVO CONTEXTO NORMATIVO SOBRE EL DERECHO A LA PROTECCIÓN DE LOS DATOS PERSONALES

Es esclarecedor que el Informe OIT(54) alerte sobre el hecho conocido de que las nuevas tecnologías generan grandes cantidades de datos relativos a los trabajadores con evidentes riesgos para su intimidad. Sin embargo, la OIT repara también en que puede haber otras consecuencias sobre los empleados, en función de cómo se usen los datos. En su Informe(55), pone el ejemplo de los algoritmos utilizados para la asignación de puestos de trabajo ya que pueden reproducir sesgos y prejuicios históricos. Por ello sugiere que se elabore una reglamentación que regule el uso de los datos y la responsabilidad exigible en cuanto a la utilización de algoritmos en el mundo del trabajo. Las empresas, en general, deben asegurarse de que cuentan con políticas de transparencia y de protección de datos para que los trabajadores sepan qué información se está rastreando. Pero tan importante como lo anterior es la necesidad de imponer límites a la recopilación de datos que puedan dar lugar a discriminación como, por ejemplo, los relativos a la sindicación. El Informe indica, en último lugar, que los trabajadores deben tener acceso a sus propios datos, así́ como el derecho a comunicar esa información a su representante o autoridad reguladora. Todo esto se va a tratar a continuación, o de comprobar si la legislación española cumple y cómo con estas recomendaciones y con la nueva normativa de protección de datos.

En la gestión de sus recursos humanos, las organizaciones administrativas, suelen hacer un uso muy habitual de datos de las personas a su cargo, ya que de lo contrario sería ciertamente difícil gestionar este capítulo de una manera eficaz. Podemos corroborar, por ejemplo, que las universidades cuentan con nuestros nombres y apellidos, el número de DNI, el número de registro personal (a veces, incluso, el Número de Identificación Fiscal), la dirección de nuestros domicilios personales, las direcciones de correo electrónico, los datos de nuestras cuentas bancarias, el sexo –evidentemente-, nuestras condiciones de salud, nuestras situaciones y circunstancias personales (maternidad, incapacidad, etc.), los cursos de formación, los proyectos de innovación educativa implementados, los proyectos de investigación en que se participa, las dietas de desplazamiento, etc.; incluso, en el caso del Personal de Administración y Servicios, sus horas de entrada y salida del trabajo; sin olvidar los datos con relevancia fiscal y de seguridad social. Todos estos datos, sutilmente tratados a través de algoritmos varios pueden llegar a ser de gran utilidad para la creación de perfiles completos sobre la personalidad de los afectados(56). A todo lo anterior se une el hecho de que el actual funcionamiento del servicio público muestra un índice digital mucho más elevado que el de muchas empresas, fruto de los distintos Planes promovidos de la Unión Europea(57). En este sentido puede decirse, sin error a equivocarnos, que España ha sido una fiel seguidora de las comunicaciones de la UE y que actualmente contamos con una administración altamente digitalizada. A raíz de todo lo apuntado, la <<identidad digital>> de los empleados públicos es cada vez más precisa ya que habitualmente utilizan firma electrónica, se sirven del mail corporativo, manejan plataformas administrativas internas (intranet) o disponen de claves personales de acceso a los teléfonos u ordenadores. Todo ello conlleva que la actuación de los empleados deje una traza digital que puede ser perfectamente rastreable y concretable(58).

Pero no sólo las AAPP directamente empleadoras almacenan datos propios sino que por obra de los mecanismos de “comunicación” interna que poseen y que la ley promociona pueden incluso contar con más datos de los que generan los empleados a su cargo. Valga como ejemplo la reciente tendencia a habilitar canales de denuncia anónima a fin de favorecer el cumplimiento normativo(59). Esta corriente, que predomina tanto en el sector privado (el whistleblowing en los programas de compliance) como en el sector público, enfrenta la finalidad de denunciar infracciones o conductas corruptas, ilegales, fraudulentas o peligrosas que puedan ocasionar graves perjuicios al interés público aunque también las malas prácticas percibidas o potenciales) y la protección de la confidencialidad del denunciante (señaladamente a fin de garantizar el derecho a la protección de los datos de carácter personal con el que se relacionan otros intereses como la seguridad personal, el honor, etc.).

Todo este cúmulo de datos personales, que cabe sumar a los que son reflejo de la personalidad y del historial de cada empleado público, se encuentran recogidos en multitud de documentos administrativos, tanto en expedientes o actividades en curso como en expedientes conclusos y archivados(60), lo que puede constituir una “suma informativa final de gran magnitud y relieve”(61).

La pregunta que nos planteamos ahora es si al empleado se le informa sobre los datos que se recaban por cuenta de su actividad, esto es, si aquél conoce con qué objetivo se recoge la información, qué características tienen los datos, qué método sigue la Administración para reunir dicha información, dónde se localiza la información recogida o cuál es el plazo del almacenamiento de datos y, en fin, qué derechos le asisten para oponerse al tratamiento o pedir una rectificación de aquellos. En resumen, cuál es el grado de cumplimiento de la legislación vigente en este ámbito(62). Quizás debiéramos preguntarnos asimismo si el empleado público es consciente de los derechos y obligaciones planteados por el nuevo entorno digital, y de la labor de concienciación que todavía debe hacerse. En este sentido, huelga apuntar que los empleados públicos son titulares plenos de los derechos recogidos entre los arts. 15 a 22 LOPDGDD, esto es, de los derechos de acceso, rectificación, supresión, limitación del tratamiento portabilidad y oposición y también del nuevo –respecto de la Directiva 95/46/CE - derecho a presentar una reclamación ante una autoridad de control.

Como también es conocido que el responsable del tratamiento y quien estará obligado a informar al empleado público sobre los medios que se encuentran a su disposición para ejercer los derechos que le corresponden (art. 12.2 LOPDGDD) es la Administración Pública, conforme se apuntó “supra”. En una fase avanzada de la aplicación del “Big Data” al empleo público, las AAPP podrían contar con modelos predictivos efectivos acerca del comportamiento de la fuerza de trabajo y su impacto en los objetivos de la organización(63). Pero este trabajo no se enfoca, ni puede, a la cualidad y seguridad de los datos(64).

Probablemente un estudio jurídico como éste no sea la herramienta adecuada para responder a la cuestión formulada, y tampoco un acopio jurisprudencial o de dictámenes de las distintas agencias de protección de datos, de casos relacionados con esta temática representaría una muestra suficiente. Por este motivo, abordaremos a continuación un análisis del “deber ser”.

En principio, las bases de la licitud que puede esgrimir la Administración para el tratamiento de los datos personales de los empleados públicos son las mismas que las que rigen para los trabajadores por cuenta ajena, y se concretan en el art. 6 RGPD aunque, por la materia que nos entretiene –el empleo en el sector público y los principios y valores que lo configuran-, destacaremos sólo algunas de ellas. Partiremos de lo proclamado en el Considerando n.º 45 RGPD donde exige una reserva de ley para que los tratamientos de datos con base legítima en el “interés público” sean lícitos.

Volviendo a los fundamentos del art. 6 RGPD(65) que procuran la licitud del tratamiento llamaremos la atención sobre los siguientes la letra e) que permite el tratamiento “para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.

De todos modos, el RGPD (art. 6.2)(66) invita a los Estados miembros a mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e)(67), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento como las contempladas en el capítulo IX RGPD; que por lo que aquí interesa se refieren al tratamiento en el ámbito laboral (art. 88 ) –después desarrollado parcialmente en el Título X LOPDGDD-, o a las garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (art. 89).

Por su parte, el art. 6.3 RGPD indica que “La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

Con las premisas anteriores, debemos preguntarnos ahora si ha cambiado algo, y qué en el Derecho Público administrativo español, análisis que efectuaremos a partir de la distinción entre el tratamiento de datos personales “ordinarios” y de “categorías especiales”.

1. El tratamiento de categorías ordinarias de datos personales. Los registros de personal

El EBEP (art. 69 ), como no podía ser de otra forma, efectúa la planificación de los recursos humanos de las Administraciones Públicas, con el objetivo confeso de “contribuir a la consecución de la eficacia en la prestación de los servicios y de la eficiencia en la utilización de los recursos económicos disponibles mediante la dimensión adecuada de sus efectivos, su mejor distribución, formación, promoción profesional y movilidad”. A fin de lograrlo, el mismo precepto (apdo. 2) faculta a esas organizaciones a aprobar Planes para la ordenación de sus recursos humanos, que incluyan medidas que, indudablemente, contendrán datos personales(68). Ejemplo de aquéllas son los análisis de las disponibilidades y necesidades de personal, tanto desde el punto de vista del número de efectivos, como del de los perfiles profesionales o niveles de cualificación de los mismos (letra a); las previsiones sobre los sistemas de organización del trabajo y modificaciones de estructuras de puestos de trabajo (letra b); olas medidas de promoción interna y de formación del personal (letra d).

El art. 69 EBEP no ha sido modificado por obra de la legislación de protección de datos(69) aunque su apdo. 3 ya exigía, en términos demasiado generales, que dicha planificación de los recursos humanos se efectuará “de acuerdo con los sistemas que establezcan las normas que les sean de aplicación”(70). En ese mismo Capítulo I del Título V del EBEP, el art. 71 , titulado Registros de personal y Gestión integrada de recursos humanos, procura que cada AAPP constituya un Registro(71) en el que se inscribirán los datos relativos al personal, precepto que tampoco ha sufrido modificación alguna por obra de la LOPDGDD; aunque deberá ponerse el foco en una última advertencia recogida de atrás en su apdo. 3 y que obliga a respetar “lo establecido en la legislación de protección de datos de carácter personal”. Sin embargo, nos interesa en este momento que el art. 71.2 EBEP no sólo faculta a lo anterior, sino que la información de ese personal puede proceder de otras parcelas del respectivo sector público, constituyendo lo que se conoce en la propia ley como “información agregada sobre los restantes recursos humanos de su respectivo sector público”. En cualquier caso, el posible conflicto que pueda originarse entre el derecho a la protección de datos de los empleados públicos y este interés de la Administración por ordenar sus recursos en aras a la eficacia y eficiencia de sus servicios se resolverá del lado de la protección de datos.

No obstante, entre las medidas que cita el art. 69.2 EBEP y que podrán ser contenidas en los citados “Planes para la ordenación de los recursos humanos”, aparte de las ya referidas “supra” de “tipo ordinario”, se encuentra otro grupo que englobaremos en la categoría de “medidas más intensas”. Nos referimos a las medidas de movilidad en sentido amplio –donde “podrán figurar la suspensión de incorporaciones de personal externo a un determinado ámbito o la convocatoria de concursos de provisión de puestos limitados” (letra c), medidas de movilidad forzosa (letra d) o la incorporación de recursos humanos a través de la Oferta de empleo público (letra e). Y optamos por dicha nomenclatura toda vez que en el cumplimiento de ciertas sanciones se ven comprometidos algunos procedimientos de personal, como el acceso al empleo público(72); el traslado forzoso(73) y la promoción o movilidad voluntaria(74).

Por lo anterior es importante destacar que actualmente la LOPDGDD, en su Disposición adicional duodécima, titulada Disposiciones específicas aplicables a los tratamientos de los registros de personal del sector público, dispone de algunas excepciones respecto de lo que se acaba de expresar en términos generales: esto es, prevalecerá el “ejercicio del poder público” sobre el derecho a la protección de datos, y el derecho a limitar el tratamiento de ciertos datos en determinadas circunstancias. En efecto, en esa Disposición (apdo. 1) se prevé que “Los tratamientos de los registros de personal del sector público se entenderán realizados en el ejercicio de poderes públicos conferidos a sus responsables, de acuerdo con lo previsto en el art. 6.1 a) del Reglamento (UE) 2016/679”. El precepto del RGPD se refiere a una concreta base de licitud del tratamiento, “el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”. Aparece de nuevo “lo público” como título habilitante para el tratamiento, en este caso, de datos personales del personal del sector público, lo cual se traduciría en que el derecho a la protección de datos se sitúa ante un título habilitante de significada dimensión en esas concretas circunstancias.

Consciente el legislador orgánico español de la sensibilidad de ciertos tratamientos, como los relativos a infracciones y condenas penales o infracciones y sanciones administrativas, el apdo. 2 de la citada Disposición Adicional 12 permite que los registros de personal del sector público procedan a dicho tratamiento, aunque –entendemos que en aplicación del principio de limitación de datos(75)- “limitándose a los datos estrictamente necesarios para el cumplimiento de sus fines”(76). En un ejemplo práctico el tratamiento de datos personales de empleados públicos sancionados y/o condenados es un interés público más importante que el derecho del empleado de limitar el tratamiento de dichos datos, aunque las razones de aquel tratamiento ya no sean necesarias para la el fin originario que sirvió a la Administración (art. 18.1 c RGPD).

Realizando una interpretación sistemática de la legislación en vigor resultará que los empleados públicos que, por ejemplo, hayan sido objeto de una sanción, tendrán derecho a la limitación del tratamiento (art. 18 RGPD) por parte del responsable del tratamiento siempre y cuando se cumpla alguna de las condiciones contempladas en ese precepto(77). Ese art. 18 RGPD redunda en la dimensión del interés público como título legitimador del tratamiento de datos personales a pesar de concurrir otras razones de peso a favor de la limitación de esos mismos datos. En concreto, su apdo. 2) cuyo objeto pasa por reforzar la limitación del tratamiento de los datos personales, advierte, sin embargo, que razones de interés público importantes de la Unión o de un determinado Estado miembro puedan excepcionar ese derecho.

Esta ha sido precisamente la posibilidad que ha hecho suya la DA 12 LOPDGG (apdo. 3) acogiéndose a lo previsto en el art. 18.2 del Reglamento. Y lo ha hecho por considerar una razón de interés público importante, permitir que los datos cuyo tratamiento se haya limitado en virtud del art. 18.2 RGPD (por ejemplo, porque el empleado púbico haya impugnado la exactitud de los datos personales, el tratamiento sea ilícito o la Administración ya no necesite los datos personales para los fines del tratamiento pero el empleado los necesite para la formulación, el ejercicio o la defensa de reclamaciones) sean objeto de tratamiento cuando sea necesario para el desarrollo de los procedimientos de personal(78). Y, sin embargo, esta importante Disp. Adicional no se ha llevado al texto del EBEP.

Creemos que es un precepto importante ya que, en una lectura “a contrario” del precepto citado, cuando concurra una necesidad vinculada a un interés público importante, a pesar de que el empleado público haya impugnado la exactitud de los datos o concurra otra de las razones expuestas en el art. 18.1 RGPD, sus datos personales podrán ser tratados, aunque el tratamiento se sujetará a los principios de “limitación de datos” y necesidad. Un interés público importante, como el desarrollo de los procedimientos de personal (movilidad, sanciones) permitiría reeditar los fines del tratamiento primigenio –entre los que se puede citar el tratamiento a efectos de la planificación ordinaria de los recursos humanos. Lo anterior se basa en que principios que alumbra la legislación sobre la protección de datos como el de la limitación de la finalidad se verían modulados. Recuérdese que dicho principio postula que “los datos sean recogidos con fines determinados, explícitos y legítimos, y que no sean tratados ulteriormente de manera incompatible con dichos fines” (art. 5 RGPD a). El particular precepto (art. 5, apdo. b) determina qué debe descartarse como incompatible con ese derecho, no otro que el tratamiento tenga “fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos”(79). Parecería, por tanto, que un tratamiento para el desarrollo de los procedimientos de personal, por concurrir con ese interés público importante, permitiría salvar también esta exigencia de compatibilidad de fines. Y todo esto se recoge en una ley, pero en su Disposición Adicional nº 12.

Recuérdese que el Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo , que nos encontramos ante un derecho fundamental a la protección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención. Por eso, esta posibilidad brindad por la DA 12. de utilizar datos personales cuyo tratamiento se limitó para el desarrollo de procedimientos de personal no significa, sino que ese interés público se posiciona por encima del derecho fundamental de la protección de datos personales.

Por su parte, en la STC 292/2000, de 30 de noviembre , el TC define el derecho a la protección de datos como un derecho autónomo e independiente que consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir qué datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Y, sin embargo, los empleados públicos no podrán materializar esos derechos de oposición, por ejemplo, cuando se trate del desarrollo de procedimientos de personal.

Incluso en el caso de que el empleado público se haya opuesto al tratamiento de datos amparados en la licitud del tratamiento por concurrir un interés público, en virtud de “motivos relacionados con su situación particular”, estos motivos decaerán si el responsable del tratamiento acredita “motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos o las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones” (art. 21.1 RGPD). de nuevo, el desarrollo de procedimiento de personal se erige en un motivo legítimo imperioso que sojuzga el derecho a la protección de datos de los empleados públicos.

Entendemos que principios anudados a la labor pública, unos ya transcritos, como la eficacia y la eficiencia, y otros como la credibilidad, la gestión del peculio público, etc. podrían estar detrás de esta fragilización del derecho a la protección de datos de los empleados públicos cuando se enfrente a la existencia de una razón de interés público importante como la descrita. De todas formas, lo precedente no exime a la Administración de informar a sus empleados de todas estas cuestiones, derecho de información previa que forma parte del contenido esencial del derecho de protección de datos(80). Y esa información puede librarse a los empleados públicos utilizando la vía de la negociación colectiva –y de los pactos y acuerdos que de ésta se derivan, o de los convenios colectivos, en su caso-, aunque entendemos que no sería una materia de negociación obligatoria (véase “supra”) o a través de los códigos de conducta o “buenas prácticas”(81).

2. El tratamiento de las categorías especiales de datos

Como es sabido, el RGPD distingue entre datos personales “ordinarios” y “categorías especiales de datos”. Aunque la mayoría de los datos personales son ordinarios, por la dimensión constitucional que adquirieren esos otros datos personales especiales, tanto el RGPD como la LOPDGDD adoptan más cautelas respecto de su recogida y posterior tratamiento.

La cuestión que perfilábamos al principio de este trabajo se presta también en este apartado, aunque con lo notable diferencia de que nos referimos a las categorías especiales de datos: ¿cómo y cuánto interfiere el interés público en la regulación de las categorías especiales de datos?

Son “categorías especiales de datos”, de acuerdo con el RGPD (art. 9.1 ) los “que por su naturaleza son particularmente sensibles en relación con los derechos y libertades fundamentales, ya que el contexto de su tratamiento, podrían entrañar importantes riesgos para los derechos y libertades fundamentales” (Considerando nº 51). En particular, se someten a esa definición y son así enumerados los datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas o la afiliación sindical, y los datos relativos a la salud, vida sexual y orientación sexual; pero también los datos genéticos, los datos biométricos dirigidos a identificar de manera unívoca a una persona física, los datos relativos a la vida sexual o las orientaciónes [sic] sexuales de una persona física(82).

El RGPD ha ampliado esta protección “especial” abarcando más datos que la Directiva 95/46/CE , como los datos genéticos o biométricos. No obstante, hay que tener en cuenta la definición provista por esta norma jurídica respecto de cada categoría de datos, ya que puede actuar como limitante de la protección a deparar. Así, por ejemplo, el RGPD (art. 4.14 ) define los datos biométricos como los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos” (art. 4.14).

El mayor peligro de los derechos de los interesados depende, en gran medida, del tipo de datos personales sometidos a tratamiento –ideología, religión, afiliación sindical, vida sexual, etc. En el ámbito del empleo público, lo mismo que ocurre en el de las relaciones laborales “stricto sensu”, la prohibición de tratamiento de las categorías especiales de datos alcanza a datos personales que se refieren a las ideas políticas, religiosas, afiliación sindical o la vida sexual u orientación sexual del empleado.

El propio Considerando n.º 51 RGPD exige que se establezcan de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, por ejemplo, cuando el interesado dé su consentimiento explícito, o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales. El desarrollo de esta última excepción se refiere, por lo que a este trabajo concierne, a las organizaciones sindicales que, para el cumplimiento de sus fines, deben conocer los datos de sus afiliados para poder cobrarse la cuota sindical.

En desarrollo del citado Considerando, el art. 9.1 RGPD contempla la prohibición de tratamiento de datos personales “de categorías especiales” cuando dicho tratamiento se dirija a “identificar de manera unívoca a una persona física”; y precisa las situaciones especiales que permiten romper la regla general de prohibición del tratamiento de estas categorías especiales de datos (art. 9.2).

En el ámbito del tratamiento de las categorías especiales de datos, el factor “interés público esencial” es también una razón que puede exceptuar la prohibición general de tratar datos personales con esa impronta especial y revelado el objeto de este trabajo, a esta excepción nos vamos a dedicar. El apdo. 2 del art. 9 RGPD, en su letra g) propicia el tratamiento cuando sea “necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros”, permisividad que no nos es extraña y a la que hemos asistido en relación con los datos ordinarios. Sin embargo, respecto de esta otra categoría de datos, el legislador europeo es más exigente y sin dejar de priorizar ese interés público -que deberá ser “esencial”- sobre el derecho a la protección de datos, somete al tratamiento a más exigencias: que sea proporcional al objetivo perseguido, que respete en lo esencial el derecho a la protección de datos y que se establezcan medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado. Todo ello significa que la Administración, cual empleadora, deberá justificar y argumentar con más detalle las actuaciones que supongan el tratamiento de este tipo de datos. Si en el caso de los datos personales “ordinarios” se requería el respeto a los principios de minimización y finalidad, entendemos que a ésos deberían anudarse ahora estas otras exigencias.

En este caso, además, el Reglamento exige que esta excepción esté cubierta por una norma legal (“sobre la base del Derecho de los Estados miembros), que además podría establecer requisitos adicionales relativos a la seguridad y confidencialidad de ciertos tipos de categorías especiales de datos (art. 9.4 RGPD)(83).

Si acudimos a la Ley orgánica española, como no podía ser de otra forma, se exige la cobertura de una norma legal cuando siendo el tratamiento lícito, los datos sean de categoría especial, señaladamente en tres supuestos que, en sustancia, coinciden con los recogidos en los apartados c) y e) del art. 6.1 RGPD relativo a la licitud del tratamiento.

Además, el art. 9.1 LOPDGDD vincula la finalidad de evitar situaciones discriminatorias con la prohibición de que el interesado consienta el “tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico”.

La pregunta que ahora se plantea es si nuestro Derecho ha restringido el tratamiento de categorías especiales de datos personales, especialmente en los ámbitos que interesan a este trabajo. El momento al que se refiere la LOPDGDD es anterior a la identificación de la persona en su conjunto, no otra que identificar condiciones de la persona física que puedan dar lugar a situaciones discriminatorias, cuando ésta sea la finalidad principal del tratamiento. En una lectura acompasada del Reglamento y de la Ley llegaríamos a la conclusión de que en España, el consentimiento no libera al sujeto de prestarse al tratamiento de datos con el fin de identificar aspectos relacionados con el disfrute de derechos fundamentales, como su ideología, su orientación sexual, etc. aunque, a contrario, aquél podría prestarlo si la finalidad del tratamiento cuenta con otros fines, como, por ejemplo, detraer de su la cuota sindical por ser un afiliado de un sindicato.

Sin lugar a dudas, el propósito del RGPD es combatir las posibles discriminaciones que se pueden generar a partir de la identificación de las condiciones de una persona. Por este motivo, que esa finalidad odiosa aparezca expresamente en la LOPDGDD y esté prohibida debe ser bienvenida, por ser más garantista. Y se alinea con la prohibición de discriminación del art. 14 CE o 17 ET, y con lo recogido en la Recomendación del Consejo de Europa de 2015. En el art. 9 de este interesante documento, el Consejo de Europa insiste en el carácter restrictivo del tratamiento de datos “sensibles”, haciendo hincapié en la indispensabilidad del tratamiento para que éste sea posible, en someterse a los límites prescritos en el Derecho interno y adoptando las garantías apropiadas. Abundando en estas últimas, la Recomendación subraya los riesgos relativos a los intereses, derechos y libertades fundamentales de los empleados, “especialmente el riesgo de discriminación”. Como fácilmente se desprende de lo expuesto, la Ley española ha adoptado la encomienda de la Recomendación del Consejo de Europa(84) en lo relativo al riesgo discriminatorio, aunque no ha hecho más esfuerzos por blindar especialmente estos derechos del tratamiento desviado de datos. La LOPDGDD podía haber concretado, por ejemplo, qué derechos se sitúan en el haz del contenido esencial del derecho a la protección de datos o qué medidas pueden ser adecuadas para proteger los intereses y derechos fundamentales del interesado. Por ello, por lo pronto, nos imaginamos que serán los jueces quienes vayan perfilando unos y otros contenidos.

Un supuesto práctico que puede sernos de utilidad para entender cómo ha cambiado esta cuestión en comparación con la situación anterior al RGPD es el recogido en el Dictamen de la Agencia Vasca de Protección de Datos(85) donde se planteaba la viabilidad de una gestión centralizada de los controles de acceso por huella biométrica a instalaciones municipales a fin de controlar el horario de sus empleados públicos. La cuestión principal que se planteaba entonces radicaba en si ese tratamiento se adecuaba a la normativa de protección de datos, concretamente, en relación con el principio de calidad de datos. La legitimidad del fin –el control del cumplimiento horario de trabajo- pero también la necesidad de proteger un interés público importante, se encontraban detrás de la justificación del tratamiento.

Actualmente, partiendo de que el Considerando 39 del RGPD proclama que “Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios”, de que los datos biométricos han sido acogidos en la categoría de datos especiales, algo que no contemplaba la Directiva de 1994, y de la protección que se brinda a éstos, concluiríamos en que no sólo habría que respetar el principio de calidad de datos, sino que la Administración estaría obligada a respetar los otros límites dichos (proporcionalidad de la finalidad y protección del contenido esencial del derecho a la protección de datos, básicamente)(86).

En el Dictamen 3/2012 del Grupo de Trabajo del art. 29 (órgano consultivo de la Comisión Europea en materia de protección de datos) sobre evolución de las tecnologías biométricas, adoptado el 27 de abril de 2012, se expresa que “los datos biométricos se utilizan con éxito y eficacia en la investigación científica, son un elemento clave de la ciencia forense y un valioso elemento de los sistemas de control de acceso”.

Refiriéndose a la proporcionalidad, se establece en el dictamen que “Puesto que los datos biométricos solo pueden utilizarse si son adecuados, pertinentes y no excesivos, ello implica una evaluación estricta de la necesidad y la proporcionalidad de los datos tratados y de si la finalidad prevista podría alcanzarse de manera menos intrusiva. Al analizar la proporcionalidad de un sistema biométrico propuesto, es preciso considerar previamente si el sistema es necesario para responder a la necesidad identificada, es decir, si es esencial para satisfacer esa necesidad, y no solo el más adecuado o rentable. Un segundo factor que deber tenerse en cuenta es la probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características específicas de la tecnología biométrica que se va a utilizar. Un tercer aspecto a ponderar es si la pérdida de intimidad resultante es proporcional a los beneficios esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero ahorro, entonces la pérdida de intimidad no es apropiada. El cuarto aspecto para evaluar la adecuación de un sistema biométrico es considerar si un medio menos invasivo de la intimidad alcanzaría el fin deseado”.

El Grupo de Trabajo advierte de los riesgos que conlleva la utilización de datos biométricos para fines de identificación en grandes bases de datos centralizadas, dadas las consecuencias potencialmente perjudiciales para las personas afectadas.

Por otra parte, debe tenerse en cuenta el importante impacto de la dignidad humana de los interesados y las implicaciones en cuestión de derechos fundamentales de tales sistemas. A la luz del Convenio europeo para la protección de los derechos humanos y de las libertades fundamentales y de la jurisprudencia del Tribunal Europeo de Derechos Humanos sobre el artículo 8 del Convenio, el Grupo de Trabajo subraya que cualquier interferencia con el derecho a la protección de datos solo podrá autorizarse si es conforme a la ley y si es necesaria, en una sociedad democrática, para proteger un interés público importante.>>

En consecuencia, entendemos que actualmente no sería posible establecer esa medida dada la existencia de otro tipo de sistemas que no invaden el derecho a la protección de datos, como las tarjetas inteligentes y otros métodos que no recojan o centralicen datos biométricos para fines de autenticación. En definitiva, esperamos que el reglamento que desarrolle la LOPDGDD contemple este tipo de garantías.

VI. TRATAMIENTO DE DATOS PERSONALES Y PRINCIPIO DE TRANSPARENCIA DE LAS AAPP

1. El Open Data y el principio de transparencia informativa

Por “Open Data” se conoce la posibilidad de que empresas privadas reutilicen la información administrativa para el desarrollo de su actividad comercial, una opción facilitada además por la expansión de las nuevas tecnologías de la información y las comunicaciones tanto en el ámbito de la AA.PP. como en las entidades privadas(87). El régimen jurídico de los datos abiertos y la reutilización de la información por parte del sector público comienza en los EE.UU, país precursor de la regulación.

Los partidarios de los datos abiertos argumentan que estas limitaciones van en contra del bien común y que estos datos tienen que ser puestos en disposición del público sin limitaciones de acceso, dado que se trata de información que pertenece a la sociedad –como el genoma- o que ha sido generada u obtenida por AA.PP. financiadas por la ciudadanía [].

Sin embargo, la apertura de los datos al público ha de tener también un beneficio para la Administración: tener acceso a los datos garantiza la transparencia porque se tiene acceso a datos que proceden directamente de fuentes oficiales. También se fomenta la eficiencia y la igualdad de oportunidades, ya que los ciudadanos y las empresas pueden crear servicios que resuelvan sus necesidades en colaboración con la Administración. Obviamente habría información excluida por intereses de terceros, pero salvo esta parcela, los fervientes defensores del “Open Data” propugnan el acceso libre a los datos de la Administración.

En esa misma línea, autores más cercanos a nosotros(88) defienden que “La transparencia debe entenderse como un vehículo que facilite una gestión más eficiente”. Dado que la transparencia permite un mejor conocimiento del funcionamiento de las organizaciones, de los motivos por los que se han elegidos unas opciones en lugar de otras y de la posibilidad de realizar análisis de los procedimientos, así como de la fiscalización de estos, ésta permitirá una evolución y mejora, consiguiendo así una gestión más eficaz.

Hay otro sector de la doctrina(89) que se muestra más prudente en relación con la transparencia administrativa, y prioriza ésta cuando exista un “claro interés público que lo justifique”, distinguiendo éste de la justificación gruesa por que exista un principio genérico de transparencia informativa.: la transparencia no es un fin en sí mismo, sino un medio para alcanzar un claro interés público(90). Debería existir un “claro interés público” que “puede implicar también el acceso a documentos administrativos relativos a expedientes, reuniones, dictámenes o cualquier información relacionada con decisiones políticas, programas o planes y que han afectado, sin duda, a la toma de decisión en materias que afectan a la sociedad en su conjunto. Ejemplos de ese “claro interés público” serían datos que se vincularan al ejercicio de derechos y libertades fundamentales, como la libertad de información -20 CE-, o el derecho de participación en asuntos públicos -23 CE(91).

En esa dirección, el Convenio Europeo de Derechos Humanos recoge referencias a lo público aunque en una dimensión distinta a la prevista en la CE: después de reconocer el respeto a la vida privada y familiar, establece que cualquier injerencia, para que sea legítima, debe estar prevista por la ley y constituir una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás (art. 8.2). Esa necesidad se mide en términos de proporcionalidad, a través del principio de proporcionalidad, donde la necesidad de la medida en una sociedad democrática coincidiría con los subprincipios de necesidad y adecuación(92).

La cuestión que nos vamos a plantear a continuación radica en cómo debe dirimirse el conflicto suscitado por la protección de determinados datos personales de los empleados públicos cuando aparecen en documentos públicos que deban ser accesible al gran público: ¿La nueva LOPDGDD aporta algo nuevo a esta situación que lejos de originarse en 2018 lleva tiempo regulada?

2. Transparencia informativa, datos personales de los empleados públicos y derechos fundamentales

La cuestión más espinosa que se suscita en relación con este tema es qué ocurre cuando la transparencia informativa alcanza a datos personales de los empleados públicos(93). Es un hecho que esa realidad está presente ya en el sector del empleo público, tal y como se indicaba en la Introducción de este trabajo. Es también una realidad a la que asistimos que por razón de la actividad pública de algunas personas con un nivel administrativo alto, cierta información fiscal o económica se publica vía “on line” , algo que no ocurre en el sector privado(94).

En realidad, España ha sido también sensible al principio de transparencia informativa. En 2007, la Ley 37/2007, de 16 de noviembre, sobre Reutilización de la Información del Sector Público, procuraba en su art. 3, apdo. 3 y 4 que información pública puede ser liberada para su reutilización. Y así, por ejemplo, el apdo. 4 es tajante cuando indica que ”en ningún caso podrá ser objeto de reutilización la información en que la ponderación a la que se refieren los artículos 5.3 y 15 de la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno arroje como resultado la prevalencia del derecho fundamental a la protección de datos de carácter personal, a menos que se produzca la disociación de los datos a la que se refiere el artículo 15.4 de la citada Ley”(95).

En relación con el sector público, la Disp. Final 11 LOPDGDD ha modificado la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, de modo que se introduce un nuevo art. 6 bis en esa ley, en base al cual se crea un Registro de actividades de tratamiento(96). Y así, los sujetos enumerados en el art. 77.1 LOPDGDD, esto es, la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las entidades que integran la administración local así con los organismos públicos y entidades de derecho público vinculadas o dependientes de las administraciones públicas estarán obligadas a publicar un inventario de actividades de tratamiento en aplicación del art. 31 de la citada ley orgánica.

Por su parte, la Ley 39/2015 (LPRJ PAC), en su art. 53 , titulado “Derechos del interesado en el procedimiento administrativo”, recoge que su apdo. 1 b) que los interesados en un procedimiento administrativo cuentan con el derecho a identificar a las autoridades y al personal al servicio de las Administraciones Públicas bajo cuya responsabilidad se tramiten los procedimientos. Entendemos que esta cesión de datos es necesaria para el desarrollo y cumplimiento de una relación jurídica administrativa –de una relación funcionarial, estatutaria o laboral-, y que la habilitación legal provendría de la especial relación que vincula a los empleados públicos con la Administración(97).

El RGPD (Considerando 154) ha optado por una dimensión aperturista de los datos obrantes en las Administraciones Públicas, hasta el punto de que entiende que “El acceso del público a documentos oficiales puede considerarse de interés público”. Sin embargo, el mismo Considerando condiciona la posibilidad de que los datos personales de documentos que se encuentren en poder de una autoridad pública o un organismo público sean comunicados públicamente al hecho de que así lo establezca el Derecho de la Unión o los Estados miembros. Las condiciones no terminan ahí, sino que a continuación el RGPD supedita sin ambages el derecho a la comunicación pública de datos al derecho a la protección de datos. En efecto, consciente la norma jurídica europea del conflicto entre derechos en esta delicada materia, exige que tanto el Derecho de la Unión como el de los Estados miembros concilien el acceso del público a documentos oficiales y la reutilización de la información del sector público con el derecho a la protección de los datos personales. Se quiere ahora llamar la atención sobre la cuestión de que la norma jurídica europea reclama la conciliación entre derechos, que no la ponderación entre ambos(98).

De todas formas, es también llamativo que el mismo Considerando advierta que la Directiva 2003/98/CE del Parlamento Europeo y del Consejo, relativa a la reutilización de la información del sector público “no altera ni afecta en modo alguno al nivel de protección de las personas físicas con respecto al tratamiento de datos personales con arreglo a las disposiciones del Derecho de la Unión y los Estados miembros y, en particular, no altera las obligaciones ni los derechos establecidos en el presente Reglamento. En concreto, dicha Directiva no debe aplicarse a los documentos a los que no pueda accederse o cuyo acceso esté limitado en virtud de regímenes de acceso por motivos de protección de datos personales, ni a partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización haya quedado establecida por ley como incompatible con el Derecho relativo a la protección de las personas físicas con respecto al tratamiento de los datos personales”.

La LOPDGDD ha sido también sensible a este conflicto y la Disp. final undécima Dos modifica el art. 15.1 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, de modo que establece una clara diferenciación entre la publicación de información que contenga datos de categorías especiales y datos personales “comunes”. De todos modos, no todos los datos personales incluidos en la categoría de especiales serán tratados de la misma manera (ni siquiera todos los datos entran dentro de la categoría de datos de naturaleza personal(99)). Así por ejemplo, el Dictamen del GT art. 29 relativo a la Publicación de datos personales con fines de transparencia en el sector público(100) indica que cumplir la obligación legal de publicar “on line” información fiscal relativa a algunas personas con un nivel administrativo alto no debería conllevar la publicación de datos relativos a informes financieros completos, detalles bancarios o direcciones personales, números de teléfono o direcciones de correo personales, por resultar toda esta información desproporcionada respecto del fin buscado(101)(102).

La LOPDGDD es más garantista respecto de los datos que se corresponden con el ejercicio de derechos y libertades públicas, como la ideología, la afiliación sindical, religión o creencias. La información solicitada que contenga este tipo de datos personales “especiales” sólo podrá ser consultada “en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso”. Por otra parte, si esas categorías especiales de datos se refieren al origen racial, a la salud o a la vida sexual, a datos genéticos o biométricos o a datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, “el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley(103)>> Esta distinción entre categorías especiales de datos personales guarda una perfecta simetría con la contenida en el art. 9.1 RGPD, texto que al citar ese tipo especial de datos utiliza la conjunción copulativa “y”, situando en primer lugar los datos más protegidos por la LOPDGDD. En cualquier caso, la Ley española se muestra más garantista que el propio RGPD en la salvaguarda de todos los datos personales de carácter especial ya que el art. 9.2 del Reglamento excepciona hasta en diez supuestos la regla general de no tratar esas categorías especiales de datos.

Para finalizar este apartado merece la pena señalar ahora el caso de la citada STS (Sala 3), de 19 de octubre de 2011(104), sobre la información efectuada por un Ayuntamiento a los medios de comunicación de los hechos que motivaron la sanción disciplinaria a un funcionario y las razones que impidieron su ejecución. Entendemos que en este supuesto el “interés público” se materializó en el derecho de información del Ayuntamiento en cuestión. Aunque el derecho implicado no era el principio de transparencia ni se publicó en la web del Ayuntamiento la noticia, sino que éste se valió de la prensa para informar sobre el asunto en cuestión, el tema es interesante. En la sentencia, el TS(105) otorgó prevalencia al derecho a la libertad de información por entender que en el conflicto entre éste y el derecho a la protección de datos se había respetado la doctrina constitucional sobre la observancia del principio de proporcionalidad; de modo que –en lo que aquí interesa- de la comunicación a la prensa por parte del Ayuntamiento en cuestión de los actos administrativos de incoación de un expediente a un funcionario del mismo “se derivan los beneficios o ventajas para el interés general del conocimiento por los ciudadanos de la actuación administrativa, a la vista además de la transcendencia social que tuvieron los hechos en la localidad, por la materia y las personas intervinientes, que justifican los perjuicios sufridos por el derecho a la protección de datos del recurrente, que han de considerarse mínimos, en atención a que los datos que se reputan revelados, que se refieren todos ellos a actos del funcionario del Ayuntamiento en tal condición y a actos del Ayuntamiento también en la esfera de sus funciones administrativas”. De todas formas, en la noticia dada por el Ayuntamiento se informaba que el funcionario sería sancionado una vez fuera dado de alta de su Incapacidad Laboral “en la que lleva de baja nueve meses” (F.J. 3). En relación con esta última cuestión, entendemos que la Recomendación del GT art. 29(106) que no justifica a la luz del principio de justicia y proporcionalidad la revelación de aspectos de la vida privada del individuo.

En conclusión, tanto el RGPD como la LOPDGDD otorgan mayor relevancia al derecho a la protección de datos en contraposición con el principio de acceso del público a los documentos oficiales. Ello es evidente en el caso de las categorías especiales de datos personales aunque respecto de los datos personales “ordinarios”, ese principio de publicidad deberá observar, en primer lugar, el principio de limitación de la finalidad. Por lo anterior, cuando sean tratados datos personales de los empleados públicos en la publicación del desarrollo de un expediente administrativo, por ejemplo, dicho tratamiento deberá ser compatible con los fines que la Administración determine, entre otros, la publicidad de los datos; y así deberá indicarlo la Administración en concreto en el documento oportuno a los efectos de información previa. Y entendemos que los empleados públicos deberán ser previamente informados al respecto. En segundo lugar, ese tratamiento de datos personales “ordinarios” deberá respetar el principio de minimización de datos, causándose el menor daño posible al derecho a la protección de datos. Por esta razón, la Administración deberá realizar previamente a la publicidad de los datos, un ejercicio de análisis sobre la adecuación y la pertinencia del tratamiento, de modo que deberá verter los menos datos personales de los empleados públicos posibles, así como cuidar que el tratamiento se limite “a lo necesario en relación con los fines para los que serán tratados”.

VII. CONCLUSIONES

Este trabajo ratifica la hipótesis planteada al comienzo del mismo: las peculiaridades o singularidades que acompañan al empleo público actúan en ocasiones en detrimento del derecho a la protección de datos de sus empleados. De todas formas, ni todos los empleados públicos tienen las mismas funciones, ni todos los datos que pueden publicarse son dignos de la calificación de “personales”. Por otra parte, la Administración no podrá escudarse en principios como el interés público, la relación de sujeción especial o el principio de acceso a la información pública para supeditar siempre aquel derecho fundamental a esos bienes jurídicos o derechos relacionados con la función pública. En la medida que el derecho a la protección de datos convive con otros derechos y libertades fundamentales, y como sucede con el resto de derechos de orden fundamental -siquiera simplemente constitucionales-, el derecho a la protección de datos se encuentra igualmente amparado por el principio de proporcionalidad, al cual también se refiere el RGPD en la versión doble del principio de la limitación de la finalidad y del principio de minimización de datos. Este principio junto al resto de principios que alumbran la normativa sobre protección de datos deberían salvaguardar ese derecho de los empleados públicos en la mayoría de las ocasiones; más aún en el supuesto de las categorías especiales de datos.

Por ello, tanto en el supuesto de que se traten datos en el ejercicio de los poderes públicos como en el caso de que la finalidad sea el interés público, las AAPP deberán ser especialmente cuidadosas con qué datos se tratan y/o se proporcionan vía “on line”. Pero no sólo lo anterior: además la Administración en cuanto empleadora que es debe informar previamente y de forma límpida a sus empleados y a sus representantes, de los fines del tratamiento, así como de los derechos que les asisten. El Considerando nº 39 RGPD relativo al principio de transparencia exige que toda información relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro; principio que se recoge también por parte del Considerando nº 58 y ya, en el articulado, por el art. 12.1.

Qué tipo de instrumentos jurídicos y/o normativos deben acoger dicha información es una cuestión espinosa, como se ha observado a lo largo de las páginas precedentes. Dos elementos jurídicos nos han hecho dudar de la conveniencia del acuerdo colectivo como instrumento apropiado para prever esa materia. Por un lado, las resistencias a la negociación que muestran ciertas materias relacionadas con derechos fundamentales en el EBEP (art. 37.1 h ); y, por otro lado, la redacción del art. 91 LOPDGDD, que sólo se refiere a los “convenios colectivos”. Por eso en este trabajo se recomienda utilizar los códigos de conducta o los protocolos por tratarse de normas que pueden cumplir el objetivo propuesto; códigos que no sólo deberán elaborarse por parte de las AAPP sino también “diseminarse” entre los empleados públicos ya que es tan importante producirlos como hacerlos llegar a sus destinatarios. En esta línea, ciertos estándares internacionales sobre la seguridad de la información como la implantación de la norma ISO/IEC 27001 o la norma ISO/IEC 27002(107) en una organización pública favorecería ese “acompasamiento del empleo público con la Ley”.

En otro orden de cosas, sin perjuicio de que debamos celebrar que las garantías de los derechos digitales, en los términos en que se expresa la LOPDGDD se extiendan explícitamente al ámbito del empleo público, se echa de menos una mayor voluntad del legislador por integrar el contenido de esa Ley en la legislación del empleo público. No queremos revelar que sea totalmente desacertada la remisión a la legislación de protección de datos que realiza el EBEP (art. 14 ), sino que entendemos que otros capítulos del EBEP, como el relativo a los derechos colectivos o a la negociación colectiva deberían haber recogido, siquiera, una remisión a dicha ley orgánica. Llama la atención que no se hayan previsto adaptaciones en la legislación del empleo público respecto de materias tan delicadas como el deber de información previa y el deber de “audiencia previa” que corresponde al empleador respecto de los empleados públicos y sus representantes. Por último, se quiere subrayar que los cambios operados por la LOPDGDD en los registros de personal, señaladamente, los de la DA 12 de esa Ley, tampoco han sido llevados al EBEP; ni siquiera dicha Disposición Adicional exige una modificación del EBEP: creemos que ese capítulo relativo a los registros de personal del EBEP debería contener una alusión específica a la legislación sobre protección de datos. El legislador orgánico ha optado por realizar una modificación testimonial de la legislación básica administrativa. Incluso la referencia aislada y a modo de título sobre los derechos digitales y la protección de datos en el art. 14 EBEP, se efectúa sin disociar la finalidad distinta que se destila de los distintos tratamientos de datos que pueden justificarse por parte del empleador, público o privado.

Por otra parte, el derecho a la desconexión digital se articula en la LOPDGDD junto a otros derechos que pueden sufrir la injerencia del tratamiento de datos, cuando el derecho a la desconexión se emparenta estrechamente con el tiempo de trabajo (más concretamente, con el tiempo de descanso). Por si no fuera poco regular asistemáticamente ese derecho en la LOPDGDD, dicha localización indebida se transpone a la ley básica del empleo público: su Estatuto.

Somos conscientes de la situación del Gobierno de España en este momento, pero siquiera en otro momento legislativo, las necesarias revisiones y acomodaciones de esta importante ley en el estatuto del empleo público serán obligadas; como también su desarrollo reglamentario. Tampoco se podrá perder de vista la imprescindible labor de interpretación de las leyes que realizan nuestros jueces y tribunales.

En cuanto a la dimensión de “interés público” del derecho a la protección de datos que en el ámbito del empleo público supone que este derecho deba conciliarse con los principios de acceso a la documentación pública y de transparencia, creemos que la Ley española ha sido suficientemente protectora respecto del derecho a la protección de datos de los empleados públicos aunque una conclusión en firme requeriría analizar otras ramas del ordenamiento jurídico, como la legislación sanitaria o la legislación penal a fin de analizar en qué consisten, si existen, esos títulos legales que permitirían publicitar dichos datos personales tan entroncados con la privacidad del individuo. En cualquier caso, sin desmentir lo sostenido, se ha comprobado que las organizaciones administrativas disponen de una cantidad ingente de datos, de cuyo potencial, o no son plenamente conscientes o no lo han utilizado por otros motivos. Este potencial se encuentra por ahora agazapado de la economía digital, extramuros del uso de los algoritmos y de inteligencia artificial aplicada, aunque comenzó a hacerse público a través de la normativa de reutilización de datos públicos. Cuando llegará ese aprovechamiento masivo de datos al ámbito de la gestión de recursos humanos en las organizaciones administrativas(108) es, seguramente, cuestión de tiempo. Y por ello los empleados públicos, propietarios de algunos de esos datos, deben estar especialmente informados sobre el tratamiento de sus datos; porque creemos que de este modo la Administración también ganará en la motivación de los empleados y en la transformación organizativa.

Para finalizar y tras este análisis de la nueva normativa sobre protección de datos, creemos que el Estado debería evaluar sus resultados el grado de cumplimiento y eficacia de sus postulados. Por ello nos sumamos a la Recomendación de la OIT(109) que alienta a los Estados a evaluar sus normas desde el prisma de los efectos que las nuevas tecnologías imprimen al diseño del puesto de trabajo y al bienestar del trabajador. Yendo más allá, la organización internacional recomienda crear un laboratorio en su seno para la innovación en materia de tecnologías digitales que, entre otras funciones, proporcionaría formación y asistencia sobre los modos de analizar y utilizar los datos recopilados.

NOTAS:

(1). Este trabajo se ha realizado en el marco del Proyecto de Investigación Coordinado MINECO (DER2017-83488-CU-4-R) y Grupo UPV/EHU (GIU17/059).

(2). Reglamento (UE) 2016/679, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), DOUE, L 119, 4 de mayo de 2016.

(3). De conformidad con el art. 4 2) del RGPD se entiende por tratamiento de datos “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

(4). Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público (EBEP). Su art. 69, por ejemplo, efectúa la planificación de los recursos humanos de las Administraciones Públicas, con el objetivo confeso de “contribuir a la consecución de la eficacia en la prestación de los servicios y de la eficiencia en la utilización de los recursos económicos disponibles mediante la dimensión adecuada de sus efectivos, su mejor distribución, formación, promoción profesional y movilidad”.

(5). BERGER, R., Informe Transformation digitales dans le secteur public. Faire converger l ́intéret des citoyens et des agents, 2017 https://www.rolandberger.com/fr/Publications/Transformation-digitale-dans-le-secteur-public.html (último acceso: 2 de septiembre 2019), p. 7.

(6). AGUADO GARCÍA, D., “Analítica de recursos Humanos: explorando oportunidades a partir del big data y la práctica del Human resources Analytics, Revista Vasca de Gestión de Personas y Organizaciones Públicas, n.º 14, 2018, p. 37.

(7). Véase EUROFOUND, Automation, digitalization and p latforms: impliacations for work adn employment, 2018, p. 1 y ss.

(8). No es propósito de este trabajo ahondar en esta dimensión toda vez que la profesora ARRÚE MENDIZÁBAL desarrollará esta cuestión en un artículo de este mismo número.

(9). En realidad, los métodos de gestión del personal de la empresa privada se están exportando al sector público, como lo demuestra el propio EBEP con un Capítulo II dedicado a la Evaluación del Desempeño. Véase, de nuevo, el citado art. 69 EBEP. Para RODRÍGUEZ ESCANCIANO, S., El derecho a la protección de datos personales de los trabajadores. Nuevas perspectivas, Bomarzo, colección Básicos del Derecho, Albacete, 2009, p. 63 y 64, la aplicación de la informática a la gestión de personal “Conlleva, en definitiva, como efecto más destacado, a un auténtico "control capilar" de los trabajadores en el puesto de trabajo, a traducir en la práctica en controles coetáneos a la prestación de actividad y en el ámbito de la empresa”.

(10). En este sentido, téngase en cuenta el interesante Dictamen 1/2019 del Grupo de Trabajo del art. 29, Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 (Adopted on 12 February 2019).

(11). http://europarl.europa.eu/charter/pdf/text_es.pdf (último acceso: 4 de septiembre de 2019).

(12). Para GOÑI SEIN, J.L., La nueva regulación europea, op. cit., p. 23, la regulación comunitaria se presenta “disgregadora” pues remite a los Estados miembros la concreción del derecho a la protección de datos sin desplegar unas mínimas bases de acomodación, más allá del respeto al espíritu y los principios del Reglamento.

(13). Las cursivas son nuestras

(14). Se ha escrito que la LOPDGDD “da cobertura legal únicamente a un primer núcleo iniciático de derechos digitales”, en BAZ RODRÍGUEZ, J., “La Ley Orgánica 3/2018 como marco embrionario de garantía de los derechos digitales laborales. Claves para un análisis sistemático”, Trabajo y Derecho n. 54/2019, p. 2.

(15). Para BAYLOS GRAU, A., “Una nota sobre el papel de la negociación colectiva en la configuración de los derechos derivados de la ley de Protección de Datos Personales y Garantía de Derechos Digitales”, Ciudad del Trabajo n. 14, 2019, pp. 154-159, este precepto no emplaza al convenio a intervenir sobre la vertiente individual del derecho fundamental sino respecto de la “regularización” de los poderes del empleador.

(16). Resolución de 17 de julio de 2018, de la Dirección General de Trabajo, por la que se registra y publica el IV Acuerdo para el Empleo y la Negociación Colectiva https://www.boe.es/boe/dias/2018/07/18/pdfs/BOE-A-2018-10096.pdf [último acceso: 4 de septiembre de 2019].

(17). Ello a pesar de que el anterior Acuerdo para el Empleo y la Negociación Colectiva 2015-2017 recogía aspectos del posible tratamiento de datos por efecto de las facultades de videovigilancia, etc. del empresario.

(18). CM REC 205/5, [en línea] [Consultado el 5 de febrero de 2019]. Disponible en: https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=09000016805c3f7a, apdo. 15.1.

(19). TRONCOSO REIGADA, A., La protección de datos personales. En busca del equilibrio. Tirant lo blanch, Tratados. 2010, p. 286.

(20). En este momento no pueden dejar de citarse la importante Sentencia del TJUE (Gran Sala) de 13 de mayo de 2014 C131/12 (Google Spain, S.L., Google Inc. y Agencia Española de Protección de Datos, Mario Costeja González) http://curia.europa.eu/juris/document/document.jsf?docid=152065&doclang=ES (último acceso: 3 de septiembre 2019). Sobre el conflicto entre los intereses presentes (interés económico, interés público y derecho a vida privada, véanse, especialmente, los apdos. 81 y 97); y, la más reciente STS (Sala 3ª) de 21 de julio 2016 (RJ\20163620), en relación con la condición de Google Spain S.L., como “responsable del tratamiento de datos”. En ambas se descarta la corresponsabilidad de esta empresa en el tratamiento de datos de los litigios en cuestión, criterios que mantiene el actual RGPD (F.J. 11 de la STS citada).

(21). En el ámbito de la empresa, encargados de tratamiento puede ser, entre otros, las asesorías laborales, fiscales o contables, los servicios externos de prevención de riesgos laborales, los servicios de mantenimiento de equipos y aplicaciones informáticas, etc., vid. GOÑI SEIN, La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa, Editorial Bomarzo, Albacete, 2018, p. 140-141.

(22). De todas formas, según consta en el Portal de Transparencia del Gobierno de España “Los contratos de encargo de tratamiento de datos personales entre los órganos y organismos del Sector Público (como responsables) y otros órganos u organismos del sector público o terceros (como encargados de tratamiento) suscritos antes del 25 de mayo de 2018 mantendrán su vigencia como máximo hasta el 25 de mayo de 2022” https://transparencia.gob.es/transparencia/transparencia_Home/index/PublicidadActiva/OrganizacionYEmpleo/Registro-Tratamiento.html (último acceso :19 de julio 2019).

(23). En efecto, aunque la defensa del interés público no puede justificar cualquier especialidad de las relaciones laborales en comparación con los trabajadores por cuenta ajena, es un lugar común que proporciona ciertas peculiaridades, véase, por todos, LÓPEZ GÓMEZ, J. M., La relación laboral especial de empleo público. Estudio de su régimen jurídico tras el Estatuto Básico del Empleado público, Thomson Reuters-Civitas, Cizur Menor, 2009, pp. 119 y ss.

(24). Véase el Código de conducta inserto en los arts. 53 y ss EBEP.

(25). ARROYO YANES, Los instrumentos, op. cit., p. 97, sobre la nueva problemática de la identidad digital y su proyección sobre las actividades que desarrollan los empleados públicos.

(26). TERRADILLOS ORMAETXEA, E., Principio de proporcionalidad, Constitución y Derecho del Trabajo. Tirant lo blanch, Valencia, 2004.

(27). Evidencia ese conflicto entre el DPD y principios vinculados a lo “público” como el principio de transparencia o el Open Data, El Dictamen del Grupo de Trabajo art. 29 “Opinion 02/2016 on the publication of Personal Data for Transparency purposes in the Public Sector”, adoptado el 8 de junio 2016. 1806/16/EN WP 239.

(28). De todas formas, el Considerando 156 RGPD insiste en que ese tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos está supeditado a unas garantías que aseguren la aplicación de medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos; además de invocar a los Estados miembros a establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. De conformidad con el Considerando citado, esas condiciones y garantías en cuestión pueden conllevar procedimientos específicos para que los interesados ejerzan dichos derechos que deberán atender, de nuevo, a los principios de proporcionalidad y necesidad.

(29). Para más profundidad, véase el estudio “en prensa” de GOÑI SEIN, J.L., “El derecho a la privacidad en el uso de los dispositivos digitales en el ámbito laboral”, en Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal (Dir. Troncoso Reigada, A.), Civitas, editorial Thomson Reuters, quien cita, entre otros, diversos Documentos del Grupo de Trabajo del art. 29. El propio autor advierte que no obstante la utilización de datos circunstancialmente captados para un fin distinto de aquel para el que fueron recogidos, podría no vulnerar, según el art. 13.3 RGPD, el derecho a la protección de datos si se informa previa y expresamente de ello.

(30). Vid. al respecto, más ampliamente, GOÑI SEIN, J.L.: La nueva regulación europea y española de protección de datos y su aplicación al ámbito de la empresa, , cit., pp. 102 y ss.

(31). De todos modos, las primeras ocasiones en que el Tribunal Europeo de Derechos Humanos tuvo que pronunciarse sobre el tema que nos ocupa tenían precisamente de fondo un contexto público. Así, en el caso Halford contra Reino Unido (1992), que es el primer ejemplo de utilización explícita de la doctrina de la expectativa razonable de privacidad en sede convencional Rodríguez Lainz, op. cit, se discutía sobre la interceptación de llamadas telefónicas realizadas desde las dependencias de una oficina de policía por quien en aquel momento era la mujer con mayor graduación en el cuerpo, que no había podido acceder a una promoción interna y había planteado a resultas una demanda por discriminación. Por su parte, en el aún más conocido caso Copland contra Reino Unido (2007), los hechos habían tenido lugar en un college, especie de organismo público administrado por el Estado británico, y entre los argumentos esgrimidos ante el Tribunal estaba el de abuso de autoridad en cargo público, supuestamente por parte del superior jerárquico de la demandante, que había controlado sus llamadas y correos electrónicos. También entre los pronunciamientos más recientes aparece el empleo público, baste así citar el caso Libert contra Francia (2018), respecto al control del disco duro del ordenador situado en el puesto de trabajo de un empleado de la sociedad nacional de ferrocarril.

(32). Para BAZ RODRÍGUEZ, J., “La Ley Orgánica 3/2018”, op. cit., p. 3, esa aparente contradicción no se daría ya que el art. 20 bis) ET se remite a la legislación de protección de datos personales al completo.

(33). Sirva de ejemplo la STC 94/1998, de 4 de mayo, en cuyo F.J. 4 expresó que “La garantía de la intimidad adopta hoy un entendimiento positivo que se traduce en un derecho de control sobre los datos relativos a la propia persona”. Un sistema normativo —precisó la STC 143/1994, F.J. 7— que, autorizando la recogida de datos incluso con fines legítimos y de contenido aparentemente neutro, no incluyese garantías adecuadas frente a su uso potencialmente invasor de la vida privada del ciudadano, a través de su tratamiento técnico, vulneraría el derecho a la intimidad de la misma manera en que lo harían las intromisiones directas en el contenido nuclear de ésta.

(34). SSTC 202/1999, 8 de noviembre y 153/2004, 20 de septiembre.

(35). Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el Texto Refundido de la Ley del Estatuto Básico del Empleado Público.

(36). Desarrolla las bondades de esta “remisión in totum”, BAZ RODRÍGUEZ, J., “La Ley Orgánica 3/2018”, op. cit., p. 3 y nota a pie n.13.

(37). Expresa el apdo. 2 del art. 88 LOPDGDD que “Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de la relación laboral, potenciarán el derecho a la conciliación de la actividad laboral y la vida personal y familiar y se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores”. La cursiva es nuestra.

(38). Si se recurre al trabajo del profesor TOURNAUX, en este mismo número, se observará que en Francia todavía no existe una legislación que permita extender el derecho a la desconexión a los empleados públicos. Como es sabido, en cambio, Francia ha sido pionera en el desarrollo legislativo de ese derecho a los trabajadores por cuenta ajena.

(39). “El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos”.

(40). Véase LAHERA FORTEZA, J., La titularidad de los derechos colectivos de los trabajadores y funcionarios, CES, Madrid, 2000, p. 304. Más tarde, MAURI MAJOS, J., “La negociación colectiva”, en Comentarios al Estatuto Básico del Empleado Público, Dir. Del Rey Guanter, S., Madrid, 2008, p. 372; FERNÁNDEZ DOMÍNGUEZ, J. J./AGRA VIFORCOS, B./ÁLVAREZ DE LA CUESTA, H., Derechos colectivos de los funcionarios, 2006.

(41). En relación con las diferencias del contenido de la negociación colectiva del sector privado respecto del sector público en Francia, mucho más acusadas que en España dado que Francia no ha ratificado los Convenio OIT nº 151 y 154 , vid. TOURNAUX, en este mismo número, nota a pie nº. 36.

(42). De nuevo es oportuna la cita del Dictamen 1/2019 del Grupo de Trabajo del art. 29, Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679. Adopted on 12 February 2019. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-20190219_guidelines_coc_public_consultation_version_en.pdf

(43). Esos códigos representan una novedad con mucha potencialidad y fue prevista ya en el reglamento, y reforzados por éste, vid. MIÑARRO YANINI, M., “Impacto del reglamento comunitario de protección de datos en las relaciones laborales: un –pretendido- “cambio cultural”, RTSS CEF n. 423, 2018, p. 25, y posteriormente fueron incluidos en la ley (véase el art. 38 LOPDGDD).

(44). El Anteproyecto de Ley de Empleo Público Vasco se refiere al derecho de protección de datos en sede de la negociación colectiva perro dentro del contenido del “Principio de la buena fe negocial” (art. 192. 1 d). En base a éste, “Ambas partes negociarán bajo el principio de buena fe y se proporcionarán mutuamente toda la información que precisen relativa a la negociación, con respeto del derecho fundamental a la protección de datos de carácter personal y de la normativa que lo ampara”.

(45). Sobre este dilema véase SEPÚLVEDA GÓMEZ, M., en este mismo número, autora que se decanta por la negociación colectiva de “convenios mixtos”.

(46). SÁNCHEZ MORÓN, M., Derecho de la función pública, Civitas, 2016, p. 279.

(47). SÁNCHEZ MORÓN, Derecho de la función pública, op. cit., p. 284.

(48). No obstante, como declara LAHERA FORTEZA, J., “El papel de la negociación colectiva en la regulación de los derechos digitales del empleo público”, en este mismo número, es claro que su regulación convencional en el personal laboral del sector público es lícita, viable y encaja en el mandato legal expreso del art. 91 LOPDGDD.

(49). Apartado que hace referencia a “m) Las referidas a calendario laboral, horarios, jornadas, vacaciones, permisos, movilidad funcional y geográfica, así́ como los criterios generales sobre la planificación estratégica de los recursos humanos, en aquellos aspectos que afecten a condiciones de trabajo de los empleados públicos”.

(50). Véase, últimamente, y como ejemplo, la Sentencia del TS (4) núm. 374/2018 de 5 abril, RJ 2018\1771, cuyo FJ. 3 proclama que no infringe el derecho a la negociación colectiva la resolución de la Conserjería de Educación de una comunidad autónoma que convoca procedimiento de adjudicación de vacantes para profesores de religión, puesto que solo existe deber de negociar las normas que fijen los criterios generales en materia de acceso, carrera, provisión, sistemas de clasificación de puestos de trabajo y planes e instrumentos de planificación de recursos humanos.

(51). Repárese en que el art. 4.4) RGPD define la <<elaboración de perfiles>> apelando en primer lugar al ámbito profesional, como “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional”.

(52). TRINDEL, K. “Written testimony”, Public Meeting on Big Data in the Workplace, US Equal Employment Opportunity Commission, 13-10-2016 [https://www.eeoc.gov/eeoc/meetings/10-13-16/trindel.cfm.

(53). Tribunal Supremo (Sala de lo Contencioso-Administrativo, Sección 4ª), Sentencia núm. 108/2018 de 29 enero. RJ 2018\563, F.J. 14. En esa línea de delimitar el derecho no absoluto del poder de autoorganización de la Administración, véanse la STSJ Murcia (Sala Contencioso-Administrativa), Sentencia núm. 824/2016 de 31 octubre. RJCA 2017\102; la S. Tribunal Superior de Justicia de C. Valenciana, (Sala de lo Contencioso-Administrativo, Sección2ª), Sentencia núm. 99/2017 de 14 febrero. JUR 2017\206990: la S. Tribunal Superior de Justicia de Castilla y León, Valladolid (Sala de lo Contencioso-Administrativo, Sentencia núm. 1416/2017 de 19 diciembre. JUR 2018\41015.

(54). OIT– Comisión Mundial sobre el Futuro del Trabajo, Trabajar para un futuro más prometedor, 2019 (último acceso 2 de septiembre 2019: https://www.ilo.org/wcmsp5/groups/public/---dgreports/---cabinet/documents/publication/wcms_662442.pdf).

(55). Trabajar para un futuro más prometedor, op. cit, p. 46-47.

(56). RODRÍGUEZ ESCANCIANO, S. “Posibilidades y límites en el control de los correos electrónicos de los empleados públicos a la luz de la normativa de protección de datos”, Revista Vasca de Organización de Personas y Administraciones Públicas, n. 16, 2019, p. 111

(57). La Comisión Europea (CE) ha elaborado varias iniciativas (Comunicaciones que se remontan a 1999) sobre la modernización de los distintos sectores de la administración digital con un triple objetivo: el fortalecimiento del mercado interno, los derechos de los ciudadanos y el propio proceso de integración europea. En aquellas, la CE ha reconocido el papel de las tecnologías para mejorar el nivel de los servicios públicos, la transparencia y la inclusión de los ciudadanos en la vida política (véase: https://administracionelectronica.gob.es/pae_Home/pae_Estrategias/pae_lineas_ccoperacion/pae_Cooperacion_Internacional/pae_estrategias_de_administracion_electronica/pae_Ambito_Europeo_Planes_accion_administracion_electronica.html#.XYB6SS0ryQM (último acceso: 2 de septiembre 2019). El vigente Plan de acción de la administración electrónica 2016-2020 gira en torno a tres grandes prioridades, diseminadas en veinte acciones y enfocadas a lograr el Mercado Único Digital.

(58). ARROYO YANES, L.M., “La digitalización de las Administraciones Públicas y su impacto sobre el régimen jurídico de los empleados públicos”, Revista Vasca de Gestión de Personas y Organizaciones Públicas, nº. 15, 2018, p. 86-87.

(59). Véase BRAHAJ, A., “Nuevos planteamientos sobre el canal de denuncias a la luz de la nueva Normativa Europea”, Diario La Ley nº 9472, Sección Tribuna, 6 de septiembre de 2019, quien da cuenta de la aprobación de la Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

(60). Véase el art. 15 LPRJ PAC precepto que prevé la obligación de la Administración de crear archivos electrónicos.

(61). ARROYO YANES, M., Los instrumentos de gestión del empleo público, op. cit, p. 276.

(62). Según el informe del Capgemini Research Institute, realizado a partir de los datos recabados en diez países de los principales países industrializados, la tasa de cumplimiento de España se encuentra entre las más bajas, concretamente, en el 21%. Es particularmente interesante que según los encuestados, de los países que sí cumplen con la normativa de protección de datos, el 92% declara haber obtenido una ventaja competitiva en términos de la motivación de los empleados (79%). La noticia parece referirse al sector privado. Un resumen del Informe puede obtenerse en Newsletter Diario La Ley, n.º 32 11 de octubre de 2019.

(63). AGUADO GARCÍA, D., “Analítica de recursos Humanos”, op. cit., p. 37, citando Boudreau & Ramstad.

(64). De nuevo, AGUADO GARCÍA, D., “Analítica de recursos Humanos”, op. cit., p. 47, autor que, identifica tres reglas de oro a aplicar en la utilización de los datos como buenas prácticas que redundarían en la transparencia del proceso y en la seguridad de los empleados.

(65). Si se comparan con los previstos en la Directiva 95/45/CE (art. 6), los fundamentos del RGPD están en línea con los de la regulación anterior.

(66). Hay cierto acuerdo (véase BOTO, A.) en este mismo número, en que la base jurídica contemplada en el apdo. 2) del art. 6 RGPD facultaría a la Administración a utilizar diversas herramientas con el fin de comprobar el cumplimiento de la ejecución de las obligaciones laborales de los empleados públicos.

(67). Esas letras se refieren a:

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

(68). Para más profundidad, véase ARROYO YANES, L.M., Los instrumentos de gestión, op. cit., pp. 42 y ss.

(69). Con ello qqueremos indicar que ninguna Disposición adicional de la LOPDGDD ordena su modificación.

(70). El Anteproyecto de Ley de Empleo Público Vasco se refiere en concreto a la legislación de protección de datos en distintos apartados de su art. 53, precepto relativo al “Registro de Personal y Gestión Integrada de Recursos Humanos”. Se aplaude además la obligación de notificar su creación a la Agencia Vasca de Protección de datos, en línea con el nuevo RGPD.

(71). ARROYO YANES, L.M., Los instrumentos de gestión, op. cit., 104, selecciona como mínimo dos finalidades de dichos Registros de personal: (a) la constancia registral de los expedientes personales de los empleados como garantía para los interesados y como instrumento de ayuda a la gestión de los recursos humanos comprendidos dentro de su ámbito de aplicación; y (b) disponer de la información sobre los recursos humanos del sector público al que se refieren y que los órganos responsables de su planificación necesiten para el análisis y seguimiento de su evolución, así como para la posible emisión de certificaciones de los datos que en ellos constan.

(72). Nos referimos a la sanción relativa al “Despido disciplinario del personal laboral, que sólo podrá sancionar la comisión de faltas muy graves y comportará la inhabilitación para ser titular de un nuevo contrato de trabajo con funciones similares a las que desempeñaban”, art. 96.1 b) EBEP.

(73). En este caso se habla del “Traslado forzoso, con o sin cambio de localidad de residencia, por el período que en cada caso se establezca” 96.1 d) EBEP.

(74). Se trataría de la sanción contenida en el apdo. e) del art. 96.1 b) EBEP, esto es, el “Demérito, que consistirá en la penalización a efectos de carrera, promoción o movilidad voluntaria”.

(75). Art. 5 c) RGPD, “Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

(76). Véase un ejemplo de esta ponderación en el Dictamen de la AVPD CN 12-033, https://www.avpd.euskadi.eus/contenidos/dictamen_avpd/d12_047/es_def/adjuntos/CN12-033_DIC_D12-047.pdf (último acceso: 23 septiembre 2019).

(77). En detalle, que:

a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d) el interesado se haya opuesto al tratamiento en virtud del art. 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

(78). Merece la pena volver a citar la STS (Sala 3ª) de 21 de julio 2016 (RJ\20163620), en cuanto que el litigio versaba sobre la reclamación de tutela de derechos a Google Spain S.L. en relación con la publicación en el BOE de una orden de anulación de pérdida de la condición de funcionario. Anterior en el tiempo, es oportuna la cita de la STS (sala 3), de 19 de octubre de 2011 RJ/2012/1296, sobre la información efectuada por un Ayuntamiento a los medios de comunicación de los hechos que motivaron la sanción disciplinaria a un funcionario y las razones que impidieron su ejecución. En esta última sentencia, el TS otorgó prevalencia al derecho a la libertad de información tras una cuidadosa ponderación de las circunstancias concurrentes en el caso concreto (F.J. 4).

(79). El propio RGPD (Considerando 50) propicia que el Derecho de los Estados miembros determine y especifique los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, algo que efectúa la DA 12 citada.

(80). Con GOÑI SEIN, J.L. “Nuevas tecnologías digitales, poderes empresariales y derechos de los trabajadores: análisis desde la perspectiva del Reglamento Europeo de protección de datos de 2016”, Revista de Derecho Social, n. 78, 2017, pp. 26 y 27, y 35, el deber de información previa se convierte en el primer y principal requisito para legitimar el registro en el ordenador; deber que resulta notablemente reforzado con el Reglamento 679/2016, de 27 de abril de la UE, al configurarse como derecho del interesado e incrementarse la información que habrá de facilitarse. Críticos también, TOSCANI GIMÉNEZ, D., “La vulneración del derecho a la intimidad por delatores, detectives privados y medios tecnológicos”, Revista de Derecho Social, n. 71, 2015, p. 65, para quien “No hay en el ámbito laboral una razón que tolere la limitación del derecho de información que integra la cobertura ordinaria del derecho fundamental del art. 18.4 CE”. Que esa información sea clara, precisa y específica constituye el contenido esencial del derecho de protección de datos y presupuesto del ejercicio de los derechos ARCO lo suscribe también el Magistrado PRECIADO DOMÈNECH, C.H., “La video vigilancia en el lugar de trabajo y el derecho fundamental a la protección de datos de carácter personal”, Revista de Derecho Social n. 77, 2017, p. 165.

(81). La implantación de las normas ISO/IEC 27001 e ISO/IEC 27002 relativas a la seguridad de la información podrían ser también de gran utilidad en el seno del sector público.

(82). Regla similar se contiene en el art. 6 del Convenio 108 del Consejo de Europa, que incluye además los

datos referentes a condenas penales.

(83). “Los Estados miembros podrán mantener o introducir condiciones adicionales, incluso limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud”.

(84). Art. 9.1. Le traitement des données sensibles, visé à l’article 6 de la Convention no 108, n’est permis que dans des cas particuliers, lorsque cela est indispensable pour un recrutement spécifique ou pour l’exécution d’obligations légales dérivant du contrat de travail, dans les limites prescrites par le droit interne et moyennant des garanties appropriées, venant compléter celles de la Convention no 108 et de la présente recommandation. Les garanties appropriées devraient être de nature à prévenir les risques que le traitement de données sensibles peut présenter pour les intérêts, droits et libertés fondamentales des employés concernés, notamment le risque de discrimination. Le traitement des données biométriques est soumis aux dispositions du principe 18 de la présente recommandation.

(85). Código de expediente CN17-004.

(86). TRONCOSO REIGADA, op. cit, p. 225-226, cita STS 2 julio 2007, sentencia que legitimó el tratamiento del dato de la huella digital para el control horarios de empleados públicos en razón de que este cumplimiento horario es una obligación inherente a la relación que une a los funcionarios con la Administración, no siendo necesario obtener previamente el consentimiento ya que el art. 6.2 LOPD lo excluía en estos casos.

(87). PUYOL MONTERO, J., Una aproximación a los aspectos legales de las nuevas tecnologías, Sepin, 2017, p. 121 y ss.

(88). ALMANSA MORALES, A., Transparencia y datos abiertos en la Administración Pública, INAP, 2017, p.111 y 112.

(89). TRONCOSO REIGADA, A., La protección de datos personales, op. cit., p. 797 y ss. y p. 884.

(90). TRONCOSO REIGADA, A., La protección de datos personales, op. cit, p. 803.

(91). TRONCOSO REIGADA, A., La protección de datos personales, op. cit, p. 801: plantea el doble criterio de atender al sujeto como al objeto de la información para decidir sobre la existencia de un “claro interés público en el acceso a la información”.

(92). Cfr. ARENAS, M., El derecho fundamental a la protección de datos personales en Europa, Tirant lo Blanch, 2006, pp. 1190-122 y 143-144.

(93). En relación con esta temática, es oportuna la cita del Dictamen del Grupo de Trabajo del art. 29 (Opinion 02/2016 on the publication of Personal Data for Transparency purposes en in the Public Sector – wp239, cuya introducción advierte de que “In general, it may be a requirement for public sector bodies to collect, register and store information about their activities and their staff and to make this information publically available, usually via their official website. This kind of processing is likely to involve processing of personal data, including disseminating it to the public.”

(94). Recuerda las propias funciones que se desarrollan por determinadas personas que se incardinan en la actuación de carácter público la STS (Sala 3ª) 14 noviembre 2016, RJ\2016\6391, F.J. 3º.

(95). Nos referimos a la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

(96). Véase también el art. 31 LOPDGDD y art. 30 RGPD.

(97). Así, TRONCOSO REIGADA, A., La protección de datos personales, op. cit., p. 855-856.

(98). En ese mismo sentido, véase el citado Dictamen del Grupo de Trabajo art. 29 “Opinion 02/2016 on the publication of Personal Data for Transparency purposes in the Public Sector”, adoptado el 8 de junio 2016. 1806/16/EN WP 239.

(99). ARROYO YANES, L.M., Los instrumentos de gestión, op. cit., p. 109.

(100). De nuevo, véase el Dictamen del Grupo de Trabajo del art. 29, Opinion 02/2016 on the publication of Personal Data for Transparency purposes en in the Public Sector – wp239, p. 11.

(101). ARROYO YANES L.M., p. 97, “La digitalización de las Administraciones Públicas”, op, cit., p. 97, denuncia que algunas administraciones locales han llevado a cabo malas praxis, publicando en las páginas web, información relativa no a los puestos de trabajo que figuraban en las correspondientes relaciones de Puestos de Trabajo (RPT), sino a las personas, con nombres y apellidos, que los estaban ocupando. Praxis denunciadas ante la autoridad competente.

(102). Sirva el ejemplo del Dictamen CN18-006 de la AVPD https://www.avpd.euskadi.eus/documentacion/-/dictamen_avpd/d18_010/ (último acceso: 23 de septiembre 2019). En el caso, trabajadores de un servicio municipal consultan a la AVPD sobre la legitimación del Ayuntamiento para incluir sus datos identificativos (nombre y apellidos) en las citas que se envían a los usuarios de ese servicio. Estas personas alegan que la revelación de sus datos personales es innecesaria para la prestación del servicio, conlleva un riesgo para su seguridad y además, en numerosas ocasiones, los usuarios son atendidos por otro trabajador distinto al que figura en la cita. Frente a la legítima voluntad municipal de ser transparente en sus relaciones con la ciudadanía, la Agencia pide al Ayuntamiento que valore las razones alegadas por los trabajadores para oponerse al tratamiento de sus datos personales, ponderando los derechos en conflicto.

(103). La cursiva es nuestra.

(104). RJ/2012/1296.

(105). F.J. 4.

(106). Dictamen del Grupo de Trabajo del art. 29 (Opinion 02/2016 on the publication of Personal Data for Transparency purposes en in the Public Sector – wp239”, op. cit., p. 7.

(107). En España existe la publicación nacional UNE-ISO/IEC 17799, que fue elaborada por el comité técnico AEN/CTN 71 y se titula Código de buenas prácticas para la Gestión de la Seguridad de la Información.

(108). AGUADO GARCÍA, D., “Analítica de recursos Humanos”, op. cit., realiza una tabla DAFO (debilidades, amenazas, fortalezas y oportunidades sobre la cuestión), p. 48.

(109). OIT– Comisión Mundial sobre el Futuro del Trabajo, Trabajar para un futuro más prometedor, 2019 (último acceso 2 de septiembre 2019: https://www.ilo.org/wcmsp5/groups/public/---dgreports/---cabinet/documents/publication/wcms_662442.pdf), p. 60.

Comentarios