La protección de datos según la normativa de Protección de datos en Coordinación de Actividades Empresariales (CAE)

La Coordinación de Actividades Empresariales conlleva la cesión a terceros de datos personales debido a la necesidad de control y vigilancia derivada del intercambio de la documentación entre las empresas compradoras y proveedoras. Sin embargo, esta gestión de los datos privados cedidos genera múltiples preguntas y las normativas estatales y europeas juegan un papel fundamental para salvaguardar la privacidad y seguridad de los datos personales de los empleados y colaboradores involucrados en estas actividades. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales (LOPD) establece las reglas y principios para el tratamiento de datos personales en cualquier ámbito, incluida la protección de datos en coordinación de actividades empresariales.

No obstante, estas normas se basan en el Reglamento General de Protección de Datos de la Unión Europea (RGPD) del Parlamento Europeo y del Consejo (UE) 2016/679, de 27 de abril de 2016, en la cual se establece la protección de las personas físicas y el tratamiento de sus datos personales así como la norma relativa a la libre circulación de estos datos, aplicable desde el 25 de mayo de 2018.

¿Qué recoge el Reglamento General de Protección de Datos de la UE?

La Ley de Protección de Datos de la Unión Europea por la que se rige la normativa española distingue diversas situaciones en las cuales se encuentra debidamente autorizada por ley la cesión de estos datos. Entre estas situaciones se encuentran las relaciones con entidades como las Mutuas, la Seguridad Social, Hacienda, los Comités de Empresa, las empresas de Outsourcing y las subcontrataciones.

Otro caso donde está permitida la cesión de datos es cuando provienen de fuentes de acceso público, es decir, cuando los datos han sido recogidos de fuentes que están disponibles y accesibles para cualquier persona. Asimismo, también está permitida la libre y legítima aceptación de una relación jurídica que involucra la conexión de datos personales con ficheros de terceros, como los Servicios de Prevención de Riesgos, los Trabajadores externalizados o temporales en empresas usuarias, también se considera una base válida para el tratamiento de datos.

En ciertas circunstancias, la cesión de datos puede tener como destinatarios al Defensor del Pueblo, el Ministerio Fiscal, los Jueces o Tribunales, o incluso el Tribunal de Cuentas, siempre que sea en el marco del ejercicio de sus funciones específicas.

Por otro lado, la cesión de datos entre Administraciones públicas también se encuentra permitida cuando su objetivo es realizar tratamientos posteriores con fines históricos, estadísticos o científicos.

Por supuesto, está justificado en situaciones de urgencia cuando la cesión de datos de carácter personal relativos a la salud pueda considerarse necesaria.

Uso de una Plataforma CAE para cumplir con la normativa

El amplio volumen de documentación relativo a empresas y trabajadores que requiere la gestión de la coordinación de actividades empresariales también debe realizarse siguiendo la normativa en protección de datos.

Para evitar cualquier incumplimiento legal también en estos términos, el uso de una Plataforma CAE supone una garantía de seguridad ya que, al mismo tiempo que se gestiona correctamente la subcontratación de servicios y todo lo relacionado con la prevención de riesgos laborales, todo el proceso se realiza siguiendo las normativas, entre las que se incluye la protección de datos.

¿Quién es el responsable del tratamiento de datos personales?

En el contexto de la CAE, el responsable del tratamiento de los datos personales puede variar dependiendo de la situación. Cada empresa que participe en la coordinación de actividades empresariales será responsable del tratamiento de los datos personales que maneje internamente. Además, si existe un acuerdo entre las empresas para llevar a cabo la coordinación de actividades, es posible que se establezcan responsabilidades compartidas en el tratamiento de datos personales.

Según la LOPD, el responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando la finalidad del mismo y la forma en la que esos datos han sido obtenidos. Sin embargo, esta obligación no existirá en los siguientes supuestos:

• Cuando la cesión está autorizada en una Ley: Mutuas, Seguridad Social, Hacienda, Comités de Empresa, Outsourcing y subcontrataciones.
• Cuando se trate de datos recogidos de fuentes accesibles al público.
• Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros: Servicios de Prevención de Riesgos, Trabajadores externalizados o temporales a empresas usuarias de los mismos.
• Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. 
• Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
• Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Cesión de Datos y CAE

El cumplimiento en el proceso de contratación y subcontratación recogido en el R.D 171/2004 de coordinación de actividades conlleva la solicitud y verificación de la documentación de las diferentes empresas implicadas en el proceso.

Parte de la gestión de la CAE es la solicitud y revisión de documentos administrativos (altas en la seguridad social, RNT, ITA…). La evaluación de riesgos laborales del trabajo a realizar así como de la formación e información a los trabajadores de los mismos y su situación médica son los documentos más comunes por parte del empresario, como cumplimento de la Ley 31/1995 de prevención de riesgos laborales. Igualmente lo son los documentos de tipo administrativo (altas en la Seguridad Social, RNT, ITA, etc.). Sin embargo, existen una serie de limitaciones:

• Solicitud del RNT: la Agencia de Protección de Datos declara que no se deben facilitar los RNT (documento de Relación Nominal de Trabajadores) ya que incluyen más datos de los que exige la ley, lo cual supone una vulneración de la protección de datos.

La vigilancia periódica del estado de salud del trabajador es responsabilidad del empresario, pero puede no ser obligatoria por parte del trabajador. No obstante, según el artículo 7.3 de la LOPD, «los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente».