Por la naturaleza de su actividad, las Empresas de Trabajo Temporal (ETT) manejan habitualmente grandes volúmenes de datos, además, son cesionarias también de los datos personales de los candidatos que gestionan. Esto hace que su adaptación a la normativa de protección de datos sea algo distinta a la de otras organizaciones. En este artículo vamos a explicar cómo deben cumplir con la protección de datos las Empresas de Trabajo Temporal.
En este artículo hablamos de:
- ¿Están obligadas las ETTs a cumplir la normativa de protección de datos?
- ¿Qué normativas son las que afectan a las Empresas de Trabajo Temporal?
- ¿Se puede considerar a las empresas de trabajo temporal como encargadas del tratamiento de datos?
- Contratos en las ETT con arreglo a LOPDGDD y RGPD
- Preguntas frecuentes
- ¿Desde la ETT tengo que informar a los candidatos de alguna particularidad con respecto a las empresas cliente?
- En mi empresa trabajamos regularmente con una ETT para la cobertura de puestos temporales, ¿tengo que firmar un contrato de encargado de tratamiento con ellos?
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
¿Están obligadas las ETTs a cumplir la normativa de protección de datos?
Como el resto de organizaciones que manejan datos personales de forma sistemática y en gran cantidad, sí, las ETTs están obligadas a cumplir con la normativa de protección de datos.
Sin embargo, el tratamiento de datos que desarrolla una Empresa de Trabajo Temporal en el marco de sus funciones requiere de un especial estudio, dado que el mismo tiene características propias, tanto de cara a los candidatos en el marco de un proceso de selección así como con el intercambio de datos con la empresa cliente bajo el contrato de «puesta a disposición». Estas peculiaridades habrán de tenerse en cuenta de forma adicional a los requisitos que cualquier empleador tiene que cumplir con respecto a sus trabajadores.
Las ETT intercambian con la empresa cliente (en la que el trabajador prestará efectivamente los servicios) documentos de cotización y nóminas de los empleados, por tanto, han de conocer, tal como dispone en la Ley 14/1994 de Empresas de Trabajo Temporal, que la empresa usuaria responderá de forma subsidiaria de las obligaciones salariales y de Seguridad Social contraídas por el empleado durante la vigencia del contrato de puesta a disposición, así como la indemnización económica derivada de la extinción del contrato de trabajo.
¿Qué normativas son las que afectan a las Empresas de Trabajo Temporal?
Al hablar de Empresas de Trabajo Temporal y protección de datos, son varias las normativas que son de aplicación:
- Reglamento General de Protección Datos (RGPD): Es el marco normativo europeo en materia de protección de datos, que todos los países miembros de la UE y del Espacio Económico Europeo están obligados a cumplir, incluyéndolos en su legislación nacional
- Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD): Es la normativa española de protección de datos, mediante la cual se adapta el RGPD a nuestro ordenamiento jurídico
- Ley del Estatuto de los Trabajadores
- Ley de Prevención de Riesgos Laborales (Ley 31/1995)
- Ley de Regulación de las Empresas de Trabajo Temporal (Ley 14/1994)
¿Se puede considerar a las empresas de trabajo temporal como encargadas del tratamiento de datos?
Como dijimos al comienzo de este artículo, debemos tener en cuenta las características propias de las ETTs a la hora de tratar los datos de los trabajadores, especialmente cuando deben cederlos a la empresa cliente.
Lo habitual, cuando se produce una cesión de datos a una tercera empresa, es que se firme un contrato de encargo de tratamiento entre ellas, pero la situación de la ETT respecto a sus clientes y la propia naturaleza de su actividad, hacen que sea diferente en función de la legitimación recogida en el artículo 6.1.b del RGPD.
El envío por parte de la ETT de los datos de las personas relacionadas con ella a la empresa usuaria de sus servicios constituirá por sí mismo una cesión de datos (tal como razonaremos en puntos posteriores). La legitimación subyace, por tanto, en las relaciones jurídicas que la ETT tiene tanto con el candidato como con la empresa.
A su vez, el tratamiento de los datos por la empresa cliente de la ETT se legitima por ser necesario para el cumplimiento de la relación comercial pactada, exceptuando, por tanto, de la firma de un contrato de encargado de tratamiento.
Informe jurídico 0172/2006 de la Agencia Española de Protección de Datos
En este sentido, resulta preceptivo traer a colación el Informe Jurídico 0172/2006 de la Agencia Española de Protección de Datos (AEPD), donde se resuelve consulta acerca de si las empresas de trabajo temporal son consideradas o no encargadas del tratamiento de datos con respecto a las empresas contratantes con las que pactan llevar de la selección y posterior puesta a disposición de trabajadores contratados inicialmente por estas.
La AEPD dictamina lo siguiente:
- La responsabilidad y sujeción del trabajador recae en la empresa usuaria, no en la ETT. De la misma forma, la dirección y control de la actividad será practicada por la empresa usuaria.
- La Empresa de Trabajo Temporal no puede acceder a los datos que trate el trabajador, no pudiendo realizar ningún tratamiento de datos en los términos recogidos en el artículo 4.2 del RGPD.
- Al no existir tratamiento de datos no podrá devolver o destruir datos al término de la relación contractual con la empresa usuaria, característica típica de una relación responsable – encargado.
- Así mismo, la ETT tampoco podrá implementar y aplicar medida de seguridad alguna sobre ningún tratamiento.
Este informe viene a determinar que la relación entre la Empresa de Trabajo Temporal y la empresa contratante de sus servicios no se tratará de una relación responsable – encargado, sino que la relación entre ambas será de cedente – cesionario. Esto es así porque los datos del trabajador de la ETT a la empresa cliente es una cesión legitimada en virtud de la relación jurídica entre ambas, así como con los trabajadores con los que intermedia.
En virtud de esto, no deviene necesario la firma de un contrato de encargado de tratamiento entre ambas. Sin embargo, esto no es óbice para ignorar las siguientes obligaciones de cara al trabajador o candidato con respecto al cumplimiento del deber de información.
Contratos en las ETT con arreglo a LOPDGDD y RGPD
Para que los contratos en las ETT cumplan con lo dispuesto en la LOPDGDD y el RGPD, es necesario que incluyan una serie de cláusulas relativas a la protección de datos, mediante las que se informará a los trabajadores/candidatos del tratamiento que se va a hacer de sus datos personales y se recabará, además, su consentimiento expreso para ello.
Cláusulas informativas en los contratos
En el contrato de prestación de servicios entre ETT y empresa, habrá que precisar al candidato que sus datos serán cedidos a empresas clientes de la ETT con el fin de participar en procesos de selección y eventualmente trabajar para ellas.
Como decíamos, esta información se suministra incluyendo una cláusula informativa en el contrato, en la que debe figurar información relativa a las siguientes cuestiones:
- Identificación responsable del tratamiento
- Finalidad del tratamiento
- Conservación de datos
- Legitimación
- Destinatarios (donde incluiríamos a las empresas contratantes)
- Derechos que puede ejercitar el interesado (acceso, rectificación, cancelación, limitación, portabilidad y oposición al tratamiento en sus datos)
Dada la relevancia de algunos conceptos, procederemos a matizarlos en los siguientes apartados.
Consentimiento expreso para el tratamiento de datos
El candidato debe firmar la cláusula informativa para dar su consentimiento expreso para el tratamiento de sus datos. Aun estando la ETT y la empresa usuaria legitimadas para la cesión y tratamiento de los datos personales de los candidatos, es necesario recabar el consentimiento de estos para poder proceder con dicho tratamiento.
La finalidad del tratamiento
La finalidad del tratamiento de datos personales en las ETT es buscar ofertas de empleo y procesos de selección para sus candidatos en las empresas usuarias, suministrando a esta la información relativa a la formación y experiencia profesional del candidato, así como otros datos que sean pertinentes para el puesto de trabajo ofertado.
Así, los datos tratados por la ETT encontrarán su legitimación en base a los siguientes preceptos del artículo 6 del RGPD, así como a la legislación sectorial propia de las empresas de trabajo temporal:
- El mantenimiento de la relación existente entre usuario y ETT (art. 6.1 RGPD).
- Cumplimiento de obligaciones legales: esto encuentra base legal en el artículo 43 del Estatuto de los Trabajadores, Ley 14/1994 de regulación de las empresas de trabajo temporal, así como en el propio artículo 6.1 del RGPD.
- Prestación del servicio de intermediación en el empleo solicitado (6.1 RGPD).
Conservación de los datos
Este es un aspecto muy importante a tener en cuenta por parte de las Empresas de Trabajo Temporal respecto a la protección de datos, dado el alto número de datos personales de candidatos tratados que queda almacenados en su base de datos a los cuales, en su gran mayoría, no se les encuentra un proceso de selección acorde a sus intereses y quedan «inactivos» en sus servidores.
Los datos personales recogidos de las personas interesadas deberán conservarse únicamente durante el tiempo imprescindible para dar respuesta al objeto de la prestación, es decir, hasta que el candidato sea contratado por una empresa usuaria. Es por ello que, si se pretende almacenar los datos en una bolsa de empleo más allá de un procedimiento de selección concreto, hay que informar de este hecho puntualmente al candidato. Todo ello sin perjuicio de la posibilidad del interesado de ejercer el derecho de cancelación o supresión de sus datos personales.
Con carácter general, el plazo de conservación de los datos será de un mínimo de 5 años (con especificaciones tales como los 10 años de conservación para aquellos datos afectos por la Ley de Prevención de Blanqueo de Capitales). En esto, las ETT se diferencian de otras empresas, para las que la normativa de protección de datos en los currículums establece un periodo de conservación de 24 meses, si no se actualiza antes.
Destinatarios
En este apartado incluiremos todas las empresas donde se remitirán los datos de los candidatos o seleccionados en el marco de la correcta prestación del servicio pactado entre las partes. Concretamente, se define en el RGPD cómo la persona física o jurídica, autoridad pública, servicio u organismo que recibe una comunicación de datos personales.
Dada la problemática que puede suponer para una ETT diferenciar esta figura de la de encargado de tratamiento o responsable con respecto a la relación de la empresa cliente (y destinataria última de los datos de los candidatos) huelga matizar la diferencia entre ambos, la cual estriba en que un destinatario (la empresa contratante) tratará los datos por su cuenta, no por cuenta de la empresa cedente (la ETT).
El RGPD no regula la figura del destinatario per se, ya que asume que son Responsables autónomos de los datos recibidos y se les aplica el Reglamento como tales. La única referencia a esta figura es en cuanto en los supuestos donde se les podrá transmitir los datos, siendo para el cumplimiento de estos requisitos:
- Imprescindible para la finalidad del tratamiento
- Se informa al usuario acerca de esta cesión
Derechos de los propietarios de los datos
La ETT debe informar puntualmente a los interesados acerca de los derechos ARCO que tienen conferidos en la normativa de protección de datos y que pueden ejercer en cualquier momento mientras dure el tratamiento de sus datos personales:
- Derecho de acceso
- Derecho de rectificación
- Derecho de supresión
- Derecho de limitación
- Derecho a la portabilidad
- Derecho de oposición al tratamiento de sus datos
Además, se debe facilitar un cauce procedimental sencillo para su ejercicio consistente en una dirección de correo física o electrónica donde remitir la petición así como facilitarle los formularios ad hoc a cumplimentar.
Así mismo le informaremos acerca de la posibilidad de interponer una reclamación directamente frente a la AEPD para el caso que consideren sus derechos en materia de protección de datos violados o ultrajados.
Por último, recoger que el Real Decreto 1796/2010, por el que se regulan las agencias de colocación, se detalla en el artículo 5.e) que dichas empresas están obligadas a «garantizar el respeto a la intimidad y dignidad de las personas trabajadoras en el tratamiento de sus datos, sometiendo la actuación en esta materia a la normativa aplicable de protección de datos de carácter personal», remarcando la necesidad del cumplimiento de todo lo aquí expuesto.
No facilitar el ejercicio de estos derechos, obstaculizarlo de alguna manera o no responder a las solicitudes puede ser objeto de sanciones LOPDGDD.
Preguntas frecuentes
¿Desde la ETT tengo que informar a los candidatos de alguna particularidad con respecto a las empresas cliente?
En efecto. Tal como hemos tratado anteriormente en el consentimiento informado que habrá que facilitarle al cliente y en el cual nos autorizará al tratamiento de datos, tenemos que dejar claro los destinatarios a los que se remitirá la información, teniendo que hacer mención a las empresas cesionarias.
En mi empresa trabajamos regularmente con una ETT para la cobertura de puestos temporales, ¿tengo que firmar un contrato de encargado de tratamiento con ellos?
Esto ha sido un tema controvertido hasta que la AEPD ha sentado criterio. La relación ETT – empresa cliente se trata de una relación cesionario – cedente, siendo cada una responsable de los datos de sus trabajadores, y, por lo tanto, obrando en consecuencia y atendiendo a las obligaciones que esa figura conlleva respecto al tratamiento de los datos personales.
Por lo tanto, no hay que firmar un contrato de encargado de tratamiento con la ETT.