Firme aquí debajo. El generalizado (y equivocado) mito del consentimiento como base legal para justificar el tratamiento de datos personales de los empleados.

“Firme aquí debajo. Es para lo del consentimiento de la LOPD…”. Esta situación nos puede resultar más o menos familiar a todos. Cuando una persona se incorpora a trabajar en una empresa, es habitual que se le hagan firmar una serie de documentos más o menos estándar que la empresa tiene establecidos para todos los empleados: manuales de acogida, prevención de riesgos laborales, confidencialidad, normas de uso de los medios informáticos o protocolos internos de diversa naturaleza y contenido. Entre ellos, es habitual que encontremos un documento relacionado con el tratamiento de los datos personales de los trabajadores.

Antes de entrar en harina, conviene aclarar que el consentimiento es solo una de las bases legales que legitiman el tratamiento de datos personales. Aunque existe la falsa y extendida creencia de que el consentimiento es la única o principal base legal para justificar el tratamiento de datos personales, lo cierto es que existen otras bases legales, tan válidas como el consentimiento, que amparan y legitiman el tratamiento de datos personales. Entre ellas, las principales son la ejecución de un contrato, el interés legítimo y el cumplimiento de obligaciones legales. Y, permítanme que me anticipe: el consentimiento no es, en el ámbito laboral, la base legal que debe servir de legitimación para el uso que la empresa va a realizar de los datos de los empleados.

Para que el consentimiento sea válido, ha de ser “libre” (no lo digo yo, lo dice el famoso RGPD). Dicho de manera sencilla, esto significa que la persona a quien se le solicita el consentimiento ha de tener una libertad real para otorgarlo (o para negarse a otorgarlo), así como, llegado el caso, para retirar posteriormente el consentimiento que en un momento dado pudo conceder.

Parece bastante evidente que, en el ámbito laboral, es cuanto menos discutible afirmar que un empleado dispone de una libertad real para (negarse a) otorgar su consentimiento. La clara situación de desequilibrio que existe entre la persona empleada y la empresa empleadora que le solicita el consentimiento ponen en entredicho la libertad de quien presta su consentimiento, aunque lo haga voluntariamente. El razonable “temor” a las consecuencias de no otorgarlo hacen que el consentimiento prestado por un empleado se presuma que no es libre. Y, por tanto, si no es libre, ese consentimiento es nulo. Así lo han manifestado diversas autoridades europeas de protección de datos, incluida la Agencia Española de Protección de Datos.

Por ese motivo, el tratamiento de datos personales de los empleados nunca debe estar basado, como regla general, en el consentimiento del empleado. Primero, porque sería nulo. Y segundo, porque probablemente tampoco sea realmente la base legal que justifica el tratamiento de sus datos personales. Pongamos unos ejemplos.

- Si la empresa trata datos personales de los empleados para llevar un registro de la jornada laboral, el motivo que justifica el tratamiento de sus datos personales para estos fines es el cumplimiento de una obligación legal de la empresa derivada de la relación laboral que le une al trabajador.

- Si la empresa debe comunicar a la Seguridad Social los cambios que se producen en el contrato de trabajo, es porque está obligada a hacerlo por obligación legal.

- Si la empresa tiene un sistema de control de accesos a sus instalaciones, el motivo que legitimaría el tratamiento de datos personales de empleados para este fin es su interés legítimo en preservar la seguridad de sus instalaciones y evitar el acceso de personas no autorizadas.

- Si la empresa establece un protocolo de control en relación con la COVID-19, es porque tiene la obligación legal de hacerlo al amparo de la legislación en materia de prevención de riesgos laborales, así como su interés legítimo en preservar la salud de todos los empleados.

- Si la empresa solicita los datos bancarios del empleado, es porque necesita saberlo para ingresar la nómina a fin de mes en cumplimiento de sus obligaciones al amparo del contrato de trabajo.

En definitiva, como vemos, en prácticamente todos los tratamientos de datos personales que se producen en el ámbito laboral, la base legal que justifica el tratamiento la podremos (y debemos) encontrar en bases legales distintas del consentimiento. Pensémoslo de otra manera: si el tratamiento de los datos lo justificamos en el consentimiento del empleado y éste no lo concede o lo retira después, ¿puede la empresa gestionar la relación laboral con el empleado y cumplir sus obligaciones legales? Si la respuesta es no (y casi siempre será no), eso significa que el consentimiento no es ni debe ser la base legal que justifique el tratamiento.

En conclusión, conviene desterrar la equivocada idea de que el consentimiento del empleado es la base legal que justifica el tratamiento de sus datos personales por parte de la empresa. Una cosa es que el empleado firme un documento a efectos de dejar constancia de que ha sido informado por la empresa sobre los términos en que se produce el tratamiento de sus datos personales (en cumplimiento del deber de información que corresponde a la empresa) y otra muy distinta es que el tratamiento de sus datos se ampare en su (nulo) consentimiento. Así que, piénsenlo bien antes de hacer firmar a los empleados documentos que, en realidad, no sirven para lo que pretenden servir.