Velázquez, 109. Madrid (Spain - Europe)

+34.915649345 info@abanlex.com

Cómo enviar datos del empleado a potenciales clientes extranjeros

airplane-690254_1280
Los trabajadores no saben a qué países viajan sus datos de forma legal. Imagen cedida por Unsplash

Artículo escrito por Pablo Fernández Burgueño (@Pablofb)

Las sociedades españolas pueden incluir datos personales de sus empleados en las propuestas de servicios que envíen a cualquier empresa del mundo.

Esta cesión de datos se podrá hacer sin indicar al empleado las denominaciones de los destinatarios, sin contrato de encargado del tratamiento alguno y sin la autorización del Director de la Agencia Española de Protección de Datos.

En cambio, será necesario obtener un consentimiento informado genérico por parte de los trabajadores, firmar con el receptor un contrato de confidencialidad y realizar una modificación en la inscripción del fichero en el RGPD indicando que se realizarán transferencias internacionales genéricas.

1.- Planteamiento del caso

Hace unos meses nos encontramos con esta situación:

  • Hemos creado proyectos, que unen varios campos (Servicios jurídicos + Salud / Ingeniería / Seguridad…). Son proyectos que creamos de cero para tratar de vendérselos a otras empresas.
  • En los proyectos a los que nos presentamos muchas veces se requiere facilitar datos personales del personal que realizará el proyecto: del jefe de proyecto, de los técnicos y del personal financiero, entre otros. Esos datos pueden ser el CV completo y también datos salariales.
  • Estos datos los enviamos a dos destinos:
    • a un sociedad colaboradora para analizar juntos el proyecto;
    • y a clientes o potenciales clientes.
  • En unos casos, los proyectos llegan a concursos en los que participamos; y en otros casos, se envían directamente a empresas potencialmente interesadas en contratarnos, que están en India, Singapur, Colombia, Argentina, EE.UU., Italia…

 

2.- Pregunta y posibles soluciones

La pregunta es: ¿Cómo enviar datos de trabajadores en propuestas de servicios?

El problema al que nos enfrentábamos era el de elegir la opción correcta:

Opción A: Contrato de Encargado del Tratamiento

No se realiza una cesión de datos sino que se permite al destinatario acceder temporalmente a los datos de nuestros empleados, comprometiéndose a usarlos solo como nosotros le indiquemos, a no comunicárselos a terceros y a destruirlos terminado el plazo de estudio de nuestra propuesta. Aplicaríamos el artículo 12 LOPD.

En caso de que el acceso lo realice una sociedad extranjera tendríamos, en su caso, que solicitar la autorización del Director de la AEPD.

Si prescindimos laboralmente de un empleado, le sacaremos de los proyectos oportunos. Además, los empleados podrán seguir ejercitando sus derechos ARCO ante nosotros, que seguiremos siendo los responsables.

Problema: Consideramos que no existe un contrato de prestación de servicios sobre el que podamos montar el contrato de encargado del tratamiento.

Opción B: Cesiones sin informar ni pedir consentimientos

Amparándonos en los artículos 11.2c y 27.2 LOPD y en el 10.4a RLOPD, podríamos realizar estas cesiones temporales de datos obligando a la receptora a cumplir las mismas condiciones que las indicadas en la Opción “A” (tratamiento conforme, no comunicar a terceros, eliminar datos), sin necesitar nunca la autorización del Director de la AEPD ni de tener siquiera que informar a nuestros trabajadores.

Para hacer esto posible, tendremos que hacer aceptar a nuestros empleados un contrato por el cual nos permiten ceder sus datos como parte de los proyectos a “cualquier tercero” del Mundo. Podría bastar una mera comunicación por correo electrónico, sin que nadie firme nada, y esperar 30 días por si alguno se manifiesta en contrario. Además, haremos una modificación en nuestro NOTA declarado de empleados indicando que se realizarán transferencias internacionales genéricas.

En todo caso cuidaremos la proporcionalidad y no nos pasaremos con el número de envíos de datos ni con el de los receptores.

Problemas: Nuestros empleados no sabrán qué empresas tienen sus datos, ni podrán ejercitar sus derechos ARCO. Se enviarán datos a empresas sitas en países con normativas “inseguras” sin contar con autorización de la AEPD.

Opción C: Cesiones después de obtener el consentimiento informado

Se consideran cesiones de datos, que no van unidas a ningún contrato ya establecido, por lo que no es aplicable lo indicado en los artículos de la Opción “B”. Dichos artículos permiten la cesión de los datos a bancos para pagar nóminas, pero no a potenciales clientes, para ver si nos contratan. De esta forma, necesitamos la autorización de todos los empleados cuyos datos van a ser comunicados a terceros, obtenida después de informarles.

Cada vez que se quiera enviar un proyecto con datos de empleados, se les deberá indicar a estos qué sociedad será la receptora, así como esperar a que nos entregue su consentimiento.

Problemas: Se enviarán datos a empresas sitas en países con normativas “inseguras” sin contar con la autorización de la AEPD.

3.- Solución

Para tratar de dar respuesta a esta consulta, revisamos los informes de la AEPD 337/2008 y 412/2009, entre otros, además de las normas y casos citadas en las mismas, como el art. 42.1 del Estatuto de los Trabajadores y lo relativo al caso Lindqvist. Adicionalmente contamos con el asesoramiento de un miembro de la AEPD para encontrar la respuesta correcta: Opción B.

Deja un comentario