¿Quién da más miedo: La Agencia Española de Protección de Datos o la Inspección de Trabajo?
Al parecer, grandes empresas están sobrecumpliendo con la normativa laboral, incurriendo (y haciendo incurrir a sus proveedores) en graves infracciones en materia de protección de datos. La duda es si es por miedo a la Inspección de Trabajo o por desconocimiento de la Protección de Datos (sospechamos que es por lo segundo).
Es una práctica habitual que determinadas empresas que subcontratan una obra o un servicio no dejen entrar a los empleados de la empresa subcontratada en la obra o en el local en el que se presta el servicio si previamente no se han recibido documentos acreditativos del cumplimiento de las obligaciones sociales y/o salariales por parte de la empresa subcontratada.
El documento acreditativo que más se suele requerir es el TC2, que es la relación nominal de los trabajadores por los que la empresa ha cotizado, identificados a través de unas siglas determinadas.
¿Por qué motivo se hace esto? Esta práctica tiene su origen en el artículo 42 del Estatuto de los Trabajadores, que establece lo siguiente:
“1. Los empresarios que contraten o subcontraten con otros la realización de obras o servicios correspondientes a la propia actividad de aquéllos deberán comprobar que dichos contratistas estén al corriente en el pago de las cuotas de la Seguridad Social. Al efecto, recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería General de la Seguridad Social, que deberá librar inexcusablemente dicha certificación en el término de treinta días improrrogables y en los términos que reglamentariamente se establezcan. Transcurrido este plazo, quedará exonerado de responsabilidad el empresario solicitante.
2. El empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante el año siguiente a la terminación de su encargo, responderá solidariamente de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores y de las referidas a la Seguridad Social durante el período de vigencia de la contrata.
No habrá responsabilidad por los actos del contratista cuando la actividad contratada se refiera exclusivamente a la construcción o reparación que pueda contratar un cabeza de familia respecto de su vivienda, así como cuando el propietario de la obra o industria no contrate su realización por razón de una actividad empresarial.”
Sin embargo, la garantía que aporta esta práctica es muy dudosa, ya que los seguros sociales se pagan a mes vencido y esta relación de trabajadores certificada por la Seguridad Social no se recibe hasta el día 23 ó 26 del mes siguiente al periodo liquidado; es decir, que los certificados que se exigen con tanta vehemencia no hacen más que acreditar que el trabajador subcontratado estaba cubierto por la Seguridad Social uno o dos meses atrás.
Pongamos un ejemplo: una obra o servicio subcontratado que comienza, por ejemplo, el día 15 del mes de junio, implicará que el día de inicio, el empresario subcontratado sólo podrá facilitar al principal los certificados correspondientes al mes de abril, y no le facilitará los de mayo hasta finales de junio.
¿Y qué tiene que ver este despropósito con la Protección de Datos?
- Año 2006: la Agencia Española de Protección de Datos respondió a una consulta formal de una empresa preocupada por la Protección de Datos que no sabía cómo compaginar las obligaciones que le imponían sus clientes (entregar TC2, nóminas, etc.), con el artículo 11 de la LOPD, cuyo incumplimiento, conforme al antiguo régimen sancionador, suponía una infracción muy grave con sanciones entre 300.000 y 600.000 euros.
El criterio de la Agencia en dicha ocasión fue el siguiente: “se considera que el sistema descrito en la consulta no se encuentra amparado por lo dispuesto en la Ley Orgánica 15/1999, al resultar excesivo en relación con lo dispuesto en el artículo 42 del Estatuto de los Trabajadores, en cuya virtud no resulta necesario al contratista acceder a la información descrita en la consulta.”
¿Qué significa esto? Pues que de producirse esta cesión de datos, la empresa cedente (subcontratista), estaría incurriendo en una infracción muy grave por cesión de datos sin consentimiento (y sin poder ampararse en ninguna de las excepciones legales), y la empresa cesionaria, incurriría seguramente en una de estas tres infracciones graves: vulneración del principio de calidad por tratar datos excesivos; tratamiento de datos sin consentimiento; o no informar a los afectados en el plazo de 3 meses cuando los datos son proporcionados por un tercero. En cualquier caso, implicaría una multa entre 60.000 y 300.000 euros (recordemos que hablamos desde la perspectiva del antiguo régimen sancionador).
¿Y qué sucedió tras este informe?
Nada. Las empresas seguían trabajando exactamente igual que antes. Los empresarios principales por miedo a las sanciones en materia laboral, y los subcontratistas por miedo a no cobrar.
- Año 2009: la AEPD respondió a una nueva consulta formal sobre este mismo asunto. En este caso, la empresa que planteó la consulta, quizá fue capaz de transmitir mejor la complejidad del tema, y el resultado fue radicalmente distinto: “podemos entender que la comunicación de dichos datos es conforme con el artículo 7.2 en conexión con el artículo 4.2 de la Ley Orgánica 15/1999 y la obligación impuesta por el artículo 42.2 del Estatuto de los Trabajadores.”
La AEPD cambió de criterio tras una nueva lectura del 42.2 del Estatuto de los Trabajadores, que establece la responsabilidad solidaria del empresario principal frente a las obligaciones sociales y salariales del empresario subcontratado. Al existir una responsabilidad solidaria, entiende la Agencia que ya no resulta excesivo el acceso a esta información, y que la comunicación de la misma, se halla amparada en una de las excepciones al consentimiento para la cesión de datos personales. En todo caso, la información cedida debe responder a esta finalidad, y nunca deberá afectar a trabajadores de la empresa subcontratista que no estén implicados en la subcontratación (por lo que habrá que hacer fotocopias ofuscando la información de los trabajadores no afectados, o encontrar alguna otra fórmula que permita cumplir con la LOPD).
- Año 2010: en el último episodio de esta particular trilogía, la Agencia Española de Protección de Datos, tuvo que responder a una tercera consulta formal sobre la cesión de datos salariales y sociales de empresas contratadas a empresas principales. En todo caso, os avanzo que en esta ocasión, no se trata de una corrección de lo anterior, sino de una interesante matización para evitar equívocos. Esta consulta se centra sobre el concepto “propia actividad”, recogido en el artículo 42 del Estatuto de los Trabajadores.
Una vez aclarado que en caso de subcontratación existe una responsabilidad solidaria del empresario principal, y por lo tanto, tiene obligación de asegurarse de su correcto cumplimiento, surge la duda de qué sucede en los casos en los que la contratación no se encuadra dentro de la actividad propia de la empresa principal.
El asunto resulta complejo sobre el papel, pero algo más claro en la realidad:
Una empresa (llamémosle Cliente) contrata a otra (Empresario Principal) la realización de una obra o servicio, y ésta a su vez, subcontrata todo o una parte con una tercera (Subcontratista).
En este supuesto, el Empresario Principal es responsable solidario junto con el Subcontratista, de las obligaciones sociales y salariales de este sobre sus trabajadores, y por lo tanto, el acceso a esta información está amparado en el Estatuto de los Trabajadores, y no supone un incumplimiento de la normativa de protección de datos.
Sin embargo, el Cliente, que recibe la obra o servicio para su uso o disfrute, no ostenta tal responsabilidad solidaria y, en consecuencia, no tiene legitimidad para acceder a ningún dato salarial ni de seguridad social de los empleados (ya sean los del Empresario Principal o del Subcontratista)…
A pesar de todo lo anterior, la realidad nos sigue demostrando a través de muchos de nuestros clientes, que en muchas ocasiones grandes empresas que no admiten negociación ni discusión, siguen más preocupados por la responsabilidad laboral que por la responsabilidad en materia de protección de datos, y siguen exigiendo toda clase de certificaciones y garantías, provocando los siguientes efectos:
- Obligan al proveedor a incurrir en una infracción grave de la LOPD (conforme a su nuevo régimen sancionador) por cesión de datos sin consentimiento, o muy grave si hubiese datos de salud en los seguros sociales o de afiliación sindical en las nóminas
- Incurren ellos mismos en 3 infracciones graves al tratar datos excesivos, sin consentimiento de los afectados, y seguramente, sin haberles informado de lo establecido en el artículo 5 de la LOPD en el plazo de 3 meses desde que recibieron los datos.
En definitiva, el gran perjudicado es el pequeño empresario, que o bien pierde el proyecto (por alegar incumplimiento de la LOPD), o se arriesga a recibir una fuerte sanción por incumplir la LOPD. Si cualquiera de nosotros tuviese que escoger entre una realidad (perder el proyecto) y una posibilidad (multa de la AEPD), ambas situaciones indeseables, creo que todos escogeríamos la posibilidad.
Ojala la AEPD lo viese de la misma manera.
José Carlos Moratilla
Departamento legal
Audea Seguridad de la Información