¿Quién da más miedo: La Agencia Española de Protección de Datos o la Inspección de Trabajo?

Es una práctica habitual que determinadas empresas que subcontratan una obra o un servicio no dejen entrar a los empleados de la empresa subcontratada en la obra o en el local en el que se presta el servicio si previamente no se han recibido documentos acreditativos del cumplimiento de las obligaciones sociales y/o salariales por parte de la empresa subcontratada.

El documento acreditativo que más se suele requerir es el TC2, que es la relación nominal de los trabajadores por los que la empresa ha cotizado, identificados a través de unas siglas determinadas.

¿Por qué motivo se hace esto? Esta práctica tiene su origen en el artículo 42 del Estatuto de los Trabajadores, que establece lo siguiente:

1. Los empresarios que contraten o subcontraten con otros la realización de obras o servicios correspondientes a la propia actividad de aquéllos deberán comprobar que dichos contratistas estén al corriente en el pago de las cuotas de la Seguridad Social. Al efecto, recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería General de la Seguridad Social, que deberá librar inexcusablemente dicha certificación en el término de treinta días improrrogables y en los términos que reglamentariamente se establezcan. Transcurrido este plazo, quedará exonerado de responsabilidad el empresario solicitante.

2. El empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante el año siguiente a la terminación de su encargo, responderá solidariamente de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores y de las referidas a la Seguridad Social durante el período de vigencia de la contrata.

No habrá responsabilidad por los actos del contratista cuando la actividad contratada se refiera exclusivamente a la construcción o reparación que pueda contratar un cabeza de familia respecto de su vivienda, así como cuando el propietario de la obra o industria no contrate su realización por razón de una actividad empresarial.

¿Y qué tiene que ver esto con la Protección de Datos?

  • Año 2006: la Agencia Española de Protección de Datos respondió a una consulta formal de una empresa preocupada por la Protección de Datos que no sabía cómo compaginar las obligaciones que le imponían sus clientes (entregar TC2, nóminas, etc.), con el artículo 11 de la LOPD, cuyo incumplimiento, conforme al antiguo régimen sancionador, suponía una infracción muy grave con sanciones entre 300.000 y 600.000 euros.

El criterio de la Agencia en dicha ocasión fue el siguiente: “se considera que el sistema descrito en la consulta no se encuentra amparado por lo dispuesto en la Ley Orgánica 15/1999, al resultar excesivo en relación con lo dispuesto en el artículo 42 del Estatuto de los Trabajadores, en cuya virtud no resulta necesario al contratista acceder a la información descrita en la consulta.

¿Y qué sucedió tras este informe?

Nada. Las empresas seguían trabajando exactamente igual que antes. Los empresarios principales por miedo a las sanciones en materia laboral, y los subcontratistas por miedo a no cobrar.

  • Año 2009: la AEPD respondió a una nueva consulta formal sobre este mismo asunto. En este caso, la empresa que planteó la consulta, quizá fue capaz de transmitir mejor la complejidad del tema, y el resultado fue radicalmente distinto: “podemos entender que la comunicación de dichos datos es conforme con el artículo 7.2 en conexión con el artículo 4.2 de la Ley Orgánica 15/1999 y la obligación impuesta por el artículo 42.2 del Estatuto de los Trabajadores.

La AEPD cambió de criterio tras una nueva lectura del 42.2 del Estatuto de los Trabajadores, que establece la responsabilidad solidaria del empresario principal frente a las obligaciones sociales y salariales del empresario subcontratado. Al existir una responsabilidad solidaria, entiende la Agencia que ya no resulta excesivo el acceso a esta información, y que la comunicación de la misma, se halla amparada en una de las excepciones al consentimiento para la cesión de datos personales. En todo caso, la información cedida debe responder a esta finalidad, y nunca deberá afectar a trabajadores de la empresa subcontratista que no estén implicados en la subcontratación.

Una vez aclarado que en caso de subcontratación existe una responsabilidad solidaria del empresario principal, y por lo tanto, tiene obligación de asegurarse de su correcto cumplimiento, surge la duda de qué sucede en los casos en los que la contratación no se encuadra dentro de la actividad propia de la empresa principal.

El Empresario Principal es responsable solidario junto con el Subcontratista, de las obligaciones sociales y salariales de este sobre sus trabajadores, y por lo tanto, el acceso a esta información está amparado en el Estatuto de los Trabajadores, y no supone un incumplimiento de la normativa de protección de datos.

Sin embargo, el Cliente, que recibe la obra o servicio para su uso o disfrute, no ostenta tal responsabilidad solidaria y, en consecuencia, no tiene legitimidad para acceder a ningún dato salarial ni de seguridad social de los empleados (ya sean los del Empresario Principal o del Subcontratista)

A pesar de todo lo anterior, la realidad nos sigue demostrando a través de muchos de nuestros clientes, que en muchas ocasiones grandes empresas que no admiten negociación ni discusión, siguen más preocupados por la responsabilidad laboral que por la responsabilidad en materia de protección de datos, y siguen exigiendo toda clase de certificaciones y garantías, provocando los siguientes efectos:

  1. Obligan al proveedor a incurrir en una infracción grave de la LOPD (conforme a su nuevo régimen sancionador) por cesión de datos sin consentimiento, o muy grave si hubiese datos de salud en los seguros sociales o de afiliación sindical en las nóminas
  2. Incurren ellos mismos en 3 infracciones graves al tratar datos excesivos, sin consentimiento de los afectados, y seguramente, sin haberles informado de lo establecido en el artículo 5 de la LOPD en el plazo de 3 meses desde que recibieron los datos.

En definitiva, el gran perjudicado es el pequeño empresario, que o bien pierde el proyecto (por alegar incumplimiento de la LOPD), o se arriesga a recibir una fuerte sanción. Si cualquiera de nosotros tuviese que escoger entre una realidad (perder el proyecto) y una posibilidad (multa de la AEPD), ambas situaciones indeseables, creo que todos escogeríamos la posibilidad.

Ojala la AEPD lo viese de la misma manera.

José Carlos Moratilla

Departamento legal
Audea Seguridad de la Información
www.audea.com


DÉJANOS TUS COMENTARIOS !!

Deja un comentario

Tu dirección de correo electrónico no será publicada.