El informe jurídico de la AEPD, con número 0223/2009, aborda la cuestión de si la comunicación de datos laborales de trabajadores subcontratados a la empresa principal o comitente es conforme con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, el Real Decreto 1720/2007.
El informe comienza recordando que la transmisión de datos laborales implica una cesión o comunicación de datos de carácter personal, definida en el artículo 3.i de la LOPD. Según el artículo 11.1 de la LOPD, los datos solo pueden ser comunicados a un tercero con el consentimiento del interesado, salvo que exista una norma con rango de ley que lo permita. Además, el artículo 11.2.c) establece que no se necesita consentimiento cuando el tratamiento responde a la libre y legítima aceptación de una relación jurídica que implique la conexión con ficheros de terceros.
El análisis se centra en el artículo 42 del Estatuto de los Trabajadores, que impone obligaciones a las empresas contratistas y principales en relación con la seguridad social y las obligaciones salariales de los trabajadores subcontratados. El artículo 42.1 exige que las empresas contratistas verifiquen que los subcontratistas están al corriente en el pago de las cuotas de la Seguridad Social, mediante la obtención de una certificación negativa por descubiertos. Sin embargo, esta disposición no justifica la comunicación de datos como los TC2 y las nóminas.
El artículo 42.2 impone una responsabilidad solidaria al empresario principal durante la vigencia de la contrata y el año siguiente a su terminación, respecto a las obligaciones salariales y de Seguridad Social de los trabajadores subcontratados. Esta responsabilidad solidaria implica que el empresario principal debe conocer el contenido íntegro de las obligaciones para poder cumplirlas. Según el artículo 10.2 del Reglamento de desarrollo de la LOPD, el tratamiento o cesión de datos puede ser necesario para cumplir un deber impuesto por una norma con rango de ley.
El informe destaca que los TC2 pueden incluir datos de salud, que están especialmente protegidos según el artículo 7.3 de la LOPD. Estos datos solo pueden ser tratados y cedidos cuando lo disponga una ley o con el consentimiento expreso del afectado. La AEPD ha interpretado ampliamente el concepto de datos de salud, incluyendo información sobre aspectos físicos y psíquicos de la salud de una persona.
En cuanto a las nóminas, estas pueden contener datos relativos a la afiliación sindical, también considerados especialmente protegidos según el artículo 7.2 de la LOPD. El tratamiento de estos datos solo es posible con el consentimiento expreso y por escrito del afectado. Sin embargo, el informe concluye que la comunicación de estos datos es conforme con la LOPD y el Estatuto de los Trabajadores, ya que se realiza para cumplir con la obligación solidaria impuesta por el artículo 42.2.
Finalmente, el informe subraya que el acceso a los datos por parte del contratista debe limitarse a los trabajadores subcontratados y que la empresa subcontratista debe informar a los trabajadores sobre la cesión de sus datos a la empresa contratista, cumpliendo con el deber de información establecido en el artículo 5.1.a) de la LOPD.