El Informe 0380/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si la comunicación de datos laborales de trabajadores subcontratados a la empresa principal es conforme con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, el Real Decreto 1720/2007.
El informe comienza señalando que la transmisión de datos laborales de trabajadores subcontratados a la empresa principal implica una cesión o comunicación de datos personales, definida como la revelación de datos a una persona distinta del interesado. Según el artículo 11.1 de la LOPD, esta cesión solo puede realizarse con el consentimiento del interesado, salvo que exista una norma con rango de ley que lo permita.
El informe analiza si la comunicación de datos de los empleados de la subcontratista al contratista principal puede justificarse por la necesidad de coordinación de actividades empresariales y la prevención de riesgos laborales. En este sentido, se hace referencia al artículo 24 de la Ley 31/1995 de Prevención de Riesgos Laborales, que establece la obligación de cooperación entre empresas en la aplicación de la normativa de prevención de riesgos laborales. Además, el artículo 42.3 del Texto Refundido de la Ley de Infracciones y Sanciones en el Orden Social establece que la empresa principal es solidariamente responsable del cumplimiento de las obligaciones de prevención de riesgos laborales por parte de los contratistas y subcontratistas.
El informe concluye que la transmisión de datos de los trabajadores subcontratados a la empresa principal puede ampararse en las exigencias de estos artículos, lo que constituiría una habilitación legal para la cesión de datos según el artículo 11.2 a) de la LOPD. Además, la cesión podría considerarse justificada por la necesidad de cumplir con las obligaciones en materia de riesgos laborales, seguridad social y pago de salarios, conforme al artículo 11.2 c) de la LOPD.
En cuanto a la obligación de notificación de la existencia del fichero que contiene estos datos personales, el informe señala que será la empresa subcontratista la responsable del fichero y, por tanto, la obligada a notificar su creación a la AEPD, conforme al artículo 26.1 de la LOPD.
En resumen, el informe concluye que la comunicación de datos laborales de trabajadores subcontratados a la empresa principal puede ser conforme con la LOPD, siempre que se realice con el fin de cumplir con las obligaciones legales en materia de prevención de riesgos laborales y coordinación de actividades empresariales, y que la empresa subcontratista es la responsable de notificar la existencia del fichero a la AEPD.