El Informe 0599/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con el tratamiento y la comunicación de datos personales en el contexto de un servicio de call center. La primera cuestión se centra en si es necesario el consentimiento de los empleados para comunicar sus datos de identidad a un cliente que contrata el servicio de call center. La segunda cuestión se refiere a si dicha comunicación obligaría a modificar el contrato de encargado del tratamiento suscrito entre ambas empresas.
En primer lugar, la AEPD señala que el tratamiento de datos personales de los empleados por parte de la empresa de call center está legitimado por el artículo 6.2 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD). Este artículo establece que no es necesario el consentimiento del afectado cuando los datos se refieren a las partes de un contrato o relación laboral y son necesarios para su mantenimiento o cumplimiento. Por lo tanto, el tratamiento de datos de los empleados se realiza en el ámbito de la relación laboral y es necesario para el desarrollo de la misma.
Respecto a la comunicación de datos, la AEPD indica que el artículo 11.1 de la LOPD establece como regla general la necesidad de consentimiento previo del afectado. Sin embargo, el artículo 11.2 c) establece una excepción cuando el tratamiento responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo implique necesariamente la conexión con ficheros de terceros. En este caso, la comunicación de los datos de los empleados al cliente del call center no requiere el consentimiento de los empleados, siempre y cuando dicha comunicación se limite a la finalidad que la justifique, es decir, para identificar a los empleados que accederán al sistema de información del cliente y prestar el servicio contratado.
La AEPD concluye que la comunicación de los datos personales de los empleados al cliente del call center sigue el régimen previsto en el artículo 27.2 de la LOPD, que exime de la obligación de informar a los afectados en ciertos supuestos, entre ellos el previsto en el artículo 11.2 c). Por lo tanto, no será exigible informar a los empleados sobre esta comunicación de datos.
En cuanto a la segunda cuestión, la AEPD señala que la comunicación de datos personales de los empleados debe reflejarse en el contrato de encargo de tratamiento suscrito entre ambas empresas, conforme al artículo 12 de la LOPD. Este contrato debe establecer que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento y no los comunicará a otras personas. Además, el contrato debe incluir las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
La AEPD subraya que el sistema de acceso remoto por los empleados del encargado del tratamiento afecta a las medidas de seguridad aplicables en el tratamiento de los datos. Por lo tanto, el contrato de encargo de tratamiento debe contemplar el acceso remoto de los empleados del encargado a los sistemas de información del responsable, así como las medidas de seguridad necesarias para garantizar la protección de los datos.
En conclusión, la AEPD determina que no es necesario el consentimiento de los empleados para comunicar sus datos de identidad al cliente del call center, siempre y cuando dicha comunicación se limite a la finalidad que la justifique. Además, la comunicación de datos debe reflejarse en el contrato de encargo de tratamiento, que debe incluir las instrucciones del responsable del tratamiento y las medidas de seguridad necesarias para proteger los datos.