El Informe 0649/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda diversas dudas relacionadas con la aplicación de la normativa de protección de datos en el contexto de las bonificaciones y subvenciones que el Estado ofrece a las empresas para la gestión de la formación continua de los trabajadores. El informe se centra en la comunicación de datos de los trabajadores a la Administración Pública y a la Fundación Tripartita, así como en las medidas de seguridad que deben aplicarse a estos datos.
La comunicación de datos de los trabajadores, que incluye información identificativa, sexo, edad, nivel de estudios, categoría profesional y minusvalía, se considera una cesión de datos de carácter personal. Entre estos datos, el relativo a la discapacidad se clasifica como dato de salud, lo cual implica restricciones adicionales según el artículo 7.3 de la Ley Orgánica 15/1999. Este artículo establece que los datos de salud solo pueden ser recabados, tratados y cedidos cuando lo disponga una ley o el afectado consienta expresamente.
El informe analiza si existe un amparo legal para la cesión de estos datos, destacando la Ley Orgánica 5/2002 de las Cualificaciones y de la Formación Profesional. Esta ley obliga a las entidades que desarrollen acciones formativas financiadas con fondos públicos a facilitar la información necesaria para el seguimiento, fines estadísticos y evaluación de dichas acciones. Por lo tanto, la cesión de datos a las Administraciones Públicas competentes está justificada por esta normativa.
En cuanto a la Fundación Tripartita para la Formación en el Empleo, el informe la considera encargada del tratamiento de datos, actuando en nombre del Instituto Nacional de Empleo. La transmisión de datos entre la Fundación y el Instituto no se considera una cesión de datos, ya que se realiza en el marco de la prestación de un servicio al responsable del tratamiento.
Finalmente, el informe detalla las medidas de seguridad que deben aplicarse al tratamiento de estos datos, según el Reglamento de desarrollo de la Ley Orgánica 15/1999. Las medidas de seguridad se clasifican en tres niveles: básico, medio y alto. En este caso, dado que los datos incluyen información sobre la salud y permiten deducir el perfil laboral del afectado, se deben aplicar medidas de seguridad de nivel medio. Sin embargo, se menciona la posibilidad de aplicar medidas de nivel básico si los datos se refieren exclusivamente al grado de discapacidad en cumplimiento de obligaciones legales.
En resumen, el informe concluye que la cesión de datos de los trabajadores a la Administración Pública y a la Fundación Tripartita está amparada por la normativa vigente, y que se deben aplicar medidas de seguridad de nivel medio para proteger estos datos.