El informe jurídico de la AEPD (Agencia Española de Protección de Datos) con número 0168/2012 aborda la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal a la implantación de un sistema de Mystery Shopping en una red de concesionarios de una sociedad distribuidora de bienes de consumo. Este sistema implica la simulación de acciones comerciales por parte de personal especializado para evaluar la calidad del servicio, incluyendo la captación de imágenes y sonido mediante cámaras ocultas.
El informe destaca que cualquier información concerniente a personas físicas identificadas o identificables se considera dato de carácter personal, según la definición amplia establecida por la Directiva 95/46/CE y la Ley Orgánica 15/1999. Esto incluye imágenes, voz y cualquier otra información que se obtenga o derive del sistema de control, así como las valoraciones del desempeño profesional de los trabajadores.
El tratamiento de estos datos debe basarse en alguna de las causas legitimadoras previstas en el artículo 6 de la Ley Orgánica 15/1999. En el contexto laboral, el consentimiento del trabajador no es válido debido al desequilibrio de poder entre el empleador y el empleado. Sin embargo, el tratamiento puede estar justificado si es necesario para el mantenimiento o cumplimiento de la relación laboral, siempre que se respeten los derechos fundamentales y los principios de protección de datos.
El informe subraya la necesidad de que el tratamiento de datos sea leal, lícito y proporcional. La recogida y análisis de datos deben realizarse de manera que no sean excesivos en relación con la finalidad determinada, explícita y legítima para la que se hayan obtenido. Además, los datos deben ser exactos, actualizados y conservados solo durante el tiempo necesario para la finalidad por la que fueron recogidos.
El deber de información es crucial, y los trabajadores deben ser informados previamente sobre la existencia del sistema de control, la finalidad del tratamiento de datos, y sus derechos de acceso, rectificación, cancelación y oposición. El responsable del tratamiento debe acreditar que ha cumplido con este deber de información.
El derecho de acceso, rectificación, cancelación y oposición de los afectados debe ser garantizado en toda su extensión. Los trabajadores tienen derecho a conocer si sus datos están siendo tratados, la finalidad del tratamiento, y a solicitar la modificación o supresión de datos inexactos o inadecuados.
Finalmente, el informe especifica las responsabilidades del concesionario como responsable del tratamiento y de la empresa encargada del tratamiento como encargada del mismo. La relación entre ambos debe estar regulada por un contrato que establezca claramente las funciones y obligaciones de cada parte, asegurando que los datos se traten conforme a las instrucciones del responsable y no se utilicen para fines distintos a los acordados.