Siempre que se traten datos personales en una empresa, el responsable del tratamiento respectivo debe cumplir la normativa de protección de datos. Las infracciones de la normativa sobre protección de datos pueden acarrear fuertes multas. Por regla general, esta multa se impone al empresario en caso de infracción. Pero, ¿puede el comité de empresa ser también el responsable del tratamiento en caso de tratamiento por parte del comité de empresa?
¿En qué medida procesa datos el comité de empresa?
En las empresas que tienen comité de empresa (empresas cogestionadas), la mayor parte de la disposición de los datos personales corresponde al comité de empresa. El comité de empresa debe participar en la contratación de nuevos trabajadores. Recibe todos los documentos de solicitud (art. 99 I BetrVG). Del mismo modo, se informa al comité de empresa sobre los motivos de despido, la incapacidad laboral prolongada y los embarazos. Además, el comité de empresa puede inspeccionar las listas de sueldos y salarios no anonimizadas (art. 80 II 2 BetrVG). Así pues, el comité de empresa no sólo trata datos personales, sino también datos de categoría especial (art. 9 de la DSGVO).
¿Dónde se regula el tratamiento de datos y la responsabilidad?
En principio, el RGPD regula todo el tratamiento de datos en Europa. Para el tratamiento de datos en el contexto del empleo, el GDPR contiene una cláusula de apertura (Art. 88 GDPR). Esto significa que es posible una normativa nacional en este ámbito. Por ello, el legislador alemán ha creado el art. 26 de la BDSG. Sin embargo, esto no contiene ninguna regulación sobre si el comité de empresa puede ser el controlador. En Definición del término "persona responsable depende enteramente del GDPR. En resumen, el responsable del tratamiento es la persona que realmente procesa los datos personales y decide sobre los fines y medios del tratamiento (Art. 4 nº 7 GDPR).
¿Puede ser responsable el comité de empresa?
El hecho de que el comité de empresa trate datos personales es obvio, como ya se ha dicho.
Además, como responsable del tratamiento, también tendría que decidir los medios y fines del tratamiento. Este paso es mentalmente previo al tratamiento propiamente dicho. Al fin y al cabo, el tratamiento de datos personales sólo es lícito para fines predeterminados (Art. 5 Ib GDPR). Del mismo modo, un responsable del tratamiento decide sobre los medios de tratamiento, es decir, principalmente sobre los métodos técnicos.
Al tratar datos personales, un comité de empresa decide no sólo si toma nota de ellos o con qué fin (finalidad), sino también cómo o qué ocurre después con estos datos (medios). Desde este punto de vista, puede considerarse un controlador.
Críticas en el marco del Derecho laboral
Este punto de vista es criticado sobre todo por los abogados laboralistas. Subrayan que la Ley de Constitución de Comités de Empresa (BetrVG) establece límites estrechos a la decisión del comité de empresa sobre si procesar datos y cómo hacerlo. Por lo tanto, no puede decidir libremente y no puede ser la persona responsable.
La consecuencia de este punto de vista sería que todo tratamiento de datos por parte del comité de empresa debería atribuirse al empresario. Sin embargo, en el marco establecido por la Ley de Constitución de Comités de Empresa (BetrVG), el comité de empresa trata los datos para sí mismo y no para el empresario. El empresario no puede influir en las decisiones del comité de empresa sobre el tratamiento de los datos. Las restricciones impuestas por la Ley de Constitución de Comités de Empresa no cambian esta situación.
Problema de capacidad jurídica
Además, la opinión que afirma la responsabilidad se ve contrarrestada por el hecho de que la responsabilidad como persona responsable contradice la actividad en el comité de empresa como cargo honorífico no remunerado. El comité de empresa en sí no tiene ninguna responsabilidad y los miembros no deberían tener que responder personalmente por su cargo honorífico. No se pudo reclamar una indemnización efectiva por daños y perjuicios.
En opinión del TJCE, sin embargo, la capacidad jurídica de la persona responsable no desempeña ningún papel. En consecuencia, la responsabilidad debe interpretarse en sentido amplio como la capacidad de tomar decisiones. En consecuencia, debe examinarse a quién es imputable esta acción, es decir, en interés de quién se lleva a cabo el tratamiento. Según el TJCE, el comité de empresa en la forma de sus miembros puede ser considerado como el controlador si deciden de forma independiente. Por lo tanto, no es ni un procesador (Art. 28 III GDPR) ni una persona subordinada (Art. 29 GDPR).
Consecuencias para el comité de empresa
Por lo tanto, el comité de empresa, como responsable, está sujeto a las obligaciones derivadas de la ley de protección de datos. Según la jurisprudencia, también son razonables para el comité de empresa. El comité de empresa también es el destinatario de los derechos de los interesados.
Si el comité de empresa no cumple con estas obligaciones, puede ser objeto de medidas de investigación (Art. 58 I GDPR), medidas correctivas (Art. 58 II GDPR) y, como último recurso, multas (Art. 83 GDPR contra el miembro individual) en caso de un nivel de infracción correspondientemente alto. En principio, el empresario no es responsable junto con el comité de empresa en caso de incumplimiento.
¿Desea asesoramiento sobre protección de datos en su empresa? Nuestro equipo de expertos estará encantado de ayudarle.