Protección de datos en Empresas de Trabajo Temporal (ETT)
Guía 2021
Las Empresas de Trabajo Temporal (ETT) tratan a diario con datos personales de sus candidatos, datos que ceden a las empresas usuarias para dar así cumplimiento a la relación contractual entre ambas, es decir, la puesta a disposición de los candidatos. Dadas las características propias de estas relaciones, la aplicación de la protección de datos para Empresas de Trabajo Temporal tiene algunas consideraciones propias que se deben conocer.
En esta guía de protección de datos para ETT, explicamos cómo deben adaptarse a la normativa estas empresas y que particularidades deben tener en cuenta a la hora de ceder los datos personales de los candidatos.
¿Qué normativas son las que afectan a las Empresas de Trabajo Temporal?
Todo lo referente a la protección de datos para una Empresa de Trabajo Temporal lo encontramos en diferentes normativas, tanto las propias sobre la materia como aquellas relacionadas con la regulación del trabajo y de las propias ETTs.
Así, las leyes, normas y reglamentos que una Empresa de Trabajo Temporal debe tener en cuenta respecto a la protección de datos son:
- RGPD (Reglamento General de Protección de Datos); es la normativa europea en materia de protección de datos, que todos los Estados miembros están obligados a adaptar en sus legislaciones. En vigor desde 2016 en la UE.
- LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales); es la ley española que sustituyó a la anterior LOPD para introducir el RGPD en nuestro ordenamiento jurídico, por lo que muchos de sus artículos remiten al propio reglamento europeo, aunque concreta aspectos que este trata de una forma más general. En vigor desde diciembre de 2018.
- Estatuto de los Trabajadores, donde se regulan los derechos y obligaciones de trabajadores y empleadores, así como la relación entre ellos.
- Ley de Prevención de Riesgos Laborales.
- Ley de Regulación de las Empresas de Trabajo Temporal.
¿Están obligadas las ETTs a cumplir la normativa de protección de datos?
Puesto que las ETTs tratan datos personales de forma sistemática y en gran cantidad, están obligadas a cumplir con la normativa de protección de datos.
Sin embargo, dada la naturaleza de la relación entre la empresa de trabajo temporal y las empresas usuarias, así como entre los candidatos y estas, es necesario determinar el papel que juegan respecto a la protección de datos y sus obligaciones respectivas.
Debemos tener en cuenta que para cumplir con sus funciones de intermediaria, la ETT debe ceder los datos personales de los candidatos a las empresas usuarias para los procesos de selección de estas. Y una vez que la empresa usuaria selecciona a uno de los candidatos de la ETT, se hace un contrato de «puesta a disposición» del candidato entre la ETT y la empresa usuaria.
Una vez formalizado el contrato con el trabajador, además, la empresa de trabajo temporal y la empresa usuaria deben intercambiar información personal del trabajador para la gestión de nóminas e informes de cotización, puesto que la ETT debe conocer que la empresa usuaria cumple con sus obligaciones salariales y de Seguridad Social.
Esta cesión de datos entre ETT y empresas usuarias implica diferencias en la aplicación de la normativa de protección de datos respecto a otras relaciones entre empresas que ceden datos personales a terceros y que explicaremos en los siguientes puntos.
La responsabilidad de las Empresas de Trabajo Temporal con el RGPD/LOPDGDD
Respecto al cumplimiento del RGPD y la LOPDGDD, las Empresas de Trabajo Temporal son las responsables del tratamiento, en tanto cuanto se encargan de almacenar la información personal de sus candidatos, con quienes deben firmar un contrato, que habrá de incluir las denominadas cláusulas informativas de protección de datos (que detallaremos más adelante).
También son responsables del tratamiento, puesto que se encargan de gestionar las bases de datos con la información de los candidatos durante los procesos de selección.
Así, tanto durante el proceso de selección como durante el tiempo que esté en posesión de los datos personales de los candidatos, la ETT es la responsable de su protección y, por tanto, de cumplir con las obligaciones del responsable del tratamiento:
- Elaboración del registro de actividades de tratamiento.
- Elaboración de análisis de riesgos y evaluación de impacto, para establecer las medidas de seguridad necesarias para la protección de datos.
- Recabar el consentimiento expreso de los candidatos para el tratamiento de sus datos.
- Nombramiento de un Delegado de Protección de Datos.
- Notificación de brechas de seguridad, si se producen.
- Firma de cláusula de confidencialidad con empleados.
- Firma de contratos de encargo de tratamiento con empresas a las que les ceda datos personales.
La relación entre Empresa de Trabajo Temporal y empresas usuarias en la protección de datos
Nos detenemos en ese último punto, porque llegados a él, podríamos pensar que la ETT debe firmar con las empresas usuarias el contrato de encargado del tratamiento, puesto que se produce una cesión de datos, ya que estas, durante los procesos de selección, tienen acceso a los datos de los candidatos.
Pero no es así, puesto que por el papel de intermediaria de la ETT, lo que se produce aquí es una relación de cedente-cesionario y no de responsable que encarga un determinado tratamiento a otra empresa (como, por ejemplo, puede ocurrir entre la ETT y la gestoría que lleve las nóminas de sus empleados).
Esta situación particular, y legitimada en el artículo 6 del RGPD, hace que las empresas usuarias sean a su vez responsables del tratamiento de los datos personales de los candidatos que revisan durante el proceso de selección. Una vez finalizado dicho proceso, las empresas usuarias serán responsables de los datos personales de aquellos candidatos con los que finalmente firmen un contrato de trabajo, destruyendo el resto de currículums descartados.
En el momento en el que un candidato pasa a ser empleado por una empresa usuaria, la ETT no tendrá acceso a ningún dato de carácter personal que pueda tratar dicho empleado. Y, además, respecto de los datos personales de los candidatos no seleccionados, podrá conservarlos por un período de 5 años. Y si recaba el consentimiento del candidato contratado, de los suyos para incluirlos en bolsas de empleo de futuros procesos de selección.
Por lo tanto, en lo que a las obligaciones en materia de protección de datos ETTs y empresas usuarias se refiere, ambas son responsables del tratamiento de los datos personales de los candidatos. En el caso de la ETT, durante el proceso de selección y todo el tiempo que almacene dichos datos, y en el caso de las empresas usuarias, durante el proceso de selección.
Así, las Empresas de Trabajo Temporal no son responsables del mal uso que las empresas usuarias hagan de los datos personales de los candidatos, aunque responderán de forma subsidiaria si dicho uso provoca perjuicios para el candidato.
Como último apunte sobre esta cuestión; la AEPD ya emitió un informe jurídico en su momento que trataba sobre esta cuestión y en el que se concluía que entre la ETT y las empresas usuarias no es necesario firmar un contrato de encargado de tratamiento (Informe Jurídico 0172/2066).
Contratos en las ETT con arreglo a LOPDGDD y RGPD
Para que los contratos entre la ETT y los candidatos cumplan con lo establecido en la LOPDGDD y el RGPD, es necesario que en estos se informe a los candidatos de todo lo relativo al tratamiento que se va a realizar de sus datos personales, incluyendo la finalidad y la legitimación en la que se apoya.
Esta información se incluye en los contratos a través de las denominadas cláusulas informativas y su función, aparte de informar al candidato de diferentes aspectos sobre el tratamiento de sus datos personales, es recabar el consentimiento expreso de este para realizar dicho tratamiento.
Recordemos, tal y como podemos ver en el modelo de protección de datos para el currículum, que el hecho de entregar este a la ETT no sustituye a la obligación de recabar el consentimiento del candidato para tratar sus datos personales.
Cláusulas informativas en los contratos entre trabajador y la Empresa de Trabajo Temporal
Las cláusulas informativas que deben figurar en los contratos entre trabajador y la Empresa de Trabajo Temporal son las siguientes:
- Datos identificativos del responsable del tratamiento
- Finalidad del tratamiento
- Plazos de conservación de los datos
- Legitimación del tratamiento
- Destinatarios (en donde se incluirán las empresas usuarias)
- Derechos de los candidatos sobre sus datos personales
A continuación detallamos las cláusulas informativas más relevantes.
Consentimiento expreso para el tratamiento de datos
La firma de las cláusulas informativas será la forma en que el candidato de su consentimiento expreso para el tratamiento de sus datos, incluida la cesión a las empresas usuarias de la ETT.
Pese a la legitimación que la relación contractual entre ETT y candidato, por un lado, y empresas usuarias y ETT por otro, para tratar y ceder los datos personales del candidato, sigue siendo necesario recabar el consentimiento de este.
La finalidad del tratamiento
La finalidad del tratamiento de datos personales de las ETT es encontrar procesos de selección y ofertas de trabajo a las que presentar sus candidatos, de manera que a sus empresas usuarias les proporcionan información relativa a la formación y experiencia profesional de los candidatos y toda otra información que resulte pertinente para llevar a cabo el proceso de selección.
De esta forma, el tratamiento de datos en la ETT se legitima, como ya dijimos, en el artículo 6 del RGPD, en concreto el punto 1.b, que especifica que el tratamiento es necesario para la ejecución de un contrato entre el interesado (el candidato) y la ETT. Así como en el artículo 43 del Estatuto de los Trabajadores (que trata sobre la cesión de trabajadores) y la propia regulación de las empresas de trabajo temporal.
Tiempo y forma de la conservación de los datos del trabajador
A diferencia de otras empresas, cuyo plazo de conservación para los currículums que reciben, es de 24 meses (si antes no se hace una actualización), las agencias de trabajo temporal pueden conservar los datos de los candidatos durante un período de 5 años.
Ahora, una vez que el candidato es contratado, la ETT debe eliminar sus datos personales. Si bien, y como ya señalamos, es posible que los conserve en sus bases de datos, si para ello recaba el consentimiento del propio interesado.
En cualquier caso, los candidatos podrán ejercer en todo momento su derecho de supresión de los datos personales que posee la ETT.
Destinatarios
Los destinatarios de los datos personales pueden ser personas físicas o jurídicas, públicas o privadas, a quienes la ETT cederá los datos de sus candidatos. En ese caso, las empresas usuarias de la ETT.
Por lo tanto, en esta cláusula se debe informar a los candidatos de que sus datos personales serán cedidos a las empresas usuarias de la ETT para dar cumplimiento a la relación contractual, es decir, encontrar ofertas de empleo y procesos de selección para los candidatos.
Como ya establecimos más arriba, las empresas usuarias, como destinatarias de los datos personales de los candidatos, son responsables del tratamiento.
Derechos de los propietarios de los datos
Finalmente, se debe incluir una cláusula en la que ETT informe a los candidatos sobre sus derechos ARSULIPO:
- Derecho de acceso
- Derecho de rectificación
- Derecho de supresión
- Derecho de limitación del tratamiento
- Derecho a la portabilidad
- Derecho de oposición al tratamiento
- Derecho a no ser objeto de decisiones automatizadas (como la elaboración de perfiles)
Se informará sobre la vía y forma que tienen los candidatos para ejercer estos derechos, facilitando una dirección de contacto (correo electrónico) para enviar la solicitud, o formularios desde los que pueden solicitarlos, si la ETT cuenta con un área de usuario en la página web.
La Empresa de Trabajo Temporal también debe informar a los candidatos del derecho que tienen a interponer una reclamación directamente ante la AEPD, si consideran que no se ha hecho un debido tratamiento de sus datos o se ha cometido algún abuso que les haya podido perjudicar.
No facilitar el ejercicio de estos derechos o no atenderlos, es motivo de sanción.
Esperamos que esta guía haya resuelto vuestras dudas sobre la protección de datos y las ETTs, tanto si sois candidatos como si sois empresa usuaria de las mismas, o una Empresa de Trabajo Temporal.
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.