El comienzo del nuevo año 2023 permite traer a colación en el marco de este Foro la quizá inminente resolución -esperable, ciertamente, durante la recién inaugurada anualidad- de una importante cuestión prejudicial planteada desde la jurisdicción alemana. A saber: cuál es el sentido preciso de la previsión contenida en el artículo 88 RGPD, según el cual corresponde a los Estados miembros de la UE, a través de disposiciones legislativas o de convenios colectivos, establecer “normas más específicas” para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral.
El pronunciamiento que se dicte en las próximas semanas o meses en relación con el Asunto C-34/21 (Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kulturministerium), bien podría marcar un punto de inflexión en la evolución de las normativas nacionales en la materia. Será, de hecho, la primera vez en que el TJUE tenga ocasión de arrojar luz sobre un aspecto crucial, teniendo en cuenta la vertiginosa evolución de la digitalización y la revolución algorítmica en los entornos laborales. A mayor abundamiento, el interés sobre el eventual impacto de la resolución que finalmente se dicte se acrecienta a la vista de las Conclusiones formuladas por el Abogado General Campos Sánchez-Bordona, presentadas el 22 de septiembre de 2022.
Desde mucho tiempo antes de la aprobación del RGPD, la doctrina laboralista europea (vid. destacadamente SIMITIS o FREEDLAND) venía subrayando la falta de operatividad de la normativa ómnibus europea en materia de protección de datos -anteriormente Directiva 95/46/CE– para hacer frente a las particularidades presentadas por su aplicación en el entorno laboral, abogando por la conveniencia de una Directiva específica para la protección de datos de las personas trabajadoras. El RGPD, atendiendo ya a un objetivo de aplicación coherente y homogénea de las normas de protección de datos en el conjunto de la UE, no pudo finalmente anticiparse, pese a su transversalidad, a una realidad muy compleja y ramificada en ámbitos con destacadas peculiaridades (v. gr., consumo, competencia o trabajo), exhibiendo finalmente notorias oquedades (efecto “queso Gruyère”) en su regulación.
La regulación ómnibus comunitaria se acabó desentendiendo, así las cosas, de su adaptación al ámbito laboral. Cuestiones como la contemplación de la asimetría de poder y de información inherentes a las relaciones de trabajo, o la propia vigencia de los derechos colectivos, quedaron así remitidos a la intervención estatal legislativa y convencional -o a una combinación de ambos-, a través de una “cláusula abierta” (artículo 88, en relación con el Considerando 155 RGPD) cuyos términos, tarde o temprano, han de resultar mínimamente esclarecidos y concretados. Por otra parte, al mismo tiempo, el propio Reglamento europeo, en cuanto tal, resulta obligatorio en todos sus elementos y directamente aplicable en los Estados miembros, sin consentir en principio, y salvo autorización expresa, que las normas internas incorporen (o repliquen) su contenido.
No es casualidad que sea en Alemania, uno de los países de la UE que ha puesto en marcha un corpus de legislación nacional a partir de lo dispuesto en el artículo 88 RGPD, donde se haya cuestionado de modo pionero la compatibilidad de aquélla con la “cláusula abierta” ex artículo 88 RGPD, y con ello, la necesidad de precisar el sentido y alcance del citado precepto. Coincidiendo, además con un momento en que la temática del desarrollo del marco normativo interno (actualmente, Sección 26 del BDSG) ha estado muy presente en la agenda gubernamental y sindical, particularmente a partir de 2022 (vid., entre otros exponentes, el punto 17 del acuerdo de coalición gubernamental; o el informe final del Ministerio de Trabajo abogando por una regulación autónoma, o la propuesta normativa de la central sindical DGB de febrero de 2022 en la materia; o incluso la reclamación de una ley de protección de datos de los trabajadores, el 4 de mayo de 2022 por parte de la conferencia general alemana de autoridades federales y estatales de protección de datos (DSK). El marco normativo alemán, en suma, según una extendida corriente de opinión, presentaría notorias insuficiencias, resultando oportuno abordar cuestiones como el refuerzo de los derechos colectivos, la definición de propósitos específicos para habilitar el tratamiento de datos de las personas trabajadoras; la conveniencia de dictar reglas más estrictas para obtener su consentimiento; o para permitir el tratamiento de sus datos sensibles; la extensión y el refuerzo de los derechos de acceso a los datos personales de las personas trabajadoras, etc.
Pues bien, en este contexto se espera la resolución de la cuestión prejudicial planteada el 20 de enero de 2021 por el Tribunal administrativo de Wiesbaden, en relación con la cual el TJUE ha de determinar si, y hasta qué punto, una normativa estatal del Land de Hessen -paralela a la Sección 26 BDSG- contiene o no una “normativa más específica” en materia de protección de datos de los empleados compatible con los requerimientos sustantivos del artículo 88 RGPD. Cuestión que se formula a partir de la inicial valoración, por parte del tribunal interno, de que la normativa estatal aplicable al supuesto de hecho analizado (el tratamiento de datos personales inherente a la difusión en directo de actividades docentes a través de videoconferencia, carente del consentimiento expreso de los profesores) se limitaría pura y simplemente a reiterar, sin valor añadido alguno, los contenidos normativos del RGPD. Antes bien, la normativa interna aplicable se limitaría, en síntesis, a reflejar únicamente el principio de “necesidad” como base jurídica del tratamiento de datos analizado (artículo 6.2 b) RGPD), así como a exigir la observancia de los principios de protección de datos ex artículo 5 RGPD.
Dos son, en este sentido, las preguntas formuladas por el Tribunal de Wiesbaden: 1) Si debe interpretarse el artículo 88.1 RGPD en el sentido de que, para que una disposición legislativa constituya una “normativa más específica”, debe satisfacer las exigencias sustantivas del artículo 88.2 RGPD: esto es, deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados, así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o unión de empresas, y a los sistemas de supervisión en el lugar de trabajo. Y 2) Si puede seguirse aplicando, así y todo, una norma nacional cuando resulte claro que no satisface tales exigencias.
1º) En relación con la primera cuestión, a juicio del Abogado General Campos, existiría de hecho una “obvia ligazón” entre ambos apartados del artículo 88 RGPD, de suerte que el segundo párrafo (artículo 88.2) viene justamente a precisar en términos imperativos el contenido de las normas específicas que los Estados miembros pueden aprobar en el ámbito laboral, bajo el título jurídico del primer apartado (artículo 88.1). El artículo 88.2 RGPD enunciaría, pues, las exigencias sustantivas de obligatoria observancia en punto a la regulación interna de un umbral protector mínimo o básico, susceptible en todo caso de mejora, si se opta por previsiones normativas de mayor refuerzo de la dimensión protectora y tutelar. Eso es, los Estados disponen de un margen de apreciación de la “clausula de apertura”, pero siempre y cuando la normativa interna se sitúe por encima del zócalo imperativo marcado por las exigencias del artículo 88.2.
2º) Mayor necesidad de intervención clarificadora se entiende que requiere, en el caso concreto, la segunda cuestión, teniendo en cuenta que las disposiciones internas, en caso de no resultar conformes con el artículo 88.2 RGPD, podrían gozar de amparo a partir de otras provisiones reglamentarias. En particular, de otras “cláusulas de apertura” como la que se contiene en el artículo 6.2 RGPD para introducir disposiciones más específicas en relación con los tratamientos de datos efectuados sobre la base jurídica del cumplimiento de obligaciones legales (artículo 6.1 c) o de misiones en interés público (artículo 6.1 e). Aspecto este segundo, que queda aparentemente descartado.
Las conclusiones del Abogado General formulan, así las cosas, una nítida distinción entre las facultades estatales de adaptar la aplicación de determinadas disposiciones del RGPD (artículo 6.2) y la introducción de diferencias en el régimen general del RGPD que van más allá de la mera función de adaptación (artículo 88 RGPD), consintiendo, en cambio, que los Estados miembros establezcan “normas más específicas de garantía”. Una condición que, a su juicio, no quedaría satisfecha por la normativa interna examinada, que sólo albergaría una pura reiteración de las previsiones del RGPD, sin descender a concretar las condiciones y términos del tratamiento regulado. Y al tiempo, al omitirse ese género de medidas, inobservando las condiciones sustantivas ex artículo 88.2. De confirmarse por el TJUE la doctrina formulada por el Abogado General, resultará exigible, en suma, que la singularidad autorizada por el artículo 88 RGPD se vea debidamente correspondida con la especificidad de las garantías aportadas.
De resolverse la cuestión prejudicial en la línea marcada por las conclusiones del Abogado General, se abrirá una relevante vía argumental para cuestionar la conformidad con el marco comunitario de las normativas internas, presentes o futuras, en materia de protección de datos de las personas trabajadoras. En particular: ¿Cumple con lo requerido por el artículo 88 RGPD el escueto marco normativo interno sobre garantía de los derechos digitales laborales de la LO 3/2018, en relación con el limitado número de escenarios contemplados? Podrían aparecer dudas razonables. Será un año el 2023, en el que, por otra parte, son esperables avances en procedimientos legislativos altamente relevantes como la aprobación del Reglamento sobre Inteligencia Artificial o la Directiva sobre el trabajo en plataformas digitales. Atentos y feliz año 2023 para los lectores de “El Foro de Labos”.
