Dentro del capítulo IX del Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (en lo sucesivo, RGPD), titulado “Disposiciones relativas a situaciones específicas de tratamiento”, el artículo 88 llama a los Estados a través de “disposiciones legislativas” y, no se olvide, de “convenios colectivos” (incluidos los convenios de empresa, según precisa el Considerando 155 RGPD) a establecer “normas más específicas” que las que contiene el RGPD en el amplio conjunto de materias al que el mismo se refiere. Cuando así se haga, precisa el apartado 2 del referido artículo, “dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad humana de los interesados, así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo”. Finalmente, el artículo 88, apartado 3 RGPD es taxativo al disponer que los Estados miembros notificarán a la Comisión “las disposiciones legales que adopte[n] de conformidad con el apartado 1 del mismo artículo. La notificación ha de llevarse a cabo de manera individualizada y explícita. 

El RGPD ofrece, pues, a los Estados miembros y a los agentes sociales la posibilidad de establecer normas que sean más estrictas o prevean alguna excepción a la normativa general de protección de datos. Se abre así un margen de flexibilidad en cuanto a la manera de aplicar esas disposiciones a través de lo que se vienen denominando “cláusulas de apertura”. Ello es así porque, si bien el RGPD pretende garantizar una aplicación coherente y homogénea de las normas de protección en el conjunto de la Unión y eliminar los obstáculos a la circulación de datos personales en el seno de esta, el legislador europeo no ha podido dejar de reconocer, como señaló el abogado general Richard de la Tour, que la realidad resulta más compleja: el RGPD no podía anticiparse, pese a su transversalidad, a todas las ramificaciones posibles de la protección de datos personales en ámbitos como el del trabajo (Conclusiones en el asunto Meta Platforms Ireland). No obstante, dicha flexibilización posee el riesgo de producir un efecto “desarmonizador” de la protección de datos personales. Ello explica que el RGPD establezca las exigencias reforzadas para su establecimiento a las que nos hemos referido. La importante STJUE de 30 de marzo de 2023, en el asunto C‑34/21, tiene especial relevancia a la hora de concretar el alcance de estas situaciones específicas de tratamiento en el campo laboral y establecer los efectos en caso de incumplimiento.

El referido pronunciamiento tiene por objeto una petición de decisión prejudicial planteada por el Tribunal de lo Contencioso‑Administrativo de Wiesbaden, en el procedimiento entre el Comité Principal del Personal Docente del Ministerio de Educación y Cultura del Estado Federado de Hesse) y el ministro de Educación y Cultura del Estado Federado de Hesse. En concreto, en la misma se plantea, precisamente, si tienen el carácter de “normas específicas”, el artículo 26.1 de la Ley Federal de Protección de Datos (en lo sucesivo, HDSIG), que dispone que: “Los datos personales de los trabajadores podrán ser objeto de tratamiento por necesidades de la relación laboral si resulta necesario para decidir sobre el establecimiento de una relación laboral o, tras el establecimiento de la relación laboral, para su ejecución o su extinción, o para el ejercicio de los derechos o el cumplimiento de las obligaciones inherentes a la representación de los intereses de los trabajadores derivados de una ley o de un instrumento de regulación colectiva, de un convenio de empresa o de servicio (convenio colectivo). […]” y el artículo 86.4 de la Ley de Protección de Datos y Libertad de Información del Estado Federado de Hesse (en lo sucesivo, HBG), que dispone que: “El empleador puede recoger datos personales de los aspirantes, funcionarios y antiguos funcionarios solo en la medida en que sea necesario para el establecimiento de una relación laboral o para su aplicación, cese o resolución, así como para la aplicación de medidas de organización, de naturaleza social o de personal, especialmente también para la planificación y el despliegue del personal, o si una disposición legislativa o un acuerdo colectivo de la función pública lo permiten […]”.  

Esta petición se presenta en el contexto de un litigio en relación con la legalidad de un sistema de difusión en directo de clases por videoconferencia establecido ello durante el período de pandemia de COVID‑19 en las escuelas del estado federado de Hesse sin que se recabara el consentimiento previo de los docentes para ello.

La sentencia resuelve, en primer lugar, si los tratamientos a los que se refieren las disposiciones controvertidas se encuentran comprendidos en el ámbito de aplicación material del RGPD, habida cuenta de que, a tenor del artículo 2.2 a) RGPD no se aplica “en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión” y de que, con arreglo al artículo 165.1 del Tratado de Funcionamiento de la Unión Europea, los Estados miembros son responsables de los contenidos de la enseñanza y de la organización de sus sistemas educativos. El Considerando 37 concluye que un tratamiento de datos personales de docentes en el marco de la difusión en directo por videoconferencia de las clases de enseñanza pública que imparten, está comprendido, pese a los referidos condicionantes, en el ámbito de aplicación material del RGPD. En segundo lugar, la sentencia determina que el tratamiento de esos datos personales se encuentra incluido en el ámbito del RGPD, y queda incluído en el artículo 88.1, aunque el mismo se refiere a “trabajadores” y “ámbito laboral”, dado que el precepto incluye tanto a los empleados “en el sector privado como en el sector público”, haciendo el TJUE, una vez más, una aplicación extensiva del concepto de trabajador.

Después de estas interesantes precisiones se procede a resolver la primera cuestión prejudicial. En ella el órgano jurisdiccional remitente pregunta si el artículo 88 RGPD debe interpretarse en el sentido de que, para poder ser calificada de norma más específica a los efectos del apartado 1 de dicho artículo, una norma jurídica debe cumplir las condiciones impuestas por el apartado 2 del referido artículo.

Comienza precisando la sentencia que “los Estados miembros tienen la facultad y no la obligación de adoptar tales normas, pudiendo establecerse estas por ley o por convenio colectivo”. A lo que añade en su Considerando 65 que “tales normas no pueden limitarse a reiterar las disposiciones del referido Reglamento, sino que deben tener por objeto la protección de los derechos y libertades de los trabajadores en relación con el tratamiento de sus datos personales en el ámbito laboral e incluir medidas adecuadas y específicas destinadas a proteger la dignidad humana, los intereses legítimos y los derechos fundamentales de los interesados” y ello porque todo tratamiento de datos personales debe ser conforme, por una parte, con los principios relativos al tratamiento de datos enunciados en el artículo 5 del RGPD y, por otra, con alguno de los principios relativos a la licitud del tratamiento contemplados en el artículo 6 de dicho Reglamento.

Por consiguiente, concluye el Considerando 74, “para poder ser calificada de «norma más específica» en el sentido del artículo 88, apartado 1, del RGPD, una norma jurídica debe cumplir las condiciones establecidas en el apartado 2 de dicho artículo. Además de tener un contenido normativo propio del ámbito regulado y distinto de las normas generales de dicho Reglamento, estas normas más específicas deben tener por objeto la protección de los derechos y libertades de los trabajadores en relación con el tratamiento de sus datos personales en el ámbito laboral e incluir medidas adecuadas y específicas destinadas a proteger la dignidad humana, los intereses legítimos y los derechos fundamentales de los interesados. Debe prestarse especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo”. Por todo ello, “el artículo 88 del RGPD debe interpretarse en el sentido de que una normativa nacional no puede constituir una «norma más específica», a los efectos del apartado 1 de dicho artículo, en caso de que no cumpla las condiciones impuestas en el apartado 2 del referido artículo”.

Los efectos de la sentencia son de enorme relevancia. Y ello porque impone tanto a los Estados, como a los interlocutores sociales (caso de ser los convenios colectivos los que incorporen reglas más específicas), la imperativa necesidad de establecer un régimen reforzado de tutela en aquellos casos en los que se creen, por ejemplo, nuevas bases de legitimación para el tratamiento de datos personales. Es pues, insuficiente, a efectos del artículo 88 RGPD, la mera autodeclaración de un precepto legal como fundamento del tratamiento, tal y como ocurre en el caso de las normas alemanas que sirven de base a la cuestión prejudicial (“Los datos personales de los trabajadores podrán ser objeto de tratamiento por necesidades de la relación laboral si resulta necesario (…)”, se limita, sin más, a señalar la norma), al no venir las mismas acompañadas del sistema de tutela que incorpora los apartados 2 del citado precepto.

No puede dejar de señalarse que, analizados desde la perspectiva que el TJUE aporta en esta sentencia,  los artículos 89 y 90 de nuestra Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, destinados a regular el uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, así como de los sistemas de geolocalización, se adaptan de forma precisa al régimen de garantías exigido por el artículo 88 RGPD al incluir medidas adecuadas y específicas, prestando especial atención a la transparencia del tratamiento y tratarse de sistemas de supervisión en el lugar de trabajo.

Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente se pregunta sobre las consecuencias que deben extraerse de una declaración de incompatibilidad de una norma nacional cuando resulte claro que no satisface las exigencias impuestas por el artículo 88.2 RGPD.

A tal efecto señala la Sentencia que: “corresponde al órgano jurisdiccional remitente, único competente para interpretar el Derecho nacional, apreciar si las disposiciones controvertidas en el litigio principal respetan las condiciones y los límites establecidos en el artículo 88 del RGPD”. No obstante, el referido pronunciamiento se remite a las brillantes Conclusiones del abogado general M. Campos Sánchez-Bordona presentadas el 22 de septiembre de 2022 (agudamente glosadas en este mismo blog por Jesús Baz, ¿Cómo ha de ser la “normativa más específica” de protección de datos en el entorno laboral ex artículo 88 RGPD? (a la espera de la resolución de una relevante cuestión prejudicial por parte del TJUE)., según las cuales tanto el artículo 23.1 de la HDSIG, como el artículo 86.4 de la HBG no satisfacen la condición de “establecer normas más específicas” para la protección de los derechos inherentes al tratamiento de datos personales en el ámbito laboral, como propugna el artículo 88.1 RGPD. Como se precisa en los puntos 60-62 de sus Conclusiones, “en puridad, ambas normas condicionan el tratamiento de los datos personales de los trabajadores a la mera circunstancia de que sea necesario para determinados fines”. Por lo que “no se trata, por tanto, de una previsión muy distinta de la contemplada en el artículo 6.1 b) RGPD (“el tratamiento solo será lícito si […] es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”). El artículo 23 de la HDSIG vendría, pues, a reiterar una condición ya exigida por el artículo 6.1 b) RGPD para la licitud general del tratamiento. No añadiría, ninguna “norma específica” para proteger los derechos implicados en el contexto del tratamiento de datos personales en el ámbito laboral. En resumen, tales disposiciones no parecen tener un contenido normativo propio del ámbito regulado y distinto de las normas generales del referido Reglamento.

Por consiguiente, a falta de normas más concretas que respeten las condiciones y los límites establecidos en el artículo 88 del RGPD, el tratamiento de datos personales en el ámbito laboral, tanto en el sector privado como en el público, se rige directamente por las disposiciones del RGPD. Sobre esta base, señala el Considerando 88 que “en caso de que el órgano jurisdiccional remitente llegara a la conclusión de que las disposiciones nacionales relativas al tratamiento de datos personales en el ámbito laboral no respetan las condiciones y los límites establecidos por el artículo 88, apartados 1 y 2, del RGPD, deberá comprobar además si dichas disposiciones constituyen una base jurídica contemplada en el artículo 6, apartado 3, de dicho Reglamento, en relación con su considerando 45, que cumple las exigencias establecidas en el mismo Reglamento. Si es así, no deberá excluirse la aplicación de las disposiciones nacionales”.

Los efectos de la sentencia del TJUE son, en este punto, también de gran importancia. La insuficiencia de la base de legitimación contenida en las normas alemanas que son objeto de la cuestión prejudicial, al no respetar las condiciones y los límites establecidos por el artículo 88, apartados 1 y 2, del RGPD, lleva consigo la necesidad de volver la mirada al artículo 6 RGPD para encontrar una base de legitimación dentro de las en él establecidas, como recomienda el pronunciamiento referido. En el caso de los empleados públicos, inutilizada la vía de la “obligación legal” queda abierta la puerta a la posibilidad de que la base de tratamiento se encuentre en el “interés público” (artículo 6.1 e) y 3 RGPD). En el caso de los empleados con una relación privada, entrarían a jugar el consentimiento (artículo 6.1 a) RGPD) o, más restrictivamente, el “interés legítimo” (artículo 6.1 f) RGPD), como bases de legitimación posibles.

La moraleja de la sentencia parece clara: una intervención normativa (o convencional) en materia de protección de datos impone, paralelamente, un sistema reforzado de garantías. La ausencia de esos mecanismos tutelares hace ineficaz la regulación resultante y obligan a aplicar, en la medida en que resulte posible, el régimen general establecido en el RGPD. Un buen aviso a los navegantes de estas turbulentas y desconocidas aguas.