El Reglamento General de Protecci贸n de Datos (GDPR) entr贸 en vigor el 25 de mayo de 2018. La introducci贸n del reglamento ha tra铆do consigo mayores requisitos para el manejo de datos personales. En una relaci贸n laboral, a menudo se tratan datos personales. Por lo tanto, es de vital importancia que el empleador est茅 consciente de las obligaciones que le incumben y de c贸mo deben tratarse los datos personales. Durante la primavera de 2023, el Tribunal de Justicia de la Uni贸n Europea ha tratado casos relacionados con la gesti贸n de datos personales en el contexto de relaciones laborales. A continuaci贸n se presentar谩 un caso que aborda la informaci贸n que el empleador, como responsable del tratamiento de datos, est谩 obligado a proporcionar a solicitud del empleado.
El 12 de enero de 2023, el Tribunal de Justicia de la Uni贸n Europea decidi贸 si el responsable del tratamiento de datos personales tiene la obligaci贸n de revelar la identidad de los destinatarios de los datos personales en el caso C-154/21.
El empleado hab铆a solicitado acceder a los datos personales que le concern铆an y, si se hab铆an revelado a terceros, el empleado quer铆a saber a qui茅n se hab铆an revelado. Seg煤n el art铆culo 15(1)(c) del Reglamento General de Protecci贸n de Datos, el responsable del tratamiento est谩 obligado a proporcionar al interesado informaci贸n sobre los destinatarios o categor铆as de destinatarios a los que se han revelado los datos personales si el interesado lo solicita. En este caso, la empresa present贸 categor铆as de destinatarios, como empresas de publicidad y empresas de tecnolog铆a.
El Tribunal de Justicia de la Uni贸n Europea dej贸 claro que el derecho del interesado a acceder a los datos personales que le conciernen implica la obligaci贸n del responsable del tratamiento de proporcionar la identidad concreta de los destinatarios cuando los datos se hayan revelado o deban revelarse. Esto se hace para garantizar otros derechos del interesado que surgen del Reglamento de Protecci贸n de Datos, como el derecho a verificar que los datos que le conciernen son correctos y que se tratan de manera legal. Lo mismo ocurre para ejercer su derecho de rectificaci贸n, derecho de supresi贸n o para presentar una reclamaci贸n por da帽os.
Es importante tener en cuenta que el derecho a la protecci贸n de datos personales no es un derecho absoluto, sino que se aplica en relaci贸n con su funci贸n en la sociedad y debe equilibrarse con otros derechos. Por lo tanto, el derecho a conocer la identidad del destinatario se limita si es imposible proporcionar la identidad de los destinatarios concretos o si la solicitud del interesado de acceso es claramente irrazonable o infundada. En ese caso, es aceptable que el responsable del tratamiento solo informe al interesado sobre las categor铆as de destinatarios.
En resumen, seg煤n la decisi贸n, el responsable del tratamiento de datos personales est谩 obligado a proporcionar al interesado la identidad real de los destinatarios, a menos que sea imposible identificarlos o si el responsable del tratamiento puede demostrar que la solicitud es claramente infundada o irrazonable. Al interpretar la legislaci贸n de la UE, se deben tener en cuenta el prop贸sito y el contexto de la regulaci贸n.
La decisi贸n del Tribunal de Justicia de la Uni贸n Europea muestra una vez m谩s la importancia de la responsabilidad del empleador en el manejo de los datos personales. En particular, seg煤n la decisi贸n, se requiere transparencia. El empleador debe ser transparente sobre c贸mo se manejan los datos personales y tener un control total sobre a qui茅n se revela la informaci贸n concreta. El empleador tambi茅n debe estar preparado para presentar esta informaci贸n si el empleado lo solicita. Esto significa que, como responsable del tratamiento de datos personales, el empleador debe establecer procedimientos para divulgar datos personales.
