El Reglamento General de Protección de Datos (GDPR) entró en vigor el 25 de mayo de 2018. La introducción del reglamento ha traído consigo mayores requisitos para el manejo de datos personales. En una relación laboral, a menudo se tratan datos personales. Por lo tanto, es de vital importancia que el empleador esté consciente de las obligaciones que le incumben y de cómo deben tratarse los datos personales. Durante la primavera de 2023, el Tribunal de Justicia de la Unión Europea ha tratado casos relacionados con la gestión de datos personales en el contexto de relaciones laborales. A continuación se presentará un caso que aborda la información que el empleador, como responsable del tratamiento de datos, está obligado a proporcionar a solicitud del empleado.
El 12 de enero de 2023, el Tribunal de Justicia de la Unión Europea decidió si el responsable del tratamiento de datos personales tiene la obligación de revelar la identidad de los destinatarios de los datos personales en el caso C-154/21.
El empleado había solicitado acceder a los datos personales que le concernían y, si se habían revelado a terceros, el empleado quería saber a quién se habían revelado. Según el artículo 15(1)(c) del Reglamento General de Protección de Datos, el responsable del tratamiento está obligado a proporcionar al interesado información sobre los destinatarios o categorías de destinatarios a los que se han revelado los datos personales si el interesado lo solicita. En este caso, la empresa presentó categorías de destinatarios, como empresas de publicidad y empresas de tecnología.
El Tribunal de Justicia de la Unión Europea dejó claro que el derecho del interesado a acceder a los datos personales que le conciernen implica la obligación del responsable del tratamiento de proporcionar la identidad concreta de los destinatarios cuando los datos se hayan revelado o deban revelarse. Esto se hace para garantizar otros derechos del interesado que surgen del Reglamento de Protección de Datos, como el derecho a verificar que los datos que le conciernen son correctos y que se tratan de manera legal. Lo mismo ocurre para ejercer su derecho de rectificación, derecho de supresión o para presentar una reclamación por daños.
Es importante tener en cuenta que el derecho a la protección de datos personales no es un derecho absoluto, sino que se aplica en relación con su función en la sociedad y debe equilibrarse con otros derechos. Por lo tanto, el derecho a conocer la identidad del destinatario se limita si es imposible proporcionar la identidad de los destinatarios concretos o si la solicitud del interesado de acceso es claramente irrazonable o infundada. En ese caso, es aceptable que el responsable del tratamiento solo informe al interesado sobre las categorías de destinatarios.
En resumen, según la decisión, el responsable del tratamiento de datos personales está obligado a proporcionar al interesado la identidad real de los destinatarios, a menos que sea imposible identificarlos o si el responsable del tratamiento puede demostrar que la solicitud es claramente infundada o irrazonable. Al interpretar la legislación de la UE, se deben tener en cuenta el propósito y el contexto de la regulación.
La decisión del Tribunal de Justicia de la Unión Europea muestra una vez más la importancia de la responsabilidad del empleador en el manejo de los datos personales. En particular, según la decisión, se requiere transparencia. El empleador debe ser transparente sobre cómo se manejan los datos personales y tener un control total sobre a quién se revela la información concreta. El empleador también debe estar preparado para presentar esta información si el empleado lo solicita. Esto significa que, como responsable del tratamiento de datos personales, el empleador debe establecer procedimientos para divulgar datos personales.