Introducción a la Protección de Datos
La protección de los datos personales es de vital importancia en el mundo actual, cada vez más digitalizado. Con el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley Federal de Protección de Datos (BDSG) existen reglas claras y vinculantes sobre cómo las empresas y los grupos deben manejar los datos de clientes, empleados y socios comerciales. En particular, en un grupo que consta de varias empresas, es esencial que los procesos de tratamiento de datos dentro del grupo se diseñen de acuerdo con la ley. El RGPD y el BDSG regulan cómo se pueden recopilar, almacenar y procesar los datos personales para proteger la privacidad y los derechos de las personas afectadas. Por lo tanto, las empresas y los grupos están obligados a cumplir con estas regulaciones de manera estricta para mantener la confianza de las personas afectadas y evitar riesgos legales.
Grupo y Protección de Datos
Un grupo es una combinación de varias empresas que están bajo una dirección unificada. La dirección del grupo es responsable de asegurar que se cumplan las disposiciones del Reglamento General de Protección de Datos (RGPD) y de la Ley Federal de Protección de Datos (BDSG) en todo el grupo. Esto afecta a todos los niveles y empresas del grupo, desde la sociedad matriz hasta las filiales. La recopilación, almacenamiento y tratamiento de datos personales debe realizarse en todo el grupo de acuerdo con las disposiciones legales. La dirección del grupo debe garantizar que todas las empresas del grupo conozcan y apliquen los requisitos de protección de datos para asegurar la seguridad y la protección de los datos. Solo así se puede lograr un nivel de protección de datos uniforme y legalmente seguro en todo el grupo.
Responsable y Delegado de Protección de Datos
Dentro de un grupo, el responsable es la persona o entidad que decide sobre los fines y los medios del tratamiento de datos personales. El delegado de protección de datos, por otro lado, es responsable de supervisar el cumplimiento de las normativas de protección de datos en todas las empresas del grupo. Asesora a la dirección del grupo y a las empresas individuales en todos los aspectos de protección de datos, capacita a los empleados y es el punto de contacto para las personas afectadas respecto a sus derechos relacionados con el tratamiento de sus datos personales. Una estrecha colaboración entre el responsable y el delegado de protección de datos es esencial para garantizar el cumplimiento de las normativas de protección de datos en todo el grupo y proteger eficazmente los derechos de las personas afectadas.
BAG sobre la transferencia de datos personales dentro de un grupo – Az. 8 AZR 209/21
La protección de datos también juega un papel central en el derecho laboral. Esto no solo se refiere al manejo de los datos personales de los empleados frente a terceros, sino también dentro de un grupo. El Tribunal Federal del Trabajo dejó claro en su sentencia del 8 de mayo de 2025 que incluso al transferir datos dentro del grupo corporativo se deben cumplir las disposiciones del Reglamento General de Protección de Datos (RGPD) (Az. 8 AZR 209/21).
Las autoridades tienen una tarea importante al aplicar el Reglamento de Protección de Datos (RGPD): deben asegurar el cumplimiento de las leyes de protección de datos, incluidas las leyes de protección de datos de los estados, y aplicar medidas para la recopilación y protección de datos personales en Internet. En ciertos casos, estas tareas y medidas son reguladas por los artículos correspondientes del reglamento, para salvaguardar los derechos de las personas afectadas, como ciudadanos, usuarios y público, y garantizar la transparencia.
Desde la aplicación hasta la terminación de la relación laboral, se recopilan y procesan numerosos datos de los empleados en el lugar de trabajo. Los empleadores deben prestar especial atención a las disposiciones del Reglamento General de Protección de Datos (RGPD) y a la Ley Federal de Protección de Datos (BDSG), según la firma MTR Legal Rechtsanwälte, que asesora, entre otras cosas, en derecho de protección de datos.
Deben respetarse el RGPD en la transferencia interna de datos del grupo
Las disposiciones del RGPD también deben respetarse en la transferencia interna de datos del grupo, como lo demuestra la sentencia del Tribunal Federal del Trabajo del 8 de mayo de 2025. El BAG dejó claro que un empleado puede tener derecho a una indemnización por violación del RGPD.
En el caso subyacente, el empleador había transferido datos personales de un empleado dentro del grupo a una sociedad matriz. La razón fue que se debía probar un nuevo software basado en la nube para la administración de personal. El sistema debía introducirse de manera general en la gestión de personal del grupo.
El funcionamiento provisional del nuevo sistema de gestión de personal se había regulado previamente en un acuerdo sindical. Según el acuerdo, se podían transmitir el nombre, el inicio de la relación laboral, la empresa, el lugar de trabajo, así como el número de teléfono y correo electrónico de negocios. Sin embargo, el empleador también transfirió información sobre el salario, fecha de nacimiento, estado civil, número de seguro social, identificación fiscal y dirección privada del empleado a la compañía del grupo.
La aplicación del reglamento de protección de datos y los artículos correspondientes se aplica no solo a las empresas, sino también a las autoridades para proteger los derechos de los usuarios, personas afectadas y ciudadanos. Las medidas y medidas para la recopilación y protección de datos personales en Internet, así como el cumplimiento de las leyes de protección de datos de los estados, son una tarea importante en todos los casos y son esenciales para garantizar la transparencia frente al público.
Datos transferidos sin base legal suficiente
El demandante se opuso a esto. Argumentó que sus datos se habían procesado sin una base legal suficiente, ya que el uso de datos reales en la fase de prueba no era necesario y por lo tanto violaba los principios de minimización de datos y limitación de finalidad de acuerdo con el Art. 5 RGPD. Además, el tratamiento no estaba cubierto por el acuerdo sindical existente. Invocó un derecho a una indemnización por daños inmateriales por violación del RGPD de acuerdo con el Art. 82, párrafo 1 RGPD.
Después de que las instancias inferiores rechazaran su demanda, finalmente llegó al Tribunal Federal del Trabajo. El BAG consultó primero al Tribunal de Justicia de la Unión Europea. El TJUE aclaró, en su sentencia del 19 de diciembre de 2024, que las normativas de tratamiento de datos en un acuerdo sindical deben cumplir con las disposiciones del RGPD. El BAG se adhirió a esta jurisprudencia y determinó que el demandante tenía derecho a una indemnización.
La aplicación de los artículos relevantes del reglamento de protección de datos así como de las leyes de protección de datos estatales es de fundamental importancia para las tareas y el cumplimiento de la tarea de las autoridades y la protección de los ciudadanos y usuarios afectados en todos los casos. Las medidas para la recopilación y protección de datos personales en Internet también deben implementarse con respecto a la transparencia frente al público.
Derecho a una indemnización por daños inmateriales
El empleador había transferido más datos de los permitidos por el acuerdo sindical a la sociedad matriz. Esto no era necesario y representaba una violación del RGPD, destacó el BAG. La transferencia de los datos personales a la sociedad matriz hizo que el demandante perdiera el control sobre sus datos y, por lo tanto, sufriera un daño inmaterial, aclaró aún más el BAG.
El fallo muestra que la transferencia de datos dentro de un grupo siempre debe ser examinada en términos de la ley de protección de datos. Los requisitos de protección de datos del RGPD deben cumplirse en su totalidad. Esto abarca en particular los principios de minimización de datos, limitación de finalidad y transparencia.
La implementación de medidas adecuadas y la aplicación consistente del reglamento de protección de datos así como de los artículos relevantes son esenciales para la protección de los afectados, como ciudadanos y usuarios, y para el cumplimiento de las tareas y funciones de las autoridades en todos los casos. Esto incluye la recopilación de datos en Internet, el cumplimiento de las leyes de protección de datos de los estados y la transparencia frente al público.
Requisito para el tratamiento de datos personales en la relación laboral
En principio, el tratamiento de datos personales en la relación laboral solo es permisible si existe una base legal adecuada para ello. Esto se aplica, por ejemplo, cuando el procesamiento de datos es necesario para cumplir con el contrato laboral. Además, el procesamiento de datos es permisible si el empleado ha dado su consentimiento. Es importante que el consentimiento se dé de manera voluntaria, específica y que pueda retirarse. El procesamiento de datos también puede ser permisible si el empleador puede demostrar un interés legítimo para proteger la seguridad de la empresa y no hay intereses o derechos fundamentales del trabajador que se opongan.
El fallo del BAG subraya la importancia de manejar responsablemente los datos de los empleados y la necesidad de integrar aspectos de protección de datos de manera temprana y completa en los procesos operativos.
MTR Legal Rechtsanwälte asesora en derecho laboral y derecho de protección de datos.
No dude en contactarnos para más información.
La aplicación del reglamento de protección de datos y los artículos relevantes así como la implementación de medidas adecuadas para la recopilación de datos en Internet y el cumplimiento de las leyes de protección de datos de los estados son de fundamental importancia para la protección de los afectados, ciudadanos y usuarios y para el cumplimiento de las tareas y funciones de las autoridades en todos los casos y frente al público.
