en Protección de datos de carácter personal

El riesgo de dar referencias de un ex empleado

Autor: Eric Gracia. Abogado Derecho.com.

Con la LOPD condicionando cada vez más aspectos cotidianos de nuestras vidas, muchas de las prácticas que hasta ahora nos resultaban normales e incluso socialmente aceptadas pueden llegar a convertirse en potencialmente peligrosas. Un claro ejemplo de ello lo encontramos en la entrega de referencias de un ex empleado.

Efectivamente, atender el requerimiento de otra empresa que nos pide información sobre un ex empleado nuestro, con independencia de que esas referencias vayan a ser negativas o favorables para éste, puede suponer la comisión de más de una infracción de la LOPD.

De hecho, al entregar esa información estamos realizando una cesión de datos del trabajador (art. 11 de la LOPD) para la que necesitamos su previo consentimiento. Esto es así porque dicha cesión de datos no es en absoluto necesaria para el mantenimiento o cumplimiento de la relación laboral que manteníamos con el trabajador, pues ha finalizado. Por lo tanto, a partir del momento en que finaliza la relación laboral con un trabajador, todo lo que queramos hacer con sus datos personales, a menos que esté amparado por una ley, deberá contar con su previo consentimiento.

Los riesgos concretos son los siguientes: (i) De entrada, tal y como ya he apuntado, estaríamos cometiendo una cesión ilícita de datos, tipificada como muy grave en el artículo 44.4.b) de la LOPD; (ii) La Agencia Española de Protección de Datos (AEPD) también podría calificar dicha acción como un tratamiento de datos realizado sin el consentimiento del afectado, tipificado como grave en el artículo 44.3.d) de la LOPD; (iii) Finalmente, cualquiera de las infracciones anteriores llevaría aparejada una vulneración del deber de secreto que establece el artículo 10 de la LOPD, tipificado como leve en el artículo 44.2.e) de la LOPD.
Debe tenerse en cuenta que ante situaciones similares (véase PS/00044/2009), la AEPD ha aplicado el artículo 4.4 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, según el cual “en defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida”.

Pero, ¿cómo evitar la comisión de dichas infracciones? Pues será necesario articular un mecanismo que permita a la empresa demostrar en caso de necesidad, que su ex empleado previamente le ha autorizado para poder facilitar información personal suya a una tercera empresa, con la finalidad concreta de dar referencias en el marco de un proceso de selección de personal.