Empresas de formación y la protección de datos
En este post analizamos la relación entre las Empresas de formación y la protección de datos.
Externalizar la capacitación de empleados en una Empresa de formación, es una opción atractiva para las empresas debido a varios factores, principalmente porque permite a las empresas enfocarse en sus actividades principales mientras la responsabilidad de la capacitación se delega en expertos garantizando el éxito formativo y con todo ello, mejorar la eficiencia y el rendimiento general de la organización.
Además, al externalizar la formación, las empresas pueden reducir costos operativos al evitar la necesidad de mantener un departamento interno de capacitación, al tiempo que disfrutan de una mayor flexibilidad para adaptarse a las necesidades cambiantes del mercado y su fuerza laboral.
Cumplimiento Normativo de las Empresas de formación
En la era digital, donde la información es un activo invaluable, la aplicación de la normativa protección de datos personales se ha convertido en una preocupación primordial, tanto para las empresas de formación, como para los participantes de las acciones formativas (los trabajadores) y para las empresas clientes que contratan formación para sus empleados.
En este contexto, las empresas de formación se encuentran en una posición particularmente sensible, ya que manejan datos personales de los trabajadores-alumnos, tratando en ocasiones datos de categoría especial.
El cumplimiento de la normativa protección de datos es crucial para las empresas de formación, pues en España, estas organizaciones deben asegurarse de que sus prácticas cumplan con las disposiciones establecidas en el Reglamento General de Protección de Datos (RGPD) y con la Ley de Protección de Datos (LOPD).
Esto implica adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos de los trabajadores y de que todos los procesos cumplen en su totalidad con la normativa protección de datos y demás normativas sectoriales, como es el caso de:
Ley 30/2015, de 9 de septiembre, por la que se regula el Sistema de Formación Profesional para el empleo en el ámbito laboral.
Real Decreto 694/2017, de 3 de julio, por el que se desarrolla la Ley 30/2015, de 9 de septiembre, por la que se regula el Sistema de Formación Profesional para el Empleo en el ámbito laboral, en relación con la oferta formativa de las administraciones competentes y su financiación, y se establecen las bases reguladoras para la concesión de subvenciones públicas destinadas a su financiación.
Orden TMS/368/2019, de 28 de marzo, por la que se desarrolla el Real Decreto 694/2017, de 3 de julio, por el que se desarrolla la Ley 30/2015, de 9 de septiembre, por la que se regula el Sistema de Formación Profesional para el Empleo en el ámbito laboral, en relación con la oferta formativa de las administraciones competentes y su financiación, y se establecen las bases reguladoras para la concesión de subvenciones públicas destinadas a su financiación
Figuras existentes en una formación
En el ámbito formativo de trabajadores, existen diferentes actores, siendo principalmente los siguientes:
La empresa
Es la encargada de planificar y gestionar la formación de los trabajadores.
La empresa podrá impartir la formación por sí misma o a través de un tercero (empresa de formación especializada).
En el caso de contratar a una empresa de formación, esta asumirá la coordinación de la formación.
La representación de los trabajadores
Les corresponde el ejercicio de los derechos de participación e información establecidos legalmente.
Trabajadores
Los participantes de las acciones formativas.
Empresa de formación
Quien imparte la formación a los trabajadores
FUNDAE
Fundación Estatal para la Formación en el Empleo, encargada de impulsar y coordinar la ejecución de las políticas públicas en materia de Formación Profesional, en el ámbito del empleo y las relaciones laborales (ej. bonificaciones formativas).
Rol de la Empresa de formación
Si la Empresa formadora es la que recopila por sí misma los datos personales de los trabajadores, actuará como Responsable del tratamiento.
Si la Empresa cede los datos de sus trabajadores a la Empresa de formación, estamos ante un caso de transferencia de datos, por consiguiente la Empresa es la Cedente y la Empresa de formación la Cesionaria, pero ambos actuarán como Responsables del tratamiento.
Esta posición es defendida también por la AEPD ante una consulta de una empresa de formación, que resulta en la publicación del Informe 0143/2010, anterior a la aprobación de la actual LOPD, pero cuya fundamentación jurídica puede seguir siendo totalmente aplicable.
En lo referente a la impartición por parte de la Empresa de formación, este Informe dice textualmente:
“En el presente caso, la consultante, en cuanto ha de llevar a cabo la acción formativa y, en consecuencia, la impartición de los cursos de formación objeto de la ayuda pública, será responsable del fichero referido a los trabajadores a los que dicha acción se dirige, decidiendo, en relación con la finalidad de la citada impartición, sobre el contenido y uso del tratamiento.”
De la misma forma, se manifiesta cuando la Empresa de formación, gestiona la bonificación de los cursos solicitados por la Empresa para sus trabajadores:
“las empresas agrupadas efectúen la cesión de los datos personales de los trabajadores necesarios para que la entidad organizadora pueda ejecutar la gestión y tramitación de las bonificaciones en sus respectivos boletines de cotización, de modo que tal comunicación de datos podría incardinarse en el artículo 11.2 c) de la LOPD.
Lo señalado nos lleva a la conclusión de que estamos ante una comunicación de datos y que el centro consultante será asumirá la condición de responsable del tratamiento de los mismos.”
También se advierte del propio Informe que las empresas de formación no actúan sólo bajo las directrices de la Empresa que contrata los servicios formativos e a un tercero, sino puede llegar a considerarse que van más allá, que trasciende a dichas instrucciones, por eso serían igualmente responsables del tratamiento.
En el caso de que la Empresa contrata los servicios de un tercero (podría ser una empresa formadora), solo para la tramitación de bonificaciones formativas ante FUNDAE, es decir, no impartirá la formación, quien gestione esas bonificaciones ostentará la condición de Encargado del tratamiento, siendo necesario regular la relación, según establece el artículo 28.3 del RGPD.
Otras cuestiones a tener en cuenta por la Empresa de formación:
La normativa protección de datos también obliga a las empresas formadoras a revisar y ajustar sus prácticas de recopilación y almacenamiento de datos, debiendo asegurarse de que solo recopilan la información necesaria y relevante para sus operaciones, limitando así la cantidad de datos personales que manejan y con ello minimizar los riesgos para la seguridad de los datos tratados y cumplir con las directrices legalmente establecidas en dicha normativa.
Además, deben implementar medidas de seguridad robustas para proteger esta información ante accesos no autorizados, pérdida de datos o alteración de estos. Esto implica la elaboración de políticas de seguridad por parte del órgano de administración de estas empresas de formación.
Trabajadores-alumnos
Una parte fundamental de la ley de protección de datos es el derecho de los alumnos a controlar sus datos personales y las empresas de formación deben obtener el consentimiento explícito de estos para recopilar, procesar y almacenar sus datos.
Si los datos de los trabajadores son cedidos al formador por parte de la Empresa de formación, dicha cesión debería producirse con el consentimiento previo de los trabajadores, principalmente, porque es posible que se deban comunicar datos sobre discapacidad.
A tener en cuenta los consentimientos previos y expresos, para publicar sus imágenes, grabar sesiones formativas para que terceros las puedan visualizar, etc.
Además, deben proporcionar mecanismos para que los alumnos puedan ejercer sus derechos de protección de datos, según lo estipulado en la ley y para todo ello, se requiere de la implantación de sistemas de gestión para la correcta información en materia de protección de datos y procedimientos aceptados legalmente para obtener el consentimiento de los alumnos.