La publicación del escalafón laboral y el tratamiento de datos personales

La reciente STS de 12 de marzo de 2026 aborda una cuestión de notable relevancia tanto en materia de protección de datos como en el derecho colectivo: la compatibilidad entre la obligación empresarial de publicidad interna de información laboral derivada del convenio colectivo y las exigencias del régimen jurídico del tratamiento de datos personales.

El litigio tuvo su origen en la interpretación del artículo 12 del II Convenio Colectivo de Tripulantes de Cabina de Pasajeros (TCP) de EasyJet Airlines Spain, que establece la elaboración y publicación de un escalafón con determinados datos identificativos de los trabajadores.

La empresa procedió a publicar dicho escalafón en la intranet corporativa, pero sustituyendo los nombres y apellidos por un código numérico, alegando exigencias derivadas de la normativa de protección de datos.

La cuestión que se plantea, por tanto, no se limita a determinar si la empresa ha cumplido formalmente con la obligación de publicación, sino si la forma en que lo ha hecho (mediante seudonimización) resulta jurídicamente suficiente a la luz del contenido del convenio colectivo y del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD). En la citada sentencia, el Alto Tribunal comienza por corregir el planteamiento procesal de la AN, que había apreciado la falta de acción.

La Sala del TS afirma que el objeto del proceso no era la mera publicación del escalafón, sino la determinación de si dicha publicación se había realizado conforme a lo previsto en el convenio colectivo. Desde esta perspectiva, la Sala considera que concurría un conflicto colectivo real y actual en el momento de interposición de la demanda, ya que subsistía una controversia jurídica sobre la adecuación del contenido de la publicación empresarial.

En cuanto al fondo del asunto, el TS realiza una interpretación del artículo 12 del convenio colectivo en la que destaca dos elementos esenciales: en primer lugar, el contenido del escalafón, que incluye expresamente datos identificativos de las personas trabajadoras, tales como nombre y apellidos, junto con otros elementos como categoría profesional, base de adscripción y antigüedad; en segundo lugar, la función del escalafón en el sistema de relaciones laborales de la empresa, puesto que es un instrumento que determina el orden de prelación en procedimientos de promoción, cambios de contrato, destacamentos y cambios de base en situaciones de igualdad entre trabajadores.

A partir de esta doble dimensión (contenido y finalidad), el TS concluye que la sustitución de los datos identificativos por códigos numéricos no permite considerar cumplida la obligación convencional, al alterarse un elemento esencial del contenido exigido por la norma colectiva.

El TS aborda la naturaleza jurídica de los datos usados por la empresa, introduciendo una construcción relevante sobre el concepto de dato personal. Partiendo de la doctrina judicial del TJUE, la Sala distingue entre anonimización y seudonimización, afirmando que esta última no elimina necesariamente el carácter personal de los datos. La clave reside en la posibilidad de identificar a la persona física a partir de la información disponible, teniendo en cuenta factores como el coste, el tiempo y los medios razonablemente accesibles.

Así, el Tribunal establece que la calificación de los datos como personales o no debe realizarse de forma dinámica, en función del destinatario concreto y de su capacidad de identificación. De esta forma, unos mismos datos pueden ser personales para determinados sujetos y no para otros. Asimismo, la sentencia reconoce que la seudonimización constituye, en abstracto, una técnica conforme a Derecho e incluso exigible cuando no exista un título legitimador para el tratamiento de datos personales.

A partir de este punto, la cuestión central del litigio se sitúa en determinar si concurre un título jurídico suficiente que legitime el tratamiento de datos identificativos en el escalafón. El TS identifica las posibles bases de legitimación del art. 6 del Reglamento (UE) 2016/679.

En primer lugar, el tratamiento puede encontrar cobertura en el artículo 6.1.c) RGPD, al resultar necesario para el cumplimiento de una obligación jurídica derivada del convenio colectivo, que tiene eficacia normativa.

En segundo lugar, resulta aplicable el artículo 6.1.b) RGPD, en la medida en que el escalafón incide directamente en derechos laborales vinculados al contrato de trabajo.

Finalmente, la Sala aprecia la concurrencia del interés legítimo del artículo 6.1.f) RGPD, consistente en el interés de los trabajadores en conocer las personas que integran el escalafón y los datos que determinan su posición, a efectos de garantizar la correcta aplicación de los criterios de adjudicación y la transparencia en los procesos de concurrencia interna. A ello se añade que se trata de datos estrictamente laborales, no pertenecientes a categorías especiales, lo que atenúa la intensidad de la injerencia.

El Tribunal aborda asimismo la relación entre el convenio colectivo y el RGPD, afirmando que, si bien el artículo 88 permite el establecimiento de normas específicas en el ámbito laboral, estas no son autosuficientes y deben respetar en todo caso los principios y requisitos del Reglamento. No obstante, la previsión convencional puede constituir una base jurídica válida cuando concurran las exigencias de necesidad y proporcionalidad.

Finalmente, la Sala examina la adecuación del tratamiento en función de la finalidad del escalafón, vinculada a la ordenación de derechos en situaciones de concurrencia entre trabajadores, y concluye que la identificación nominativa resulta necesaria para garantizar la transparencia y el control de dichos procesos, de modo que la sustitución de los datos identificativos por códigos numéricos no permite cumplir de forma equivalente la finalidad perseguida.

En este contexto, el Tribunal precisa el alcance del principio de minimización, señalando que no actúa como una prohibición del tratamiento, sino como un criterio de proporcionalidad que modula su ejecución, sin excluir datos necesarios para la finalidad, y condiciona la licitud del tratamiento a la adopción de garantías específicas, en particular la limitación del acceso a los trabajadores afectados, a la representación legal y sindical y a quienes acrediten un interés legítimo, junto con la implantación de medidas técnicas que aseguren dicha restricción y el deber de confidencialidad.

Asimismo, declara la licitud de la comunicación de estos datos a la representación legal de los trabajadores por resultar necesaria para el ejercicio de sus funciones de vigilancia y control, y, en consecuencia, estima el recurso y reconoce el derecho a la publicación del escalafón en la intranet con todos los datos previstos en el convenio, incluidos el nombre y los apellidos, siempre que el acceso quede limitado y se garantice la confidencialidad, estableciendo así que la seudonimización no resulta suficiente para cumplir la obligación convencional cuando la identificación es necesaria para la finalidad del tratamiento y existe una base jurídica adecuada.