La rebaja jurisprudencial del Derecho de protección a la información personal en la videovigilancia de los trabajadores.

/0 Comentarios/en /por

La Sentencia 39/2016, de 3 de marzo de 2016[1] de nuestro Tribunal Constitucional, se suma al amplio catálogo de pronunciamientos jurisprudenciales relativos a la utilización de sistemas de videovigilancia por parte de las empresas, que han ido acotando esta herramienta y la forma en la que puede válidamente llevarse a cabo.

Esta sentencia ha ampliado la posibilidad de introducir la videovigilancia dirigida al control de la actividad laboral, incluso de forma permanente, sin que haya una información previa y específica por la que los trabajadores puedan conocer la existencia de dicho control[2].

Su relevancia se debe al nuevo alcance que el derecho de información tiene para la protección de la información personal. Según se afirma en su texto «tiene especial trascendencia  constitucional  (art. 50.1 b) de la Ley Orgánica  del  Tribunal  Constitucional), pues  las  especificidades  propias  del  caso  permiten  a  este  Tribunal  perfilar  o  aclarar  su doctrina en relación con el uso de cámaras de videovigilancia en la empresa  que ya se habían perfilado en anteriores sentencias» citándose la número 155/2009,  de 25 de junio,  (FJ 2 b).»

Se pretende así, continúa «aclarar  el alcance  de la información  a facilitar a los trabajadores sobre la finalidad del uso de la videovigilancia  en la empresa: si es  suficiente  la  información  general  o,  por  el  contrario,  debe  existir  una  información específica (tal como se había pronunciado la STC 29/2013, de 11 de febrero). »

Efectivamente este criterio ha sido seguido posteriormente en otros pronunciamientos como la sentencia del Tribunal Supremo de fecha 31 de Enero de 2017[3], aunque en en este caso el trabajador conocía la ubicación de las cámaras, en su FD 1,4º destaca que «debe tenerse presente también, la nueva doctrina que ha sentado el Tribunal Constitucional sobre la materia, en su reciente sentencia de 3 de marzo de 2016, donde ha rebajado las exigencias informativas que debe facilitar la empresa al trabajador cuando instala un sistema de video-vigilancia, como luego se verá«.

Este criterio, según se indica ya se había aplicado en la sentencia del Tribunal Supremo de fecha 7 de Julio de 2016.

Entre la sentencia del Tribunal Constitucional y las del Tribunal Supremo ha surgido sin embargo un hecho trascendental y que es la vigencia (pendiente de ser de plena aplicación) del nuevo Reglamento Europeo de Protección de Datos y de libre circulación de estos de 27 de abril de 2016 y que no ha sido tenido en cuenta, ni siquiera en la aplicación del principio de transparencia en el tratamiento de la información personal al que luego nos referiremos.

Esta norma llevará a otras lecturas relativas a cómo evoluciona y se ha de tratar el concepto de información personal, o Derecho de protección de datos personales,  y que deberá ser resuelta teniendo en cuenta parámetros muy distintos para efectuar la ponderación de derechos que en la actualidad se tienen en cuenta para resolver el conflicto de intereses jurídicos:  derecho a la información personal/legítimo interés empresarial.

Por tanto el nuevo criterio seguido por el Tribunal Constitucional nos parece criticable por dos razones:

1.- La primera basada en el criterio de los Magistrados de este Tribunal que han añadido sendos votos particulares a la sentencia y en los que se habla (Valdes Dal-Re)  «de retroceso en la protección de los derechos fundamentales de las personas que prestan un trabajo asalariado y que vengo denunciando en los últimos años…» y «…que revela una orientación que tiende a vaciar de contenido sustantivo un modelo constitucional de relaciones laborales acorde con el Estado social y democrático de Derecho .» [4]

2.-  La segunda por una inexplicable confusión conceptual,  entre el derecho a la intimidad  y el derecho de Protección de Datos, lo que conlleva una defectuosa defensa de la esencia de este último como Derecho fundamental[5], separándose de la propia doctrina del Tribunal Constitucional que su Sentencia 292/2000 contribuyó acertadamente a crear. Es como si el tiempo transcurrido permitiese obviar la trascendencia que tiene para el Derecho de protección de datos su autonomía frente a otros Derechos fundamentales[6].

Lo más relevante es determinar si la instalación de las cámaras tiene que servir para que la empresa pueda legítimamente prevenir su patrimonio empresarial o si esto puede servir para «atrapar»[7] (como afirma VALDES DAL-RE) al posible culpable.

Dado que hubo una evidente infracción laboral la sentencia ofrece pocas dudas en cuanto a su resultado, pero sin embargo sí que cabría pensar en que hubiese sucedido si las empresas informasen de la medida de control desde el comienzo, ya que seguramente no se daría lugar a cometer ningún ilícito laboral siendo innecesario tener que despedir.

Por tanto nos encontramos con un ejemplo práctico de como la defensa débil de un derecho por parte de los ciudadanos, como es el de privacidad, nos lleva a soluciones más ineficaces,  que configuran además una sociedad mucho menos justa.

Hoy el principio que establece la nueva norma europea no solo es el de información sino el de transparencia[8] lo que no deja de ser relevante para el tema analizado una vez que esta sea de aplicación plena, lo que augura nuevos criterios jurisprudenciales antes los cuales deberemos encontrarnos debidamente prevenidos.

 

Roberto L. Ferrer Serrano
ABOGADO en Aralegis
www.aralegis.es
Profesor Asociado Area Derecho Laboral. Univ. de Zaragoza
 @robertoferrer21
https://www.linkedin.com/in/roberto-l-ferrer-serrano-4605b020/

[1] Tribunal Constitucional. Pleno. Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016. Supuesta vulneración de los derechos a la intimidad y a la protección de datos: despido basado en las imágenes captadas por una cámara de videovigilancia instalada sin comunicación previa a la trabajadora.

[2] GOÑI SEIN, J.L. Instalación de cámaras de videovigilancia para la obtención de pruebas y deber de información previa. RESEÑAS DE JURISPRUDENCIA (ENERO-JUNIO 2016) ARS IURIS SALMANTICENSIS, VOL. 4, DICIEMBRE 2016, 288-291. «La nueva orientación que emerge de la sentencia del tc flexibiliza el requisito esencial del deber de información previa del derecho fundamental del artículo 18.4 ce hasta el punto de convertirlo en una exigencia meramente formal»

[3] Sentencia Tribunal Supremo Sala de lo Social, Ponente: JOSE MANUEL LOPEZ GARCIA DE LA SERRANA accesible desde: <http://www.poderjudicial.es/search_old/doAction?action=contentpdf&databasematch=TS&reference=7950854&links=&optimize=20170306&publicinterface=true>

[4] Voto particular del Magistrado don Fernando Valdés Dal-Ré a la Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016, al que se adhiere la Magistrada doña Adela Asua Batarrita(F.I.1).

[5] Por ejemplo, se afirma en la sentencia a la que nos referimos que: «para el Ministerio Fiscal el derecho a la intimidad de la recurrente en amparo resultaba justificadamente  limitado, en tanto la filmación se ceñía a la observación  del espacio en el que se ubicaba la caja registradora» (FD 1).

También en la sentencia se produce esta confusión al afirmar que « ha  ponderado adecuadamente  que  la  instalación  y  empleo  de  medios  de  captación  y  grabación  de imágenes por la empresa ha respetado el derecho a la intimidad personal de la solicitante de amparo…«.

[6]Tribunal Constitucional. Pleno. Sentencia 292/2000, de 30 de noviembre de 2000. Recurso de inconstitucionalidad 1.463/2000. Promovido por el Defensor del Pueblo respecto de los arts. 21.1 y 24.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Vulneración del derecho fundamental a la protección de datos personales. Nulidad parcial de varios preceptos de la Ley Orgánica.

[7] Voto particular del Magistrado don Fernando Valdés Dal-Ré a la Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016, al que se adhiere la Magistrada doña Adela Asua Batarrita(F.II.C.5)

[8] El Considerando 39  del nuevo Reglamento Europeo establece que «Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.»

Este Reglamento si bien se encuentra ya en vigor,  su aplicación plena tendrá lugar en Mayo de 2018.

Cuarto milenio – misterios del GDPR

/0 Comentarios/en /por

“Bienvenidos a la nave del misterio”, entradilla ya mítica de Iker Jiménez en el programa que sirve de título al presente artículo. Hoy nos adentraremos en los misterios y enigmas que, a poco más de un año para su aplicación, nos oculta el reglamento de protección de datos. Preguntas sin resolver o, al menos, para quien suscribe el presente, situaciones que se muestran semi-ocultas entres los artículos y considerando del GDPR.

El primero de los misterios acontece en el propio objeto y ámbito de aplicación, dado que la finalidad del GDPR es, según reconoce expresamente, “la protección de las personas físicas en lo que respecta al tratamiento de los datos personales.” Ahora bien, el propio GDPR parece que establece una supremacía o subsidiaridad de protección, en base a un elemento común, la identificación -reconocimiento de la persona física-, la cual pudiere disponerse -interesado- o pudiere obtenerse -directa o indirectamente a través de identificadores.- Si a dicho objeto material le agregamos la definición de dato personal, la cual dice: “toda información sobre una persona física identificada o identificable”, tal vez solamente esté protegiendo la información en base al elemento de reconocimiento, es decir, que si no existe elemento de identificación no podría aplicarse el GDPR. Imaginemos que un empresa suscribe contrato con un proveedor de servicios de acceso a Internet y que dicha entidad suministra el router a través del cual se recopila información con la finalidad de utilizar la data asociada y recabada a través del router para proporcionar información, contenidos y publicidad en base a múltiples criterios -conexión; terminales conectados; puertos abiertos; contenido y hora de visualización; etc.- Si la identificación no permite identificar a una persona física pero de la data obtenida pudiere parametrizarse resultados que permitiera conocer información asociada a una persona física, entonces, sería aplicable el Reglamento o, por el contrario, se consideraría que los elementos identificadores no permite obtener el reconocimiento de la persona física.

El segundo de los misterios es el que aparece de soslayo dentro de los considerandos del GDPR, concretamente, en el (78)[i] donde al interesado se le reconoce un derecho nuevo, el derecho de supervisión de las medidas técnicas y organizativas que tenga implantadas en el responsable del fichero o encargado de tratamiento respecto al tratamiento de datos personales. Ahora bien, esta supervisión, teóricamente está basada en el principio de transparencia, pero no específica de qué forma el responsable y encargado deberían hacer frente a esta potestad otorgada al interesado. ¿Dicha supervisión podría hacerse efectiva a través del principio de información o a través de códigos éticos o a través de organigramas visuales? En caso que dicho derecho pudiere ser ejercitado ¿Cómo sería el procedimiento para poder ejercitarlo? ¿A través de qué medios o canales se debería hacer efectivo dicho derecho: mediante enlace a Página Web disponible y sin limitación de acceso; con limitación en base a la identificación de interesado? ¿Podría ser ejercitado por cualquier interesado, estuviere o no identificado?

Otro de los misterios, nada baladí, hace referencia a la aplicación del Reglamento a aquellos responsables o encargados establecidos fuera de la Unión Europa, como así reconoce el propio GDPR en su Considerando (23) y (24)[ii]. Pero, ¿qué ocurrirá con aquellos servicios de suscripción basados en el análisis comportamental y utilización de dicha información para la puesta a disposición de publicidad dirigida a residentes en la Unión Europea desde fuera de la misma? Estoy pensando en servicios gratuitos dirigidos en base a la obtención de información mediante de APIS donde el responsable y encargado indistintamente utilizan la data desde fuera de las fronteras de la Unión Europea, no solamente mediante publicidad programática sino mediante la nueva modalidad publicitaria -header bidding.-

Llegamos a uno de las grandes incógnitas regulatorias, los denominados profiling de opiniones políticas en procesos electorales, que abre la puerta a los partidos políticos a efectuar un análisis de los interesados durante el proceso electoral, expresamente dispuesto en el Considerando (56)[iii].Ya no sólo van a poder utilizar el censo para remitir, sus ya clásicas correspondencia electoral, sino que, a partir de ahora, podrán efectuar un target, especialmente, a través de las redes sociales, con el fin de obtener una data que le permita dirigir a un público determinado dicha propaganda. Según el GDPR debe ofrecerse garantías, pero desconozco cuáles y de qué forma se procederá a regular dicha posibilidad y si la utilización de dicha target caducará o vencerá al finalizar el proceso electoral.

Otra incógnita, ésta en base a la interpretación del GDPR, es la que afecta al apartado 5 del artículo 30[iv] en cuanto a la obligación de registrar las actividades de tratamiento, dado que, bajo la perspectiva de quien suscribe, la apariencia de interpretación podría ser sencilla, considero que la redacción de la excepción contemplada en dicho apartado no es del todo clara. Según dicho apartado, las empresas u organizaciones de menos de 250 empleados no tendrán la obligación de llevar a cabo el registro de actividades de tratamiento, pero dicha excepción se basa en tres requisitos, no siendo éstos opcionales

más que en el último caso cuando utiliza expresamente la conjunción “o” separando claramente las denominadas categorías especiales de datos personales, es decir, estaríamos ante una excepción difícil de albergar, puesto que operaría solamente, si el tratamiento de datos no supone riesgo para los derechos y libertades fundamentales así como el requisito que dicho tratamiento no sea ocasional. Por lo que esta parte entiende nunca podrá darse la excepción en categorías especiales ni en tratamientos no ocasionales y, por la expresión ocasional, es clara la referencia contemplada en el RDLOPD cuando expresamente alude a ella en el artículo 81.5 b)[v].

Para concluir la nave del misterio, aunque no las incógnitas que plantea el GDPR, es interesante las tipologías de, llamémoslas auditorías o controles de cumplimiento. Hay que rascar un poco el GDPR para encontrarnos con cinco tipos: dos, tres o cuatro en virtud del tratamiento y las especialidades de los responsables y encargados, y una última la correspondiente a las que realizaran las autoridades de control. Por una parte, las empresas tendrán que efectuar como mínimo, la denominada privacidad por diseño y la auditoría de comprobación. A estas habrá que sumarles en caso de transferencias internacionales las adscritas a dicho tratamiento y, las EIPD´S o PIA´S como control preventivo. Un sinfín de controles preventivos y legales a través de múltiples metodologías a considerar por los responsables y encargados. Igualmente, significativo es cómo efectuarán las PYMES la adecuación a dichos controles y, si temporal o definitivamente, pueden ampararse en la metodología ya establecida en el Título VIII del RDLOPD.

Hasta aquí, la nave del misterio del GDPR, todo un sinfín de incógnitas y de situaciones complejas que dará lugar para múltiples opiniones, pero este breve artículo, equivocado o no, simplemente se ha redactado para, al menos, “adentrarse en variantes que, a fecha presente, considero que no se han puesto de manifiesto” y que, probablemente, la adecuación regulatorio tendrá sus complejidades a la hora de abordarlas. Hasta la próxima nave del misterio, sigan creyendo o al menos no renuncien a lo sobrenatural.

 

Efrén Santos Pascual
Socio – Abogado TIC
ICEF Consultores
www.icefconsultores.com
@efrensantos_tic    

 

                                                                                

[i] (78) […] Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad […]

[ii] (24) El tratamiento de datos personales de los interesados que residen en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

[iii] (56) Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

[iv] 5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

[v] En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.