Entradas

La rebaja jurisprudencial del Derecho de protección a la información personal en la videovigilancia de los trabajadores.

La Sentencia 39/2016, de 3 de marzo de 2016[1] de nuestro Tribunal Constitucional, se suma al amplio catálogo de pronunciamientos jurisprudenciales relativos a la utilización de sistemas de videovigilancia por parte de las empresas, que han ido acotando esta herramienta y la forma en la que puede válidamente llevarse a cabo.

Esta sentencia ha ampliado la posibilidad de introducir la videovigilancia dirigida al control de la actividad laboral, incluso de forma permanente, sin que haya una información previa y específica por la que los trabajadores puedan conocer la existencia de dicho control[2].

Su relevancia se debe al nuevo alcance que el derecho de información tiene para la protección de la información personal. Según se afirma en su texto “tiene especial trascendencia  constitucional  (art. 50.1 b) de la Ley Orgánica  del  Tribunal  Constitucional), pues  las  especificidades  propias  del  caso  permiten  a  este  Tribunal  perfilar  o  aclarar  su doctrina en relación con el uso de cámaras de videovigilancia en la empresa  que ya se habían perfilado en anteriores sentencias” citándose la número 155/2009,  de 25 de junio,  (FJ 2 b).

Se pretende así, continúa “aclarar  el alcance  de la información  a facilitar a los trabajadores sobre la finalidad del uso de la videovigilancia  en la empresa: si es  suficiente  la  información  general  o,  por  el  contrario,  debe  existir  una  información específica (tal como se había pronunciado la STC 29/2013, de 11 de febrero).

Efectivamente este criterio ha sido seguido posteriormente en otros pronunciamientos como la sentencia del Tribunal Supremo de fecha 31 de Enero de 2017[3], aunque en en este caso el trabajador conocía la ubicación de las cámaras, en su FD 1,4º destaca que “debe tenerse presente también, la nueva doctrina que ha sentado el Tribunal Constitucional sobre la materia, en su reciente sentencia de 3 de marzo de 2016, donde ha rebajado las exigencias informativas que debe facilitar la empresa al trabajador cuando instala un sistema de video-vigilancia, como luego se verá“.

Este criterio, según se indica ya se había aplicado en la sentencia del Tribunal Supremo de fecha 7 de Julio de 2016.

Entre la sentencia del Tribunal Constitucional y las del Tribunal Supremo ha surgido sin embargo un hecho trascendental y que es la vigencia (pendiente de ser de plena aplicación) del nuevo Reglamento Europeo de Protección de Datos y de libre circulación de estos de 27 de abril de 2016 y que no ha sido tenido en cuenta, ni siquiera en la aplicación del principio de transparencia en el tratamiento de la información personal al que luego nos referiremos.

Esta norma llevará a otras lecturas relativas a cómo evoluciona y se ha de tratar el concepto de información personal, o Derecho de protección de datos personales,  y que deberá ser resuelta teniendo en cuenta parámetros muy distintos para efectuar la ponderación de derechos que en la actualidad se tienen en cuenta para resolver el conflicto de intereses jurídicos:  derecho a la información personal/legítimo interés empresarial.

Por tanto el nuevo criterio seguido por el Tribunal Constitucional nos parece criticable por dos razones:

1.- La primera basada en el criterio de los Magistrados de este Tribunal que han añadido sendos votos particulares a la sentencia y en los que se habla (Valdes Dal-Re)  “de retroceso en la protección de los derechos fundamentales de las personas que prestan un trabajo asalariado y que vengo denunciando en los últimos años…” y “…que revela una orientación que tiende a vaciar de contenido sustantivo un modelo constitucional de relaciones laborales acorde con el Estado social y democrático de Derecho .” [4]

2.-  La segunda por una inexplicable confusión conceptual,  entre el derecho a la intimidad  y el derecho de Protección de Datos, lo que conlleva una defectuosa defensa de la esencia de este último como Derecho fundamental[5], separándose de la propia doctrina del Tribunal Constitucional que su Sentencia 292/2000 contribuyó acertadamente a crear. Es como si el tiempo transcurrido permitiese obviar la trascendencia que tiene para el Derecho de protección de datos su autonomía frente a otros Derechos fundamentales[6].

Lo más relevante es determinar si la instalación de las cámaras tiene que servir para que la empresa pueda legítimamente prevenir su patrimonio empresarial o si esto puede servir para “atrapar”[7] (como afirma VALDES DAL-RE) al posible culpable.

Dado que hubo una evidente infracción laboral la sentencia ofrece pocas dudas en cuanto a su resultado, pero sin embargo sí que cabría pensar en que hubiese sucedido si las empresas informasen de la medida de control desde el comienzo, ya que seguramente no se daría lugar a cometer ningún ilícito laboral siendo innecesario tener que despedir.

Por tanto nos encontramos con un ejemplo práctico de como la defensa débil de un derecho por parte de los ciudadanos, como es el de privacidad, nos lleva a soluciones más ineficaces,  que configuran además una sociedad mucho menos justa.

Hoy el principio que establece la nueva norma europea no solo es el de información sino el de transparencia[8] lo que no deja de ser relevante para el tema analizado una vez que esta sea de aplicación plena, lo que augura nuevos criterios jurisprudenciales antes los cuales deberemos encontrarnos debidamente prevenidos.

 

Roberto L. Ferrer Serrano
ABOGADO en Aralegis
www.aralegis.es
Profesor Asociado Area Derecho Laboral. Univ. de Zaragoza
 @robertoferrer21
https://www.linkedin.com/in/roberto-l-ferrer-serrano-4605b020/


[1] Tribunal Constitucional. Pleno. Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016. Supuesta vulneración de los derechos a la intimidad y a la protección de datos: despido basado en las imágenes captadas por una cámara de videovigilancia instalada sin comunicación previa a la trabajadora.

[2] GOÑI SEIN, J.L. Instalación de cámaras de videovigilancia para la obtención de pruebas y deber de información previa. RESEÑAS DE JURISPRUDENCIA (ENERO-JUNIO 2016) ARS IURIS SALMANTICENSIS, VOL. 4, DICIEMBRE 2016, 288-291. “La nueva orientación que emerge de la sentencia del tc flexibiliza el requisito esencial del deber de información previa del derecho fundamental del artículo 18.4 ce hasta el punto de convertirlo en una exigencia meramente formal”

[3] Sentencia Tribunal Supremo Sala de lo Social, Ponente: JOSE MANUEL LOPEZ GARCIA DE LA SERRANA accesible desde: <http://www.poderjudicial.es/search_old/doAction?action=contentpdf&databasematch=TS&reference=7950854&links=&optimize=20170306&publicinterface=true>

[4] Voto particular del Magistrado don Fernando Valdés Dal-Ré a la Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016, al que se adhiere la Magistrada doña Adela Asua Batarrita(F.I.1).

[5] Por ejemplo, se afirma en la sentencia a la que nos referimos que: “para el Ministerio Fiscal el derecho a la intimidad de la recurrente en amparo resultaba justificadamente  limitado, en tanto la filmación se ceñía a la observación  del espacio en el que se ubicaba la caja registradora” (FD 1).

También en la sentencia se produce esta confusión al afirmar que “ ha  ponderado adecuadamente  que  la  instalación  y  empleo  de  medios  de  captación  y  grabación  de imágenes por la empresa ha respetado el derecho a la intimidad personal de la solicitante de amparo…“.

[6]Tribunal Constitucional. Pleno. Sentencia 292/2000, de 30 de noviembre de 2000. Recurso de inconstitucionalidad 1.463/2000. Promovido por el Defensor del Pueblo respecto de los arts. 21.1 y 24.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Vulneración del derecho fundamental a la protección de datos personales. Nulidad parcial de varios preceptos de la Ley Orgánica.

[7] Voto particular del Magistrado don Fernando Valdés Dal-Ré a la Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016, al que se adhiere la Magistrada doña Adela Asua Batarrita(F.II.C.5)

[8] El Considerando 39  del nuevo Reglamento Europeo establece que “Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.”

Este Reglamento si bien se encuentra ya en vigor,  su aplicación plena tendrá lugar en Mayo de 2018.

Empresa y trabajadores: Productividad, control y privacidad.

Caso de estudio:
Empresario preocupado por la productividad de sus trabajadores en su empresa quiere implantar una serie de medidas de control. Plantea prohibir el acceso a redes sociales y el uso de los ordenadores de la empresa con tareas que pueden perjudicar la productividad.
Premisa:
Planteamos al empresario reflexionar sobre el hecho de que limitar ciertos servicios o accesos podría incluso ser contraproducente para su actividad. La información obtenida en internet es importante en cualquier empresa, por lo que limitar a los trabajadores estas herramientas de trabajo podría tener mas inconvenientes que beneficios. Además, un trabajador avezado puede saltarse esas limitaciones sin dificultad, frustrando el propósito del empresario.
Solución propuesta:
A nivel técnico.
Para controlar la productividad de los trabajadores se debe empezar por conocer en detalle las capacidades y alcance de los medios tecnológicos de la empresa. Entenderemos por Medios Tecnológicos cualquier dispositivo hardware o software que pueda estar implicado en el proceso de producción de la misma.
En líneas generales, recomendamos realizar un inventario de todos los medios tecnológicos propios de la empresa, identificarlos de manera unívoca y conocer sus capacidades.
Igualmente, se deberá crear y mantener un registro en que figure a qué trabajador se le ha asignado cada medio (ordenador, tableta, cuenta de correo, móvil, etc.).
A nivel legal. Cumplimiento normativo (Compliance).
Realizado tal inventario, se deberá asegurar tener correctamente implementadas las medidas en materia de Protección de Datos (que no serán objeto de este estudio) perfectamente adecuadas a la actividad de la empresa. Como sugerencia, estas medidas deberían orientarse conforme al Reglamento Europeo de Protección de Datos, que comenzará a aplicarse el 25 de mayo de 2018.
Previamente a la entrega o asignación de los medios tecnológicos, deberá notificarse a todos los trabajadores que:
1. Tales medios son propiedad exclusiva y excluyente de la empresa.
2. Está prohibido utilizarlos con fines privados (prohibición avalada por Tribunal Supremo, Constitucional, Europeo de Justicia y la Agencia de Protección de Datos).
3. Tales Medios pueden ser monitorizados por la empresa con fines de controlar la productividad y el regular funcionamiento de la misma, evitar la comisión de delitos, etc, en definitiva, asegurar la continuidad del negocio.

El cauce para notificar todo esto debe ser, obligatoriamente, un contrato específica y meticulosamente diseñado para no infringir ninguno de los derechos de los trabajadores y acorde a la jurisprudencia.
Pero no basta con firmar un contrato, sino que el empresario debe conocer las características de los medios tecnológicos y los límites legales y, en función de aquellos, disponer las medidas necesarias para que tales límites no se vean superados (niveles de usuario, controles de acceso, etc).
A este respecto, dado que cada empresa tiene un esquema de medios tecnológicos propio, requerirá un contrato confeccionado ad hoc, por lo que no es recomendable la fórmula del copy and paste. En la práctica se están dando casos donde la utilización de un contrato extraído de Internet, aplicado sin criterio en una empresa ha acabado en sanciones de la Agencia de Protección de Datos o, en los casos más graves, en sanciones penales por la comisión de delitos de violación del secreto de las comunicaciones.
Errores frecuentes: que “un contrato salva cualquier situación” o que “la tecnología por sí sola es suficiente”. El mejor contrato no sirve de nada sin un adecuado uso, configuración y control de los medios tecnológicos. Los mejores medios tecnológicos estarán fuera de la ley si no son correctamente auditados y adaptados al marco legal concreto (leyes y contratos). Las consecuencias podrían llegar a acabar con la empresa.
El contrato debe especificar, de manera muy concreta, qué medios tecnológicos se está poniendo a disposición del trabajador, qué actividades están prohibidas y cuales permitidas, enumerando unas reglas de uso claras y transparentes.
Intimidad del trabajador y control de medios tecnológicos. Límites.
El Tribunal Constitucional, en Sentencia de 7 de octubre de 2013, ha señalado claramente: no hay violación de la privacidad cuando la titularidad de la herramienta comunicativa es del empresario, el momento en que se utilice es la jornada laboral o se utilice el correo corporativo, además de que todo esto haya sido correctamente notificado al trabajador.
Limitaciones: ningún contrato puede suponer la renuncia a derechos fundamentales, pues tal renuncia sería nula y por tanto se tendría por no firmada.
Precaución: la Sentencia del Tribunal Supremo de 16 de junio de 2014, Sala de
lo Penal, señaló que el control por parte del empresario de los medios tecnológicos de la empresa no puede vulnerar el secreto de las comunicaciones, siendo necesaria la autorización judicial para acceder a material sujeto a tal secreto.
Aplicación práctica: ante un problema con un trabajador, la obtención de la prueba debe tener en cuenta estas premisas, so pena de incurrirse en un delito de violación del secreto de las comunicaciones. Por regla general, se entiende que ha existido violación (y por tanto un delito) en caso de accederse a un correo no abierto por el trabajador.
Cuestión técnica: demostrar que el correo intervenido fue leído, pero se devolvió al estado de “no leído”, requiere la adecuada obtención de la pertinente prueba, a cuyo fin ayuda la propia Sentencia al establecer que el secreto de las comunicaciones no abarca los datos de tráfico y los mensajes recibidos y abiertos por su destinatario, porque no forman parte de la comunicación. Los logs de registro juegan en este caso un importante papel, pero, siempre que nos encontremos ante un excelente dimensionamiento, configuración y control (tecnológico y legal) de los medios tecnológicos.
En todo caso deberá atenderse a que la obtención sea proporcional al fin perseguido, porque, por ejemplo, no haya otra medida más adecuada de obtención de pruebas, según la ocasión.
BYOD (Bring Your Own Device). Utilización de medios tecnológicos privados del trabajador para la actividad de la empresa.
Nos referimos al uso por parte del trabajador de sus propios dispositivos con aplicación laboral.
Regla genérica: Jamás se podrá acceder sin autorización judicial a tales medios tecnológicos (teléfonos móviles, ordenadores, tabletas, etc).
Sin embargo, no se considerará vulneración del secreto de las comunicaciones si el trabajador ha sido debidamente notificado, como se ha explicado anteriormente, y se ejerce control sobre una cuenta de correo (por ejemplo) que es propiedad de la empresa pero que ha sido configurada en el terminal propiedad del trabajador.
Una buena recomendación en este caso es que la empresa tenga correctamente diseñadas, explicadas y notificadas las reglas de uso de cuentas de correo de la empresa configuradas en terminales privados.
Y la mejor de las recomendaciones es actuar siempre con sentido común, proporcionalidad y responsabilidad.

Francisco Rico
Twitter: @Curro_Rico
Abogado especializado en Derecho Tecnológico y Seguridad Informática. Bufete MERCURE·HUB.