Los derechos a la intimidad, a la propia imagen y a la protección de datos de los empleados públicos vs el control por parte de la Administración

Las innumerables ventajas y utilidades que los avances tecnológicos y la digitalización han aportado al trabajo en las Administraciones Públicas se han visto acompañadas del incremento de significativas amenazas para la privacidad de los empleados. La posibilidad de implantar variados y sofisticados sistemas para el control del cumplimiento laboral ha incrementado sin duda el riesgo de que los derechos relacionados con la vida privada de los empleados públicos puedan verse comprometidos. En este marco el artículo tiene por objeto determinar, desde la perspectiva de los derechos fundamentales implicados (derecho a la intimidad y propia imagen, protección de datos personales, secreto a las comunicaciones), las reglas, garantías y límites que se han de seguir en el empleo de las distintas técnicas de control, entre otras, la instalación de videocámaras, el registro de dispositivos digitales -documentos, accesos a Internet, correo electrónico-, el emplazamiento de sistemas de geolocalización y el uso de los datos biométricos.

Marta Arrúe Mendizábal es Titular de Escuela Universitaria (TEU) de Derecho del Trabajo y de la Seguridad Social en la UPV-EHU

El artículo se publicó en el número 54 de la Revista General de Derecho del Trabajo y de la Seguridad Social (Iustel, noviembre 2019)

RESUMEN: Las innumerables ventajas y utilidades que los avances tecnológicos y la digitalización han aportado al trabajo en las Administraciones Públicas se han visto acompañadas del incremento de significativas amenazas para la privacidad de los empleados. La posibilidad de implantar variados y sofisticados sistemas para el control del cumplimiento laboral ha incrementado sin duda el riesgo de que los derechos relacionados con la vida privada de los empleados públicos puedan verse comprometidos.

En este marco el artículo tiene por objeto determinar, desde la perspectiva de los derechos fundamentales implicados (derecho a la intimidad y propia imagen, protección de datos personales, secreto a las comunicaciones), las reglas, garantías y límites que se han de seguir en el empleo de las distintas técnicas de control, entre otras, la instalación de videocámaras, el registro de dispositivos digitales -documentos, accesos a Internet, correo electrónico-, el emplazamiento de sistemas de geolocalización y el uso de los datos biométricos.

A tal fin, se expone y valora la nueva regulación que se introduce sobre esta materia en la reciente Ley Orgánica de Protección de Datos y garantía de derechos digitales (en adelante, LOPDGDD) a la luz de los criterios de enjuiciamiento establecidos por los tribunales internos hasta la fecha, con especial atención a la doctrina correctora del Tribunal Europeo de Derechos Humanos (TEDH). Son sentencias relativas a supuestos de trabajadores por cuenta ajena, pero es incontestable la proyección de los fundamentos de derecho al ámbito del empleo público. En este examen se atiende especialmente a las nuevas pautas que obligan al empleador a configurar una política previa sobre el uso de los dispositivos digitales puestos a disposición de los empleados con la necesaria participación de sus representantes. En concreto, se analizan los procedimientos y los posibles contenidos de estos protocolos en aras a lograr un punto de equilibrio entre los intereses de las partes que garantice su eficacia.

I. LA AUSENCIA DE UN MARCO REGULADOR Y LOS CRITERIOS FIJADOS POR EL TRIBUNAL SUPREMO, EL TRIBUNAL CONSTITUCIONAL Y EL TRIBUNAL EUROPEO DE DERECHOS HUMANOS SOBRE LOS DISTINTOS SISTEMAS DE CONTROL (1)

Como reconoce el Plan de Acción de Administración Electrónica 2016-2020 de la Comisión Europea es indudable el significativo papel que desempeñan las tecnologías de la información y la comunicación en la mejora del nivel de los servicios públicos, en la transparencia y en la inclusión de los ciudadanos en la vida política. Así la Comisión Europea define la Administración electrónica como “el uso de las TIC en las AAPP, combinado con cambios organizativos y nuevas aptitudes, con el fin de mejorar los servicios públicos y los procesos democráticos y reforzar el apoyo a las políticas públicas”(2).

La digitalización de la actuación administrativa, iniciada por la ya derogada Ley 11/2007 (3), que dio carta de naturaleza legal al derecho de los ciudadanos a comunicarse con las Administraciones por medios electrónicos, se ha implantado de manera efectiva con la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas y la Ley 40/2015 de Régimen Jurídico del Sector Público, al establecer como regla general los cauces electrónicos en las relaciones administrativas externas y en las interadministrativas. La tramitación electrónica como sistema de gestión administrativa habitual ha originado el uso regular del ordenador, de la red y del correo electrónico de la mayoría de los empleados públicos como herramientas necesarias para el desempeño de su actividad, con el consabido peligro de que un uso extralaboral desproporcionado pueda quebrar los intereses de la empleadora o incluso comprometer los derechos de los administrados. De ahí, las conocidas controversias sobre los límites al empleo personal de estos medios tecnológicos por parte de los trabajadores y las restricciones a la fiscalización por el empleador de tales usos.

En este sentido, no hay duda de que las innumerables utilidades que la digitalización ha aportado al trabajo en las Administraciones Públicas se han visto acompañadas de la creación de nuevos riesgos relacionados con la vulneración de la privacidad e intimidad de los empleados públicos. Ello obedece principalmente a que estos instrumentos han intensificado la facultad de control sobre la persona del empleado y han diluido la separación entre la vida laboral y su vida privada. Gracias a estos avances tecnológicos cada vez existen sistemas más sofisticados para realizar un control externo del cumplimiento general de la actividad laboral dentro y fuera de la entidad para la que se prestan los servicios. Pueden citarse, en una enumeración ejemplificativa, desde el más conocido y tradicional empleo de cámaras de videovigilancia hasta otros mecanismos para el control de accesos y la localización de los empleados como las tarjetas inteligentes o la lectura de los datos biométricos. Quizás, los conflictos más numerosos se refieren a los supuestos en que el objeto del control empresarial es precisamente el uso no abusivo de los medios tecnológicos puestos a disposición del personal como herramientas de trabajo (el ordenador, la tablet o el smartphone con acceso a Internet y el correo electrónico). En estos casos el propio instrumento laboral se convierte en el mecanismo de control a través del registro del ordenador (seguimiento de las páginas web visitadas, acceso a los documentos almacenados, a los correos electrónicos o mensajes enviados) o del rastreo de los dispositivos GPS que se instalan en los teléfonos, tablets o coches de la organización.

Hasta la aprobación de la LOPDGDD(4), que modificará el Estatuto de los Trabajadores (ET) y el Estatuto Básico del Empleado Público (EBEP), la falta de una regulación específica legal de concretos sistemas de control en la Administración(5) se ha paliado con la interpretación que han ido realizado los Tribunales del adecuado equilibrio que ha de concurrir entre las facultades de fiscalización de la empleadora y el respeto a los derechos de los empleados públicos (especialmente al derecho a la intimidad, a la propia imagen y a la dignidad en el trabajo, art. 14 h) EBEP)(6), teniendo presente que la especial sujeción del empleado público y su compromiso con la consecución de los intereses de la colectividad marca la existencia de unos deberes específicos (imparcialidad, trasparencia, neutralidad) que podrían condicionar en mayor grado sus derechos como ciudadano. En los últimos tiempos han sido esenciales las pautas o criterios correctores que ha fijado la justicia internacional, especialmente el TEDH, a fin de establecer una acomodación equilibrada entre los derechos de ambas partes.

Puesto que las reglas, garantías y límites que se han ido perfilando para el empleo de las distintas técnicas de control no han sido exactamente iguales y ni siquiera el uso de tales mecanismos se ha valorado desde la perspectiva de los mismos derechos fundamentales implicados (derecho a la intimidad y a la propia imagen, protección de los datos personales, secreto en las comunicaciones), analizaremos de manera separada el tratamiento que se ha otorgado a los diversos sistemas.

1.1. El registro del ordenador: documentos, correos electrónicos y navegación por Internet

Tanto el Tribunal Supremo como el Tribunal Constitucional han enjuiciado la legitimidad de este tipo de registros fundamentalmente en atención al respeto al derecho a la intimidad y sólo para el acceso a las conversaciones electrónicas se ha planteado la posible vulneración del derecho al secreto de las comunicaciones. Siguiendo parcialmente la doctrina fijada por una de las Sentencias del TEDH (as. Copland, de 3 de abril de 2007) ambos tribunales adoptaron la tesis de que la fiscalización del ordenador, de la navegación en internet y de los correos electrónicos lesionan la vida privada y la confidencialidad de las comunicaciones de los empleados cuando se quebranta su expectativa de intimidad, expectativa que desaparece si existe una advertencia previa sobre la prohibición del uso personal de los dispositivos y la posibilidad de su control por parte del empleador.

Será primero el Tribunal Supremo (TS) el que hace suya esta doctrina en la Sentencia del 26 de septiembre de 2007(7) para el ámbito laboral privado adoptando un criterio diverso al canon tradicional de valoración de la legitimidad de las medidas empresariales restrictivas de los derechos fundamentales del trabajador basado en la aplicación del principio de proporcionalidad(8). El conflicto, en lugar de resolverse por medio del conocido triple juicio (idoneidad, necesidad y ponderación o proporcionalidad en sentido estricto), atiende a la existencia de unas reglas previas sobre la utilización de los medios digitales y del control empresarial, así como al conocimiento de ambas circunstancias por parte de los empleados. Esta Resolución también zanjó el debate anterior de la doctrina judicial al aseverar que la facultad de fiscalización empresarial sobre estos elementos no se incluye en el poder de control extraordinario empresarial (art. 18 ET); al contrario, se integra en el ámbito de la potestad ordinaria de vigilancia (art. 20.3 ET), limitada únicamente por el respeto a la dignidad y a los derechos fundamentales del trabajador (intimidad y secreto de las comunicaciones). Libertades que se suponen salvaguardadas siempre que no se quiebre esa “expectativa de intimidad” de la plantilla gracias a las previas instrucciones sobre la limitación del uso personal de tales medios y a la admonición de su efectivo control por el empleador.

Si bien esta exigencia de la previa información a la platilla sobre el uso y el control supuso instaurar una medida de signo garantista para los derechos implicados, muy pronto los tribunales irán suavizando la obligación de trasparencia hasta dejarla prácticamente irreconocible. Primero lo hará el propio TS cuando resuelve que la prohibición expresa del uso personal de los medios digitales ya lleva implícita una advertencia sobre su posible control (STS de 6 de octubre de 2011)(9). Basta así con una política previa sobre el uso -donde incluso se admite una prohibición absoluta de la utilización para fines personales- para neutralizar tanto la expectativa de intimidad como el carácter secreto o reservado de las comunicaciones.

Esta doctrina, fijada originalmente para las relaciones laborales privadas,(10) se trasladará por la doctrina judicial contencioso-administrativa en similares términos a las vinculaciones funcionariales(11), a pesar de su reiterado reconocimiento de que la especial sujeción de este personal implica “una situación de dependencia mayor que la que se produce en las relaciones de sujeción general”(12).

El Tribunal Constitucional no solo avalará con la STC 241/2012 (“caso Trillian”)(13) esta última tendencia a la flexibilización sino que la acrecentará al justificar que la mera previsión de la prohibición de uso personal de estas herramientas en la enumeración y descripción de las faltas y sanciones laborales de un convenio colectivo sectorial es suficiente como advertencia para salvar la expectativa de privacidad y legitimar el registro del ordenador y el acceso al correo digital del trabajador (STC 170/2013 “Caso Alcaliber”)(14).

Nos encontramos en un momento en el que tanto la jurisprudencia constitucional como la social(15) se mostraban reacias a examinar el conflicto del control empresarial de los terminales y de las conversaciones electrónicas de los empleados desde la perspectiva del derecho a la autodeterminación informativa, a pesar de que esta era la pauta utilizada por los principales organismos y autoridades internacionales consultivas en materia de protección de datos personales(16). Pero esta tendencia y otros cánones de enjuiciamiento utilizados por nuestros tribunales serán corregidos por la tan conocida Sentencia TEDH Bârbulescu II(17) y la menos divulgada Sentencia Libert(18) -de enorme interés por referirse a un empleado público(19)- que fijarán algunos de los parámetros que posteriormente con la aprobación de la LOPDGDD se han trasladado a la legislación interna.

La Sentencia Bârbulescu II ha despejado varios interrogantes interpretativos entre los que se pueden destacar, a modo de síntesis(20):

- La necesidad de una información previa y clara tanto de la política de uso de estos instrumentos tecnológicos como de la naturaleza y el tipo de controles que se van a efectuar.

- La exigencia de una causa legítima que justifique el control.

- La adecuación, necesidad y proporcionalidad en la aplicación efectiva de la medida fiscalizadora instaurando un juicio real más riguroso y garantista en el que se valoren entre otros extremos: el alcance y el grado del control, la existencia de medidas alternativas menos intrusivas, el interés legítimo justificativo, la intensidad en la afectación a los derechos del trabajador y el uso al que se destinan los resultados del control.

De la decisión de la Corte Europea también cabe concluir que en la valoración de legitimidad de los controles empresariales a fin de proteger “la vida privada y social” de los empleados se precisa atender al cumplimiento de las garantías y principios de la protección de datos personales por parte del empleador(21).

El TEDH introduce importantes depuraciones(22) en la jurisprudencia interna, por más que el TS(23) haya considerado que la sentencia del caso Bârbulescu II no añade “nada sustancial” a la doctrina tradicional constitucional y a la propia. Pensamos que con ella se ha desautorizado la doctrina que admitía que la existencia de una previa política restrictiva del uso para fines privados de las herramientas tecnológicas empresariales legitimaba un poder empresarial de vigilancia prácticamente ilimitado(24), sin una información concreta a los trabajadores.

La Sentencia europea reconoce que los derechos que garantiza el art. 8 CEDH han de salvaguardar un espacio de privacidad o de vida social en las relaciones laborales sin que su vigencia pueda quedar reducida a la nada, ni su existencia depender de una decisión del empresario(25). Incluso de las declaraciones del Tribunal cabe cuestionarse hasta qué punto podrían ser legítima una política de la empleadora totalmente prohibitiva al uso personal de las herramientas tecnológicas propiedad de la empresa(26). para efectuar comunicaciones privadas.

Se puede compartir que la doctrina del TEDH no es nueva, sino que entraña la recuperación del rigor aplicativo del principio de proporcionalidad(27) en la búsqueda de un justo equilibrio entre los derechos de las partes. En cualquier caso, no hay duda de que esta Sentencia corrige el uso contradictorio que de este principio han venido realizando nuestros tribunales en esta última década.

A nuestro entender, por un lado, ha habido una tendencia del TC a recurrir en exceso al tan dúctil principio de proporcionalidad, mientras que de manera opuesta ha existido un olvido en su aplicación en los supuestos en los que era necesario para la ponderación de los derechos. Así, se ha acudido a este juicio cuando no existía una verdadera colisión y necesidad de equilibrio o acomodación entre derechos(28), por cuanto la conducta empresarial había afectado al ámbito no claudicante de su contenido esencial(29). Muestra de ello, son las resoluciones que ante la falta de trasparencia o el incumplimiento del deber de información previa sobre los controles empresariales, han salvado la intromisión acudiendo a la idoneidad y necesidad de la medida, prescindiendo o rebajando la esencialidad de este elemento en la configuración del derecho a la protección de datos(30) o en la expectativa de intimidad(31). En verdad, en estos casos se está recurriendo a la técnica de la delimitación del derecho para relajar su contenido, sin atender la inviolabilidad de aquello que es esencial, incluso para el legislador.

Este procedimiento también se ha usado, pero en sentido contrario, para cercenar o vaciar el contenido del derecho al secreto de las comunicaciones digitales en la empresa o restringir la expectativa de privacidad respecto a los instrumentos tecnológicos a disposición del empleado. En esta sede, la información previa de la empresa, ni siquiera del control, basta del uso, se había convertido en la pieza que conformaba el contenido de los derechos del trabajador, fundamentada en una concepción liberal de la titularidad dominical empresarial de los medios utilizados(32). Los criterios marcados e informados por la propia empresa, incluso de manera indirecta, eran los que delimitaban el contenido protegido, dejando de lado la aplicación del juicio de proporcionalidad.

1.2. El empleo de la videovigilancia

Los límites al uso de las cámaras de vídeo como sistema de control laboral ha sido otro de los grandes puntos de controversia en materia de fiscalización puesto que se trata de una de las técnicas que puede resultar más invasiva para los derechos vinculados a la privacidad. La videovigilancia por cuanto permite la captación y grabación de la imagen en un soporte físico, así como la conservación y el estudio minucioso de las imágenes conservadas, e incluso la grabación de los sonidos, no solo es un eficaz medio de vigilancia del cumplimiento de la prestación del empleado y un valioso instrumento para acreditar sus posibles infracciones sino también se configura como una herramienta que posibilita crear bases de datos de información personal (datavigilancia) y obtener perfiles sociales de los trabajadores afectados(33).

La implantación de estos mecanismos en el ámbito de trabajo puede comportar sin duda una afectación a una pluralidad de derechos vinculados a la privacidad de los empleados, pero fundamentalmente incide en su derecho a la intimidad, en el derecho a la propia imagen y en el derecho a la protección de datos de carácter personal. En este último caso en atención a que el acceso o grabación de la imagen y de la voz, cuando en ellas resultan identificados los trabajadores, son datos de carácter personal cuyo tratamiento por parte de la empresa o de la Administración entra de lleno en el contenido esencial protegido por la autodeterminación informativa.

También en esta materia, hasta aprobación de la LOPDGDD, la falta de una regulación propia sobre el empleo de tales sistemas para el control del personal(34), tanto en el ámbito de la empresa privada como en el del sector público, condujo a una labor quasi legislativa de los tribunales que, a pesar de sus avances en la fijación de límites a su utilización, ha generado en ocasiones una doctrina contradictoria, con constantes vaivenes y matizaciones y no siempre ajustada a los estándares mínimos que marca el TEDH para el respeto a la vida privada en la empresa.

En este recorrido evolutivo, desechada la doctrina inicial más antigua y tradicional que negaba la existencia de vida privada en las relaciones laborales(35), la protección de los empleados ante los sistemas de videovigilancia en el entorno de trabajo se vinculó a un concepto más extenso del derecho a la intimidad y a la superación del principio de proporcionalidad en el caso concreto, gracias a dos importantes sentencias del TC del año dos mil(36). Pero la flexibilidad o el poco rigor en su aplicación judicial(37) originó una generosa admisibilidad de su empleo y la normalización del control oculto.

Esta situación parece cambiar cuando el Tribunal Constitucional comienza a valorar el problema de la videovigilancia laboral desde la perspectiva del derecho de autodeterminación informativa, teniendo en cuenta que las garantías, principios y facultades que ofrece esta normativa podrían otorgar una mayor protección a los trabajadores. Sin embargo, los discordantes pronunciamientos dictados en un breve espacio de tiempo generarán una gran incertidumbre para todos los operadores jurídicos. En la STC 29/2013, sobre la legitimidad de una prueba videográfica para sancionar a un empleado público de la Universidad de Sevilla, se estimará que el incumplimiento del deber de informar de manera expresa y clara a la plantilla sobre el uso de las cámaras instaladas por razones de seguridad (control de accesos) para una fiscalización laboral, convierte la grabación en ilegítima, sin ser ni siquiera necesario acudir al juicio de proporcionalidad para equilibrar los intereses de las partes(38). Pero la trascendencia y alcance que se había concedido a esta trasparencia concreta del control se debilita hasta casi anularse con la STC 39/2016 (caso Bershka(39)). Aunque se reconoce que la obligación de informar a los trabajadores sobre el control forma parte del contenido esencial del derecho, se estima suficiente para su cumplimiento un conocimiento genérico de su existencia, el proporcionado por los carteles informativos generales exigibles a las cámaras de seguridad. De ahí que se recurra en el caso concreto a la aplicación del principio de proporcionalidad, que, superando sus tres juicios, dará lugar a que se declare que la instalación de las cámaras de seguridad para el control de la zona de caja era una medida justificada, idónea, necesaria y equilibrada, de acuerdo con la doctrina de la STC 186/2000 (40).

Como ya había ocurrido con la Resolución del caso “Bărbulescu II”, una nueva sentencia(41) del TEDH, la Sentencia del 9 de enero de 2018, “Caso López Ribalda”, vendrá a enmendar directamente la doctrina del TC sobre el control empresarial mediante el uso de videocámaras. Separándose de su doctrina anterior, fijada en el “caso Köpke”(42), la Corte descarta la proporcionalidad del control llevado a cabo por la empresa y estima la falta de una adecuada ponderación por parte de los tribunales españoles entre los derechos en conflicto. Esta Resolución, en la misma línea marcada por la Sentencia Bărbulescu II, establece restricciones significativas al control tecnológico empresarial invasivo de la privacidad de los trabajadores. Ambas coinciden en tres aspectos generales: la necesidad de una información previa y clara a los afectados, la exigencia de una causa legítima que justifique el control y la proporcionalidad en la aplicación efectiva de la medida. Los tribunales internos tanto en la jurisdicción social como en la contencioso-administrativa ya han tomado nota de esta nueva doctrina(43).

Pero cerradas ya casi estas páginas, el 17 de octubre de 2019, la Gran Sala del TEDH, acaba de dictar la sentencia(44) que resuelve la revisión pedida por el Gobierno español con un importante cambio de criterio. Ahora se concluye que la grabación oculta no supuso una vulneración de la intimidad de las empleadas, sino que fue proporcionada y legítima a la vista de las circunstancias concretas. Se afirma que si bien la mera sospecha de irregularidades cometidas por los empleados no justificaría una vigilancia secreta por parte del empleador, cuando existan, como en este caso, sospechas razonables de que se han cometido irregularidades graves y el alcance de las deficiencias sea alto, la videovigilancia no informada puede entenderse como justificada. El Tribunal también tiene en cuenta que el control se limitó a áreas donde se atendía al público, respetando las zonas privadas como pasillos internos, baños o vestidores, y sólo se realizó por un periodo de 10 días.

Como se comprueba, es una vuelta a la doctrina fijada en el caso Köpke, sin embargo, no parece que la regulación del deber informativo en la norma europea (arts. 12-14 RGPD) ni su concreción en el art. 89 de la LOPDGDD, tal y como analizaremos en otro apartado, admitan esta excepción.

1.3. Los sistemas de geolocalización y de control biométrico

La innovación en los sistemas para el control de los accesos al centro del trabajo y la fiscalización del cumplimiento de los horarios por parte del personal es constante. En la actualidad, en el ámbito privado, el obligatorio registro legal de la jornada ordinaria a partir del 12 de mayo del 2019(45) ha llevado a muchas empresas tecnológicas a lanzarse a ofrecer en el mercado todo tipo de productos(46)

Los procedimientos basados en el papel en los que cada trabajador realiza un reporte diario de sus horarios de entrada y salida son ya historia. Se han ido sustituyendo por mecanismos más ágiles y seguros que suministran una mayor certeza y fiabilidad como las tarjetas magnéticas, las etiquetas de identificación, las tarjetas RFID o de radiofrecuencia o los dispositivos basados en datos biométricos (huella digital, la geometría de las manos o de la cara, el iris, la voz o la comprobación de la firma) que evitan la no suplantación de la persona(47).

Estos últimos sistemas están especialmente indicados para garantizar la seguridad cuando se precisa un acceso restringido a determinadas zonas o el uso limitado de determinados equipos técnicos, medios informáticos o de almacenamiento de datos(48). Pero también se revelan como instrumentos muy útiles y eficaces para la verificación de la presencia y el cumplimiento de los tiempos de trabajo por parte de la plantilla. Todas estas utilidades en interés del empleador se ven acompañadas de posibles riesgos para los derechos de los trabajadores, que ya venían siendo anunciados por los organismos europeos(49). El uso de medios que puedan en todo momento controlar los movimientos y la posición de los empleados(50), al igual que la videovigilancia, puede suponer una injerencia desproporcionada en su derecho a la intimidad. Por otro lado, la mayoría de estos instrumentos, acceden y tratan datos personales de los trabajadores, datos privados, que deberían estar sujetos a los límites y garantías que establece esta normativa. El peligro se produce fundamentalmente con aquellos datos biométricos que permiten obtener otra información personal que, no siendo necesaria para la identificación del trabajador, podría ser utilizada de forma discriminatoria. Así, por ejemplo, el iris puede desvelar el consumo de drogas, alcohol, o el padecimiento de algún tipo de enfermedad como la diabetes o la hipertensión, datos íntimos especialmente protegidos(51).

En el sector público ha sido habitual utilizar tarjetas de proximidad identificativas para el control del acceso y del cumplimiento de la jornada laboral de los empleados públicos, pero ya desde hace tiempo diferentes organismos públicos han ido reemplazando estos dispositivos por otros que otorgan una mayor fiabilidad gracias al uso de los datos biométricos. En el año 1999 la AEPD emitió su primer informe jurídico sobre la admisibilidad del tratamiento automatizado de la huella digital para la comprobación de la identidad y del cumplimiento de la jornada de trabajo de los funcionarios de una Corporación Local(52), parecer que se vuelve a reiterar en el año 2009 en otro dictamen sobre idéntica cuestión, también en el ámbito del sector público(53).

No han existido muchos conflictos judiciales sobre este tipo de asuntos. Contamos con una sentencia del TS(54) en relación al uso de la lectura biométrica de la mano para el control de asistencia de los empleados públicos que estima que no han resultado lesionados los derechos a la intimidad y a la protección de los datos personales. Si bien se aprecia que la medida constituye en sí un tratamiento de datos personales que ha de respetar las garantías de esta normativa, entre ellas la información a los interesados, se afirma que no se precisa su consentimiento y que la finalidad perseguida, el control del cumplimiento del horario de trabajo, es plenamente legítima. En la misma dirección se ha pronunciado la doctrina judicial posterior, admitiendo la legitimidad del empleo de la huella dactilar(55) para iguales fines(56). Como veremos, con la aprobación del RGPD que incluye los datos biométricos en la categoría de los especiales, se pueden suscitar más dudas interpretativas respecto a los límites y las garantías a cumplir para su utilización.

Mayores son las amenazas para la privacidad de los empleados que se pueden derivar de los controles que se efectúan fuera de los centros de trabajo. Los sistemas de geolocalización instalados en los equipos de trabajo (vehículos, teléfonos móviles, tablets) constituyen un recurso cada vez más utilizado por las empresas, pues permiten llevar a cabo una vigilancia del cumplimiento de la prestación a distancia sin límites temporales o espaciales y conseguir pruebas de los posibles incumplimientos del personal(57).

Hasta la LOPDGDD la ausencia de una mención de las normas a los geolocalizadores como instrumentos de control de los trabajadores no ha impedido a la doctrina judicial social la admisión de su uso para tal fin con una mayor generosidad que la pautada por los expertos comunitarios en protección de datos(58) y por la autoridad nacional en la materia(59). Al margen de una doctrina inicial, ya abandonada, que estimaba que los dispositivos GPS no afectaban a la vida privada de los empleados siempre que se utilizaran en tiempo de trabajo(60), los tribunales han valorado su licitud desde la perspectiva de la posible vulneración del derecho a la intimidad o del derecho a la protección de datos personales. Aunque no existe una línea interpretativa uniforme(61), se han ido cuestionando como condiciones necesarias para su empleo legítimo: la información previa a los trabajadores, su uso para la finalidad informada y la no invasión de los tiempos privados.

Respecto al primer elemento, la trasparencia previa del control, no hay unanimidad a la hora de fijar su intensidad. Algunas sentencias relajan este deber de informar, admitiendo un conocimiento presunto del trabajador sobre el posible uso de estos mecanismos para el control laboral y la posible sanción(62). En sentido contrario, la doctrina judicial más garantista considera que es preciso especificar con claridad el uso fiscalizador y disciplinario de estos dispositivos(63). De aquí también se derivan las divergencias en la segunda condición apuntada. Así, hay una dirección interpretativa que acepta la desviación de los fines informados, basta con que se dé conocimiento a los trabajadores sobre la implantación de un GPS por razones de seguridad o de mejora de la calidad del servicio(64) para entender lícito su uso para el control laboral.

Lo que genera menores desencuentros es el tercer elemento, la aceptación de que el uso de estos mecanismos debe limitarse a la jornada laboral(65) para no invadir los espacios privados. Más aún, a partir del reconocimiento del derecho a la desconexión digital de los trabajadores y empleados públicos en el art. 88 de la LOPDDGG. No cabe duda de que queda descartado un seguimiento continuo o ilimitado, por lo que, en la línea indicada por los organismos europeos(66), ha de existir algún mecanismo que permita desactivar el dispositivo fuera de los horarios de trabajo, pues la geolocalización no puede prolongar la dependencia del personal más allá de lo pactado, ni tampoco permitir que los datos obtenidos de manera desproporcionada fuera del tiempo de trabajo repercutan en la relación contractual(67).

A pesar de que los tribunales hayan ido fijando estas restricciones, se está asentado una preocupante doctrina judicial que normaliza el uso de estos dispositivos para fines de control laboral como un medio habitual, sin atender a una causa específica que justifique su empleo, ni valorar la necesidad, idoneidad y proporcionalidad en el caso concreto(68).

En el ámbito del empleo público hemos constatado una menor litigiosidad(69), sin embargo, existen diferentes resoluciones sancionadoras de la AEPD por la instalación de oculta de geolocalizadores en los vehículos de diferentes cuerpos policiales(70).

II. LA GARANTÍAS Y LÍMITES QUE ESTABLECE LA LOPDGDD PARA EL CONTROL POR PARTE DE LA ADMINISTRACIÓN DE LOS DISPOSITIVOS DIGITALES A DISPOSICIÓN DE LOS EMPLEADOS PÚBLICOS, LA INSTALACIÓN DE SISTEMAS DE GRABACIÓN DE IMAGEN Y/SONIDO Y EL EMPLEO DE LOS SISTEMAS DE GEOLOCALIZACIÓN

En este contexto de incertidumbres y desajustes de nuestra jurisprudencia con la interpretación de la normativa comunitaria y con la doctrina del TEDH, el 25 de mayo del 2018 entraba en vigor la nueva legislación europea, el Reglamento General de Protección de Datos (RGPD), que obligaba(71) al Estado español antes de esa fecha, bien a través del poder legislativo o de los agentes sociales, a adoptar una regulación con garantías específicas para las relaciones de trabajo.

Aunque inicialmente parecía que la norma interna de adaptación iba a incumplir este mandato(72), tras el trámite de aceptación de enmiendas(73), de manera sorpresiva, se incorpora un nuevo Título denominado “Garantía de los derechos digitales” con la finalidad de regular los derechos de ciudadanos “en la era digital”(74), reservando un espacio propio al ámbito de trabajo para reconocer a los empleados, tanto privados como públicos, nuevos derechos como la desconexión digital (art. 88 ) y garantías más precisas a fin de proteger su intimidad frente a la vigilancia tecnológica del empleador. En concreto, la norma regula el control de los dispositivos digitales facilitados por el empleador a los trabajadores (art. 87), el empleo de mecanismos de videovigilancia y de grabación de sonidos en el entorno laboral (art. 89) y la utilización de sistemas de geolocalización (art. 90 ). Además, como ya adelantamos, la DF 13.ª ha agregado un apartado adicional en el art. 14 del Estatuto Básico del Empleado Público (j bis)(75) y un nuevo precepto en el ET (art. 20 bis )(76), de similar redacción, donde se reconocen de manera genérica estos derechos con una remisión al cumplimiento de los límites y garantías señalados en los preceptos ya citados de la LOPDGDD.

La regulación ha tratado de adecuar la protección de estos derechos a la normativa europea y a la doctrina del TEDH y despejar muchos de los interrogantes no resueltos por la jurisprudencia interna, pero, quizás, debido a la precipitación en la incorporación de este Título, existen importantes lagunas, algunos desajustes y ciertas previsiones que ya están dando lugar a diferentes interpretaciones. En sí ya es criticable la propia técnica legislativa que opta por la remisión a una norma común, cuando hubiese sido más coherente incorporar los preceptos que desarrollan tales derechos al texto del ET y del EBEP(77).

Como cuestión de orden general, asombra que la regulación solo aluda de manera expresa a la intimidad como posible derecho necesitado de la tutela digital puesto que como hemos venido analizando el empleo de tales mecanismos de control generalmente suele afectar a una diversidad de libertades vinculadas a la privacidad (derecho a la imagen, a la intimidad, a la protección de datos personales e, incluso, el derecho al secreto de las comunicaciones en el supuesto de interceptación de comunicaciones electrónicas). La vuelta a este derecho más clásico, a la intimidad, no creemos que pueda conducir a interpretaciones restrictivas en perjuicio de los derechos de los empleados porque el contenido de las garantías previsto (información previa, protocolos de uso) es el propio del derecho a la protección de datos de carácter(78). En cualquier caso, resulta llamativo que la norma se aleje de las últimas resoluciones de los tribunales y de la doctrina académica que vincula el examen de la legitimidad de los sistemas de control especialmente con el derecho de autodeterminación informativa.

Por otro lado, es igualmente discutible que no se hayan establecido unas garantías y límites comunes para los tres sistemas de control sobre los que se incide (monitorización de los dispositivos de comunicación digital, sistemas de videovigilancia y grabación de sonidos y mecanismos para la geolocalización), obviando en algunos casos aludir a una causalidad específica para su empleo y una referencia explícita al principio de proporcionalidad(79).

2.1. El procedimiento. La intervención de los representantes de los empleados. ¿El consentimiento y/o la información a los empleados?

La dimensión colectiva en el ejercicio del poder de control del empleador, esto es, el grado de intervención y participación de los representantes de los trabajadores en la adopción de los sistemas de control, no es un tema que parece resuelto de manera definitiva con el nuevo texto. La norma distingue entre los instrumentos regulados. Para la implantación de sistemas de geolocalización y de videovigilancia se prevé expresamente la necesidad de una información previa a los representantes, tanto respecto de los trabajadores como de los empleados públicos. De la introducción de los términos “en su caso” se ha interpretado la posibilidad de que existan excepciones, de que no sea una obligación exigible para todas las situaciones(80), sin embargo, más parece que solo quiera referirse a la hipótesis de que haya una ausencia de representación legal de la plantilla.

Aunque los preceptos solo se refieran a la obligación de suministrar una información previa, no hay que olvidar que conforme al tenor del art. 64.5 f) del ET(81) y del art. 40.1 EBEP en sus apartados a) y b)(82) se reconoce un mayor grado de participación a la representación del personal al otorgarles la competencia de emitir un informe previo de carácter no vinculante(83). En el ámbito privado tiene interés la sentencia dictada por la Sala de lo Social de la Audiencia Nacional el 6 de febrero de 2019(84) que anula la implantación de un sistema de geolocalización, que obligaba a los repartidores de Telepizza a la adquisición de un móvil, capacitado para descargar una aplicación. En este caso la Audiencia considera vulnerado el derecho a la participación del Comité de Empresa (art. 64.5 f ET) puesto que no se había suministrado suficiente información(85) para realizar un examen adecuado y preparar, en su caso, la consulta y el informe. Además, en apoyo de esta tesis también se menciona el art. 90.2 de la LOPDGDD, aunque en el momento de los hechos no estaba en vigor.

En este punto la legislación ha perdido la oportunidad de dar una respuesta más precisa a la devaluación que de este requisito han realizado los Tribunales sociales a raíz de la STC 186/2000 (86) y a la escasa trascendencia que han dado a su incumplimiento. Ni siquiera entre la doctrina académica laboral y judicial(87) hay una certidumbre sobre la obligatoriedad de este trámite ante la implantación de cualquier sistema de control. Existe una dirección que estima que la finalidad del precepto es el establecimiento de esta consulta únicamente para la aplicación o modificación de los métodos o sistemas de control del trabajo que tengan un carácter permanente(88). De ahí, que se excluya su necesidad para aquellas medidas esporádicas, puntuales y temporales que se instauran para un objetivo concreto(89), como bien pudiese ser la instalación de un sistema de control ad hoc para comprobar posibles infracciones laborales ante previas sospechas de una conducta irregular.

En el control de los terminales y de los correos electrónicos del personal ha cobrado una destacada importancia el tercer párrafo del art. 87 que obliga a los empleadores a establecer una política interna sobre la utilización de los medios digitales puestos a disposición del personal. El precepto, como analizaremos en el siguiente apartado, marca un contenido mínimo y una serie de límites o garantías a fin de preservar la privacidad de los empleados. Por ahora nos interesa destacar que de forma escueta refiere la necesaria participación los empleados en la elaboración de estos protocolos. No parece que con el uso de este término la norma haya pretendido instaurar una modalidad fuerte de intervención, precisando el acuerdo del personal, como sucede con la concreción del derecho a la desconexión digital ex art. 88. Probablemente se está configurando un mero derecho de consulta, y, en su caso, de emisión de un informe conforme a lo señalado en el art. 64.5 ET.

Si el mandato de elaborar tales códigos parece incuestionable para la empresa privada, se plantea el dilema de su aplicación en el ámbito público, dado que el párrafo 3º no menciona a los empleados al servicio de las Administraciones Públicas. Esta omisión aparenta ser un olvido del poder legislativo que podría quedar integrado por las referencias explícitas a los empleados públicos en el párrafo 1º y al control de las obligaciones estatutarias en el párrafo 2º. Además de por pura coherencia legislativa, las facultades que reconoce el art. 40. 1 b) del EBEP a los órganos de representación de los empleados públicos llevan a interpretar que la exigencia de estas políticas de conducta, participadas por la parte social también se ha instaurar en el ámbito del empleo público.

De hecho, el importante incremento de estos instrumentos reguladores en el ámbito de empresa privada no ha desmerecido su alto grado de implantación en el sector público. Para los empleadores, conforme a la jurisprudencia existente, la posibilidad de delimitar los derechos del personal restringiendo la expectativa de intimidad y del secreto de las comunicaciones a través de una política clara e informada sobre el uso de los dispositivos es un aval para un ejercicio legítimo del poder disciplinario y de control. Si bien estos protocolos también son una garantía para los empleados en cuanto les brindan una mayor trasparencia, certeza e incluso participación, a su vez pueden suponer un reforzamiento de las obligaciones o deberes laborales más allá de lo marcado por la propia legislación(90). Estos documentos al ser aceptados por el personal se consideran como vinculantes en una doble vertiente. Por un lado, se presume que el empleado conoce cuáles van a ser las conductas no toleradas por la Administración en base a su código ético. De otro, sabe que podrá ser sancionado por su inobservancia, siempre de acuerdo a las normas, principios y garantías del régimen disciplinario(91).

Resulta hasta cierto punto paradójico que el precepto al aludir al contenido de estos códigos o políticas solo se refiera a la fijación de los criterios de uso, pero no incida en la previsión de cuáles van a ser los sistemas de control para comprobar su observancia, cuando la normativa indica la necesidad de una consulta previa a la representación del personal. Ni siquiera se señala la elemental obligación de informar a los representantes sobre estos instrumentos de fiscalización, cuando esta pauta está indicada para la videovigilancia y los mecanismos de geolocalización. De nuevo asistimos a un descuido legislativo, probablemente fruto de la premura final en la incorporación de este Título.

En lo que se refiere al plano individual, si atendemos al tenor literal de los tres preceptos (arts. 87, 89 y 90 LOPDGDD), ya no caben incertidumbres sobre la no necesidad de recabar el consentimiento individual de los trabajadores o de los empleados públicos afectados por la implantación de cualquiera de estos mecanismos de vigilancia. Así, tanto el art. 89.1 como el 90.1 aluden expresamente al poder de control laboral reconocido en el art. 20.3 ET o en la legislación de la función pública como el título que autoriza al empleador para el tratamiento de los datos obtenidos a través de estos instrumentos, sin ser preciso requerir la conformidad del personal. También el art. 87.2 LOPDGDD opta de manera indirecta por este presupuesto legitimador cuando permite el acceso del empleador al contenido de los dispositivos digitales facilitados al personal “a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias”.

Como se recordará, esta es la tesis que han venido sustentando de manera uniforme los tribunales, la Autoridad administrativa de control y la mayoría de la doctrina académica y que se ajusta a la excepciones contemplada en el art. 6.1 b) y f) del RGPD que prescinde del consentimiento cuando los datos sean necesarios para la ejecución de un contrato en el que el interesado es parte o para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento, o incluso, en el ámbito de la Administración, con fundamento en el ejercicio de poderes públicos conferidos al responsable, conforme los arts. 6.1 e) RGPD y 8.2 LOPDGDD. En cualquier caso, aunque quepa derivar el consentimiento presunto de la habilitación legal del control del empleador, ello no supone una admisibilidad abierta a la implantación de cualquier sistema de fiscalización, deberá existir verdaderamente un interés legítimo suficiente que prevalezca sobre los derechos fundamentales de los trabajadores y será preciso el cumplimiento de los límites y garantías a los que vincula la normativa. Así, hasta en dos ocasiones(92), la Ley apunta a que esta función fiscalizadora se debe ejercer “dentro de su marco legal y con los límites inherentes” a la misma. Esta remisión “vacía de contenido”(93), que bien podía haberse concretado, puede servir para integrar algunas lagunas de la nueva normativa.

Si bien no es preciso recabar el consentimiento del personal frente a los mecanismos de control, resulta indiscutible la obligación de suministrarles una información previa. Esta era una de las cuestiones más debatidas que requerían de una pronta intervención aclaratoria del legislador a fin de despejar la polémica existente sobre la existencia y la intensidad del deber informativo. Los preceptos, siguiendo las pautas marcadas por el TEDH de las que se despegaba la última doctrina constitucional, optan como regla general por la transparencia absoluta del control. Así, tanto para el uso de sistemas de geolocalización como para el emplazamiento de cámaras de grabación de imágenes y/o sonidos se establece la necesidad de que la empresa proporcione previamente a los trabajadores una información “expresa, clara y concisa” de la medida. De igual manera se ha de dar conocimiento al personal acerca de la política negociada o establecida por la empleadora sobre el uso y el control de los dispositivos digitales, a pesar del olvido normativo en este último caso.

Partiendo de esta premisa general se deben realizar algunas aclaraciones. En materia de videovigilancia, la norma de protección de datos ha hecho una apuesta por distinguir con claridad los requisitos exigibles a las cámaras según sea la finalidad que fundamenta su emplazamiento. Así, se regula de manera separada la instalación de las cámaras por razones de seguridad (art. 22 ) respecto a las destinadas al control laboral (art. 89 ). Si para las primeras basta con colocar en lugar visible el genérico dispositivo informativo o cartel anunciador(94), en el caso las videocámaras de control del personal el deber informativo se intensifica, la información suministrada ha de ser directa, expresa y concreta, lo cual implica aludir al específico objetivo de fiscalización laboral(95).

Sin embargo, esta regla general se exceptúa para los supuestos en que los que se haya captado “la comisión flagrante de un acto ilícito” por parte de los trabajadores, en los que el deber informativo se valora cumplido cuando al menos exista el dispositivo general previsto en el art. 22.4 LOPDGDD. Con este apartado, como ya preveía la doctrina científica, se han abierto muchos interrogantes(96). ¿Se está legitimando el control empresarial oculto ante sospechas razonables de comisión de actos delictivos por parte de los empleados? ¿Esta salvedad a qué tipo de incumplimientos se refiere?

Esta disposición parece orientarse a otorgar validez a las imágenes ante un “hallazgo casual” que acredite importantes infracciones por parte de los empleados. La exigencia de ese deber informativo general nos lleva a deducir que se está pensando en un sistema de videovigilancia ya emplazado y anunciado en la empresa por razones de seguridad que de manera fortuita o incidental revela la comisión de una conducta grave por parte de algún empleado. Esta posibilidad no parece reservarse exclusivamente a delitos penales ya que de la supresión expresa del término “delictivo” que figuraba en el Proyecto cabe entender una voluntad legislativa amplificadora, que, sin embargo, tampoco podría llevar a incluir cualquier tipo de incumplimiento(97).

Si este fuese el sentido de la norma, se podría concluir que en ningún caso(98) cabe una vigilancia totalmente oculta ex profeso, ni siquiera los controles “ad hoc” o “ex post”(99) defensivos ante una sospecha clara, fundada y razonable de la ejecución de un incumplimiento significativamente grave por parte de determinados empleados(100). Pero el precepto tampoco cierra totalmente la posibilidad a otras interpretaciones. A la espera de nuevas resoluciones judiciales, ya se cuenta con una primera decisión de un Juzgado de lo Social(101) -fallo que entendemos extrapolable al ámbito del sector público- que, tras un amplio estudio de la normativa y jurisprudencia aplicable, entiende que el contenido de esta salvedad legal, además de ser contrario a la doctrina del TEDH, contraviene el RGPD de aplicación directa, conforme al cual no caben excepciones al deber informativo. Repárese en la importancia que puede tener en el ámbito de la Administración Pública la interpretación del sentido de esta excepción legal, teniendo en cuenta que por razones de seguridad pública y de control de accesos la mayoría de los edificios públicos están videovigilados.

En el caso de los geolocalizadores, el art. 90 LOPDGDD advierte que se deberá de comunicar a los afectados no solo la existencia de tales dispositivos sino también sus características y la posibilidad de ejercer los derechos típicos en materia de protección de datos (acceso, rectificación limitación del tratamiento y supresión). Aunque falte una previsión legal en este sentido para la videovigilancia y el control de los dispositivos digitales, la configuración normativa del derecho a la protección de datos vincula a informar de manera detallada sobre el tipo de tratamiento (ubicación de las cámaras, si graban solo imágenes o también sonidos, el tipo de registro en los ordenadores), su finalidad, la clase de datos a los que se acceden y los derechos que asisten a los empleados.

2.2. La causalidad

Todos estos sistemas de fiscalización por su potencialidad lesiva en los derechos fundamentales vinculados a la privacidad de los empleados no deberían ser utilizados de manera rutinaria para un control constante de la prestación laboral. Sin embargo, la norma en algunos casos parece olvidar la necesidad de un interés legítimo suficiente o lo regula de manera tan genérica que podría llegar a entenderse con gran flexibilidad la causa que justifica legitimidad de su empleo. Así, al referirse al emplazamiento de los sistemas de geolocalización hay una alusión genérica a la facultad de control del empleador si bien se indica que ha de ejercerse dentro de su marco normativo y con los límites inherentes al mismo.

En el control por videocámaras se ha optado por otorgar un diferente tratamiento causal en función a la grabación de los sonidos respecto a la sola captación de las imágenes. Mientras que en este último caso el empleo de las cámaras, al igual que los sistemas de geolocalización, no se vincula a causas más específicas o concretas que el poder general de control de los empleados (art. 20.3 o la legislación de la función pública), la grabación de los sonidos solo se permite cuando existan importantes riesgos para la seguridad de las instalaciones, los bienes o las personas que han de proceder de la propia actividad que se desempeña en el centro de trabajo. Como se infiere, el precepto parece confinar el uso de tales dispositivos a poderosas razones de seguridad, que se alejan de la fiscalización del mero desempeño profesional. Además, se exige expresamente que la instalación esté guiada por los principios de intervención mínima y de proporcionalidad. Aunque era común que los tribunales valoraran el acceso a las conversaciones de los empleados como una medida particularmente intrusiva en sus derechos(102), la interpretación judicial hasta la fecha no ha sido tan restrictiva y rigurosa como la que ahora impone la norma(103).

En el control del contenido de los dispositivos digitales facilitados a los empleados por la Administración, el art. 87 apunta al interés particular de garantizar la integridad de tales instrumentos, aunque también alude de manera imprecisa al control del cumplimiento de las obligaciones laborales o estatutarias. Una regulación tan amplia de la causalidad pierde de vista las advertencias de los organismos internacionales expertos en la materia de tratamiento de datos personales(104) y la doctrina del TEDH que abogan por la estricta necesidad de su empleo ante la existencia de un interés del empleador digno de tutela.

Piénsese que en el fundamento o en el fin concreto que ampara su instalación es el que delimita la legitimidad de su uso. Por ello, por ejemplo, en el caso del uso de videocámaras, la Ley ha querido realizar esa separación entre las cámaras que obedecen a razones de seguridad, protección de bienes o personas u otras causas similares relacionadas con la producción de aquellos otros sistemas cuya razón principal es el control del cumplimiento laboral. Desde cualquiera de los derechos de los trabajadores implicados (imagen, intimidad o protección de datos) el interés legítimo que ha justificado la existencia de un concreto mecanismo por razones de seguridad (tipo de cámara, el lugar y tiempo de instalación, entre otras condiciones) no serviría probablemente para fundamentar un control rutinario laboral, como podría ser el cumplimiento del horario(105), puesto que claramente no estamos ante bienes de la misma entidad. La fiscalización laboral por videocámaras ha de requerir una razón adicional al mero interés empresarial en verificar el cumplimiento de la prestación. Esta podrá ser de diferente intensidad, desde sospechas claras y fundadas de incumplimientos graves de determinados empleados a otras causas de menor entidad como pudiesen ser otras irregularidades laborales menos graves, pero no constatables a través de otros medios.

En definitiva, en cualquiera de los mecanismos de control, ha de ser la causa y la medida concreta a implantar la que en aplicación del baremo de la proporcionalidad delimite su constitucionalidad y legalidad. Sin embargo, la redacción tan laxa de la norma puede llevar a interpretaciones extensivas que favorezcan la admisibilidad de estos sistemas como ordinarios y habituales.

2.3. La proporcionalidad y otros límites expresos o implícitos

En materia de videovigilancia, el art. 89.2 introduce un límite espacial infranqueable al prohibir de manera taxativa “en ningún caso” la instalación de sistemas de captación de imágenes y sonidos en los lugares de la empresa que pueden considerarse especialmente íntimos o sensibles desde la posición de los empleados. Con una técnica de enumeración abierta se alude a los espacios “destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos”.

Aunque este asunto ya había sido solventado por la doctrina constitucional (STC 98/2000 ), fielmente aplicada por los tribunales inferiores, su previsión legal ofrecerá una mayor seguridad jurídica. En estos supuestos ni siquiera será necesario valorar la justificación de la medida o aplicar el baremo de la proporcionalidad, basta constatar el lugar de instalación de las videocámaras para declarar su ilegitimidad.

Sin embargo, se ha valorado que, si bien el resultado de esta doctrina es satisfactorio para la salvaguarda de los derechos de los empleados, la teoría de creación de zonas podría tener sus fisuras en casos excepcionales(106). No obstante, es difícil que pueda existir un interés de la Administración empleadora con la suficiente entidad para legitimar la instalación de cámaras en tales espacios; el alto grado de intromisión en la intimidad exigiría una causa justificativa realmente poderosa. En esta dirección, puede citarse la STSJ (Sala de lo Social), de Andalucía, de 22 de marzo de 2017(107), que ha considerado legítima la instalación de una cámara en el baño de una residencia de discapacitados que los auxiliares utilizaban para el aseo de los residentes. Aunque se colocó sin el conocimiento ni el consentimiento de los usuarios, de sus familiares y de los trabajadores del centro, la medida superó el juicio de proporcionalidad al quedar acreditada las sospechas de maltrato de uno de los empleados. Quizás, con la nueva redacción legal, la manera de atender a estos supuestos precise de una autorización judicial.

La ley hace una referencia expresa a la aplicación del principio de proporcionalidad y de intervención mínima, pero de nuevo discrimina entre los diversos sistemas de control y lo reserva únicamente para los sistemas de grabación de sonidos en el lugar de trabajo. Como avanzamos, la referencia genérica a “los límites inherentes” al poder de control del empleador -que se realiza para los demás mecanismos- ha de valer para poner en el centro del eje regulador el respeto a los derechos fundamentales de los empleados y acudir a las últimas pautas europeas correctoras de la doctrina constitucional que vinculan a una aplicación rigurosa del principio de proporcionalidad, sea cual sea el sistema de control utilizado.

En la regulación de los dispositivos digitales no se han fijado restricciones directas a la facultad de fiscalización, se opta por el establecimiento de una obligatoria política de uso, de la que podría derivar la intensidad del control. En la elaboración de estas directrices el reclamo del párrafo 3º del art. 87 a ajustarse a los “estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente” aparenta avalar la última doctrina jurisprudencial(108) que proscribe reducir a la nada la vida privada social de los empleados en el lugar de trabajo por medio de instrucciones que prohíban de forma absoluta el uso de los medios tecnológicos para realizar comunicaciones de carácter privado(109). Esa utilización puede estar limitada guardando la proporcionalidad debida, pero no ha de ser absolutamente prohibida(110). En esta dirección, el precepto contempla la necesidad de arbitrar unas mayores cautelas cuando se acepten los usos privados, fijando unas instrucciones precisas sobre lo tolerado e instaurando mecanismos que garanticen de manera más efectiva la tutela de la intimidad de los empleados.

La ausencia legal de cualquier tipo de reserva, limitación o criterio sobre los mecanismos a implantar para el control de los instrumentos digitales, puede llevar a pensar que una vez establecida una política previa y clara sobre el manejo o uso de tales mecanismos, ya se está facultado para instaurar cualquier tipo de fiscalización. Como ya advertimos, los empleados han de ser informados previamente, de manera concreta y específica, no solo de los usos sino también de los controles. Estas inspecciones para ser legítimas no sólo deberán superar el test de la trasparencia, sino también el de finalidad o causalidad, exigiendo un motivo sólido para su implantación; y el de proporcionalidad, optando por los controles menos invasivos para los derechos del personal, pero adecuados al interés del empleador merecedor de tutela(111).

En definitiva, siendo bienvenido un marco regulador de algunos de los mecanismos más utilizados para el control digital de los trabajadores y de los empleados públicos, aunque sea a través de una norma común, los límites y garantías establecidos son sin duda insuficientes. Las omisiones de la norma o incluso sus previsiones contradictorias ya están planteando problemas interpretativos y de integración por sus desajustes con RGPD, de aplicación directa en todos sus elementos, y con la doctrina del TEDH.

2.4. ¿Y los sistemas de control basados en datos biométricos?

La LOPDGDD no se ha referido entre los mecanismos de control a los que utilizan datos biométricos y aunque ha realizado algunas adaptaciones a la regulación que introduce el RGPD sobre este tipo de información(112), no ha aprovechado la oportunidad que le brindaba el apartado 4º del art. 9 de la norma comunitaria para concretar otras condiciones o limitaciones.

Como novedad respecto a la legislación anterior, el RGPD, bajo la premisa de que por su naturaleza son datos particularmente sensibles cuyo tratamiento podría generar importantes riesgos para los derechos y libertades fundamentales(113), incorpora en lo que denomina “categorías especiales de datos” tanto a los datos genéticos como a los biométricos. Conforme a la definición de estos últimos, “aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”,(114) la huella dactilar o la geometría de la mano, utilizadas habitualmente en el ámbito público y privado para el control de la asistencia y del cumplimiento del horario del personal, entrarían en esta categoría.

El RGPD ha sido muy restrictivo en el uso de este tipo de información y parte de una regla general prohibitiva de tratamiento. No obstante, el art. 9.2 contempla excepciones, siendo la principal el consentimiento explícito del interesado. De ahí, que se haya planteado la duda de si vigente esta norma es preciso que los empleadores recaben el permiso expreso del personal afectado para el tratamiento de tales datos con el fin de registrar la jornada(115) o se entiende justificado por la base jurídica establecida en el art. 9.1.b) RGPD. Esta salvedad se refiere a la necesidad del tratamiento para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social. Pero la aplicación de esta excepción exige que sea autorizada por el derecho de la Unión, de los Estados miembros o por un convenio colectivo, siempre que se establezcan garantías adecuadas para el respeto de los derechos fundamentales.

Hoy por hoy, la falta de esta autorización legal expresa en nuestra normativa -según exige el art. 9.1.b) - hace que puedan surgir dudas en cuanto a la admisibilidad de este tipo de sistemas de control horario en el ámbito de trabajo, salvo que se acuerde en la negociación colectiva con las debidas garantías. Tras la entrada en vigor del RGPD, no ha habido informes o circulares de la Agencia Española de Protección de Datos sobre esta cuestión(116), pero contamos con dos dictámenes con resoluciones de signo contrario sobre el empleo de la huella dactilar como sistemas de control, uno de la Agencia Vasca de Protección de Datos(117) y otro de Autoridad Catalana de Protección de Datos(118).

Si en el primero es un Ayuntamiento el que cuestiona la adecuación a la normativa de un sistema de fichaje basado en la huella digital para la gestión del horario y la jornada, en el segundo la consulta la realiza un colegio profesional que pretendía utilizar la huella dactilar tanto para el control del tiempo de trabajo del personal como para limitar los accesos a las dependencias que identifican como instalaciones de seguridad (centros de procesamiento de datos y archivo).

Quizás por la fecha de la primera resolución, el RGPD solo llevaba unos meses en vigor, la Agencia Vasca estima que el uso de la huella para el control de accesos es conforme a esta normativa, citando entre sus argumentos la STS del año 2007, ya comentada. Recientemente el órgano consultivo catalán efectúa un examen más riguroso del marco normativo y llega a la conclusión de la necesidad de una base jurídica para exceptuar la prohibición de tratamiento de este tipo de datos, que, siendo su fin el control laboral, podría encontrarse o bien en el consentimiento de los afectados o bien en una previsión legal o convencional que autorizara su uso conforme al art. 9.2 b) del RGPD. Pero incluso contando con alguno de esos títulos entiende necesario cumplir con todas las garantías de la normativa de protección de datos y aplicar de manera minuciosa sus principios, especialmente la proporcionalidad y la minimización, atendiendo a las recomendaciones y pautas de los organismos consultivos europeos (utilizar plantillas obtenidas de los datos en bruto, conservar los datos cifrados, usar sistemas de almacenamiento descentralizados)(119).

De ahí que se resuelva que la especial protección de estos datos en el RGPD no permite concluir de manera automática que la implantación de un sistema de control horario basado en la recogida de este tipo de información pueda considerarse proporcionado. Se precisa hacer una evaluación del impacto sobre la protección de datos a la vista de las circunstancias concretas en que se lleve a cabo el tratamiento para determinar su legitimidad y la proporcionalidad, incluyendo el análisis de la existencia de alternativas menos intrusivas. Sin embargo, se afirma que el uso de estos sistemas podría resultar más justificado para el control de acceso a dependencias o zonas que requieran unas condiciones de seguridad reforzadas, si bien también en estos casos será necesario llevar a cabo con carácter previo una valoración del impacto en la protección de datos.

Como se recordará, hasta el cambio normativo, la implantación de este tipo de dispositivos para el control de los tiempos de trabajo no había generado una alta conflictividad y se venían admitiendo por los Tribunales siempre que se cumplieran unas normas mínimas de seguridad a fin de preservar la confidencialidad de los datos y se garantizara la no utilización de la información para otros fines. Ahora nos hallamos en un momento de incertidumbres que, a la espera de los primeros pronunciamientos judiciales, sería aconsejable al menos una unificación de criterios por la autoridad de control.

III. A MODO DE CONCLUSIÓN. ALGUNOS CRITERIOS PARA LA REVISIÓN Y ADAPTACIÓN A LA NUEVA NORMATIVA DE LAS POLÍTICAS O PROTOCOLOS DE CONTROL DE LA ADMINISTRACIÓN SOBRE SU PERSONAL

Lo más habitual es que la mayoría de las entidades públicas cuenten desde hace tiempo con normas o protocolos que fijan la política de cada entidad respecto al uso de los medios tecnológicos por parte de los empleados. A fin de establecer pautas más certeras sobre la acomodación de estos códigos a la normativa actual se ha examinado el contenido de diferentes instrumentos(120). Se ha constatado que fueron elaborados y aprobados por los Departamentos o los órganos rectores de las Administraciones o los organismos públicos afectados sin la consulta o participación de la representación de los trabajadores. Aunque incidan en la conducta o los deberes del personal se presentan como manuales o códigos cuya finalidad fundamental es garantizar la seguridad de los equipos y la protección de la información en poder de la Administración. Salvo excepciones(121), la ordenación es detallada y regula el empleo de la mayoría de los recursos posibles, ordenadores de sobremesa o portátiles, dispositivos móviles, el acceso y utilización de internet y del correo electrónico e incluso el uso de impresoras, faxes, fotocopiadoras o la forma de mantener la mesa o el escritorio de trabajo(122).

Respecto a los usos tolerados hay protocolos que se inclinan por una prohibición absoluta de la utilización personal de cualquiera de los medios, condicionando su empleo al desempeño profesional(123) mientras que otros permiten un uso personal limitado, ocasional o restringido, estableciendo garantías para preservar la privacidad(124). Sin embargo, la regulación de los controles no es tan minuciosa, la posibilidad de inspección se prevé de manera genérica por razones de seguridad, pero también para velar por el buen uso de los medios(125) o evaluar el desempeño(126). No se especifican los sistemas de control, se alude de manera general a esta facultad si bien se sujeta en algunos casos al respeto al derecho a la intimidad de los empleados o incluso se alude al cumplimiento de los principios de necesidad, idoneidad y proporcionalidad.

El primer criterio para revisar y acomodar a la normativa estos protocolos reguladores del control de la Administración sobre sus empleados es la obligada participación que se ha de otorgar a la representación del personal. Esta intervención atenuada que se orienta a requerir solo la previa consulta y la emisión de un informe, no impide su aconsejable y recomendada negociación o acuerdo. Es indudable que una política acordada con los representantes de los empleados sobre el uso de los medios digitales y los sistemas de control es la manera más eficaz de lograr un punto de equilibrio en esta confrontación de intereses “para así asegurar al mismo tiempo un adecuado ambiente de trabajo en el que no primen los criterios inflexibles y una mayor implicación de los empleados”(127).

En el sector privado el propio juego y la relación entre las diversas fuentes reguladoras de la relación de trabajo permite sin lugar a dudas a la negociación colectiva intervenir en esta materia, aun así, el art. 91 LOPDGDD, recuerda expresamente la posibilidad de que el convenio establezca garantías adicionales para la salvaguarda los derechos digitales. Sin embargo, en el ámbito público esta facultad parece vedada por cuanto el art. 37.2 d) EBEP excluye del deber de negociación las materias relacionadas con “los poderes de dirección y control propios de la relación jerárquica” fundamentados en la potestad de organización del servicio y en esa inserción de los funcionarios en una relación de especial sujeción jerárquica. Pero una lectura integradora de los apartados d) y k) del art. 37.1 del EBEP que entre los contenidos objeto de negociación se refieren a “los criterios y mecanismos generales en materia de evaluación del desempeño” y a las “condiciones de trabajo” puede llevar a una interpretación no tan extensiva de la exclusión del apartado d) del art.37.2(128), facilitadora de las posibilidades de negociar colectivamente las circunstancias que repercutan en la manera en que se desempeña el trabajo en un puesto concreto o los procedimientos para medir y valorar la conducta profesional y el rendimiento o logro de resultados, aspectos claramente vinculados a la materia que nos ocupa.

En todo caso, de manera consultada o negociada, la Administración debe contar con estos protocolos o códigos al menos para ordenar el uso de los dispositivos digitales que se ponen a disposición de los empleados como herramientas de trabajo. De acuerdo a la nueva regulación y a la interpretación que sigue el TEDH no parece recomendable establecer una política rígida de prohibición absoluta que cercene toda posibilidad de comunicación del personal a través de estos instrumentos, sino que puede resultar más equilibradora e incluso efectiva la tolerancia de un uso personal moderado. No todos los momentos de presencia física de los empleados en los centros de trabajo son tiempos laborales, cada vez es más habitual que durante los descansos el personal permanezca en sus puestos de trabajo. Facilitar la gestión de pequeñas actividades personales o la comunicación con el exterior además de mejorar el clima laboral pueden ser un instrumento que favorezca la conciliación laboral y familiar y repercuta de manera positiva en la productividad de los empleados(129).

La dificultad al fijar una política de permisibilidad limitada está en la definición clara y precisa de los criterios de uso y en el establecimiento de garantías adecuadas que a la par que aseguren su observancia y control preserven la intimidad de los empleados. Entre las cautelas de este tipo se puede acudir a la fijación de tiempos de uso privado, a la expresa identificación de los correos o documentos personales del trabajador (Caso Libert) o a la configuración de filtros en el acceso a la red a determinadas direcciones.

Pero el contenido de los códigos debiera de ser más amplio y puesto que la Administración también está obligada a informar y consultar de forma previa a la parte social sobre los sistemas de control laboral, los protocolos son una oportunidad para reglamentar los mecanismos concretos de fiscalización a utilizar, su finalidad explícita y las situaciones o causas que los activan(130). Es aquí donde se tendría que atender no solo a los dispositivos de control de los medios digitales sino también a los sistemas de control y registro de jornada, con especial atención a la implantación de sistemas de geolocalización o mecanismos de uso de datos biométricos que en ocasiones se utilizan para tal fin, así como al empleo de la videovigilancia(131). Repárese en que la utilización de los datos biométricos tras la entrada en vigor del RGPD parece requerir de una base normativa que bien puede ser el acuerdo colectivo. Igualmente, la instalación de los sistemas de geolocalización en dispositivos que el empleado utiliza durante sus descansos o fuera de la jornada laboral está abiertamente relacionada con su derecho a la desconexión digital cuyas modalidades de ejercicio precisan del acuerdo o al menos la consulta de la representación legal de los empleados (art. 88. 2º y 3º LOPDGDG).

Aunque como hemos venido analizando la norma fija algunas pautas o limitaciones para cada sistema y olvida otras, todas ellas se pueden reconducir a dos principios generales que luego han de ser definidos para cada tipo de control:

1. No bastan las regulaciones de corte general que de manera imprecisa aludan a los sistemas de control. Se ha de precisar de forma concreta cada mecanismo y su finalidad para el control del personal indicando bajo qué causas o en qué situaciones específicas se emplearán Así, en el caso de la videovigilancia se tendrá que indicar el lugar de emplazamiento de las cámaras, su objetivo concreto y su carácter permanente o temporal. En la misma línea, en el registro de los dispositivos, no es suficiente una referencia abierta a la posibilidad de auditorías informáticas; será preciso detallar los sistemas que de manera directa verifican el uso que realiza el personal, si existen controles regulares y de qué tipo o si son fiscalizaciones ad hoc que solo se utilizan a partir de determinados indicadores. En relación a los sistemas de geolocalización, la propia norma precisa no solo informar de su existencia sino también de sus características, que deberán constar en estas reglamentaciones.

2. En la configuración de cada instrumento de control hay que tener presente el respeto y la menor injerencia en la privacidad de los empleados teniendo en cuenta tanto la protección a un espacio de vida social en la empresa como la separación que se ha de aplicar entre lo laboral y lo ajeno al desempeño profesional. La Ley marca límites claros en este sentido como la prohibición absoluta de instalar cámaras en determinados espacios o lugares reservados o la exclusión de los dispositivos de grabación de sonidos para un mero control del cumplimiento laboral. A esta razón obedecen las garantías específicas que se deben incorporar al reglamentar los controles de los dispositivos digitales, especialmente cuando se admite el uso personal, estableciendo mecanismos que puedan discriminar con antelación entre lo privado y lo laboral. De ahí también, la necesidad de que los dispositivos de geolocalización permitan la desconexión en los tiempos no laborales.

Por último, recordar que la información individual de estos controles es tan importante como su propia configuración. Por muchas directrices o acuerdos a que se lleguen en esta materia si los controles no son debidamente comunicados al personal sería ilegítimo su ejercicio efectivo. El RGPD impone una trasparencia absoluta a través de la transmisión de una información clara y detallada y la LOPDGDD tampoco hace excepciones por razón del tipo de mecanismo que se emplee o del interés que los justifique(132). Se trata de una información personal o individualizada por lo que no parece suficiente para su observancia el “colgar” en la intranet de la entidad farragosos manuales sobre la seguridad de la información donde se incluyan los códigos de uso para los empleados y la posibilidad genérica de ser controlados, práctica que se ha seguido por parte de algunos organismos públicos.

NOTAS:

(1). Este trabajo se ha realizado en el marco del Proyecto de Investigación Coordinado MINECO (DER2017-83488-CU-4-R) y Grupo UPV/EHU (GIU17/059).

(2). Comunicación de la Comisión al Consejo, al Parlamento europeo, al Comité Económico y Social Europeo y al Comité de las Regiones El papel de la administración electrónica en el futuro de Europa [SEC (2003) 1038] /* COM/2003/0567 final */.

(3). Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

(4). LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

(5). Teniendo en cuenta el deber de los empleados públicos de “desempeñar con diligencia las tareas que tengan asignadas”; (art. 53.1 EBEP), únicamente el art. 20.2 EBEP de manera concisa establece que “los sistemas evaluación del desempeño... se aplicarán sin menoscabo de los derechos de los empleados públicos”. Por su parte, para el personal laboral de las Administraciones el art. 20.3 ET dispone que el empresario “podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su aplicación la consideración debida a su dignidad”.

(6). También el Estatuto Marco del personal estatutario de los servicios de salud reconoce a estos empleados el derecho “a que sea respetada su dignidad e intimidad personal en el trabajo”. [art.17.1 f) Ley 55/2003, de 16 de diciembre].

(7). (rec. nº 966/2006).

(8). SSTC 99/1994, 98/2000 y 186/2000, entre otras.

(9). FJ 4º, (rec. nº4053/2010).

(10). Por lo tanto, también aplicable a las relaciones laborales sujetas a Derecho privado de los empleados públicos laborales.

(11). Como muestra la STSJ (Sala Cont. Admvo.) de Murcia, de 18 de noviembre de 2011 (rec. nº 163/2011).

(12). STS (Sala Cont. Admvo.) de 30 de marzo de 2017, FJ 9º (rec. nº 3300/2015).

(13). Recuérdese que en este conflicto se permitió el acceso a las conversaciones de dos trabajadoras a través del uso de un programa informático de mensajería instantánea instalado en ordenador de uso común en abierta desobediencia a una orden expresa de la empresa. En estas charlas las trabajadoras habían manifestado comentarios despectivos, críticos e insultantes respecto de compañeros de trabajo, superiores y clientes. El Tribunal aprecia que no puede existir una expectativa razonable de confidencialidad cuando se utiliza una forma de comunicación abierta (el chat) en un terminal al que tienen acceso los demás trabajadores.

(14). En este supuesto, la empresa Alcaliber SA, ante las sospechas de la conducta irregular de un empleado sobre la posible revelación de información empresarial confidencial a terceros, interceptó el contenido de sus correos electrónicos, alojados en el ordenador facilitado por la empresa.

(15). Conviene tener presente que en este momento la visión fijada por la Sala de lo Penal del Tribunal Supremo era mucho más garantista. Así, la sentencia de 16 de junio de 2014 determinó que, conforme a la protección constitucional del derecho al secreto de las comunicaciones (art.18.3 CE), el acceso empresarial a los mensajes electrónicos “no abiertos”; precisa de una autorización judicial previa. Sin embargo, los mensajes ya abiertos, los datos de tráfico, el historial de navegación y otros elementos adyacentes quedarían tutelados por el derecho a la intimidad y el derecho a la protección de datos personales (arts. 18.1 y 18.4 CE). Posteriormente la STS (Penal), de 23 de octubre de 2018 (rec. nº 1674/2017), afirma que no es decisivo la distinción en función de si los mails habían sido ya recepcionados o tuvieron que abrirse, el presupuesto inexcusable para la legitimidad de la prueba es la advertencia previa al trabajador.

(16). El Dictamen 8/2001 sobre el tratamiento de datos personales en el ámbito laboral (WP 48), [complementado posteriormente por el Dictamen 2/2017 (WP 249) y el Documento de trabajo relativo a la vigilancia de las comunicaciones electrónicas en el lugar de trabajo de 2002 (WP55)] del Grupo 29 y la Recomendación del Consejo de Europa relativa al tratamiento de datos personales en el entorno laboral CM/Rec (2015) 5.

Esta posición era seguida también por la AEPD, por todas, (Resolución R/01755/2013).

(17). STEDH (Gran Sala) Bârbulescu II c. Rumania, de 5 de septiembre de 2017 (TEDH 2017, 61).

(18). STEDH (Sección 5ª) Libert c. Francia, de 22 febrero 2018 (TEDH 2018, 35). Sobre esta sentencia véase, CASAS BAAMONDE, M.E., “Informar antes de vigilar. ¿Tiene el Estado la obligación positiva de garantizar un mínimo de vida privada en la empresa en la era digital? La necesaria intervención del legislador laboral”; Derecho de las Relaciones Laborales, nº 2, 2018, pp. 103-121.

(19). Lo que implica examinar la posible injerencia de la autoridad pública al amparo de las obligaciones negativas del Estado (art. 8.2 CEDH), no desde la perspectiva de las positivas como en el asunto Bărbulescu. Por ello se precisa valorar si la injerencia está prevista por la ley, obedece a un interés legítimo, es necesaria en una sociedad democrática y proporcionada al fin legal perseguido.

Aunque el fallo de la Sentencia Libert, -que niega la injerencia en el derecho del empleado- pueda llevar a considerar que hay una vuelta a los criterios de la Sentencia Barbulecu I (STEDH de 12 de enero 2016), con ella se identifican y concretan elementos de interés aplicables a los empleadores públicos: la previsibilidad de la ley, la no reducción de la vida privada de los empleados a la nada y la necesidad de que la ley y la práctica interna ofrezcan garantías suficientes frente a la arbitrariedad y al abuso.

(20). La revisión que supone esta sentencia para la jurisprudencia del TC y del TS ha sido ampliamente analizada entre la doctrina académica hasta el punto de que ya se habla de la aplicación del “test Bârbulescu de garantía de privacidad TBGP”. Entre otros, PRECIADO DOMÈNECH, C.H., “Comentario de urgencia a la STEDH de 5 de septiembre de 2017. Caso Bârbulescu contra Rumania (Gran Sala). Recuperando la dignidad en el trabajo”; Revista de Información Laboral, nº 10, 2017, pp. 143-155.

(21). GOÑI SEIN, J.L., “La protección de las comunicaciones electrónicas del trabajador: la doctrina del Tribunal de Estrasburgo y la jurisprudencia constitucional”; Trabajo y Derecho, nº 40, 2018, pp. 18 y ss.

(22). También expresa su posición crítica frente a esta afirmación, entre otros, BLASCO JOVER, C., “Trabajadores “trasparentes”;: la facultad fiscalizadora del empresario vs derechos fundamentales de los empleados”; Revista Internacional y Comparada de Relaciones laborales y Derecho del Empleo, nº 3, 2018, pp. 44-48.

(23). En la STS (Social) de 8 de febrero de 2018 (rec. nº 1121/2015), primera resolución que se refiere a. la Sentencia Bârbulescu II, se sigue la línea jurisprudencial que reconoce la facultad empresarial de regular el uso de los medios digitales estableciendo prohibiciones absolutas que eliminan las expectativas de confidencialidad.

(24). GOÑI SEIN, J.L., “La protección de las comunicaciones electrónicas del trabajador: la doctrina del Tribunal de Estrasburgo”; cit. p. 18.

(25). Conforme al parágrafo 80 de la Sentencia Bârbulescu II “Las instrucciones de un empresario no pueden reducir a la nada el ejercicio de la vida privada social en el lugar de trabajo. El respeto de la vida privada y de la confidencialidad de las comunicaciones se exige en todo caso, aunque las comunicaciones puedan ser limitadas en la medida de lo necesario”.

(26). CASAS BAAMONDE, M.E., “Anotaciones sobre las obligaciones del Estado de garantizar la vida privada en el trabajo en la era digital”; Actum Social, nº 136, 2018, p. 8.

(27). MOLINA NAVARRETE, C., “El poder empresarial de control digital, nueva doctrina del TEDH o mayor rigor aplicativo de la precedente”; IUSLabor, nº 5, 2017, p. 296.

(28). Analiza bajo esta perspectiva la doctrina constitucional, TERRADILLOS ORMAETXEA, E., “El principio de proporcionalidad como referencia garantista de los derechos de los trabajadores en las últimas sentencias del TEDH dictadas en materia de ciberderechos: un contraste con la doctrina del Tribunal Constitucional español”; Revista de Derecho Social, nº 80, pp. 139 y ss.

(29). Sobre los tres escenarios de controversia: abuso, conflicto y exclusión, puede verse en SEGALÉS FIDALGO, J., “Nuevamente sobre la buena fe como límite al ejercicio de los derechos fundamentales dentro la relación obligatoria laboral”; Revista de Derecho Social nº 17, 2002, pp. 133 y ss. y “La reaparición del deber de lealtad como referencia para medir las condiciones de ejercicio de la ciudadanía en la empresa. Notas acerca de la STC 126/2003”; cit., p. 158. Bajo esta clasificación, nos hallaríamos en este caso ante un escenario de abuso, donde la libertad constitucional no puede dar cobertura al interés empresarial al afectar al contenido esencial del derecho del trabajador.

(30). De ello es un ejemplo la STC 39/2016, tal y como veremos respecto a la videovigilancia en el siguiente apartado.

(31). SSTC 241/2012 y 170/2013.

(32). MOLINA NAVARRETE, C., “El derecho al secreto de las comunicaciones en la relación de trabajo: la dilución en “tópica”; y “retórica”; de su tutela constitucional”; Trabajo y Derecho, nº 7, 2018, pp. 6-9.

(33). GOÑI SEIN, J.L., “Controles empresariales: geolocalización, correo electrónico, internet, videovigilancia y controles biométricos”; Justicia Laboral, nº 39, 2009, p. 11.

(34). Si bien no existía una reglamentación sobre la implantación de cámaras cuya finalidad es el control de los empleados, las videocámaras que se emplazan por razones de seguridad están reguladas tanto en el ámbito público, por la LO 4/1997, de 4 de agosto, que regula el uso de videocámaras por las Fuerzas y Cuerpos de Seguridad, como en el ámbito privado, en el art. 42 de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

(35). La doctrina judicial admitía con gran generosidad la instalación de estos instrumentos porque empleaba un modelo de protección de la intimidad geográfico o topográfico en el cual se identificaba la reserva únicamente con aquellos lugares donde no se desarrolla la actividad laboral y han sido asignados para un uso exclusivo personal. La jurisprudencia constitucional avaló esta interpretación restrictiva de la intimidad al señalar que “los hechos referidos a las relaciones sociales y profesionales en que el trabajador desempeña su actividad no se integran, en principio, en la esfera privada de la persona”; entre otras SSTC 142/1993 (RTC 1993, 142, FJ 8.º) y 202/1999 (RTC 1999, 202, FJ 2.º).

(36). SSTC 98/2000 (Casino La Toja) y 186/2000 (Ensidesa). Se ha de destacar que a raíz de esta Sentencia se instala la interpretación de la mayor lesividad que suponen las cámaras que graban tanto las imágenes como los sonidos. La posibilidad de acceder a las conversaciones de los trabajadores e incluso de los clientes constituye una importante injerencia que precisa de un interés de magnitud suficiente.

(37). En este sentido, entre otros, ÁLVAREZ ALONSO, D., “Modulación laboral de los derechos fundamentales, ponderación y principio de proporcionalidad ¿Un paradigma en retroceso?”; Comunicación presentada en el XXIV Congreso Nacional de Derecho del Trabajo y de la Seguridad Social, AA.VV. (AEDTSS), Los derechos fundamentales inespecíficos en la relación laboral y en materia de protección social, Ed. Cinca, Madrid, 2014 (CD),pp. 8 y ss., APARICIO TOVAR, J., “Los derechos fundamentales y el juicio de proporcionalidad degradados a mera retórica”; Revista de Derecho Social, nº 64, 2013, pp. 135-144, GOÑI SEIN, J. L., “Los criterios básicos de enjuiciamiento constitucional de la actividad de control empresarial: debilidad y fisuras del principio de proporcionalidad”; Revista de Derecho Social, nº 32, 2005, pp. 84 y ss. y SANGUINETI RAYMOND, W., “Derechos fundamentales de la persona del trabajador y poderes empresariales”; Relaciones Laborales, nº 21-22, 2012, pp. 21 y ss.

(38). En poco espacio de tiempo los tribunales de manera mayoritaria se adaptaron a esta nueva doctrina, de ello es muestra la STS de 13 de mayo de 2014 (rec. nº1685/2013) que estimó la lesión del derecho protegido en el art. 18.4 CE en un supuesto de uso de cámaras de videovigilancia permanente cuya finalidad declarada era la de evitar robos por parte de los clientes para sancionar a una cajera de un supermercado.

(39). En el caso enjuiciado se valora la prueba de grabación de vídeo utilizada por un establecimiento comercial (una tienda Bershka del Grupo INDITEX) para justificar el despido de una trabajadora que fue sorprendida apropiándose dinero y realizando operaciones falsas de devolución de prendas para ocultar dicha acción. A raíz de la implantación de un sistema de control informático de caja se detectaron irregularidades que hacían pensar en apropiaciones dinerarias por parte de los trabajadores. Por ello se decidió la instalación de las cámaras sin información previa a los empleados, si bien se colocó de forma visible en el escaparate de la tienda el distintivo informativo normado.

(40). La doctrina de esta Sentencia del Tribunal Constitucional en poco espacio de tiempo tendrá su reflejo en varias resoluciones del TS. Así, las SSTS, de 7 de julio de 2016 (RJ 2016, 4434), de 31 de enero de 2017 (RJ 2017, 1429), de 1 de febrero de 2017 (RJ 2017, 1105) y de 2 de febrero de 2017 (RJ 2017, 1628). En la primera de ellas, la STS de 7 de julio de 2016, el tribunal intenta explicar la diferencia que existía entre los dos supuestos a los que se referían las resoluciones del TC. Mientras en la STC 29/2013 se trataba de utilizar los datos de una cámara que grababa el exterior de manera permanente, sin advertencia previa y sin que constaran claramente irregularidades previas, la STC 39/2016 versaba sobre un caso en el que, ante previas sospechas de irregularidades, se instalaba una cámara en el lugar de trabajo donde se intuía que se estaban realizando las infracciones.

(41). También es de interés la Sentencia del TEDH de 28 de noviembre de 2017 (As. Antović and Mirković c. Montenegro) que reconocerá la injerencia en la vida privada de los profesores y alumnos ante la instalación de unas cámaras de vídeo en varias aulas de una facultad universitaria con la doble finalidad de “garantizar la seguridad de los bienes y las personas, incluidos los estudiantes, y la vigilancia de la enseñanza”.

(42). As. Köpke c. Alemania (dec), nº 420/07, de 5 de octubre de 2010.

Se justifica la exclusión del precedente caso Köpke por existir diferencias fácticas importantes. Quizás la más relevante sea que en el caso alemán en el momento de la instalación de la cámara oculta no existía aún una normativa que obligara a informar previamente a los afectados, a diferencia de la claridad de la legislación española. Además, en el supuesto español, la adopción de tal mecanismo no se basó en unas sospechas previas contra empleados concretos y por ello la medida no afectó a un grupo específico de trabajadores sino a todo el personal que trabajaba en las cajas registradoras. Por otra parte, la instalación de las cámaras no fue limitada en el tiempo, sino que se prolongó durante semanas y durante toda la jornada laboral, mientras que en el caso Köpke el uso de cámaras ocultas tenía como único objetivo a dos empleados y se prolongó tan solo durante dos semanas.

(43). En sede contencioso-administrativa, la STSJ, de Castilla y León de 13 de marzo de 2018, aunque sin aludir expresamente al STEDH López Ribalda pero sí a las SSTC 29/2013 y 39/2016, anula la Ordenanza que establecía junto a la huella digital un sistema de videovigilancia para controlar el acceso y salida de los empleados públicos del Ayuntamiento de León. Se considera que se exige “una aplicación restrictiva de estos sistemas, de tal manera que solo se acuda a su adopción de manera residual, cuando no haya otros medios de control aplicables y previa realización de juicios de idoneidad, necesidad y proporcionalidad”; (FJ 5º).

En la jurisdicción social, estas resoluciones son numerosas. Como muestra de las que acogen los criterios fijados por el TEDH en el Caso López Ribalda se pueden citar la SJS de Sevilla, 3 de septiembre de 2018 (JUR 2018, 260395) que declara nulo el despido por considerar que la grabación era ilícita ante la falta de información previa, la SJS de Córdoba, de 20 de abril de 2018 (JUR 2018, 150597) que también valora la prueba como nula, pero califica el despido de improcedente o la STSJ de Castilla y León, de 11 de abril de 2018 (AS 2018, 1211), que ante la grabación ilícita de imágenes y sonidos por un detective, califica el despido como nulo. También aluden a la STEDH López Ribalda en relación con el uso de la videovigilancia, reconociendo la ilicitud de la prueba por falta de información entre otras, las SSTSJ de Madrid, de 7 de febrero de 2018 (JUR 2018, 94631), de 23 de abril de 2018 (AS 2018, 1299), de 4 de junio de 2018 (AS 2018, 1821), de 13 de septiembre de 2018 (AS 2019, 922) y de 28 de septiembre de 2018 (AS 2019, 1144). Igualmente, la STSJ del País Vasco, de 27 de febrero de 2018 (AS 2018, 1200) o la STSJ de Cataluña de 22 de marzo de 2018 (JUR 2018, 179755). En esta última también se declara nulo el despido ante la ilicitud de la única prueba videográfica.

(44). STEDH López Ribalda c. España de 17 de octubre de 2019 en https://hudoc.echr.coe.int/eng.

(45). Con la adición de un nuevo apartado 9 en el art. 34 del ET mediante el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.

(46). Véanse los diferentes sistemas en función del tipo de trabajador (empleado móvil o itinerante, tele-trabajador, que presta su actividad en espacios compartidos) en DEL MAR, V. y MOLINA GARCÍA, O., “La implementación técnica del registro de la jornada”; en línea https://elderecho.com/la-implementacion-tecnica-del-registro-la-jornada, consultado en septiembre de 2019.

(47). Sobre los diferentes instrumentos, véase GARCÍA COCA, O., “Nuevas tecnologías y sistemas de control de acceso al centro de trabajo. confrontación con el derecho fundamental a la protección de datos de carácter personal”; Comunicación presentada en el XXIV Congreso Nacional de Derecho del Trabajo y de la Seguridad Social, AA.VV. (AEDTSS), Los derechos fundamentales inespecíficos en la relación laboral y en materia de protección social, Ed. Cinca, Madrid, 2014 (CD).

(48). GOÑI SEIN, J.L., “Intimidad del trabajador y poder de vigilancia y control empresarial”; en AA.VV. (GARCÍA MURCIA, J., Coord.), Jornada sobre derechos fundamentales y contrato de trabajo, Oviedo (Principado de Asturias), 2017, p. 61.

(49). Así, la Recomendación de la Comisión de las Comunidades Europeas de 12 de mayo de 2009, en su apartado 7º, aconseja a los Estados a que velen porque las empresas elaboren y publiquen una política de información precisa, concisa, exacta y fácil de comprender del uso de estos sofisticados instrumentos, incluyendo la identidad y el domicilio de los operadores, su finalidad, los extremos procesados y un resumen de la evaluación del impacto sobre la intimidad y las medidas para reducirlo.

También el Documento de trabajo sobre biometría del Grupo 29 del año 2003 (12168/02/ES WP 80) alertaba de que cuando este tipo de datos “se tratan con fines de control de acceso, el uso de esos datos para evaluar el estado emocional del interesado o para vigilarlo en el lugar de trabajo no sería compatible con los fines originales de la recogida”.

(50). En este sentido, GARCÍA-PERROTE ESCARTÍN, I Y MERCADER UGUINA, J.R., “El control biométrico de los trabajadores”; Revista de Información Laboral, nº3, 2017, se referían a la noticia aparecida en la prensa sobre una sociedad belga de marketing digital, Newfusion, que había implantado a varios de sus empleados un “chip”; bajo la piel que funcionaba como una “llave”; de identificación para abrir puertas o acceder al ordenador.

(51). RODRÍGUEZ ESCANCIANO, S., “Poder de control, sistemes tecnològics i drets dels empleats públics”; AA.VV., Seminario sobre Relacions Colectives, Federació de Municipis de Catalunya, 2017, p. 231.

(52). Informe 9903/1999. Se estimó que la medida no requería el consentimiento de los empleados porque el tratamiento tenía su origen precisamente en la necesidad de asegurar el debido cumplimiento de las obligaciones derivadas de la relación estatutaria que vincula al funcionario con la Administración conforme al art. 6.2 de la derogada LOPD y no era excesiva en atención a su fin atendiendo al principio de proporcionalidad.

(53). Informe 0324/2009 que señala que la huella digital no contiene ninguna información sobre la personalidad del trabajador por lo que su trascendencia es similar a la de un número personal.

En 2015 se emitió un nuevo informe (65/2015), no para el ámbito laboral, sobre el acceso utilizando un sistema de huella dactilar a unas instalaciones privadas, en el cual se consideró que bajo ciertas garantías de seguridad podría estar justificado el tratamiento de los datos biométricos conforme al Dictamen 3/2012 del Grupo del Artículo 29 “sobre la evolución de las tecnologías biométricas”.

(54). STS (Sala de lo Cont-Admvo), de 2 de julio de 2007 (rec. nº5017/2003).

(55). SSTSJ (Sala de lo Cont-Admvo), de Islas Canarias de 21 de julio (rec. nº 93/2007), 28 de julio (rec. nº 445/2007) y de 18 septiembre (rec. nº 443/2007), del año 2009. También STSJ (Sala de lo Cont-Admvo), de Andalucía, de 3 de diciembre de 2007 (rec. nº 2203/2007).

En la jurisdicción social, STSJ de Murcia, de 25 de enero de 2010, (rec. nº1071/2009), comentada por SELMA PENALVA, A., “El control de accesos por medio de huella digital y sus repercusiones prácticas sobre el derecho a la intimidad de los trabajadores”; Revista Doctrinal Aranzadi Social, nº 3, 2010 (BIB 2010\735) y STSJ de Islas Canarias, de 29 de mayo de 2012 (rec. nº398/2012).

(56). Aunque se acepta su uso los criterios que establecen Grupo 29 y del Consejo de Europa son más estrictos. Así, el Dictamen 3/2012 GT29 sobre la evolución de las tecnologías biométrica marca el carácter riguroso que debe presidir el juicio de necesidad y proporcionalidad de los sistemas biométricos utilizados para cualquier ámbito. “Al analizar la proporcionalidad de un sistema biométrico propuesto, es preciso considerar previamente si el sistema es necesario para responder a la necesidad identificada, es decir, si es esencial para satisfacer esa necesidad, y no solo el más adecuado o rentable. Un segundo factor que debe tenerse en cuenta es la probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características específicas de la tecnología biométrica que se va a utilizar. Un tercer aspecto a ponderar es si la pérdida de intimidad resultante es proporcional a los beneficios esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero ahorro, entonces la pérdida de intimidad no es apropiada. El cuarto aspecto para evaluar la adecuación de un sistema biométrico es considerar si un medio menos invasivo de la intimidad alcanzaría el fin deseado”.

En la misma dirección, la Recomendación del Comité de Ministros del Consejo de Europa CM/Rec (2015) 5 sobre el tratamiento de datos personales en el contexto laboral indica que sólo debería realizarse una recopilación y posterior procesamiento de los datos biométricos cuando hay que proteger los intereses legítimos de empresarios, empleados o terceros, no hay otros medios menos intrusivos disponibles y se acompaña de las garantías adecuadas previstas.

(57). Entre la doctrina académica, puede consultarse, ARREDONDO PACHECO, J., “Ideas a tener en consideración ante la irrupción de un nuevo mecanismo de control empresarial: el GPS”; Revista de Trabajo y Seguridad Social, CEF, nº 351, 2012 y PÉREZ del PRADO, D., “¿Puede el empresario controlar a sus trabajadores mediante dispositivos GPS?: algunas notas sobre el cómo, el dónde y el por qué”, Información Laboral, nº 11, 2009.

(58). Así, el Dictamen 5/2005 sobre el uso de los datos de localización con vistas a prestar servicios con valor añadido del GT29, destaca el impacto que pueden tener en la privacidad de los usuarios, por ello entiende que “el tratamiento de los datos de localización puede estar justificado si se lleva a cabo formando parte del control del transporte de personas o bienes o de la mejora de la distribución de los recursos para servicios en puntos remotos (por ejemplo, la planificación de operaciones en tiempo real) o cuando se trate de lograr un objetivo de seguridad en relación con el propio empleado o con los bienes o vehículos a su cargo. Por el contrario, el Grupo considera que el tratamiento de datos es excesivo en el caso de que los empleados puedan organizar libremente sus planes de viaje o cuando se lleve a cabo con el único fin de controlar el trabajo de un empleado, siempre que pueda hacerse por otros medios”.

(59). Los Informes AEPD 193/2008 y 0090/2009 consideran que la información obtenida con tales dispositivos sobre personas físicas identificadas o identificables constituyen datos de carácter personal, merecedores de todo el sistema garantista previsto en esta normativa.

(60). Por todas, STSJ (Social) de Cataluña, de 5 de marzo de 2012 (rec. nº 5194/2011).

(61). Contamos con una sentencia de unificación de doctrina STS (Social), de 21 de junio de 2012, (rec. nº 2194/2011) que, ante la inexistencia de contradicción y falta de fundamentación de las infracciones legales, no entra en el fondo del asunto, y da lugar a que el recurso se desestime confirmando la nulidad del despido por la ilicitud de la prueba vulneradora del derecho a la intimidad. La sentencia recurrida había confirmado la ilicitud del informe de un detective basado en la instalación de un GPS en el coche del trabajador sin su conocimiento, al considerar que se trataba de una medida desproporcionada.

(62). Entre otras, la STSJ Galicia, de 26 de abril de 2017 (rec. nº 510/2017) declara la prueba válida a pesar de que reconoce que el trabajador conocía la instalación del GPS, pero ignoraba las consecuencias que de dicha utilización se podrían derivar.

Incluso hay doctrina judicial que admite la licitud de la prueba, aunque el control sea oculto, SSTSJ Cataluña, de 5 de marzo de 2012 (rec. nº 5194/2011).

(63). En esta línea, SSTSJ Madrid de 21 de marzo de 2014 (rec. nº1993/2013), de 29 de septiembre de 2014 (rec. nº 1952/2013), de 11 de septiembre de 2017 (rec. nº 589/2017) y STSJ Canarias, de 26 de enero de 2018 (rec. num. 1409/2017).

(64). Entre otras, STSJ País Vasco, de 12 de junio de 2018 (rec. nº 1052/2018).

(65). STSJ Castilla la Mancha, 10 de junio de 2014 (rec. nº 1162/2013), STSJ Madrid, de 29 de septiembre de 2014, cit., STSJ de Asturias, 27 de diciembre de 2017 (rec. nº 2241/2017) y STSJ País Vasco, de 12 de junio de 2018, cit.

(66). Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes y Dictamen 2/2017 sobre el tratamiento de los datos en el trabajo del Grupo 29.

(67). GOERLICH PESET, J.M., “Protección de la privacidad de los trabajadores en el nuevo entorno tecnológico: inquietudes y paradojas”; en AA.VV., El derecho a la privacidad en el nuevo entorno tecnológico, XX Jornadas de la Asociación del Letrados del Tribunal Constitucional, Tribunal Constitucional y Centro de Estudios Constitucionales, Madrid, 2016, pp. 135-136.

(68). MOLINA NAVARRETE, C., “¿Saber es poder?: conectividad empresarial, geolocalización (GPS) y autodeterminación digital del trabajador. Comentario a la Sentencia del Tribunal Superior de Justicia de Andalucía/Granada 1937/2017, de 18 de septiembre”, Revista de Trabajo y Seguridad Social, CEF, nº. 419, 2018, p.139.

(69). Se puede citar respecto al personal laboral la STSJ Andalucía, de 28 de noviembre de 2018 (rec. nº 2655/2017) en la que queda acreditado el absentismo de un trabajador por el GPS instalado en el vehículo proporcionado por la empresa, hecho que conocía el empleado porque él mismo estuvo presente durante su instalación.

(70). Resoluciones sancionadoras al Ayuntamiento de Dos Hermanas por la instalación de localizadores en lo coches de la Policía Local sin previa y suficiente información (AP/00040/2012) o a la Dirección de la Guardia Civil (AP/00032/2013) por el mismo motivo.

(71). El art. 88 del RGPD vincula a especificar la protección del derecho a la protección de datos en la mayoría de las materias de la relación laboral: contratación, ejecución del contrato laboral, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral. Además, el párrafo 2.º del precepto hace una mención especial a “los sistemas de supervisión en el lugar de trabajo”; para que se adopten las medidas adecuadas de respeto a la dignidad, a los intereses legítimos y a los derechos fundamentales de los interesados.

Aunque del tenor literal del precepto pueda interpretarse que únicamente se faculta a los Estado a legislar sobre la materia, se trata de un mandato al legislador y a los agentes sociales. Comparte esta idea, MIÑARRO YANINI, M., “Impacto del Reglamento Comunitario de Protección de Datos en las relaciones laborales: un –pretendido– “cambio cultural”“; Revista de Trabajo y Seguridad Social, CEF, nº 423, 2018, p. 10. Véase también, GARCÍA-PERROTE ESCARTÍN, I. y MERCADER UGUINA, J.R., “El protagonismo del convenio colectivo en el nuevo reglamento de protección de datos”; Revista de Información Laboral, nº 6 (BIB 2018, 10336).

(72). Así, el texto del PLOPDP contenía muy pocas referencias al ámbito de trabajo. RODRÍGUEZ ESCANCIANO, S., “El derecho a la protección de datos personales en el contrato de trabajo: reflexiones a la luz del Reglamento europeo 2016/679”; Revista de Trabajo y Seguridad Social, nº 423, 2018, p. 26.

(73). Las muchas enmiendas presentadas por los grupos y el contenido totalmente dispar de las mismas desvelan que se trataba de una cuestión harto polémica que ralentizó la tramitación de la norma, MIÑARRO YANINI, M., “Impacto del reglamento comunitario de protección de datos en las relaciones laborales...”; cit., pp. 14-15.

(74). La norma atiende a que Internet, presente en todos los espacios, los profesionales y los personales, es actualmente un medio fundamental de comunicación y un instrumento necesario para el desarrollo de la vida social. Pero la doble cara de la red, sus oportunidades y sus riesgos, merecen una regulación que por un lado favorezca la posibilidad de su uso a todos los ciudadanos, pero a su vez instaure un sistema de garantías para preservar los derechos y libertades también en este ámbito.

En particular, han sido objeto de regulación diferentes derechos y libertades referentes al entorno de Internet como la neutralidad de la Red y el acceso universal o los derechos a la seguridad y la educación digital, así como los derechos al olvido, a la portabilidad y al testamento digital. También se han de destacar el establecimiento de garantías para la libertad de expresión y el derecho a la aclaración de las informaciones en los medios de comunicación digitales. Por ello se han reconocido entre otras facultades el derecho de rectificación, el derecho a la actualización en los medios de comunicación digitales y el derecho al olvido en las búsquedas de Internet y en las redes sociales.

(75). “j bis) A la intimidad en el uso de dispositivos digitales puestos a su disposición y frente al uso de dispositivos de videovigilancia y geolocalización, así como a la desconexión digital en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales”.

(76). “Artículo 20 bis. Derechos de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión.

Los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales”.

(77). En este sentido también, MOLINA NAVARRETE, C., “Poder de geolocalización, intimidad y autodeterminación digital en las relaciones de trabajo: ¿un nuevo orden eficaz de garantías y límites?”; Diario La Ley, nº 9319, 2018, pp. 1 y 3.

(78). MIÑARRO YANINI, M., “La “Carta de derechos digitales” para los trabajadores del Grupo Socialista en el Congreso: un análisis crítico ante su renovado interés”; Revista de trabajo y Seguridad Social, CEF, nº 424, 2018, p. 103.

(79). MOLINA NAVARRETE, C., “Poder de geolocalización, intimidad y autodeterminación digital en las relaciones...”; cit., p. 1.

(80). En este sentido crítico, valorando que esta garantía se ha devaluado regulándola como “potestativa y subsidiaria”; MOLINA NAVARRETE, C., “Poder de geolocalización, intimidad y autodeterminación digital en las relaciones...”; cit., p. 3.

(81). El precepto exige un informe con carácter previo a la ejecución por parte del empresario de las decisiones adoptadas sobre “la implantación y revisión de sistemas de organización y control del trabajo”.

(82). En los que se atribuye a las juntas de personal o a los comités de empresa el derecho a recibir información sobre los programas de mejora del rendimiento y la facultad de emitir un informe, a solicitud de la Administración Pública sobre la revisión de sus sistemas de organización y métodos de trabajo.

(83). MONEREO PÉREZ, J.L., Los derechos de información de los representantes de los trabajadores, Civitas, Madrid, 1992, p. 257.

(84). (rec. núm 318/2018).

(85). Así se indica que teniendo en cuenta la afectación al derecho a la protección de datos medida que afecta a datos personales de carácter del trabajador protegidos por el art. 18.4 CE era necesario que se hubiese explicado el concreto funcionamiento de la aplicación, esto es, cómo se instala en el teléfono móvil, a qué datos del terminal la misma debe acceder, qué concretos datos propios ha de aportar el trabajador para acceder a la aplicación, qué datos, en su caso, ha de archivar la misma y cómo van a ser tratados los mismos.

(86). El TC redujo la información a los representantes a una mera cuestión de legalidad ordinaria, al establecer que la falta de este requisito no anulaba la prueba conseguida. Incluso dejó entrever la posible justificación a la inobservancia de esta obligación ante “el justificado temor de la empresa de que el conocimiento de la existencia del sistema de filmación frustraría la finalidad apetecida”.

(87). Como ejemplo, la STS del País Vasco de 26 de enero de 2010 (rec. nº 2632/2009). Si bien afirma que los sistemas de videovigilancia requieren del cumplimiento de un principio de proporcionalidad exhaustivo, acepta que no hay obligación jurídica de puesta en conocimiento a los representantes de los trabajadores al amparo del art. 64.5 del ET, por no tratarse de un control constante de la actividad laboral.

(88). MARTÍNEZ FONS, D., El poder de control del empresario en la relación laboral, Consejo Económico Social, Madrid, 2002.pp. 59-60. En parecido sentido, se excluye para los controles extraordinarios cuando la previa comunicación a los representantes pueda suponer la puesta en peligro de la efectividad de la medida, FABREGAT MONFORT, G., Nuevas perspectivas del poder de dirección y control del empleador, Bomarzo, Albacete, 2016, pp. 35-36.

(89). MIÑARRO YANINI, M., “Las facultades empresariales de vigilancia y control en las relaciones de trabajo: especial referencia a las condiciones de su ejercicio y a sus límites”; AA. VV. (dir. GARCÍA NINET, J.I.), El control empresarial, CISS, Bilbao, 2005, p. 57.

(90). RODRÍGUEZ ESCANCIANO, S., “Posibilidades y límites en el control de los correos electrónicos de los empleados públicos a la luz de la normativa de protección de datos”; Revista Vasca de Gestión de Personal y Organizaciones Públicas, nº 16, 2019, p.121.

(91). Estas reflexiones, en el ámbito de la empresa privada, MOLINA NAVARRETE, C., “Redes sociales, códigos de conducta y ciudadanía digital responsable del trabajador: cara B del consentimiento y libertad de expresión crítica. Comentario a la Sentencia del Tribunal Superior de Justicia de Andalucía/Sevilla 1736/2017, de 8 de junio”; Revista de Trabajo y Seguridad Social, nº 419, CEF, 2018, p. 166.

(92). Arts. 89.1 y 90.1 LOPDGDD.

(93). MIÑARRO YANINI, M., “La “Carta de derechos digitales del trabajador”; ya es ley: menos claros que oscuros en la regulación”; Revista de Trabajo y Seguridad Social, CEF, nº 430, 2018, p. 9.

(94). Donde debe constar la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los arts. 15 a 22 RGPD.

(95). A pesar de la contundencia de la norma, las circunstancias concretas del caso llevan a una reciente decisión del Juzgado de lo Social nº 3 Bilbao, Sentencia 128/2019 de 4 abril (rec. 314/2018) a flexibilizar tales exigencias informativas. En concreto, se considera que, si en el contrato se había comunicado la existencia de las cámaras, aunque no se hubiera especificado que eran para controlar a los trabajadores, esta información podía haberse deducido por la empleada que llevaba 10 años en la empresa y conocía su concreto emplazamiento en las dependencias en las que no se atendía al público.

(96). ROJO TORRECILLA, J., “Los derechos digitales de las personas trabajadoras. Examen del título X del proyecto de ley orgánica de protección de datos personales y garantía de los derechos digitales, y un breve apunte previo sobre nuevas aportaciones doctrinales”; “www.eduardorojotorrecilla.es /2018/10/los-derechos-digitales-de-las-personas.html”.

(97). MIÑARRO YANINI, M., “La “Carta de derechos digitales del trabajador”; ya es ley: menos claros que oscuros en la regulación”; cit., p. 10.

(98). Sin embargo, se ha interpretado que con esta previsión se incorpora la doctrina del Tribunal Constitucional (STC 39/2016) y la mayoritaria del Tribunal Supremo de la que cabe deducir que “mayor será la posibilidad de supervisión cuanto más clara sea la fundada sospecha de comportamiento irregular por parte del empleado, pues no es igual comprobar el cumplimiento normal de las obligaciones laborales ordinarias, donde el deber de información debe de cumplimentarse en todos los extremos, que actuar ante el temor fundado de la perpetración de infracciones donde el principio de transparencia puede sufrir alguna modulación”; RODRÍGUEZ ESCANCIANO, S., “Videovigilancia empresarial: límites a la luz de la Ley Orgánica 3/2018, de 5 diciembre, de protección de datos personales y garantía de los derechos digitales”; Diario La Ley, nº 9328, 2019, p. 10.

(99). GOÑI SEIN, J.L., “Video vigilancia empresarial mediante cámaras ocultas: su excepcional validez como control “ex post”;”; Trabajo y Derecho, nº 47, 2018, pp. 6-7.

(100). No obstante, como apuntamos en otro momento, la Sentencia López Ribalda con la remisión y comparación que realiza con la Sentencia Köpke no descarta de manera absoluta la validez de los controles ocultos en situaciones extraordinarias. También en esta dirección, MIÑARRO YANINI, M., “La “Carta de derechos digitales del trabajador”; ya es ley: menos claros...”; cit., p. 10.

(101). SJS de Pamplona, de 18 de febrero de 2019 (AS 2019, 1014).

(102). Principalmente a raíz de la STC 98/2000.

(103). Incluso la jurisprudencia social ha admitido no solo las grabaciones de las conversaciones en abierto sino también las conversaciones telefónicas. Así respecto a los asesores comerciales con los clientes de una empresa del sector de comunicaciones, STS de 5 de diciembre del 2003 (rec. nº 52/2003). Doctrina que servirá después de fundamento para resolver otros conflictos similares, como el de la STSJ de Cataluña, de 26 de enero de 2006 (rec. nº 3124/2005) sobre una actividad de promoción de productos a través de llamadas telefónicas o la STSJ de Andalucía, de 4 de septiembre de 2014 (rec. nº 1330/2014) en la que existían sospechas de una conducta irregular del trabajador en su atención a los clientes en la gestión de recobros a través del teléfono.

(104). De nuevo, se refieren a esa causalidad específica, el Dictamen 2/2017 (WP 249) del Grupo 29 y la Recomendación nº 5 del Consejo de Europa.

(105). En esta dirección la STSJ Castilla y León de 13 de marzo de 2018, ya citada, no admite el emplazamiento de cámaras para controlar la entrada y la salida de los empleados del Ayuntamiento de León. En sentido contrario, pero antes de la vigencia de la norma, una resolución de la AEPD del 20 de julio de 2017, consideraba legítimo el uso de las grabaciones de las cámaras de seguridad para el control de los accesos a fin de acreditar el intercambio de las tarjetas de fichaje y el incumplimiento del horario de unos empleados públicos (R/01998/2017).

(106). DESDENTADO BONETE, A. y MUÑOZ RUIZ, A. B., Control informático, videovigilancia y protección de datos en el trabajo, Lex Nova, Valladolid, 2012, p. 25.

(107). (rec. nº 1461/2016).

(108). STEDH Bărbulescu II, doctrina que cabe intuir de forma sutil en la adelantada STS (Social) de 8 de marzo de 2011, (rec. nº1826/2010), pues a pesar de admitir las prohibiciones absolutas de uso personal, reflexiona sobre las dificultades prácticas de este tipo políticas respecto al ordenador, como ya sucedía con las conversaciones telefónicas en la empresa. También apunta en esta dirección la STS de 13 de mayo de 2014 (rec. nº 2229/2013)

(109). En la misma línea, el Dictamen 2/2017 del Grupo 29 se refiere a la importancia de implementar e informar políticas que toleren un uso aceptable de las TIC en la empresa, junto a las correspondientes políticas de privacidad.

(110). CASAS BAAMONDE, M.E., “Informar antes de vigilar ¿Tiene el Estado la obligación positiva de garantizar un mínimo?”; cit., p. 111.

(111). RODRÍGUEZ ESCANCIANO, S., “Posibilidades y límites en el control de los correos electrónicos de los empleados públicos a la luz”; cit., p. 118.

(112). Así el art. 9.1 de esta norma regula de manera más restrictiva el consentimiento del afectado como base para el tratamiento de datos cuya finalidad principal sea identificar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

(113). Considerando 51 RGPD.

(114). Art. 4.4 RGPD.

(115). BLÁZQUEZ AGUDO, E. M., “Aplicación práctica de la protección de datos en las relaciones laborales”; CISS, 2018, pp. 210 y ss.

(116). El último Informe, ya citado, es del año 2015, respondía a la consulta sobre un sistema de control biométrico de los alumnos de un centro para su acceso al comedor.

(117). Dictamen 16-045/2016, de 19 de diciembre de 2016.

(118). Dictamen 63/2018, del 14 de febrero de 2019. Un estudio sobre este informe, GRACIA GARCÍA, D., “El impacto de la privacidad en los sistemas biométricos de control de acceso y horario laboral tras el Dictamen 63/2018 de la Autoridad Catalana de Protección de Datos”. El Consultor de los Ayuntamientos, nº 8, 2019, pp. 56 y ss.

(119). Se tiene en cuenta principalmente la Recomendación CM/Rec (2015) 5 y el Dictamen 3/2012 GT29. Algunas de estas garantías de seguridad ya se preveían en el último informe de la AEPD de 2015.

(120). En concreto se han consultado: el Código de conducta para usuarios de equipos y sistemas informáticos al servicio de la Administración de Justicia (CGPJ Instrucción 2/2003, de 26 de febrero), la Orden 19/2013, de 3 de diciembre, de la Consellería de Hacienda y Administración Pública, por la que se establece las normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat de la Comunidad Valenciana, el documento sobre las Obligaciones Generales para las personas usuarias. Del Gobierno Vasco (publicado en la plataforma interna de la entidad) y las instrucciones para su personal de la UPV-EHU (al que se puede acceder en la página web)

(121). Este es el caso de la UPV-EHU que marca unos criterios muy generales.

(122). Así, en las normas del Gobierno Vasco se instaura una política de escritorio limpio que vincula a que las mesas de trabajo se mantengan despejadas, sin más documentación que la necesaria en cada momento para la actividad que se esté realizando. Se pretende garantizar la confidencialidad del tipo de información que se utiliza por lo que tanto los documentos en papel como los soportes electrónicos deben guardarse en lugar cerrado mientras no se estén utilizando.

(123). En la Administración de la Generalitat de la Comunidad Valenciana y en el Gobierno Vasco.

(124). En la Administración de Justicia de manera excepcional se permite almacenar documentos personales en un archivo propio del disco duro de los ordenadores que se asigna a los usuarios. También se tolera la navegación en Internet para actividades personales ocasionales y el uso “social”; del correo, pero para acciones no reservadas, en las que no quepa expectativa de intimidad o secreto en las comunicaciones.

En el caso de la UPV- EHU, por ejemplo, cuando se refiere a la utilización del correo electrónico solo queda prohibido “el abuso del servicio”.

(125). En las directrices para el personal del Gobierno Vasco se prevé que “los recursos materiales, informáticos, de comunicaciones o de cualquier otro tipo provistos por el Gobierno Vasco únicamente se proporcionan para el cumplimiento de las funciones en el desempeño del trabajo de la persona usuaria. Esta consideración facultará al Gobierno Vasco a implementar sistemas de control destinados a velar por la protección y el buen uso de los recursos. Esta facultad, no obstante, se ejercerá salvaguardando la dignidad de la persona empleada y su derecho a la intimidad”.

(126). Art. 11 de la Orden 19/2013, de 3 de diciembre, aplicable en la Administración de la Generalitat Valenciana.

(127). RODRÍGUEZ ESCANCIANO, S., “Internet en el trabajo”; Diario La Ley, nº 8926, 2017, p. 9.

(128). RODRÍGUEZ ESCANCIANO, S., “Posibilidades y límites en el control de los correos electrónicos de los empleados públicos a la luz”; cit., p. 122.

(129). En sentido opuesto justificando una política de restricción absoluta para fines privados ARROYO LLANES, L.M., “La digitalización de las Administraciones Públicas y su impacto sobre el régimen de los empleados públicos”; Revista Vasca de Gestión de Personal y Organizaciones Públicas, nº 15, 2018, p.90-91

(130). La importancia de la autorregulación a través de los códigos de conducta se pone de manifiesto en los arts. 40 y ss. del RGPD como un elemento para demostrar el cumplimiento de las obligaciones en esta materia. Así, se ha aprobado por parte del Consejo Europeo de Protección de Datos el Dictamen 1/2019, que fija las directrices a seguir en la elaboración de tales instrumentos (Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 (Adopted on 12 February 2019)

http://europarl.europa.eu/charter/pdf/text_es.pdf (último acceso: 4 de septiembre de 2019)

Si las Administraciones u organismos públicos optaran por esta vía, podrían incluir este tipo de protocolos en tales códigos.

(131). En esta dirección, BLÁZQUEZ AGUADO, E., “La implantación de un protocolo de videovigilancia en el trabajo”; Revista Aranzadi Derecho y Nuevas Tecnologías, nº43, 2017 pp. 25 y ss.

(132). Salvo la limitación mencionada para los hallazgos casuales de las cámaras de seguridad, que tantos comentarios críticos está suscitando.

Comentarios