Últimas tendencias jurisprudenciales sobre el control informático y videovigilancia en la empresa
Control informático: algunas cifras El uso de ordenadores
está extendido en la práctica totalidad de estas
empresas (99,2%). En el 95,3% de las empresas está
implantada la telefonía móvil. El 54,6% de las
empresas proporciona a sus empleados dispositivos
portátiles que permiten la conexión a Internet para
uso empresarial. De estos dispositivos, un 36,4% son ordenadores
portátiles y un 49% smartphones o PDA (2014, INE).
Control informático: derechos afectados Intimidad (art.
18.1 CE). Secreto de las comunicaciones (art. 18.3 CE).
Protección de datos de carácter personal (art. 18.4
CE).
La esfera de la intimidad Es el ámbito propio y reservado
frente a la acción y el conocimiento de los demás,
necesario, según las pautas de nuestra cultura, para
mantener una calidad mínima de la vida humana. Es el
derecho a que nos dejen paz, the right to be let alone (Warren
and Brandeis)
El secreto de las comunicaciones El bien constitucionalmente
protegido es la libertad de las comunicaciones-su secreto- sean
íntimas o no. Se tutela su contenido y los aspectos
externos (identidad de los interlocutores, frecuencia, etc.).
Ámbito temporal discutible. No hay «secreto»
para aquél a quien la comunicación se dirige.
La protección de datos de carácter personal
Cualquier información numérica, alfabética,
gráfica, fotográfica, acústica o de
cualquier otro tipo concerniente a personas físicas
identificadas o identificables (art. 3 Ley 15/1999 y art. 5.1. RD
1720/2007) DATOS DE CARÁCTER PERSONAL
Control informático: El principio del control informado El
control de los medios informáticos por parte del
empresario debe observar los siguientes requisitos [SSTS
26/9/2007, 8/3/2011; ambas u.d.]: 1. Deben
guardar la consideración debida a la dignidad del
trabajador. 2. La empresa debe establecer
previamente las reglas de uso de estos medios (con
aplicación de prohibiciones absolutas o parciales).
3. Se debe informar a los trabajadores de que
va a existir control y de los medios y medidas que van de
adoptarse para garantizar la efectiva utilización laboral.
Ello sin perjuicio de la posible aplicación de otras
medidas de carácter preventivo, como la exclusión
de ciertas conexiones. Flexibilización del requisito de la
información [STS 6/10/2011, Sala General, ud.].
4. Asimismo el Tribunal establece de forma
implícita que debe tratarse de controles generalizados y
no dirigidos a uno o varios trabajadores en concreto.
Convergencia AEPD y TS Fuerte convergencia que se observa entre
los criterios administrativos de la AEPD y la STS de 26/9/2007 de
unificación de doctrina. La Agencia de Protección
de Datos tiene muy en cuenta la doctrina del Tribunal Supremo
acerca del control del uso de los medios telemáticos de
propiedad del empresario y hace mención explícita a
la misma en los informes jurídicos dictados sobre esta
materia. Subrayando con cita de la STS 26/9/2007: “se viene
a confirmar la obligación de informar al trabajador sobre
las reglas de uso del ordenador y los controles que sobre los
mismos efectuará el empresario, dentro del poder que le
confiere el artículo 20.3 del Estatuto de los
trabajadores”, en los mismos términos que la Agencia
exige en los informes y resoluciones dictadas al respecto.
¿Dónde pueden estar recogidas las reglas de uso de
los medios informáticos? En el Convenio Colectivo [STC
170/2013] Entrega a todo el personal de la empresa de una
notificación informando que a partir de dicho día
la empresa dispone de un programa para contabilizar el tiempo que
cada trabajador emplea en Internet así como el registro de
las direcciones que visita, de la misma forma que
realizará con el correo electrónico [STSJ C.
Valenciana 5.10.2010, Rº 2195/2010] Manual de seguridad de
la información sobre correo electrónico [STSJ
Madrid 19.12.2012, Rº 3149/2012] Documento de obligaciones
del personal [STSJ Andalucía, Granada, 14 de noviembre de
2013, Rº 1632/2013] Entrega a todos los trabajadores junto
con la nómina de un determinado mes, de un Anexo al
contrato respecto del uso de Internet y del correo
electrónico para fines profesionales [Informe AEPD
0464/2013]
¿Dónde pueden estar recogidas las reglas de uso de
los medios informáticos?
¿Puede cribar o filtrar la empresa el correo
electrónico de sus trabajadores? La AEPD indica que el
empresario está legitimado para filtrar o cribar el
contenido del correo electrónico de los empleados por
aplicación del art. 6. 1 y 2 LOPD (Informes
Jurídicos 0391/2007 y 0247/2008 de la AEPD). Según
doctrina de la Agencia de Protección de Datos, no se
precisa por tanto del consentimiento del trabajador afectado pero
sí debe cumplir determinados parámetros: 1º)
Debe tratarse de una cuenta de correo proporcionada por la
empresa para el desarrollo de sus funciones laborales; 2º)
Se debe informar previamente a los trabajadores sobre dicho
filtrado y los medios que se van a utilizar.
¿Puede la empresa controlar las comunicaciones de sus
trabajadores? STC 241/2012: se admite el control de las
comunicaciones electrónicas en el contexto empresarial
cuando se cumplan determinados requisitos. STC 170/2013: en el
presente supuesto no podía existir una expectativa fundada
y razonable de confidencialidad respecto al conocimiento de las
comunicaciones mantenidas por el trabajador a través de la
cuenta de correo proporcionada por la empresa y que habían
quedado registradas en el ordenador de propiedad
empresarial.
¿Y si las comunicaciones son facilitadas por uno de los
interlocutores? ELISENDA: Casilda se tomó las pastillas de
Sabina se tomó el yogurt donde estaban así que
Vicenta te dirá algo el lunes le avise y esta q ni te
cuento. COMPAÑERA: no nos podemos fiar de las auxiliares.
Quién estaba de auxiliares? ELISENDA: Lo peor es la
hija. A ver que le contamos. Cuando la vea sopa. STSJ de Galicia
de 25-4-2014
¿Afecta a la protección de datos la
obligación de compartir el correo electrónico con
otro compañero de trabajo en los supuestos de ausencia? La
AEPD señala que el art. 20.3 ET habilita al empresario a
controlar el correo electrónico que él otorga a sus
trabajadores para el desarrollo exclusivo de sus funciones, pero
siempre que previamente haya informado sobre dicho extremo y
cumpla con el deber de información previsto en el art. 5.1
de la LOPD (Informe 0582/2009 de la AEPD).
¿Debe extenderse el deber de información a los
representantes de los trabajadores? El art. 64.5 f) ET exige
informe previo del Comité de Empresa o delegados de
personal en relación con la “implantación o
revisión de los sistemas de control del trabajo”. La
AEPD ha señalado en la Guía sobre “La
protección de datos en las relaciones laborales” que
en la medida en la que este tipo de controles inciden sobre el
conjunto de la empresa puede ser muy recomendable informar
también a los representantes de los trabajadores de las
políticas adoptadas en esta materia. También el
Informe de la AEPD 0006/2009 y 0582/2009.
Limites del control oscuro o no transparente El control oculto o
no trasparente viene revestido de la nota de excepcionalidad
siendo por tanto el principio de transparencia la regla
básica adoptada por la Agencia Española en
sintonía con las directrices europeas y por el TC y TS. El
Grupo del Artículo 29 señala sobre el principio de
transparencia que significa que “el empleador debe indicar
de forma clara y abierta sus actividades. Dicho de otro modo, el
control secreto del correo electrónico por el empleador
está prohibido, excepto en los casos en que exista en el
Estado miembro una ley que lo autorice (…) para la
salvaguardia de intereses públicos importantes, como la
seguridad del Estado, o la prevención, la
investigación, la detección y la represión
de infracciones penales, o también la protección
del interesado o de los derechos y libertades de otras
personas”.
La respuesta de los Tribunales penales: El alcance del art. 197
Codigo Penal Se confirma el sobreseimiento y archivo de la causa
seguida por delito de descubrimiento y revelación de
secretos: El ordenador de la empresa no era el lugar
idóneo para el archivo o almacenamiento de datos relativos
a la intimidad personal del trabajador-querellante (Auto AP
Salamanca 17/11/2008). Constituye un criterio relevante en este
caso que “el trabajador-querellante tuvo conocimiento
expreso de las instrucciones dadas por la dirección de la
empresa en relación a las funciones y obligaciones del
personal con acceso al sistema de información, llegando a
firmar un recibo acreditativo de haber recibido dicha
comunicación” (Auto AP Barcelona 21/1/2009).
La respuesta de los Tribunales penales: El alcance del art. 197
Codigo Penal Los trabajadores tenían que tener cumplido
conocimiento de que su actividad (realizada por computadoras) iba
a ser objeto de examen continuo por parte de los directivos de la
empresa y por este motivo los trabajadores debían
restringir al máximo el uso del ordenador para fines
personales y privados, con lo que podría casi sostenerse
que la utilización a título personal llevaba
implícita una renuncia a su intimidad (Sentencia AP Madrid
29/10/2010). “El uso indebido del ordenador por parte de
las perjudicadas tiene relevancia, no sólo en la
valoración probatoria de la concurrencia del elemento
subjetivo del delito, sino que puede afectar a la propia
tipicidad del hecho. Se concluye que existen dudas sobre la
concurrencia del necesario elemento subjetivo en la figura
delictiva que sea analiza, tanto para uno como otro inculpado,
pero además ni siquiera el elemento objetivo podría
ser predicable en su integridad, al incurrir en exceso las
empleadas utilizando para fines privados una herramienta de
trabajo proporcionada por la empresa (Sentencia AP de
Córdoba 28/11/2008).
Divergencia entre el orden penal y el social STS 16 Junio 2014:
La doctrina del TS y del TC en materia de control
informático dictada en el orden social debe quedar
restringida a ese orden y no es trasladable a la
jurisdicción penal. El art. 18.3 CE no permite la
intervención de las comunicaciones salvo resolución
judicial. No contempla, por tanto, ninguna posibilidad ni
supuesto, ni acerca de la titularidad de la herramienta
comunicativa (ordenador, teléfono, etc. propiedad de
tercero ajeno al comunicante), ni del carácter del tiempo
en el que se utiliza (jornada laboral) ni, tan siquiera, de la
naturaleza del cauce empleado (“correo corporativo”),
para excepcionar la necesaria e imprescindible reserva
jurisdiccional en la autorización de la injerencia.
Divergencia entre el orden penal y el social Rechaza la
posibilidad de una tácita renuncia del trabajador a ese
derecho a diferencia de lo que ocurre con la protección
del derecho a la inviolabilidad domiciliaria (art. 18.2 CE),
nuestra Carta Magna no prevé, por la lógica
imposibilidad para ello, la autorización del propio
interesado como argumento habilitante para la injerencia. Por
mucho que el investigado sea empleado del dueño del
instrumento, la incursión en sus comunicaciones produce
automática e inmediatamente la injerencia en el
correspondiente derecho al secreto de los terceros que con
él comunican, ajenos a esa relación con el titular
de la herramienta y de sus condiciones de uso.
Videovigilancia: Crecimiento vertiginoso Fuente: MEMORIA 2013
AEPD
Videovigilancia: Control empresarial e intimidad STC 98/2000:
intensidad del control (grabación imágenes +
conversaciones). STC 186/2000: se valida una grabación de
la actividad laboral sin información previa.
Videovigilancia: Espacios prohibidos La AEPD multa con 50.000
€ al Club de alterne Paradise por resultar desproporcionada
la grabación de imágenes de las chicas mientras
éstas se cambiaban en una habitación que utilizaban
como vestidor [Procedimiento Nº PS/00528/2012] Anulada la
sanción por SAN de 17.10.2014.
Videovigilancia: Control empresarial y protección de datos
STC 29/2013: cámaras de seguridad que advierten
incumplimientos laborales (visibles, carteles informativos). STS
13/5/2014, u.d.: grabación de la actividad laboral de una
empleada sin informarle de la finalidad específica de la
videovigilancia (se había informado a la
representación de los trabajadores).