Control empresarial mediante GPS y despido: ¿y la libertad informática?

 

La STSJ Asturias 3 de octubre 2017 (rec. 1908/2017) ha declarado que el GPS de la tablet de un vendedor es válido para probar que no trabajaba toda la jornada y que cobraba dietas cuando comía en casa.

En concreto, la empresa remite al trabajador un documento (“Cláusula confidencialidad y competencia desleal”) en el que se recogen la adopción de medidas de control y vigilancia para verificar el cumplimiento por parte de los trabajadores de las obligaciones y deberes laborales. Tras constatar a través de la información del GPS que no cumple con sus obligaciones laborales (pasando los gastos de 68 dietas indebidas pese a comer en casa), la empresa decide en un primer estadio advertirle y no sancionarle.

La reiteración de la conducta del trabajador, a pesar de esta advertencia, llevará a la empresa finalmente a su despido, añadiendo un incumplimiento del horario pactado y una disminución del rendimiento.

Procedencia que será declarada en la instancia y ratificada en suplicación (sin que la parte recurrente cuestione el relato fáctico de la resolución impugnada ni tampoco cuestione ni en la instancia ni en sede de recurso de suplicación la licitud de la prueba de geolocalización utilizada por la empresa para llevar a cabo el registro y seguimiento de su actividad laboral).

Pues bien, una de las cuestiones que suscita esta sentencia es la incidencia del derecho a la autodeterminación informativa o libertad informática que subyace en cualquier situación en la que se produzca un almacenamiento de datos de los trabajadores que puedan ser calificados como personales.

Y, en este sentido, me permito recuperar el contenido de un artículo que, aunque fue publicado en el el año 2014, creo que sigue estando de actualidad (Facultad de control empresarial y el derecho a la libertad informática de los trabajadores: un derecho fundamental (inexplicablemente) olvidado. En “Internet, Derecho y Política. Una década de transformaciones” (Coord. AA.VV.), UOC-Huygens. Barcelona. ISBN 978-84-697-0826-2, p. 277 – 288).

De modo que sistematizaré los aspectos más relevantes del mismo, no sin antes invitar a su lectura (acceso al trabajo íntegro, aquí).

1. Sobre la libertad informática o la autodeterminación informativa: breves notas

Como punto de partida, creo que es muy ilustrativo tomar como referencia el contenido de la importante STSJ Cantabria 18 de enero 2007 (rec. 1149/2006)

“existen ciertas diferencias entre las nuevas tecnologías y los (…) medios audiovisuales y de comunicación; así, a diferencia de la video-vigilancia, en la ciber-vigilancia es posible distinguir dos momentos distintos, un primer momento de recogida de datos y un segundo momento de tratamiento de los datos obtenidos; es decir, aunque la informática permite un control directo del comportamiento laboral del trabajador, el verdadero conocimiento sobre el comportamiento del trabajador no se obtiene sino mediante la recogida sistemática de datos, su almacenamiento y su posterior tratamiento; de ahí que los limites que se derivan del respeto al derecho de la intimidad han de operar en dos momentos distintos: en el momento de la recogida de los datos y de la información, que ha de ser adecuados al fin perseguido, que no podrá ser otro que la verificación del cumplimiento de sus obligaciones laborales por el trabajador, y, además, en el momento del posterior registro físico para el tratamiento de los datos capturados”.

En definitiva, la “privacidad” (o una dimensión de la misma) de los trabajadores puede llegar a ser (totalmente) transparente para el empresario.

La llamada ‘libertad informática’ (o “autodeterminación informativa”), precisamente, confiere el derecho a controlar el uso de los mismos datos insertos en un programa informático – habeas data – y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (STC 254/1993).

Llegados a este estadio, la distinción entre el derecho a la intimidad y el derecho a la libertad informática es relevante, por cuanto que mientras que el primero se protege desde la propia abstención de los sujetos que eventualmente pueden lesionar el derecho; la tutela informática requiere, además, la adecuación de su comportamiento con una acción concreta: suprimir datos, modificarlos, restringir su uso, emplearlos para fines legítimos, etc.

Como afirma la STSJ País Vasco 17 de abril 2012 (rec. 831/2012):

“el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre datos personales que faculta a la persona para decidir cuales de esos datos proporciona a un tercero o cuales puede este tercero recabar y también permiten al individuo saber quien posee esos datos y para que se poseen pudiéndose oponerse a lo mismo. Por ello esos poderes de disposición y control que constituyen parte del contenido del Derecho Fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida obtención de acceso a los datos personales y su posterior almacenamiento y tratamiento así como su uso o posibles usos por terceros. Los complementos indispensables son, por un lado, la facultad de saber en todo momento quien dispone de esos datos y por otro a que uso los está sometiendo, para poder oponerse a esa posesión y usos”.

Normalmente, la atención acostumbra a focalizarse en la intensidad con la que debe protegerse la intimidad de los trabajadores o, dicho de otro modo, en qué circunstancias prevalece la capacidad de control por parte del empresario.

Sin embargo, éste no es el único derecho fundamental que puede verse vulnerado, pues, si se prevé un control de estos instrumentos informáticos es probable que también se esté procediendo a una recogida sistemática y exhaustiva de datos memorizados sobre aspectos del comportamiento del trabajador. Y, por consiguiente, el derecho a la libertad informática puede verse afectado.

Como apunta la STSJ Cantabria 18 de enero 2007 (rec. 1149/2006)

“el hecho de que no se halle vedada la utilización de las nuevas tecnologías entre los instrumentos disponibles para el control y vigilancia de la actividad laboral, no comporta que su aplicación pueda hacerse de manera omnímoda e indiscriminada, con abstracción de los derechos fundamentales del trabajador”.

Afirmación que complementa con el siguiente razonamiento

“el derecho a la privacidad se encuentra asimismo amparado por el Art. 18.4 de la CE , habiéndose cuidado el Tribunal Constitucional de advertir que nada legitima que quienes prestan servicios en organizaciones empresariales por cuenta y bajo la dependencia de sus titulares “deban soportar despojos transitorios o limitaciones injustificadas de sus derechos fundamentales o libertades públicas, que tienen un valor central y nuclear en el sistema jurídico constitucional” ( SSTC núm. 88/1985, de 19 de julio, F.J. 2º y 129/1989, de 17 de julio, F.J. 3º ); de manera especifica, comentando la incidencia del Convenio del Consejo de Europa de 1981 en la interpretación del Art. 18.4 de la CE , la STC núm. 254/1993, de 20 de julio , recuerda que este precepto tiene como finalidad garantizar a toda persona física el respecto de sus derechos y libertades fundamentales, y en especial el respeto de su derecho a la vida privada respecto del tratamiento automatizado de sus datos personales”.

Añadiendo que

“a nadie se le oculta el hecho de que, a través del control de los lugares visitados [en internet], pueden reconstruirse aspectos propios de la vida privada del trabajador”.

Y, en este sentido, es muy importante tener en cuenta que aunque el empresario actúe con transparencia y cumpla con las exigencias

“que derivan de la buena fe y que deben presidir el ejercicio de las facultades de control y vigilancia, cuando informo a los tres trabajadores de la empresa y, por ende, también al actor, del establecimiento de un sistema de control destinado a la verificación del uso de Internet, otro cosa es que haya respetado las garantías que se derivan de los Art. 6 y 7 de la Directiva 1995/46CE”.

En efecto, como es bien sabido, no existe una norma que atienda específicamente a las particularidades que presenta la relación laboral, debiéndonos remitir a la Ley Orgánica 15/1999, de Protección de Datos (en adelante, LOPD). Los elementos conceptuales sobre los que se sustenta esta normativa son el principio de congruencia y racionalidad, por un lado; y el principio de consentimiento o autodeterminación, por otro.

La incardinación del primero de estos principios en el ámbito laboral implica que el empresario, en el ejercicio de sus facultades, está habilitado legalmente para recabar información de diversa naturaleza de sus trabajadores, siempre que la emplee para las finalidades específicamente descritas en la normativa laboral, sin que en ningún caso, pueda destinarla a otros usos, pues, de otro modo, estaría incurriendo en una práctica ilícita (ver, SSTC 11/1998; y 202/1999).

Y, en relación al segundo de los principios, es importante reparar que a pesar de que el empresario, según los casos, pueda estar eximido de requerir el consentimiento del trabajador, esto no obsta a que éste tenga derecho a saber sobre su existencia y el tratamiento que se está llevando a cabo. De modo que, siempre que los datos hayan sido obtenidos de un modo lícito, una vez creado el fichero, el sistema de garantías debe prevalecer. Esto es, el responsable del mismo o su representante, dentro de los tres meses siguientes al momento del registro de los datos (salvo que ya hubiera sido informado con anterioridad), deberá informar al trabajador previamente de modo expreso, preciso e inequívoco sobre el contenido del tratamiento y la procedencia de los datos y de los siguientes extremos (art. 5.4 LOPD):

– de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información;

– de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; y

– de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

De modo que si el trabajador no ha sido informado sobre las circunstancias particulares que justifican la existencia de un fichero, así como del alcance y ámbito de aplicación del mismo debe calificarse como ilegal.

Sin olvidar, finalmente, que los datos registrados no pueden permanecer en posesión del responsable del fichero de un modo indefinido, sino que una vez cese la finalidad para la cual los datos fueron recogidos y registrados deben suprimirse (art. 4.5 LOPD).

Y esta matriz (brevemente expuesta) describe, precisamente, la clave de bóveda del conflicto entre el derecho a la libertad informática y el poder de control por parte del empresario, pues, la digitalización de gran parte de los dispositivos a disposición de los trabajadores y de sus comunicaciones y, en particular, la extraordinaria facilidad para su eventual almacenamiento coloca al empresario ante la necesidad de dar cumplimiento de los deberes descritos en la LOPD. En caso contrario, debería considerarse que se ha vulnerado los derechos fundamentales de los trabajadores.

Porque como expone la STSJ Cantabria 18 de enero 2007 (rec. 1149/2006)

“tal acopio de datos, en la medida en que entrañaba un control sistemático de los sitios visitados, así como de su frecuencia, tiempo de conexión y navegación, permiten reconstruir aspectos subjetivos relativos a la intimidad del trabajador, y ello excede sin duda de la finalidad declarada: conocer el uso que se hacía de Internet en horas de trabajo, que era el parámetro que debió modular el nivel y la intensidad de la recogida de datos, y que al ser rebasado deslegitima el comportamiento empresarial, pues constituye un principio básico de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , que sólo se podrán recoger datos de carácter personal para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido (Art. 4.1), lo que también se deduce del Considerando 28 de la Directiva 1995/46 cuando indica que ‘todo tratamiento de datos personales debe efectuarse de forma lícita y leal con respecto al interesado; que debe referirse, en particular, a datos adecuados, pertinentes y no excesivos en relación con los objetivos perseguidos; que estos objetivos han de ser explícitos y legítimos, y deben estar determinados en el momento de obtener los datos’. Tampoco se puede compartir el criterio de que el medio técnico elegido fuera adecuado y necesario puesto que se pudo acudir a otras medidas menos ingerentes sobre la privacidad del trabajador, que igualmente podían satisfacer el interés empresarial en un grado similar al empleado”.

Por otra parte, a pesar del contenido del art. 20.3 ET, debe entenderse que el tratamiento de datos emitidos por el sistema de GPS instalados en los vehículos debe cumplir con lo dispuesto en la LOPD. Esto es, debe informarse al trabajador según lo previsto en el art. 5.1 LOPD (Informe AEPD 2008\193).

2. Valoración final

Lo “curioso” (y/o – a mi entender – sorprendente) del caso es que, si bien es (relativamente) frecuente que el derecho a la intimidad del trabajador en el uso extralaboral de estos dispositivos ceda frente a la capacidad de control del empresario y, por consiguiente, los Tribunales – en base a los datos obtenidos – admitan la resolución del contrato por vulneración de la buena fe contractual, las posibles violaciones del derecho a la libertad informática son abordadas en contadas ocasiones.

Convirtiéndose, por consiguiente, en un instrumento de defensa infrautilizado.

Finalmente, recomiendo también la lectura de una aproximación reciente a este fenómeno efectuada por el Magistrado Miquel Àngel Purcalla en el Blog del Prof. Antonio Fernández cuyo seguimiento recomiendo encarecidamente.

 


Nota: Hace algunas semanas les expuse las (deliciosas) “tensiones” que mantenía con los dos (geniales) autores de las ilustraciones a las que acompaño algunos comentarios jurídicos (recuerden que reclamaban que “el blog es nuestro!”).

Después de “árduas” negociaciones, hemos convenido que cada uno tenga su propio espacio en la red, para que puedan proyectar universalmente todo su (infinito) talento.

El resultado son estos dos prometedores espacios web: bessons2009; y sisotwins

Aunque me han confirmado que mantienen su compromiso con el blog de quien les escribe (ilustraciones a las que seguiré acompañando algunas valoraciones jurídicas), espero, en todo caso, que ahora que iniciamos proyectos separados los lectores no me abandonen…

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *