Social

La sentencia Barbulescu contra Rumanía (TEDH): Algunas reflexiones sobre la protección de datos personales

Tribuna

I. El control empresarial de los sistemas informáticos: derechos afectados

Mucho se ha escrito en el ámbito jurídico sobre el uso de las nuevas tecnologías en la empresa y su control por el empresario -en particular Internet y el correo electrónico o los modernos sistemas de mensajería-. Especialmente en lo que se refiere a los límites del empresario para supervisar su correcta utilización por los trabajadores en la ejecución de la prestación laboral, de manera que no se vulneren los derechos de los empleados.

Esta abundante literatura jurídica se produce, en buena medida, porque nos enfrentamos ante nuevos retos derivados de una materia que está en constante evolución. Tanto en su aspecto técnico, lo que exige tratar nuevas situaciones y problemas, como en el jurídico, en el que la legislación se está desarrollando y ampliando y la jurisprudencia es cambiante, por no decir vacilante.

Por otra parte, el control empresarial sobre la utilización del correo electrónico e Internet es una materia muy sensible, que afecta a derechos fundamentales de los trabajadores, en particular al derecho a la intimidad y al secreto de las comunicaciones (art.18.1 y 3 Const -EDL 1978/3879-). Además, el empresario debe respetar la dignidad de los trabajadores en el ejercicio de sus facultades de dirección y control, tal como exige el art.20.3 ET -EDL 2015/182832-; si bien la dignidad de la persona a la que se refiere el art.10.1 Const no constituye un derecho fundamental susceptible de protección autónoma, sino que opera en relación con los derechos fundamentales propiamente dichos.

Junto a estos derechos, existe otro que cada vez cobra mayor importancia en el ámbito laboral y que, en ocasiones, se tiende a confundir con el derecho fundamental a la intimidad. Se trata de la protección de datos personales, a la que se refiere de manera un tanto imprecisa el art.18.4 Const -EDL 1978/3879- cuando dispone que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Con este precepto el constituyente quiso garantizar un ámbito de protección específico y más idóneo que el que podían ofrecer, por sí mismos, los derechos fundamentales mencionados en el apartado 1 del precepto (TCo 292/2000 -EDJ 2000/40918-).

La singularidad del derecho a la protección de datos deriva, por un lado, de que su objeto es más amplio que el del derecho a la intimidad, ya que no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales. Los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo.

Pero también el derecho fundamental a la protección de datos posee una segunda peculiaridad que lo distingue de otros, y es que atribuye a su titular un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros unos concretos deberes de hacer: que se requiera el previo consentimiento para la recogida y uso de los datos personales, que se informe al titular sobre su destino y uso y que se le permita acceder, rectificar y cancelar dichos datos. En definitiva, le confiere el poder de disposición sobre los datos personales (TCo 254/1993 -EDJ 1993/7394-).

La protección de datos personales cobra cada día más importancia en el ámbito laboral, ya que en muchas de las actividades ordinarias que se desarrollan en la empresa se recopila, usa o almacena información sobre los trabajadores por medios electrónicos. Y no cabe duda de que el control empresarial de la actividad desarrollada por los empleados, ya sea a través de la supervisión del correo electrónico, del uso de Internet o mediante cámaras de video-vigilancia, conlleva el tratamiento de datos personales. La necesidad de proteger estos datos personales está llevando a elaborar, tanto en el ámbito nacional como comunitario, normas, códigos y recomendaciones para garantizar su protección.

Con el afán de realizar alguna aportación de interés, me referiré a la reciente sentencia 5-9-17 del TEDH (Gran Sala), caso Barbulescu contra Rumanía (TEDH201761) -EDJ 2017/169399-, poniéndola en relación, especialmente, con el derecho a la protección de datos personales.

II. Repercusión de la sentencia Barbulescu -EDJ 2017/169399- en las garantías del control empresarial

La amplia repercusión que la sentencia Barbulescu -EDJ 2017/169399- está teniendo en el ámbito del derecho laboral de nuestro país deriva, fundamentalmente, de que introduce alguna corrección o matización a la actual doctrina constitucional española sobre las garantías exigibles para el lícito control empresarial de los sistemas informáticos utilizados por los trabajadores.

La doctrina nacional venía fijada, entre otras, por la STCo 170/2013, de 7 octubre -EDJ 2013/182887-, también de amplia repercusión, que se refirió a estas garantías en los supuestos de utilización por los trabajadores de los sistemas informáticos de la empresa para un uso privado no permitido.

1. Información y transparencia

La jurisprudencia constitucional fijada por la STCo 170/2013 -EDJ 2013/182887- matizó la necesidad de informar previamente al trabajador de la supervisión o monitorización de las herramientas electrónicas que la empresa había puesto a su disposición. Así, en aquellos casos en los que el convenio colectivo prohíbe el uso privado de los sistemas informáticos, como sucedía en el supuesto enjuiciado, que tipificaba la conducta como infracción, la sentencia entiende que se destruye la expectativa de confidencialidad que protege al trabajador y se legitima el control empresarial sin necesidad de una advertencia o información previa al usuario, puesto que esa posibilidad de supervisión aparece implícita en la prohibición del uso privado. Viene a adoptar una posición coincidente con la STS (Sala 4ª) 6-10-11 (rec 4053/10) -EDJ 2011/30882-, para la que una prohibición absoluta por el empresario del uso de los sistemas informáticos para fines particulares lleva implícita la posibilidad de su control y fiscalización.

Frente a esta doctrina nacional, la sentencia Barbulescu -EDJ 2017/169399- pone el acento en la necesidad de informar o advertir al trabajador del alcance y naturaleza del control efectuado por la empresa o de la posibilidad de ese control para acceder al contenido de sus comunicaciones. Además, la información debe ser previa al comienzo de la actividad de supervisión.

En el caso enjuiciado por el TEDH, al igual que en el de la STCo 170/2013 -EDJ 2013/182887-, existe una normativa que con carácter general prohíbe utilizar los ordenadores de la empresa para usos personales -en el caso europeo el reglamento interno de la empresa en vez del convenio colectivo-. Pero, de la lectura de la sentencia del TEDH se deduce –y esto es lo relevante- que no es suficiente con una prohibición del uso particular de los sistemas informáticos de la empresa para convertir en legítima su vigilancia. Tampoco parece suficiente para legitimar el control empresarial que una normativa general -ya sea un convenio colectivo, un reglamento interno de la empresa, u otra similar- establezca una advertencia genérica sobre la posibilidad de la supervisión empresarial de las comunicaciones de los trabajadores que utilicen los sistemas informáticos de la empresa para verificar si se destinan a fines prohibidos, sino que se exige una información más específica y concreta, que permita conocer a los afectados el «alcance y naturaleza del control» que se va a realizar.

Además, esa información debe ser previa al comienzo de la actividad de supervisión para que el control sea lícito. En el caso enjuiciado, como la propia sentencia recoge, la empresa difundió entre los trabajadores (incluido el recurrente) una nota informativa que contenía una referencia genérica a la posibilidad de que la empresa verificase y vigilase el trabajo de sus empleados, adoptase las medidas oportunas contra los trabajadores que incurriesen en una falta a la normativa y castigase dichas faltas. Sin embargo, esa nota informativa fue conocida y firmada por el trabajador en el período comprendido entre el 3 y el 13 de julio de 2007 (ya que no quedó acreditada la fecha exacta), en la misma franja temporal en que se registraron en tiempo real sus conversaciones (entre el 5 y el 13 de julio de 2007). Por tanto, la advertencia o información del control ya no podía ser calificada como previa a éste y, además, se trataba de un información genérica.

Esta necesidad de informar previamente al trabajador se integra dentro del principio de transparencia que, junto a otros, delimitan las líneas fundamentales que el empresario debe tener en cuenta en el tratamiento de los datos personales para garantizar los derechos de sus empleados. Este principio está contemplado expresamente en los trabajos de los expertos comunitarios, recogiéndose en el reciente dictamen elaborado por el Grupo Europeo de protección de datos del art. 29 sobre el tratamiento de datos personales en el contexto laboral (1) y en la Recomendación CM/Rec (2015)5 del Comité de Ministros a los Estados miembros sobre el tratamiento de datos de carácter personal en el ámbito del trabajo, adoptada el 1 de abril de 2015.

Conforme a este principio el trabajador debe conocer los datos de carácter personal que son recopilados por el empresario, las categorías de datos que serán tratados y una descripción de las finalidades del tratamiento. Especial relevancia adquiere la información sobre las categorías de datos personales que pueden recogerse por medio de las tecnologías de la información y comunicación (TIC) en las actividades de vigilancia y su utilización potencial. En todo caso, la información deberá suministrarse al empleado antes de que realice la actividad o acción prevista en la que se obtengan los datos personales.

Precisamente la sentencia Barbulescu del TEDH -EDJ 2017/169399- reprocha a los tribunales rumanos que no apreciaron la falta de información previa al trabajador, puesto que la información y el acceso empresarial a sus comunicaciones tuvieron lugar cuando ya había comenzado el procedimiento disciplinario contra él.

2. Proporcionalidad en la vigilancia y control

La sentencia -EDJ 2017/169399- también se refiere a otros requisitos para legitimar la vigilancia. En concreto menciona la necesidad de ponderar las razones que legitiman las concretas medidas de control adoptadas por la empresa que, en este caso, tenían un carácter muy invasivo de los derechos fundamentales del trabajador, puesto que se registraron en tiempo real sus comunicaciones y se transcribieron. Esta intervención comprendió tanto los mensajes de la cuenta de Yahoo Messanger abierta a instancia de la empresa por el trabajador, que contenía conversaciones privadas con su hermano, como de la cuenta de mensajería privada que tenía en el mismo operador, de la que se extrajeron cinco mensajes dirigidos a su novia.

La exigencia no introduce ninguna novedad en la doctrina constitucional española, que viene aplicando el denominado test de proporcionalidad constitucional cuando se produce una confrontación entre derechos fundamentales -en el caso que nos ocupa los derechos fundamentales a la intimidad, protección de datos personales y al secreto de las comunicaciones del lado del trabajador, y el poder de dirección como interés legítimo de la empresa-. Este test permite verificar y ponderar si la medida de control empresarial está justificada en atención a los riesgos existentes, si es idónea para obtener el fin legítimo perseguido, necesaria por no haber otra menos restrictiva del derecho fundamental afectado y proporcionada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

En relación con los riesgos empresariales que justifican la adopción de medidas de control, la sentencia Barbulescu -EDJ 2017/169399- exige expresamente que sean reales y estén acreditados, no bastando con meras suposiciones o indicaciones teóricas. En el caso concreto enjuiciado, el tribunal rumano consideró que el control se justificaba por la necesidad de la empresa de evitar una vulneración de sus sistemas informáticos, el cuestionamiento de su responsabilidad en caso de actividad ilegal en el espacio virtual y en la divulgación de secretos comerciales. Sin embargo, el TEDH pone en duda la necesidad del control empresarial, puesto que éste se basó en razones teóricas, al no constar acreditado que la empresa hubiese estado expuesta a esos riesgos por la conducta del trabajador sancionado.

La sentencia del TEDH -EDJ 2017/169399- también achaca a los tribunales rumanos que no examinaran si existían otras medidas menos intrusivas que acceder directamente a las comunicaciones del trabajador. Esta es otra de las exigencias del juicio de proporcionalidad constitucional: que la medida restrictiva del derecho fundamental sea necesaria, de manera que no exista otra menos limitativa del derecho que permita conseguir los mismos fines. Parece claro que la empresa deberá optar por aquellas medidas o sistemas de supervisión menos agresivos, tales como los dirigidos a discriminar el carácter profesional o privado de los mensajes enviados, su número, los destinatarios, el tiempo dedicado a la actividad, etc., dejando para aquellos supuestos en los que resulte estrictamente necesario y sea admisible, el posible control del contenido de los mensajes.

En este sentido, el Grupo de Trabajo del art.29 potencia la prevención de los riesgos frente a la vigilancia. En muchas ocasiones resulta más efectivo utilizar los medios tecnológicos disponibles para evitar actuaciones indebidas de los trabajadores que controlarlas.

Por lo que se refiere específicamente al tratamiento de datos personales procedentes de páginas de Internet o de la intranet consultadas por los trabajadores, la Recomendación CM/Rec (2015)5 del Comité de Ministros a la que ya se ha hecho referencia, en vez de un control directo aconseja la utilización preferente de medidas preventivas, tales como la configuración de sistemas o la utilización de filtros que pueden impedir ciertas operaciones. En todo caso, si resulta necesario el control de los datos personales es preferible realizarlo de manera gradual y mediante sondeos no individualizados, a través del uso de datos anónimos o, de alguna manera, agregados.

Cuando los intereses en juego hacen necesario el acceso a las comunicaciones electrónicas del trabajador, resulta esencial distinguir entre las profesionales y las privadas. Respecto de las primeras, la Recomendación CM/Rec (2015)5 del Comité de Ministros sólo considera admisible el acceso empresarial de resultar necesario por razones de seguridad o por otros motivos legítimos. Igualmente dispone que, en ausencia de un empleado, la empresa deberá tomar las medidas necesarias y establecer los procedimientos adecuados para permitir el acceso a las comunicaciones electrónicas profesionales, únicamente cuando dicho acceso sea necesario desde un punto de vista profesional. El acceso deberá producirse de la manera menos intrusiva posible y sólo después de informar a los empleados en cuestión. Sin embargo, se rechaza completamente la vigilancia del contenido, envío y recepción de las comunicaciones electrónicas privadas en el marco del trabajo.

Se trata, en definitiva, de aplicar el principio de proporcionalidad, manifestación de la lealtad y buena fe de la empresa en su trato con el trabajador. Este principio exige que las medidas de vigilancia y control guarden proporcionalidad con los riesgos potenciales del empresario, y que los datos personales que se posean o utilicen como consecuencia del control sean adecuados, pertinentes y no excesivos respecto a los fines que justifiquen dicho control. Además, el Grupo de Trabajo del art. 29 también aconseja que la empresa evalúe el impacto que produce el tratamiento de datos derivado de la monitorización de las TIC en el trabajo, y adopte medidas para reducirlo.

3. Consentimiento del trabajador para el tratamiento de datos personales

Otro aspecto importante contemplado en el dictamen del Grupo de Trabajo del art. 29 hace referencia al consentimiento del trabajador como criterio legitimador del tratamiento de sus datos personales. La conclusión a la que llega es que, en la mayoría de los casos, no es un criterio legitimador válido para el tratamiento, puesto que el trabajador está bajo el poder de dirección y disciplinario del empresario y, por tanto, su decisión no es enteramente libre, sino que está mediatizada. Sólo en aquellos supuestos –no muy habituales- en los que se acredite que puede expresarse de manera totalmente libre y, además, rectificar posteriormente su decisión, podrá admitirse el consentimiento como base legal para el tratamiento de sus datos.

En general, el criterio que permite el tratamiento válido de los datos personales de los empleados es la existencia de intereses legítimos del empresario. Y, como hemos visto, en el caso Barbulescu el TEDH -EDJ 2017/169399- consideró que no estaban acreditados, puesto que los riesgos que justificaban el control de las comunicaciones eran exclusivamente teóricos.

NOTAS:

Dictamen 2/2017, de 8 de junio, sobre tratamiento de datos en el trabajo del Grupo de Trabajo del art. 29. Se trata de un órgano de carácter consultivo, creado por la Directiva 95/46/CE -EDL 1995/16021-. Su funcionamiento es independiente y está integrado por las Autoridades de Protección de Datos de todos los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea.

 

Este artículo ha sido publicado en la "Revista de Jurisprudencia", el 15 de abril de 2018.

(Puedes consultar Legislación y Jurisprudencia en nuestra Base de Datos).