ADEMAS, DEBE BUSCARSE SIEMPRE LA MEDIDA DE CONTROL MENOS INVASIVA PARA EL TRABAJADOR
Es necesario que la empresa, en todo tratamiento de datos personales que
haga, cumpla con los principios de protección de datos: ‘licitud,
lealtad y transparencia’, ‘limitación de la finalidad’, ‘minimización de
datos’, ‘exactitud’, ‘limitación del plazo de conservación’ e
‘integridad y confidencialidad’. Y, por supuesto, que documente todas
las acciones que toma para ello.
En una de sus primeras resoluciones, la PS/0067/2020, el regulador se
hace eco de una denuncia de un sindicato de una empresa de Zaragoza
sobre unas grabaciones de unas conversaciones de forma irregular, para
sancionarla con un apercibimiento a dicha empresa, a la que da un plazo
de un mes para resolver esa política de privacidad equivocada.
Expertos como Víctor Salgado, socio director del despacho Pingos & Salgado Abogados, Vanesa Alarcón, socia responsable del área de TMT en Fieldfisher Jausas y Laura Davara,
socia del despacho Davara & Davara Asesores Jurídicos, analizan
esta resolución y advierten que la Agencia Española de Protección de
Datos (AEPD) también ha puesto el foco en el control empresarial del
trabajador, donde ante cualquier medida o grabación visual o sonora hay
que informar previamente a trabajadores y representantes sindicales es
obligatorio en esos casos.
A juicio de estos expertos, esta situación genera que las medidas de
prevención de riesgos laborales de las empresas tendrán que adaptarse a
este escenario.
Está claro que la AEPD va a estar pendiente del control
de los empleados por parte de las empresas, ya lo hizo con la
geolocalización de los trabajadores, y es previsible que dicha labor de
supervisión se extienda al teletrabajo, que desde hace unos días estrena nueva normativa en nuestro país.
UNA RESOLUCIÓN QUE MARCA UN PRECEDENTE
Para Salgado, de Pintos & Salgado Abogados,
especializado en derecho tecnológico, advierte que “es una de las
primeras resoluciones de la AEPD que aborda el tema de la privacidad de
los trabajadores en su lugar de trabajo.
En el fallo apercibe a la
empresa y le obliga a solventar el problema que tiene de las grabaciones
que se hacen en el seno de la misma con un protocolo de actuación
definido. Esta es una sanción, donde queda claro el incumplimiento de la
ley”.
Desde su punto de vista “dicha resolución es un precedente y un aviso
a navegantes para lo que pueda surgir en acciones similares. La AEPD
hay que recordar que hace unos meses puso en marcha una Guía de Relaciones Laborales
en materia de privacidad, con lo cual es otro frente que se abre a las
empresas y a los expertos en privacidad. No se descarta que pasado un
tiempo el propio regulador pudiera comprobar que la empresa ha
modificado su política de actuación en materia de privacidad”.
A juicio de este experto las consecuencias de dicha resolución son
varias “la primera, que la empresa demandada aparece en dicho fallo con
una sanción, lo que repercute en su reputación y propia imagen. Al mismo
tiempo, debe corregir lo que le pide la AEPD en materia de privacidad.
Creo que lo lógico es que diseñasen unos protocolos claros en materia de
privacidad para adoptar las medidas adecuadas y evitar otra resolución
similar”.
Salgado explica a Confilegal que “la AEPD ha tenido
en cuenta que había una razón de fondo en el proceder de la empresa a
nivel de grabaciones de sus trabajadores, como es preservar su
integridad física. Tiene en cuenta las grabaciones de sonido que ha
hecho la propia compañía , pero lo que no ha hecho correctamente es no
cumplir con el deber de información de los trabajadores y sus
representantes, según el articulo 13 de la LOPDGDD [Ley Orgánica de
Protección de Datos y Garantía de Derechos Digitales]”.
La resolución de la AEPD recalca, según este experto “que cualquier
análisis de este tipo de situaciones debe hacerse a priori para poder
saber el impacto que puede tener en la privacidad de los trabajadores.
Ahora con el RGPD y el principio de responsabilidad proactiva, no solo
hay que cumplir la ley sino que también hay que demostrarlo que se está
en condiciones de cumplir con la normativa actual de protección de
datos. La empresa debe demostrar que en todo momento cumplió los
requisitos del RGPD [Reglamento General de Protección de Datos] y la
ley”.
En el caso de una reincidencia por parte de esta compañía, Salgado
aclara que “estaríamos ante una infracción grave y una desobediencia a
lo marcado por la AEPD. Con la normativa anterior al RGPD estaríamos
hablando de un mínimo de 40.000 euros, ahora, como ha cambiado el
baremo, el margen sería más amplio. Hasta ahora a empresas que no son
grandes las sanciones en un mínimo de 40.000 euros de sanción”.
Este jurista también nos señala que “alguno de los trabajadores
afectados por esa resolución podría, si no están de acuerdo con la
resolución recurrir por la via judicial ordinaria por los daños y
perjuicios que puedan sufrir los afectados. Lo único que habría que
acreditar en via judicial sería el daño causado, el incumplimiento legal
ha quedado patente por el propio procedimiento administrativo”.
BUSCAR MEDIDAS MENOS INVASIVAS
Alarcón, de Fieldfisher Jausas, sobre la Resolución de la AEPD considera que “la Agencia sí ha reconocido la comisión de la infracción
por parte de la compañía, pero, por el momento, no se le aplica la
sanción oportuna. Es la forma de actuar del regulador, sobre todo cuando
la empresa o el responsable del tratamiento no ha sido investigado ni
sancionado con anterioridad por parte de la Agencia”.
De este modo, la AEPD, le otorga una oportunidad para que la compañía
haga mejor las cosas. En el caso de que dicha compañía fuera
investigada nuevamente por cualquier motivo y se diera una circunstancia
de infracción, la AEPD entonces sí, seguramente, procedería a la
sanción”.
Al mismo tiempo destaca “que en la citada resolución se requiere a la
compañía para que informe a los trabajadores conforme establecen los
artículos 13 del RGPD y 89 de la LOPDGDD. Por lo tanto, en caso de que
no se ejecute lo requerido, también podría imponer la correspondiente
sanción”.
Para este jurista “la compañía tomó dichas medidas
como solución temporal a los posibles conflictos que se dan entre los
empleados en el día a día, teniendo en cuenta la integridad física de
dichos empleados, lo cual primaría frente al derecho a la protección de
sus datos”.
Recuerda que “se informó al comité de empresa, pero no se reflejó
esta situación en la documentación interna de la compañía, ni en la del
propio comité. Por lo que está claro que sí existe dicha infracción”.
Esta jurista recuerda que “es importante, por un lado, tener
en cuenta que la normativa de protección de datos no está por encima de
todo, sino que, en función de la situación, debe ponderase cuál es el
derecho que primaría por encima del otro, en caso de posible conflicto
entre ellos”.
Alarcón señala que “en el caso de la resolución
analizada, se procede a la colocación de estas grabaciones debido a un
intento de agresión de una empleada a otra. Luego, existe un riesgo de
que alguien pueda ser dañado físicamente y, por lo tanto, que se
infrinja en las instalaciones de una empresa, el derecho a la integridad
física y moral que, son derechos reconocidos como esenciales en la
propia Constitución Española”.
Por lo tanto, la empresa ha operado adecuadamente a la hora
de proteger la integridad física de los trabajadores, pero no a la hora
de informarles de esta medida que, en ningún caso, reuniría lo dispuesto
por los artículos citados antes, relativos al deber de información
sobre el tratamiento de datos.
Para esta experta, lo adecuado, además, hubiera sido – desconozco si se llevó a cabo – realizar un análisis de riesgos o pequeña evaluación de impacto,
en virtud de lo que establece la normativa de protección de datos, con
carácter de urgencia, previo implementar este tipo de soluciones; es
posible que tras el análisis se incorporasen otras medidas, tal vez,
menos intrusivas, si cabe”.
Otras cuestiones que destaca Alarcón es poder analizar y ver “quién es la persona que después supervisa dichas grabaciones y cómo se procede a dicha eliminación
del contenido, de esas grabaciones, ya que deberá darse cumpliendo con
lo dispuesto en la normativa, esto es, pudiéndose verificar y acreditar
que se trata de una eliminación total”.
Para Vanesa Alarcón “toda compañía que quiera implementar
este tipo de medidas de seguridad y control, desde el punto de vista de
la protección de datos, debe analizar la proporcionalidad y pertinencia
de implementar este tipo de soluciones, valorando si existen otras
medidas alternativas y que se puedan adoptar con carácter más prolongado
o permanente”.
De forma complementaria es partidaria de “ofrecer formación a los empleados
sobre ética, responsabilidad, ejemplos de lo que se puede o no puede
hacer con otros compañeros, así como sobre la existencia y
funcionamiento de los protocolos de acoso laboral, ampliando elementos
en aquellos que incluyan cómo actuar en este tipo de situaciones”.
GRABACIONES DEL EMPRESARIO, JUSTIFICADAS
Por su parte, Davara, socia de Davara & Davara
Asesores Jurídicos, “advierte que de la Resolución de la AEPD conviene
destacar cómo la propia Agencia deja claro que el uso de sistemas de
grabación -de voz o de imagen- por parte del empresario no está
prohibido, pero es necesario que se cumplan los siguientes requisitos”.
Davara explica que se trata de que “existan riesgos relevantes para
la seguridad de instalaciones, bienes y personas (tal y como pone de
manifiesto la entidad denunciada al afirmar que ha habido varios casos
en los que se ponía en peligro la integridad física de las encargadas),
que se cumpla con el principio de proporcionalidad y de intervención
mínima y, por supuesto, que se informe previamente y de manera
transparente sobre el tratamiento de datos personales que se está
llevando a cabo, tal y como exige el artículo 13 del Reglamento
europeo”.
Esta jurista señala que “el uso de dispositivos para controlar el
cumplimiento de las obligaciones laborales, así como para prevenir la
materialización de riesgos contra bienes, personas e instalaciones
encuentra su amparo legal tanto en el artículo 20.3 del Estatuto de los
trabajadores como en el artículo 89.3 de la LOPDGDD”.
Junto a esto destaca “numerosa jurisprudencia que, de manera
resumida, aparece reflejada en la propia Resolución de la AEPD que alude
a la sentencia del Tribunal Constitucional 114/1984, de 29 de
noviembre, y las sentencias del Supremo 222/2015, de 16 de abril o la
678/2014, de 20 de noviembre”.
Desde su punto de vista “las TIC ofrecen al empresario multitud de
posibilidades para llevar a cabo el control del cumplimiento de las
obligaciones laborales. Pero no todo vale.
Es necesario que las empresas
“cambien el chip” y pongan la protección de la privacidad de los
trabajadores en el centro de sus acciones, de esta manera se evitarán
muchos “sustos” en forma de posibles sanciones de la AEPD.”
Esta jurista también señala que “la empresa debe cumplir con lo
dispuesto por el Real Decreto-ley 28/2020, de 22 de septiembre, de
trabajo a distancia. Una de las obligaciones es formar a los
teletrabajadores sobre ‘cómo teletrabajar’. Puede parecer innecesario,
pero es imprescindible. Y es algo que empresas y trabajadores deben
entender…y esperamos que no tengan que aprender a base de sanciones”.
También comenta que “es necesario que la empresa, en todo tratamiento
de datos personales que haga, cumpla con los principios de protección
de datos: ‘licitud, lealtad y transparencia’, ‘limitación de la
finalidad’, ‘minimización de datos’, ‘exactitud’, ‘limitación del plazo
de conservación’ e ‘integridad y confidencialidad’. Y, por supuesto, que
documente todas las acciones que toma para ello, dando cumplimiento,
así, al principio de ‘accountability’”.
Fuente: Confilegal
