¿PUEDE LA EMPRESA VIGILAR EL USO PERSONAL DE LOS ORDENADORES A LOS EMPLEADOS ANTE LA PROTECCIÓN DE DATOS PERSONALES?

27 Abr ¿PUEDE LA EMPRESA VIGILAR EL USO PERSONAL DE LOS ORDENADORES A LOS EMPLEADOS ANTE LA PROTECCIÓN DE DATOS PERSONALES?

Es el caso del que trata la Sentencia del Tribunal Europeo de Derechos Humanos (TEDH), conocida como Caso Barbulescu frente a Rumanía. En dicho caso había una normativa general legítima que prohibía a los empleados utilizar los ordenadores de la empresa para usos personales -el reglamento interno de la empresa, aunque otras veces es el convenio colectivo-. Sin embargo la sentencia del TEDH entiende –aquí está la importancia- que para que sea legítima la vigilancia hecha por la empresa a los trabajadores no es suficiente con una prohibición del uso particular de los sistemas informáticos de la empresa. Ni siquiera sería suficiente para legitimar el control empresarial el que una normativa general –bien un convenio colectivo, bien un reglamento interno de la empresa, etc.- advierta sobre la posibilidad de la vigilancia empresarial de las comunicaciones de los trabajadores que utilicen los sistemas informáticos de la empresa para comprobar si se destinan a fines prohibidos, sino que se exige una información más específica y concreta, que permita conocer a los afectados el «alcance y naturaleza del control» que se va a realizar.

También, esa información debe ser dada al trabajador con anterioridad a que comience la actividad de supervisión para que el control sea legítimo.

Mas concretamente el trabajador tiene que conocer los datos de carácter personal que son recopilados por el empresario, las categorías de datos que serán tratados y una descripción de las finalidades del tratamiento.  En todo caso, la información deberá suministrarse al empleado antes de que realice la actividad o acción prevista en la que se obtengan los datos personales.

En lo que respecta a España esta protección ya se viene aplicando mediante el denominado test de proporcionalidad constitucional cuando se da un conflicto entre derechos fundamentales –como son los derechos fundamentales a la intimidad, protección de datos personales y al secreto de las comunicaciones del lado del trabajador, y el poder de dirección como interés legítimo, por el lado de la empresa-. Con este test se comprueba y evalúa si la medida de control empresarial está justificada en relación con los riesgos que existan, si es eficaz para obtener el fin legítimo perseguido, si es necesaria por no haber otra medida menos restrictiva del derecho fundamental afectado y proporcionada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

La sentencia Barbulescu al hablar de los riesgos empresariales que justifican la adopción de medidas de control requiere expresamente que sean reales y estén acreditados, no siendo suficientes las simples suposiciones o conjeturas teóricas.

En cuanto a la proporcionalidad y el que la medida restrictiva del derecho fundamental sea necesaria, de manera que no exista otra menos limitativa del derecho que permita conseguir los mismos fines podría decirse que en muchos casos resulta más práctico utilizar los medios tecnológicos disponibles para evitar actuaciones indebidas de los trabajadores que controlarlas.

En este sentido es en el que se pronuncia el Grupo de Trabajo del Artículo 29 (GT 29), creado por la Directiva 95/46/CE, y que es un órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea, que además hace referencia al consentimiento del trabajador como criterio legitimador del tratamiento de sus datos personales. La conclusión a la que llega es que, en la mayoría de los casos, dicho consentimiento no es un criterio legitimador válido para el tratamiento, puesto que el trabajador está bajo el poder de dirección y disciplinario del empresario y, por tanto, su decisión no es enteramente libre, sino que está mediatizada. Sólo en aquellos supuestos –no muy habituales- en los que se acredite que puede expresarse de manera totalmente libre y, además, rectificar posteriormente su decisión, podrá admitirse el consentimiento como base legal para el tratamiento de sus datos.

En general, el criterio que permite el tratamiento válido de los datos personales de los empleados es la existencia de intereses legítimos del empresario.