Seguro que todos hemos oído hablar en alguna ocasión o, conocemos algún caso en el que un trabajador ha sido monitorizado, se ha accedido a su correo electrónico corporativo o, se ha ejercido cualquier tipo de fiscalización por parte del empresario sobre los dispositivos que éste pone a disposición del empleado mientras exista relación laboral.
Desde el punto de vista del empleado, podríamos pensar que el empresario no puede utilizar medios que atenten contra tu privacidad porque, por el mero hecho de firmar un contrato no pierdes o renuncias a los derechos que te son inherentes. Y, por otro lado, desde el prisma del empresario, éste podría pensar que el trabajador desde el momento en el que comienza a formar parte de la entidad, todo lo que hace es propiedad de la empresa y, por ende, tiene derecho a acceder por cualquier medio a la información que contienen los dispositivos.
Como sería de imaginar, no todo es blanco o negro sino que existen escalas de grises. Aunque si bien es cierto que el empresario podrá ejercer su poder de control en base al interés legítimo y la relación laboral que une al trabajador con éste, no podrá ejecutarlo como él quiera pues siempre tendrá que tener en consideración diferentes principios como son:
- Necesidad: el control debe ser oportuno para alcanzar el objetivo marcado.
- Limitación y legitimidad: El empresario podrá recabar datos con una finalidad específica y legítima.
- Transparencia: El empresario deberá facilitar, con carácter previo a la implantación del control, toda la información al empleado.
- Proporcionalidad: El control debe ser proporcional al objetivo perseguido.
- Seguridad: El empresario deberá implementar aquellas medidas de seguridad que sean necesarias en aras de proteger los datos a los que se tenga acceso.
A título de ejemplo, podemos hacer mención al informe que elaboró el Grupo de Trabajo del Artículo 29 sobre la vigilancia de las comunicaciones electrónicas en el lugar de trabajo en el que establecía que: “el simple hecho de que una actividad de control o de vigilancia sea considerada útil para el interés del empleador no justifica en sí misma la intrusión en la vida privada del trabajador, y toda medida de vigilancia debe responder a cuatro criterios: transparencia, necesidad, equidad y proporcionalidad”.
Será a raíz de la Sentencia Barbulescu II cuando se establezca que aunque las instrucciones empresariales relativas al respeto a la vida social/privada en el entorno laboral sean restrictivas y, mitiguen la expectativa de privacidad del empleado, dichas instrucciones no podrán reducir a cero la vida privada del interesado (todavía los tribunales españoles no han aplicado esta apreciación, evaluando únicamente si el interesado ha sido informado correctamente o no). Por lo que si pensabais que emitiendo al inicio de la relación laboral unas normas de uso de los sistemas muy restrictivas y destacando prohibiciones genéricas del uso de dispositivos electrónicos se acabarían los problemas… nada más lejos de la realidad.
La pregunta que nos puede surgir adoptando el prisma de empresario podría ser: ¿qué tendría que hacer para no vulnerar la privacidad de los empleados pero, poder controlar el uso que éstos hacen de mis activos? En este post, daremos algunas instrucciones pero debemos tener en cuenta que no se trata de un numerus clausus:
- Debemos tener en cuenta que toda relación contractual se basa en la buena fe contractual (Art. 5 ET), por lo que no podemos partir de la base de que el empleado incumplirá su obligación para con el empresario. En aquellos casos en los que la relación laboral se desarrolle fuera de España o, la relación tenga carácter mercantil, el empresario deberá recopilar todas las restricciones, clasificación y usos de la información, monitorización y grado de la misma, vinculación o referencia a todo aquel documento que sea relevante para prestar el servicio, así como cualquier otro aspecto a tener en cuenta para el desempeño del trabajo, en el contrato que firmen las partes para perfeccionar la relación.
- Elaboración de una política de uso de los sistemas TIC donde se recoja el uso que los empleados podrán hacer de los dispositivos, herramientas, redes, etc. que la empresa pone a su disposición y, donde se especifiquen las restricciones establecidas por la entidad, así como las acciones que la organización podrá emprender en caso de uso ilegítimo de los activos. Dicha política deberá ser entregada al inicio de la relación contractual para que el empleado sepa con carácter previo qué controles ejercerá la empresa.
- Elaboración de una política de clasificación de la información donde se establezcan los distintos tipos de información que se podrán manejar en la empresa y, los usos y restricciones aplicables a cada una de ellas; siendo imprescindible identificar algunos ejemplos a título enunciativo y no limitativo de lo que se concibe por información “confidencial”, etc.
- Elaborar una cláusula de recordatorio sobre los usos permitidos, que tendrá que ser aceptada por el usuario siempre que inicie sesión.
- Determinar de manera muy pormenorizada los usos permitidos y, las restricciones de los sistemas proporcionados por la entidad. No es conveniente quedarnos a alto nivel en cuanto a detalle se refiere. No obstante, debemos tener presente la doctrina del TEDH (Barbulescu II) donde se indica que la expectativa de privacidad del usuario no se puede reducir a cero.
- Implantar controles graduales, optando por aquellas medidas menos invasivas y utilizar las que son más intrusivas únicamente cuando se tienen sospechas fundadas del uso ilegítimo de los sistemas de información, previo aviso al interesado o a los delegados de personal o comité de empresa en el caso de existir.
A modo de conclusión, podríamos decir que antes de proceder con la implantación de un control que pueda vulnerar la privacidad del interesado, se deberá evaluar la causa que genera la necesidad de dicha implantación; es decir; el riesgo que repercute a la empresa el hecho de que un empleado actúe contra los valores de la empresa, filtre información de la misma, acometa cualquier hecho ilícito en el desempeño de sus funciones o, extralimitándose en éstas. Una vez se haya evaluado la necesidad del mismo, se deberá valorar si se trata del medio menos intrusivo llevando a cabo para ello una evaluación técnica del mismo y, posteriormente, antes de su implantación se deberá informar a los interesados o representantes de éstos; es decir; lo que se pretende es que el control sea proporcional al riesgo soportado por la empresa.