Control empresarial vs Protección de datos

Control empresarial vs Protección de datos

Desde que el pasado 14 de marzo de 2020 se decretara el Estado de Alarma como consecuencia de la pandemia de COVID-19 unido a la aprobación del Decreto-Ley 8/2020, las empresas españolas aceleraron los procesos de implantación del teletrabajo en sus organizaciones. Se pasó de un 4,8% de empleados españoles que realizaban teletrabajo antes de la pandemia a un 34%, tal y como reflejó un estudio realizado por el Instituto Valenciano de Investigaciones Económicas, sobre la base de encuestas y datos del INE.

Este aumento del teletrabajo ha disparado el interés de los empresarios en implantar herramientas de control laboral, y es que la digitalización de las organizaciones ha servido tanto para facilitar la modalidad de trabajo a distancia como para acentuar el control de la actividad de los empleados a través de herramientas tecnológicas específicas.

Colisión de derechos

La potestad de control empresarial está prevista en el artículo 20.3. del Estatuto de los Trabajadores (ET), y en el art. 38 CE consagrado como libertad de empresa, que permite a las empresas adoptar las medidas de vigilancia y control “que estimen más oportunas para verificar el cumplimiento por el empleado de sus obligaciones y deberes laborales” incluyendo el uso de dispositivos tecnológicos para medir la productividad.

Sin embargo, esta potestad del empresario no es absoluta, pues se encuentra limitada por el respeto del derecho fundamental a la protección de datos personales que tienen los empleados (art.18.4 CE), su intimidad (art.18.1 CE), a la dignidad (art.10.1 CE), asimismo, en algunos casos esta potestad empresarial puede entrar en conflicto con el derecho al secreto de las comunicaciones (art.18.3 CE).

Aun cuando el control empresarial obedezca a una legítima finalidad de supervisión de la actividad laboral, habrá de determinarse si el modo de ejecutarlo, esto es, los mecanismos de vigilancia de la actividad laboral utilizados por el empleador cumplen con las debidas garantías y derechos fundamentales del trabajador.

Por esta razón hay que acudir a la normativa de protección de datos y considerar sus requisitos de cumplimiento con el fin de asegurar el uso legítimo de estas herramientas de control y monitorización de empleados y así, en caso de detectar posibles incumplimientos de las obligaciones laborales, poder activar los mecanismos de sanción que correspondan con la debida seguridad jurídica.

Análisis de riesgos para la privacidad

Para cumplir con los principios de protección de datos en la implantación de herramientas de control empresarial, es necesario antes de su puesta en marcha realizar un juicio de valor entre los principios de proporcionalidad, necesidad e idoneidad de cada una de las medidas o herramientas de control que se desee implantar por parte de la empresa. Se ha de justificar la herramienta escogida de acuerdo con el principio de necesidad, optando por aquella medida que resulte menos intrusiva para la intimidad de los empleados y que sea proporcional al riesgo que se desee prevenir, adoptando medidas adicionales para mitigar el impacto del tratamiento de datos; para ello, resulta altamente recomendable realizar una evaluación de impacto antes de la introducción de cualquier tecnología de control.

Hay que tener en cuenta que mientras los trabajadores realizan su jornada laboral desde su domicilio personal, estas medidas de control empresarial pueden incidir en una esfera de contexto privado, por lo que hay que realizar un minucioso análisis previo en cuanto a los riesgos para la privacidad que pueda comportar para los mismos.

De acuerdo con el Considerando 78 del RGPD la empresa en su diseño, desarrollo, selección y uso de aplicaciones, servicios y productos que traten datos personales para cumplir su función, ha de asegurarse que utiliza solo aquellos que estén en condiciones de cumplir con la normativa de protección de datos.

Se ha de revisar el listado de tratamientos que requieren una evaluación de impacto de acuerdo con el art. 35.5. RGPD publicado por la AEPD. Solo en los casos en que tras realizar el análisis de riesgos (art. 24 RGPD), debidamente documentado, no prevalezcan los intereses y derechos fundamentales de los trabajadores a distancia, podrá llevarse a cabo este tratamiento de datos.

En este análisis de riesgos para la privacidad, se ha de garantizar el cumplimiento de la normativa de protección de datos y de los principios que rigen la misma, debiendo hacerse referencia a los principios de minimización de los datos, limitación de la finalidad o finalidades, limitación del plazo de conservación, implementar medidas de seguridad respecto a los accesos no autorizados, y políticas que eviten su destrucción o daño accidental.

Hay ciertos límites que hay que tener en cuenta:

  1. No monitorizar a los empleados fuera del horario de trabajo ni durante los tiempos de descanso durante la jornada laboral.
  2. Se han de respetar los espacios y zonas de descanso.
  3. No estaría justificada una monitorización continuada durante toda la jornada laboral por defecto sin adecuar los tratamientos específicos a las necesidades de la empresa que justificaran su implantación (privacidad por defecto y por diseño).

Deber de información

La legalidad del control empresarial no queda supeditada exclusivamente a la superación del triple test de proporcionalidad, pues deberá atenderse asimismo el deber de información de los empleados afectados en relación a cada una de las herramientas de monitorización de acuerdo con el art. 13 RGPD, detallar el alcance previsto de cada una de estas medidas de control identificando las posibles sanciones que correspondan en caso de detectar incumplimientos, de manera que los empleados cuenten con las expectativas razonables de este control laboral.

Bases legales de tratamiento

La voluntariedad que sustenta la modalidad de trabajo a distancia entre la empresa y los empleados no implica que el tratamiento de los datos de los empleados con fines de control empresarial se fundamente en el consentimiento del trabajador.

De acuerdo con el Considerando 42 y 43 del RGPD, el consentimiento no debe considerarse como libremente prestado en el ámbito laboral al existir una clara situación de desequilibrio entre empresario y trabajador, de acuerdo con las Directrices del Comité Europeo de Protección de Datos 05/2020 sobre el consentimiento de acuerdo con el RGPD. Por tanto, en el entorno de las relaciones laborales el tratamiento de datos de los empleados ha de fundamentarse en otra base jurídica que corresponda del art. 6.1 RGPD que no sea el consentimiento.

En términos generales, los empresarios deben garantizar que los tratamientos de los datos personales de los empleados para llevar a cabo el control empresarial:

  1. Se llevan a cabo con fines legítimos, específicos, proporcionados y necesarios para el fin que se pretende alcanzar.
  2. Tener en cuenta el principio de limitación de la finalidad, y asegurar que los datos sean adecuados, pertinentes y no excesivos para la finalidad prevista.
  3. Cumplir con el principio de transparencia y el deber de información de acuerdo con el art. 13 RGPD.
  4. Mantener los datos exactos y conservarlos el mínimo tiempo necesario.
  5. Implementar las medidas de seguridad que garanticen la confidencialidad, integridad y disponibilidad de los datos recabados.

Tania Muñoz
Abogado Senior del Área de Nuevas Tecnologías y Protección de Datos

Si desea ampliar la presente información, no dude en ponerse en contacto con nuestro despacho llamando al 91.205.44.25 o enviando un email a contacto@alierabogados.com

Deja un comentario

Cerrar