Los límites de la empresa para controlar a sus trabajadores
20 Abril 2022
Una de las dudas laborales más habituales de los empleados es hasta donde puede la empresa controlar los sistemas y equipos que usan para el propio ejercicio laboral. En Legálitas analizamos cuál es el límite para no vulnerar los derechos de los trabajadores.
¿Es necesario el consentimiento del trabajador para todos los tratamientos que realiza la empresa?
Con carácter previo, debemos distinguir dos tipos de situaciones en relación a los tratamientos de los datos personales de los trabajadores que suele realizar la empresa.
1) Aquellos datos necesarios para el cumplimiento del contrato laboral. No es necesario un consentimiento del trabajador para estos tratamientos, ya que están amparados o bien por el propio contrato, como el pago de las nóminas, para lo que necesita tratar sus datos bancarios o bien por las obligaciones legales que la empresa asume frente a la Administración Pública como consecuencia de la existencia del mismo, como informar a la Seguridad Social de esa relación laboral.
2) Tratamientos para los que la empresa tiene un interés legítimo. No será necesario el consentimiento del trabajador para cuestiones en las que, aunque no estén tan directamente relacionadas con la ejecución del contrato, la empresa tenga un interés legítimo para el tratamiento, que le permita realizarlo.
El artículo 6.f del RGPD reconoce como legítimo el tratamiento necesario “para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”.
En este sentido, es claro que la empresa tiene un interés legítimo en proteger sus sistemas e instalaciones y en controlar el trabajo de sus empleados. De hecho, el artículo 20.3 del Estatuto de los Trabajadores (ET), faculta al empresario a aplicar las medidas de vigilancia y control que estime más oportunas para controlar el cumplimiento de las obligaciones de sus trabajadores, guardando consideración a la dignidad de los trabajadores.
Por tanto, el límite será el equilibrio en las medidas adoptadas para conseguir los fines legítimos del empleador y la forma en la que se haga, para evitar vulnerar derechos de los trabajadores, tales como la dignidad, el honor o la intimidad, reconocidos en nuestra Constitución. Estas medidas deben ser idóneas, necesarias, proporcionales y tendrán que estar justificadas e informadas.
Ejemplos claros de estas situaciones en las que la empresa puede tener un interés legítimo, pero debe realizar esa evaluación de la medida, son, entre otras, los sistemas de videovigilancia en las instalaciones, el control de acceso al edificio mediante el uso de sistemas biométricos, o la geolocalización del trabajador cuando su trabajo se desempeña fuera de la oficina.
¿Es legal registrar los ordenadores en el trabajo sin previo aviso?
De acuerdo con el artículo 20.3 del Estatuto de los Trabajadores, el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.
El Tribunal Constitucional y la sala de lo social del Tribunal Supremo coinciden en que el empresario puede vigilar y controlar los medios informáticos para garantizar el cumplimiento de sus obligaciones laborales. Pero a su vez indican que este control no es absoluto, está limitado por los derechos de los trabajadores, en este caso el derecho a la intimidad y el derecho al secreto de las comunicaciones del trabajador.
Por lo que es importante recordar que, aunque exista ese interés legítimo para el empresario de ejercer su función de control, para acceder a datos personales de sus trabajadores y aunque los dispositivos sean propiedad de la empresa, se deberán tener en cuenta los requisitos generales de necesidad o licitud; minimización de datos; y claridad y transparencia que rigen en lo relativo a la legislación sobre protección de datos personales.
- Necesidad y minimización de datos: el acceso debe ser únicamente el necesario para la verificación que se necesita realizar. Por ejemplo, en caso de sospecha de que se esté realizando algún acto ilícito o que esté comprometiendo la seguridad de la empresa a través del ordenador, el empresario puede monitorizar únicamente aquellos datos que sean necesarios para ello.
- Claridad y transparencia: Los trabajadores deben ser informados de que su actividad en el dispositivo será objeto de control. No de una manera genérica, sino a través de protocolos, manuales o códigos de conducta que se pongan a disposición de los trabajadores. Tendrán que ser informados no sólo del tipo de conductas están autorizadas o en qué medida y cuáles están prohibidas, tales como como acceder a redes sociales privadas, entrar en determinadas páginas web no necesarias para el desempeño de su trabajo, la obligación de adoptar determinadas precauciones para minimizar el riesgo de ciberataques o el control de determinados deberes laborales.
No es necesario recoger el consentimiento del trabajador, pero sí existe la obligación del empresario de informarle de que la actividad realizada en el ordenador de la empresa será monitorizada y qué conductas pueden ser objeto de vigilancia.
De no hacerse en la forma indicada, el empresario podría exponerse a una sanción y a una reclamación por parte del trabajador por vulneración de derechos fundamentales.
¿Puedo usar mi móvil de trabajo para temas personales o el personal para aspectos laborales?
El trabajador puede utilizar el móvil del trabajo para temas personales siempre que no sea de manera delictiva ni contraria a la ley y siempre que no exista una prohibición o limitación expresa por parte de la empresa. Que no exista esa limitación o prohibición por parte de la empresa no significa que se pueda hacer un uso abusivo del mismo, hay que utilizarlo de manera puntual y proporcionada, lo contrario podría ser un incumplimiento grave y culpable del trabajador, que podría dar lugar a un despido disciplinario basado en la transgresión de la buena fe contractual y el abuso de confianza si el trabajador ha sido advertido previamente de que modere su utilización.
En el caso del móvil personal para temas laborales, el Tribunal Supremo establece que no se puede obligar a utilizar al trabajador su móvil personal para temas de trabajo, solamente se podrá utilizar en el caso de que se pacte por ambas partes y el trabajador reciba una compensación económica adecuada y que la posibles averías y problemas no sean responsabilidad del trabajador.
El trabajador tampoco podrá utilizar su móvil personal por motivos laborales si no tiene una autorización expresa de la empresa, por las posibles responsabilidades en las que podría incurrir en el caso de pérdida o difusión de datos confidenciales de la empresa.
Sistemas de videovigilancia
La empresa deberá informar a los trabajadores de la existencia de sistemas de videovigilancia, para lo que bastará colocar un distintivo informativo ubicado en lugar suficientemente visible, en el que se informe de cuestiones como el responsable del tratamiento y la finalidad del mismo, englobándose en el concepto “seguridad” los del control de posibles ilícitos cometidos por parte de los trabajadores como puede ser el hurto. Además, puede ser utilizada como prueba para sanciones y despidos por parte de la empresa, tal y como ha sido reconocido por sentencias del TS como la del 2 de febrero de 2017.
De acuerdo con el equilibrio mencionado, uno de los límites que marca el derecho a la intimidad de los trabajadores sería la incompatibilidad del interés legítimo con captar imágenes de los trabajadores en lugares como baños o zonas de descanso.
Debemos, también, tener presente que sí sería necesario el consentimiento de los trabajadores cuando el tratamiento de datos se utilice con finalidad ajena al cumplimiento del contrato, como pudiera ser el uso de su imagen así captada para fines publicitarios de la empresa.
Huella dactilar en los accesos a las instalaciones
El uso de la huella dactilar para acceder a las instalaciones de la empresa es un sistema que se ha extendido en los últimos tiempos. Sin embargo, debemos tener presente que el RGPD considera como tratamiento de datos sensibles el realizado a los datos biométricos.
Por tanto, a la hora de valorar la necesidad y proporcionalidad de ese tratamiento y si puede estar amparado en el interés legítimo del empresario a controlar el acceso a las instalaciones por parte de sus empleados, la normativa exige una evaluación estricta de la necesidad y de la proporcionalidad de los datos tratados y de si la finalidad prevista podría alcanzarse de manera menos intrusiva. De este modo, si la finalidad perseguida en un determinado contexto puede ser lograda sin necesidad de llevar a cabo el tratamiento de un determinado dato, debería optar necesariamente por esta posibilidad.
Sara García, Lola Justo y Raquel Rodriguez | Abogadas de Legálitas
Referencias legales: