Protección de Datos Personales en El Ambtio Laboral (Final)

LA PROTECCIÓN DE DATOS EN EL ÁMBITO LABORALRégimen jurídico de la Protección de Datos

10/05/2016Atos S.E.Peral López, Borja

[Type text] Page 0

LA PROTECCIÓN DE DATOS EN EL AMBITO LABORAL Borja Peral López

INDÍCE

1 Introducción.............................................................................................................................2

2 La Protección de datos personales como Derecho Fundamental..................................2

2.1 Jurisprudencia del Tribunal Constitucional y evolución sobre la materia. La STC

292/2000 del 30 de noviembre..............................................................................................4

3 Supuestos de no aplicación de la LOPD.............................................................................6

3.1 Inscripción de ficheros...............................................................................................7

3.2 Cancelación y bloqueo de datos...............................................................................8

4 La gestión de datos del Empleado en Recursos Humanos.............................................9

4.1 Selección de personal y RRHH......................................................................................9

4.2 El tratamiento de datos de niveles básicos, medios y altos en los Recursos Humanos................................................................................................................................10

4.3 “Whistlebowling” – Relación de la Protección de Datos versus Compliance......11

4.4 La Oficina Local de Protección de Datos / Concepto y funciones del DPO..........12

4.5 El uso de los Herramientas compartidas BYOD (Bring Your Own Device)...........14

5 Los Controles Empresariales..............................................................................................17

5.1 Controles basados en el uso de tecnologías de la información.............................18

5.2 Video-vigilancia en el trabajo.......................................................................................18

5.3 Redes Sociales de Empresa.........................................................................................20

5.4 Control del correo electrónico por parte del empresario.........................................21

5.5 El absentismo laboral, controles.................................................................................23

6 Relaciones con los Sindicatos y Protección de Datos....................................................24

7 Prevención de Riesgos Laborales y la Protección de Datos.........................................25

8 Conclusiones.........................................................................................................................26

9 Bibliografía / Referencias.....................................................................................................27

Máster en Derecho de Telecomunicaciones, Protección de Datos y TIC’s Página 1


1 Introducción

La protección de datos el ámbito laboral está definida como uno de los tratamientos más comunes con referencia a la protección de datos. Lo fundamental en esta materia reside concretamente en la determinación del responsable del tratamiento, normalmente el empresario, y el usuario de los datos, normalmente el trabajador, dejando de lado otros tratamientos que puedan llevarse a cabo con clientes o proveedores, puesto que en condiciones normales se regirán por las normativas mercantiles y de forma más general por las propias normativas de protección de datos, leyes de comercio, competencia, publicidad, etc., apartándose del objeto de este trabajo, el cual reside en la relación del derecho Laboral y el derecho de la protección de datos.

Por otro lado es importante destacar la necesidad de un adecuado tratamiento en función de la seguridad y confidencialidad de los datos, cuestión esta que abordaremos junto con otras que mencionaremos a lo largo de este trabajo.

Concretamente analizaremos las medidas, procedimientos y límites a la hora de tratar los datos personales de los empleados en la empresa. Todo ello bajo el amparo del consentimiento y proporcionalidad.

En otro orden nos aventuraremos en las disposiciones que el Estatuto de los trabajadores otorga al empresario, como facultad de control empresarial y el choque de dicho derecho con la protección de datos del empleado, dentro de un marco de constante avance tecnológico que posibilita un control más minucioso por parte del empresario.

En definitiva, este trabajo de investigación pretende dar una visión general del estado actual y futuro del tratamiento de datos en el entorno laboral, desde la privacidad de los datos de los empleados, hasta donde actualmente existe mayor discrepancia en la doctrina y en la jurisprudencia, que es la práctica a la hora de delimitar los derechos del propietario de los datos y los trabajadores.

2 La Protección de datos personales como Derecho Fundamental.

Para comenzar con este apartado, debemos marcar y definir lo que significa el derecho de la protección de datos para todos los ciudadanos, puesto que en líneas generales estamos ante una protección o salvaguarda de los ciudadanos sobre el control, finalidad, disposición y decisión de sus datos personales.

Partiendo del derecho comunitario, que es donde a mi juicio podemos empezar a desarrollar parte de este epígrafe, debemos resaltar el artículo 286 del TCE1 el cual establece que “[…] los actos comunitarios relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de dichos datos serán de aplicación a las instituciones y organismos establecidos por el presente Tratado o sobre la base del mismo”.

1 Ortega, Luis (Ortega Álvarez): Derecho comunitario europeo, Deposito Legal: VA 1144-2007, ISBN: 9788484067382, Publicación: Valladolid : Lex Nova , 2007.



Por otro lado debemos destacar la Carta de derechos fundamentales de la Unión Europea, donde se prevé en su artículo 8 que “toda persona tiene derecho a la protección de los datos de carácter personal”. De dicha Carta de derecho emana, el Reglamento de la Unión 45/2001/CE del Parlamento Europeo y del Consejo2, relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y organismos comunitarios y la circulación de estos datos por todas las instituciones europeas.

Cabe destacar las cuatro directivas que emanan de lo anteriormente comentado y que están fundadas en el artículo 95 TCE (corresponde en la actualidad al artículo 114 TFUE), a través del cual se intenta homogeneizar el marco de la protección de datos para cada estado miembro, las directivas señaladas son:

- Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

- Directiva 97/66/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

- Directiva 2002/58/CE del Parlamento Europeo y del Consejo, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, esta directiva es conocida como la Directiva sobre la privacidad y las comunicaciones electrónicas.

- Directiva 2006/24/CE sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica parcialmente parte de la Directiva 2002/58/CE

Por otro lado mencionamos además de las cuatro directivas señaladas anteriormente, la Decisión Marco 2008/977/JAI relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal. Además de esta decisión marco, cabría destacar a título personal el borrador que se aprobará a lo largo de este año sobre la directiva 2012/0010 (COD) Propuesta de DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos3.

2 Barnard, Catherine: European Union Law, ISBN: 9780199686117, Publication: Oxford: Oxford University Press, 2014.

3 Craig, Paul: EU Law: text, cases and materials, ISBN: 9780198714927. Edición: 6th ed. Publicación: Oxford: Oxford University Press, 2015.



Sin olvidarnos del Reglamento del Parlamento Europeo y del Consejo, REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 aprobado relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

2.1 Jurisprudencia del Tribunal Constitucional y evolución sobre la materia. La STC 292/2000 del 30 de noviembre

Debemos comenzar este epígrafe, dedicado a la sentencia del Tribunal Constitucional 292/2000 del 30 de noviembre, haciendo una clara referencia a la misma puesto que será citada a lo largo del trabajo, como uno de los fundamentos básicos del mismo.

Dentro de esta sentencia se recogen los límites que la doctrina ha marcado sobre los alcances de los derechos fundamentales, recogiéndose literalmente: ““el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución (SSTC 11/1981, de 8 de abril, FJ 7; 196/1987, de 11 de diciembre, FJ 6; y respecto del art. 18, la STC 110/1984, FJ 5)”. Es decir con el nacimiento de esta doctrina, se crea la perspectiva de ponderación de derechos fundamentales, en este caso sobre el derecho de la protección de datos. En algunos casos estas restricciones al derecho fundamental pueden ser directas y/o amparadas en otros derechos fundamentales, para lo primero se regula mediante normativa los límites del derecho fundamental y para el segundo caso se fijan las facultades implícitas del derecho fundamental dejando las menos implícitas en favor de otros derechos, constituyendo así una forma de regular el ejercicio del derecho en cuestión, esta posibilidad nace en el artículo 53.1. de la Constitución Española y también viene recogido en la sentencia que da nombre a este epígrafe.

Dicho esto en el mismo orden vamos a relacionar la doctrina que da lugar con las reflexiones recogidas en este epígrafe, comenzaremos con la sentencia de 110/1984 de 21 de Diciembre, sentencia esta que se puede entender en muchos caso como la primera sentencia de protección de datos, se trataba de una resolución de la Dirección General de Inspección financiera y tributaria, sobre investigación de un contribuyente y sus datos bancarios, lo destacable de esta sentencia es la reflexión que hace acerca del contenido del derecho a la intimidad: “El reconocimiento explícito en un texto constitucional del derecho a la intimidad es muy reciente y se encuentra en muy pocas constituciones, entre ellas la española. Pero su idea originaria, que es el respeto a la vida privada, aparece ya en algunas de las libertades tradicionales. La inviolabilidad del domicilio y de la correspondencia, que son algunas de estas libertades tradicionales, tienen como finalidad principal el respeto a un ámbito de vida privada personal y familiar que debe quedar excluido del conocimiento ajeno y de las intromisiones de los demás, salvo autorización del interesado. Lo ocurrido es que el avance de la tecnología actual y el desarrollo de los medios de comunicación de masas han obligado a extender esa protección.



En el mismo orden, destacamos la Sentencia 11/1998, del 13 de enero, de la que emana parte de la fundamentación de nuestra doctrina en cuestión, puesto que en su fundamento jurídico 4º, habla del derecho a la protección de datos como instrumento de garantía de otros derechos, como pueden ser el honor y la intimidad, siendo por ello categorizado como un derecho constitucional frente al mal uso de los datos personales.

Comentado estos pilares anteriores en los que se soporta la sentencia de Tribunal Constitucional 292/2000, de 30 de Noviembre, debemos concluir que dicha sentencia designa, denomina y singulariza el derecho de la protección de datos personales como un posible nuevo derecho de vertiente fundamental y que se encuentra separado del resto de derechos fundamentales, como podría ser en nuestro caso la intimidad personal y familiar, por lo que podemos decir que se trata de un derecho independiente.

El Constitucional lo describe como un derecho autónomo que posee el ciudadano español sobre el control y disposición sobre sus datos personales, todo ello viene ligado de la Carta de Derechos Fundamentales de la UE, donde se establece el derecho de la protección de datos personales. Lo que ha hecho esta sentencia no es solo reducir la protección de datos personales a los posibles datos íntimos de las personas, sino extenderlos a cualquier tipo de dato personal, intimo o no, porque como muy bien recoge el Tribunal Constitucional, el empleo de estos datos por terceros y el conjunto de datos personales puede ser resolutorio, es decir en mi opinión y entendimiento visto que con un solo dato personal no era suficiente para conseguir un perfil personal, las terceras partes comienzan a tratar datos masivos para este fin, accediendo desde datos del Listín telefónico, bases de datos de acceso público, hasta registros comerciales.

En mi opinión el Constitucional da un paso enorme en este aspecto, pocas veces visto en la justicia, puesto que se adelanta al “Big data” o tratamiento masivo que tenemos en la actualidad.

A continuación también se describen las facultades que tienen esos ciudadanos sobre sus datos personales, que van desde el derecho al consentimiento expreso, conocimiento y uso de sus datos por parte de terceros, hasta el control sobre estos parámetros, que es cuandoo se acude al ejercicio de los Derechos ARCO, que son:

- Derechos de Acceso- Derechos de Rectificación- Derechos de Cancelación- Derechos de Oposición

Todo ello nos lleva a concluir este epígrafe, resumiendo el resultado al que llega el Tribunal Constitucional en este sentencia, “El derecho fundamental a la protección de datos, no puede ser entendido de una forma aislada, sino que debe quedar incardinado con el resto de los derechos fundamentales, sirviendo de límite y siendo limitado igualmente por ellos”.



Por último, tras la interpretación de este resultado surgido de la susodicha sentencia nos encontramos, que el derecho a la protección de datos , es un derecho individual e independiente del ciudadano, siendo necesario su desarrollo por ley orgánica debido a su carácter, si entendemos que es un derecho fundamental se sobrepone sobre otros derechos que no lo son, tiene una cualidad especial puesto que puede acudirse a tribunales ordinarios, bajo los principios de preferencia-sumariedad y también bajo el recurso de amparo al Constitucional (Articulo 53 Constitución Española)4.

3 Supuestos de no aplicación de la LOPD

Una vez expuestos los orígenes en mi trabajo, me aventuro a desarrollar de manera clara y practica las tareas que en este caso son comunes, hablo de los supuestos que no están bajo el amparo del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, concretamente los datos excluidos, bajo ciertas premisas o que no se encuentran alineados como datos personales.

Es el propio Reglamento en su artículo 2.2. quien dice: “Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”.

Estamos por tanto ante una excepción que viene contemplada en el Reglamento, dicha excepción de la aplicación de la normas, va encaminada como garante del derecho de la protección de datos y debe entenderse en sentido “estricto” y de modo “restrictivo”. Para ello deben cumplirse los requisitos que a continuación desarrollamos:

- Los datos que se traten sean limitados para la identificación del sujeto en la persona jurídica que presta sus servicios.

- Si el tratamiento de los datos contiene datos adicionales a los mencionados, se encontrarán sometidos al régimen jurídico de la protección de datos.

4 SENTENCIA 292/2000, de 30 de noviembre de 2000. Magistrados: Don Pedro Cruz Villalón, don Carles Viver Pi-Sunyer, don Rafael de Mendizábal Allende, don Julio D. González Campos, don Manuel Jiménez de Parga y Cabrera, don Tomás Salvador Vives Antón, don Pablo García Manzano, don Pablo Cachón Villar, don Fernando Garrido Falla, don Vicente Conde Martín de Hijas, don Guillermo Jiménez Sánchez y doña María Emilia Casas Baamonde. Tipo y número de registro Recurso de inconstitucionalidad 1463-2000. Fecha de resolución 30/11/2000.



Dicho esto utilizamos las conclusiones del informe de la Agencia Española de Protección de Datos, Informe 78/2008, donde define lo anterior como: “Por ello, no se encontrarían excluidos de la Ley los ficheros en los que, por ejemplo, se incluyera el dato del documento nacional de identidad del sujeto, al no ser el mismo necesario para el mantenimiento del contacto empresarial. Igualmente, y por razones obvias, nunca podrá considerarse que se encuentren excluidos de la Ley Orgánica los ficheros del empresario respecto de su propio personal, en que la finalidad no será el mero contacto, sino el ejercicio de las potestades de organización y dirección que a aquél atribuyen las leyes. (Informe 78/2008)”.

Es por ello que la relación entre la finalidad del tratamiento debe ir en relación directa entre quienes tratan el dato y la entidad, y no entre aquellos que tienen una determinada posición en la empresa. Por lo que el uso del dato debe ir en función de la persona jurídica y su finalidad.

De nuevo en las conclusiones del informe de la Agencia Española de Protección de Datos, Informe 78/2008, lo definen como: “Así sucedería en caso de que el tratamiento responda a relaciones “business to business”, de modo que las comunicaciones dirigidas a la empresa, simplemente, incorporen el nombre de la persona como medio de representar gráficamente el destinatario de la misma”.

Por ultimo debemos destacar la relación del régimen jurídico de la protección de datos y el régimen jurídico de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, de modo que los principios que rigen en el envío de comunicaciones comerciales por medios electrónicos se aplican tanto a personas físicas como jurídicas, y entre ellas, las personas de contacto.

3.1 Inscripción de ficheros

Dentro de este apartado hablaremos acerca de la responsabilidad, obligaciones y roles de los diferentes implicados en el registro de ficheros para los diferentes tratamientos de datos personales que se pueden realizar en una empresa, tanto con los propios trabajadores como con los clientes, proveedores, etc.

Para comenzar debemos tener en cuenta que la obligación de inscribir el registro y por tanto de cumplir con la normativa en protección de datos ante la AEPD es de la empresa que recopila dichos datos. Estamos por tanto ante uno de los requerimientos que impone la norma que no impide cumplir o no cumplir con el resto de obligaciones previstas en la ley y el reglamento que la desarrolla.

Para comenzar adjuntamos la definición que el Reglamento de desarrollo de la ley Orgánica de Protección de Datos hace sobre el concepto de fichero: “Fichero: todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterio determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. /art. 5 RDLOPD). Para que se trate de un fichero sujeto a la LOPD debe permitir el acceso a los datos “con arreglo a criterios determinados” por tanto debe contar con algún criterio de ordenación que permita recuperar datos de una persona determinada”.



Ahora bien, este concepto jurídico abarca tanto a la actuación automatizada como a la no automatizada, es decir la recogida, conservación, tratamiento, modificación de los datos, tendrá la misma consideración de tratamiento de datos personales, tanto si se hace por medios manuales como automatizados y se incluirán en el fichero, sea cual fuere su naturaleza.

Por último y más importante se establece en este régimen jurídico la obligación de notificar los ficheros, tal y como recoge la AEPD: “Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal, lo notificará previamente a la AEPD” donde se ubica el Registro General de datos. Para iniciar la inscripción inicial del fichero y, en su caso, la posterior modificación o supresión de la inscripción, se encuentra disponible el formulario electrónico “NOTA”5.

3.2 Cancelación y bloqueo de datos

En los supuestos donde el tratamiento vinculado a una finalidad termina y/o cesa, el afectado puede acudir a la cancelación de los datos. En estos casos acudimos al artículo 5 punto b) del Reglamento 1720/2007 que dice: “Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos”.

Por lo tanto, el responsable del fichero debe establecer un mecanismo para que los usuarios acudan a la cancelación de los datos de carácter personal, a través de un procedimiento interno de bloqueo de datos.

En este concepto es importante tener al día la Custodia de la documentación, es decir establecer un periodo de bloqueo y más adelante su posterior cancelación, siempre nos referimos a los datos personales, ya que el responsable del fichero presenta una serie de obligaciones con apoderado o representante de la empresa con las diversas entidades que participan en la relación laboral. Siendo importante en este caso que la entidad empresarial conozca, los periodos de bloqueo y cancelación acorde, y que sean compatibles con las obligaciones normativas, véase obligaciones Tributarias o fiscales, de seguridad social, prevención de riesgos laborales.

Por ultimo vamos a comentar las dos opciones de bloqueo:

1. Un primer bloqueo con la única finalidad de impedir su tratamiento, excepto para la disposición por obligaciones legislativas u otras obligaciones.

2. Una segunda opción, basada en el bloqueo y supresión de los datos, manteniendo la calidad de los datos hasta el último día, antes de la prescripción de los datos con sus obligaciones legislativa u otras.

5 Agencia Española de Protección de Datos Guía para la inscripción de ficheros. Registro General de Protección de Datos. Resolución de 12 de julio de 2006.



4 La gestión de datos del Empleado en Recursos Humanos

En cuanto a la relación laboral entre la empresa y el empleado, se entiende legalmente hablando que la LOPD queda excluida de los datos necesarios para el establecimiento de dicha relación, es decir cuando el trabajador consiente a través de su contrato de formalización laboral, también cede por ese lado los datos personales necesarios para el buen funcionamiento de la misma, este argumento viene contemplado en el artículo 6.2 de la LOPD.

Por otro lado la no afección del consentimiento no impide el deber de información a los trabajadores sobre el tratamiento y finalidad de los datos, llegando a algunos casos a la ilegalidad sino se declara la voluntad, todo ello con el fin de que el empleado acuda a sus derechos ARCO.

4.1 Selección de personal y RRHH

En este apartado analizaremos la recogida, custodia y tratamiento de los datos personales que llegan a la empresa, a través de los distintos tipos de procesos de selección, tanto desde ámbitos como las redes sociales como la presentación personal de los currículos.

El deber de información del artículo 5 de la LOPD, debe formar parte en mi opinión de las posibles relaciones de recopilación de datos llevadas a cabo en el entorno laboral, a mi juicio sin hacer una diferenciación importante entre la recopilación de datos personales en los que sea necesario requerir consentimiento como en aquellos casos en los que no fuese necesario, todo ello orientado desde la responsabilidad del tratamiento de los datos.

Cuando la recogida de los datos pueda verse interpretada como innecesaria para la relación laboral o extralimitada, debemos respetar el siguiente párrafo contenido en la legislación:

“1. Los interesados a los que se soliciten datos personales, deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición”6.

6 Troncoso Reigada, Antonio: Comentario a la Ley orgánica de protección de datos de carácter personal. Depósito Legal: NA 1923-2010. ISBN: 9788447034239. Publicación: Cizur Menor (Navarra) : Civitas Thomson Reuters, 2010



Dentro de la selección de Recursos Humanos, debemos entender que cuando estemos ante simples candidatos o futuros candidatos, es conveniente que las entidades que tratan o recopilan estos datos, contengan los impresos, formularios web, etc., adecuados en cuanto al aviso legal y protección de datos necesaria. Todo ello según los cauces necesarios y que permitan acreditar el cumplimiento de dichas exigencias y su custodia mientras dura el tratamiento.

Destacamos el párrafo anterior, debido a los numerosos litigios en torno a la cesión de datos personales por entidades empresariales a otras fines o entidades cercanas, hablamos ante supuestos casos de grupo empresarial, UTE, etc., puesto que estamos ante un deber de secreto consagrado a una solo entidad sino se dice lo contrario, siendo además de una violación de la protección de datos personales, una vulneración de un derecho fundamental.

4.2 El tratamiento de datos de niveles básicos, medios y altos en los Recursos Humanos

Dentro de los distintos tipos de información que encontramos dentro de la recopilación de los datos personales en el entorno laboral, encontramos los relacionados con el cumplimiento y formalización del contrato laboral, siendo suficiente la manifestación del consentimiento de formalización de la relación laboral para recopilarlos, siendo recomendable añadirlo en la cláusula del mismo, más si cabe si existe o puede existir un nuevo tratamiento de datos personales que la empresa decida tramitar.

Cuando estemos en otros escenarios donde se pretenda recoger otro tipo de datos fuera del entorno laboral tales como aquellos especialmente protegidos debemos entender aquellos como ideología, religión, creencias, etc. Siendo recabados con consentimiento de forma expresa y adecuada a la relación laboral necesaria.

Por otro lado cabe resaltar en este apartado que la reciente jurisprudencia del Tribunal Supremo, En esta sentencia del 21 de septiembre de 20157, exime aquellos datos como el número de teléfono móvil, e-mail personal, o aquellos datos de esta índole que se consideren no necesarios para el mantenimiento o cumplimiento del contrato con el trabajador, incluso basarse en el consentimiento de relación laboral para recopilar estos datos podría verse ilegitimado por el abuso de posición del empresario, siendo nulo en todos los casos este comportamiento por parte del empresario.

Para continuar vamos a delimitar a grandes rasgos los tipos de niveles en función de las características de la información tratada en el entorno de Gestión de personal o Recursos Humanos, donde podemos distinguir:

- Los datos tales como afiliaciones sindicales o similares como pago de cuotas sindicales, que son tratados en estos departamentos son de nivel alto.

7 Comunicado de la Sala de lo Social del Tribunal Supremo Fecha 21-9-2015 Sentencia 21-9-2015 Recurso Nº: CASACION 259/2014 Recurrente: UNISONO SOLUCIONES DE NEGOCIO, S.A. Recurrido: FEDERACIÓN DE SERVICIOS FINANCIEROS Y ADMINISTRATIVOS DE COMISIONES OBRERAS (COMFIA-CC.OO).



- Aquellos relacionados con Prevención de Riesgos Laborales, o de revisiones médicas, etc., si solamente constan de APTO o NO APTO, serán de nivel medio, en caso contrario estaremos ante un caso de datos de nivel alto.

- Aquellos relacionados con nóminas, IRPF, Cuotas a la seguridad social, datos bancarios etc., serán determinantes como datos de nivel medio.

4.3 “Whistlebowling” – Relación de la Protección de Datos versus Compliance

El Whistlebowling es un sistema interno de denuncia entorno a la empresa, con el que se pretende implantar un proceso de cumplimiento y/o COMPLIANCE, que va de la mano de la protección de datos debido a su carácter anónimo en dicha denuncia, desde una perspectiva legal acerca del tratamiento de los datos de los empleados en procesos como el de denuncias internas, estamos ante un acto donde no es necesario el consentimiento, tanto por el denunciado como el denunciante, siempre que por política de empresa se entienda el conocimiento y uso de estos políticas y procesos.

Dentro de dichos procesos de denuncia se ha de delimitar las con la relación laboral propia del trabajador, las sanciones, normas, leyes, códigos éticos y de conducta que se refieran al mismo.

En relación directa con el COMPLIANCE, debemos destacar una serie de hitos a tener en cuenta la hora de establecer este procedimiento “Whistlebowling”, con lo siguiente:

- Confusión en la designación de responsabilidad penal en las personas jurídicas, en este caso debo matizar, que según una de las últimas circulares de la Fiscalía8, debemos entender que el Security Officer o Compliance Officer, posee responsabilidad penal en ámbitos de incumplimiento de sus funciones.

- Compliance officer con responsabilidad penal, delegada, es decir en caso de superiores como consejos de administración o grupo de auditores

- Necesidad de un programa bien elaborado de Compliance en las empresas. Es necesario como comente con anterioridad una serie de normas, códigos, procesos, políticas y atribuciones que delimiten un programa de Compliance.

- La circular se olvida de las Pymes.

- Numerosos criterios eximentes para no acudir como imputado.

- Necesario aumento de la importancia de las políticas y procedimientos de Compliance vía Responsabilidad Social Corporativa en las empresas.

8 Circular 1/2016 sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del código penal efectuada por ley orgánica 1/2015



Por ultimo dentro del ámbito de Compliance y “Whistlebowling” los datos personales tratados deberán ser retirados en un plazo de seis meses desde que dichos datos hayan servido para su finalidad, en estos casos para la investigación de los hechos alegados en el susodicho informe de denuncia.

4.4 La Oficina Local de Protección de Datos / Concepto y funciones del DPO

La creciente presión normativa - voluntaria y jurídica - actúa, sin duda, como decisivo catalizador de las numerosas iniciativas que, a día de hoy, se están abordando bajo la premisa de configurar un adecuado marco de transparencia, conformidad legal y buen gobierno, tanto en organizaciones del sector público como del privado, todo ello en el marco de la protección de datos.

Dentro de esta corriente regulatoria destaca, de manera singular, la evolución que, en las últimas décadas, se ha observado en la reglamentación en materia de protección de datos de carácter personal.

Es por ello que encontramos necesario optar por una serie de medidas para alinearse con las exigencias legales actuales y emergentes. Entre tales medidas, merece una especial mención la constitución de un Comité corporativo de Protección de Datos sobre el que actualmente deberá recaer la responsabilidad de definir, revisar, gestionar y proporcionar el debido asesoramiento en el ámbito específico del tratamiento que ha de darse a los datos de carácter personal.

Dicho Comité es el encargado de velar por la correcta aplicación de la normativa de datos de carácter personal en las empresas que cuenta con más de 250 trabajadores, según se estipula en el reglamento Europeo de Protección de Datos, o en otra palabras la instauración de la figura del Data Protection Officer, que al tratarse de una figura técnica, legal y multidisciplinar de forma práctica, a mi juicio, debe ser desarrollada bajo el amparo de una Oficina Local de Protección de Datos, donde al menos debe existir la figura de Data Protection Officer, y del Data Protection Legal Consultant, y en algunos casos alguna figura auditora.

A continuación vamos a desarrollar el concepto del Data Proteccion Officer, como aquella persona independiente en la empresa, con una función claramente preventiva y proactiva, el cual supervisa, coordina y transmite las normativas, políticas y demás códigos de protección de datos tanto en el entorno empresarial como en las relaciones externas de la entidad, actuando como nexo de unión y coordinación con el o los Responsables del Fichero y/o Encargado del tratamiento y el afectado, así mismo también deberá mantener una relación directa con el órgano de control.

Sin olvidar la otra figura mencionada en este trabajo, denominada Data Protection Legal Consultant, que podemos definir como aquella persona, independiente o no de la empresa, con una función claramente de asesoría legal en las cuestiones diarias, puede asesorar preventivamente o no, debe supervisar las adaptaciones de normativa, política y demás



códigos en función de la actualidad y necesidades legales ordinarias. Esta figura dependerá directamente del Data Protection Officer y sus informes de asesoría no serán vinculantes.

El denominado Comité corporativo de Protección de Datos ha pasado a denominarse “Oficina Local de Protección de datos”, en adelante “OLPD”, lugar este donde se encuadra la figura del DPO y DPLC, denomínanos así a este último como el Data Protection Legal Consultant.

El objetivo de profesionalizar las actividades de la Oficina Local de Protección de Datos y de ayudar a su institucionalización dentro de las organizaciones, se puede llevar a cabo conveniente mediante la redacción de un Reglamento Interno que definiera y regulara la misión del órgano así como determinase su composición y funciones.

La Oficina Local de Protección de Datos podrá ser referida igualmente como Responsable de Seguridad de los Datos de Carácter Personal, en tanto en cuanto se trata de un órgano encargado del marco de control interno en las empresas, en donde se mantiene y garantiza la conformidad con la Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de carácter personal y su normativa de desarrollo. El Responsable del fichero, representado por el Director de la unidad correspondiente, o Responsable de Seguridad serán las personas encargadas de coordinar y controlar las medidas definidas en el Documento de Seguridad.

Por otro lado debemos destacar en el ámbito de la Oficina Local de Protección de Datos la misión a la cual se destina y se crea, puesto que estamos ante un órgano supervisor de las actividades llevadas a cabo por la entidad empresarial en el ámbito de la protección de los datos de carácter personal, en consonancia con los preceptos de la normativa legal vigente y las políticas internas del mismo.

Bajo esta premisa, serán funciones de la OLPD la definición, la supervisión y la gestión de las actividades vinculadas a garantizar el adecuado nivel de seguridad de los activos de información personal que sean objeto de tratamiento por parte de los técnicos, colaboradores y resto de personal de la entidades empresariales en cuestión.

En este sentido, el interés de la citada Oficina se extenderá tanto a los datos de los que sean titulares las diferentes empresas del Grupo como a los Responsables del fichero como a aquellos otros, titularidad de terceros, que sean accedidos, consultados, procesados, almacenados, o de cualesquiera otro modo, tratados como Encargados del tratamiento, durante la ejecución de los servicios profesionales que cualquiera de las empresas del Grupo, a consecuencia de la prestación de los mismos a sus clientes.

Asimismo, será objetivo de la OLPD constituirse en verdadero órgano asesor del Comité de Dirección en materia de protección de datos, para lo que se tendrá asignadas las oportunas funciones. Entre ellas se contarán, al menos con:

Verificar y velar por el cumplimiento de la normativa legal u otra de naturaleza interna o externa (contratos u otros) e informar al Comité de Dirección de su acatamiento;

Verificar la existencia y el acatamiento de normas y códigos de conducta en lo que afecten a la protección de datos de carácter personal;



Emitir opinión acerca del plan periódico de auditorías y verificará su cumplimiento;

Vigilar y notificar posibles situaciones en las que se den conflictos de interés, con la consiguiente merma de independencia (tanto por parte de los miembros de la propia OLPD, como de los auditores que intervengan en los preceptivos trabajos de auditoría);

Emitir opinión acerca de la designación y desvinculación del equipo de auditoría (interno o externo) encargado de realizar las auditorias establecidas al menos bienalmente;

Evaluar el rendimiento de la función de auditoría y, por ende, del equipo de auditores.

Finalmente, y más allá de su faceta coordinadora y de seguimiento del desarrollo de las auditorías que se lleven a cabo, sobre este órgano colegiado recaerá la responsabilidad de la seguridad de los datos de carácter personal a nivel corporativo, asumiendo, de este modo, el papel de Responsable de Seguridad de los Datos de Carácter Personal del Grupo empresarial en cuestión, con las funciones y responsabilidades que, en su caso, establezca la normativa reguladora.

4.5 El uso de los Herramientas compartidas BYOD (Bring Your Own Device)

Uno de los aspectos más prioritarios y necesarios de regular en una empresa, es la implantación de una Política de uso BYOD en las compañías, con el consentimiento expreso del trabajador para usar su dispositivo personal para finalidades profesionales, todo ello encaminado desde el departamento de Recursos Humanos y ligando el carácter normativo de la protección de datos y el derecho laboral de nuevo.

En cuanto al consentimiento necesario, este debe extenderse a la aceptación de las medidas de seguridad y controles que establezca la compañía para la protección de su información corporativa y datos personales que puedan llegar a tratarse y almacenarse en los dispositivos personales, y que pueden suponer una monitorización del uso que se hace de dicha información, etc.

Para ello será necesario la redacción y firma de contratos específicos y/o regulación vía contrato laboral o Anexo de:

– Confidencialidad y secreto.

– Regulación uso de BYOD, principalmente en aspectos como; costes (los asume íntegramente el trabajador, la compañía subvenciona o ayuda), condiciones uso de los dispositivos en el entorno laboral; establecimiento de posibles responsabilidades por el uso o mal uso de la información corporativa tratada y almacenada en el dispositivo, la no implantación de las medidas de seguridad requeridas a nivel corporativo, y similares.



La compañía deberá redactar e implantar normas acerca del uso de dispositivos BYOD en el entorno corporativo. Estas políticas o procedimientos deberán ser aceptadas antes de la instalación de las aplicaciones corporativas en el dispositivo privado, como hemos mencionado anteriormente podemos recurrir a la firma formal de compromisos de confidencialidad o algo más recurrido como los pops up aceptación, y así poder establecer una serie de obligaciones para los usuarios, que deberán ser cumplidas por los empleados, entre ellas; no modificación de los parámetros de seguridad (prohibición “jail break”), mantenimiento y actualización del sistema operativo y de las aplicaciones, limitaciones de uso, realización de copias de seguridad y el cumplimiento escrupuloso de la normativa de protección de datos.

Entre el contenido de una Política BYOD recomendariamos incluir:

- Expectativas

- Requerimientos mínimos de seguridad

- Imposición herramientas seguridad corporativa para conexión a sistemas de información.

- Normas claras acerca del proceso a seguir en los dispositivos cuando finaliza la relación entre el usuario y la empresa, a fin de evitar que quede información corporativa en el mismo (Devolución / recuperación / borrado / segregación de datos del dispositivo)

También deberán ser regulados a través de políticas o procedimientos corporativos determinados aspectos que pueden tener un impacto en la empresa ante el uso de dispositivos personales (BYOD) en lugar de dispositivos corporativos. Así son aspectos importantes a remarcar los siguientes:

Geolocalización en las funciones basadas en la geolocalización fomentan la capacidad de saber, no solo la localización exacta del usuario en cada momento, sino incluso de conocer en tiempo real lo que está haciendo. Son los usuarios los que mantienen el control sobre el GPS y las funciones de geolocalización de su dispositivo, pudiendo gestionar los privilegios de acceso de cada aplicación a los datos de localización.

La empresa podría establecer la obligación de permanecer localizables dentro del horario laboral, extrayendo por tanto, información sobre; optimización de rutas, control de flotas, tracking del transporte de productos y pasajeros, control del absentismo laboral, detección de incumplimientos contractuales, etc.

Por tanto, en relación con la geolocalización es recomendable la inclusión de normas y obligaciones en la política BYOD sobre estos aspectos.

Redes sociales en la utilización de redes sociales por parte de los trabajadores debe ser regulada en el ámbito corporativo a través de la creación de manuales o guías corporativas de buenas prácticas en el uso de las redes sociales, sobre todo ante el uso de dispositivos BYOD o personales por parte de los empleados, en cuanto a que el comportamiento de un usuario en las redes sociales puede cambiar si el dispositivo utilizado es propio o de la empresa.



Por tanto, en las políticas o manuales de uso de redes sociales, y/o en la política de uso de dispositivos BYOD, deberá regularse el uso de las redes sociales, estableciendo expresamente las obligaciones de confidencialidad respecto a información de la empresa y de sus clientes, no denigración de competidores, etc.

Propiedad intelectual, en relación con la propiedad intelectual e industrial derivada de las aplicaciones y contenidos alojados en los dispositivos personales de los trabajadores, es necesario, limitar expresamente la responsabilidad de la empresa respecto de los mismos, ya que la empresa no tiene control efectivo sobre la parte personal de los dispositivos ni sobre los contenidos en ellos alojados.

No obstante, deberá concienciarse al usuario sobre el impacto que sus contenidos ilícitos o pirateados pueden llegar a ser asociados a la empresa, al coexistir con aplicaciones corporativas y al compartir una misma dirección IP.

Igualmente, es recomendable pedir al usuario que respete en todo el dispositivo la normativa de propiedad intelectual e industrial y cualquier otra norma cuyo incumplimiento pueda generar responsabilidad para la empresa.

La regulación técnica de los dispositivos BYOD en la empresa de cara a ofrecer una seguridad a la información corporativa y proteger las conexiones a los sistemas de información corporativos, puede ser gestionada de diversas formas;

1. Diseño y gestión de la red corporativa y conexión de dispositivos BYOD, bien a través de aplicaciones nativas en modo cliente – servidor; a través de la conexión por navegador web, o bien, a través de escritorios virtuales.

2. Gestión Integral a través de herramientas informáticas de gestión corporativas que integren a los dispositivos BYOD, y que ayudan o se encargan de; El diseño y gestión de la red corporativa, el control y gestión de accesos (gestión de identidades), medidas de seguridad informática corporativas, monitorización.

3. Implementación de herramientas informáticas independientes que permitan; el cifrado de información y comunicaciones, monitorización del uso, bloqueo remoto de dispositivos, recuperación remota de la información del dispositivo, etc.

Por último, si la entidad está abordando o tiene implantado un Plan de Continuidad de Negocio, deberá incluir los dispositivos BYOD en sus inventarios de activos, e incluirlos igualmente, en las pruebas de contingencia y continuidad que se ejecuten periódicamente en la organización.



El control empresarial que pueda ejercitar el empresario, teniendo en cuenta las facultades previstas en el art 20 del Estatuto de los Trabajadores, y la jurisprudencia que en este sentido ha generado el Tribunal Supremo, de las que cabe destacar la STS 26/09/079 y la STS 6/10/201110 que ratifica la sentencia de 2007, no puede extenderse a priori, o habría que hacerlo con muchísima prudencia , al control corporativo de dispositivos eminentemente personales, en cuanto que el control previsto en el Estatuto de los Trabajadores y las sentencias referidas están relacionadas con el control empresarial de los dispositivos corporativos usados por los trabajadores, cuestión esa que abordaremos en el siguiente epígrafe de una forma mas profunda.

Por tanto, en el caso de Políticas BYOD, la capacidad de control de la empresa se debe limitar a exclusivamente a las áreas, aplicaciones y contenedores de información corporativa, sin perjuicio del posible análisis forense de todo el contenido del terminal en el seno de una investigación judicial, o con el consentimiento del usuario.

La actividad de prevención y control de la empresa; deberá ser informada a los usuarios y deberá ser proporcional, idónea y necesaria para las finalidades de control previstas en las normas internas y en el ordenamiento jurídico.

Por ultimo un aspecto fundamental en la adopción de políticas BYOD es la concienciación y formación de los usuarios en distintas vertientes; desde la utilización y securización de los dispositivos, a la concienciación en cuanto a ingeniería social que reduzcan los riesgos de phishing, pharming, instalación de malware y cualquier otro engaño orientado a la obtención de contraseñas y vulneración de la seguridad y privacidad.

5 Los Controles Empresariales

Dentro de la relación existente entre el tratamiento de datos personales y las relaciones laborales, encontramos los controles empresariales, funciones estas atribuidas a la empresa por otras legislaciones en este caso el artículo 20.3 y el articulo 4 del Estatuto de los Trabajadores, el cual desarrolla la posibilidad del empresario de un control al trabajador por la prestación laboral.

Como limite a las medidas y controles desarrolladas por el empresario en las tareas atribuidas legalmente y mencionadas anteriormente, debemos resaltar que las medidas oportunas de control y vigilancia, deben ser llevadas a cabo bajo la consideración debida en función del respecto a la dignidad humana.

9 La Sentencia del Tribunal Supremo de 26 de septiembre de 2007. Control empresarial del correo electrónico.10 STS de 6 de octubre de 2011, recurso 4053/2010 Despido por uso indebido del ordenador de la empresa, al ser utilizado para fines propios.



Por otro lado, dentro de estas medidas y controles, cabe resaltar mediante resolución y jurisprudencia al respecto, el alcance de estas medidas es extensible hasta el uso del reconocimiento médico por parte del empresario, es decir ante enfermedad, ausencia, accidente, etc., para justificar estas causas el empresario puede requerir al trabajador la realización de un reconocimiento médico, si este se niega podrá entenderse como conducta sancionable11.

5.1 Controles basados en el uso de tecnologías de la información

En cuanto a los controles empresariales con origen en tecnologías de la información, podemos encontrar la videovigilancia, el monitoreo de los equipos y sistemas, la huella biométrica, la indexación de la navegación por Internet, además de otras variables como la Geolocalización.

Todos estos controles con tecnologías de la información conllevan el uso o tratamiento de datos personales, por lo que estamos ante un ámbito de la Protección de datos. El alcance y los límites en el desarrollo y uso de estos mecanismos han sido delimitados por la Jurisprudencia y por las propias resoluciones del órgano de control.

Podemos resumir que en la mayoría de los casos el Principio de Proporcionalidad es el factor determinante, respectando en todo momento los derechos fundamentales del empleado. Otro factor determinante es la consigna de información al trabajador, en cualquier ámbito siempre que se modifiquen las condiciones del entorno laboral que lo rodea, ya sea el control de los equipos, de la ubicación física, sistemas, etc., siendo importante en este ámbito la descripción y definición exacta y concreta de la utilización de medios y sistemas de control.

5.2 Video-vigilancia en el trabajo

Dentro de las pautas que el empresario tiene en su ámbito legal amparado por el Estatuto de los Trabajadores, encontramos el recurso de control de la videovigilancia, que debe ser adecuado a lo contemplado en la propia legislación de la LOPD, concretamente en el artículo 37.1.c, que contiene este tratamiento de imágenes siempre que garanticen los principios de la Ley Orgánica y garanticen los derechos fundamentales de las personas cuyas imágenes se tratan.

En este apartado debemos destacar los efectos de aplicación de la LOPD en el ámbito de la videovigilancia en el trabajo como punto de vista aportado por la AEPD, donde en su instrucción de 1/2006 del 8 de Noviembre, para el tratamiento de datos personales con fines de videovigilancia comprende tanto la grabación, visualización o transmisión de las imágenes, tanto para eso como para el almacenamiento y conservación de las imágenes.

11 Agencia Española de Protección de Datos: GUÍA La protección de datos en las relaciones laborales. 2009.



Por otro lado es necesaria la instalación de la señalización correspondiente al lugar exacto de la instalación de videovigilancia, cumpliendo con la finalidad del deber de información a los trabajadores en cuestión que están siendo grabados.

Además, este recurso de control del empresario debe centrarse únicamente en la toma de imágenes y no en el audio de las conversaciones, puesto que por ley siguen estando consideradas como del ámbito privado y/o intromisión de la intimidad.

Por ello siempre que la grabación de los empleados esté justificada para la finalidad y no existan otros medios menos intrusivos, será asumible la instalación de la misma. De esto modo, estaríamos respetando el artículo 20.3 del estatuto de los trabajadores ya que al indicar: “la aplicación la consideración debida a su dignidad humana”, y por tanto se habría hecho todo lo posible por dañar lo menos posible tanto la dignidad del empleado como su esfera íntima.

Dicho todo lo anterior y como aporte novedoso a este trabajo me remito a la jurisprudencia más actual para remitir cierta información sobre la videovigilancia en el trabajo, puesto que grabar a los empleados sin información y sin su consentimiento previo es legal según el Tribunal Constitucional12.

En esta sentencia se determina que se puede grabar a los trabajadores con fines de seguridad y control laboral, sin necesidad de la información y consentimiento previo de los mismos, debemos recalcar esto, puesto que contradice directamente el artículo 5 de la LOPD, ya que según lo estipulado en la sentencia un cartel general o la instalación de las videocámaras es más que suficiente, aunque puedan estar destinadas a otros usos o para videovigilancia sobre otros usuarios, en este caso los clientes.

La nueva doctrina fundamenta esta necesidad previa, por el amparo que nos transmite el artículo 20 del ET, sobre vigilancia y control empresarial.

La cuestión que nos atañe es en donde queda el criterio de dignidad y datos personales, en qué casos se implementa esta doctrina y como quedan los trabajadores ante esta posible indefensión. El Constitucional nos dice que se debe estudiar caso a caso y determinar las variables, cuestión esta que parece, a nuestra interpretación, poco práctica y que según los jueces del Constitucional no pone a los trabajadores ante ninguna inseguridad.

La cuestión a nuestro parecer es que podemos ser tratados previamente aunque la finalidad sea distinta, es decir se puede vulnerar todo lo que nuestra normativa ha desarrollado, puesto que pretender grabar y luego tratar los datos a posteriori no es compatible con la diligencia de seguridad, consentimiento e información a los usuarios que nos marca nuestra normativa o el futuro RGPD (Reglamento General de Protección de Datos de la UE), tampoco con la futura Directiva Europea de apoyo del mismo.

Para terminar, nos remitimos a esta propuesta de interpretación sobre esta regla:

12 GUDE FERNÁNDEZ, ANA: LA VIDEOVIGILANCIA LABORAL Y EL DERECHO A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL © UNED. Revista de Derecho Político N.º 91, septiembre-diciembre 2014, págs. 43-90.



Recabar datos (sin consentimiento e información) + tratamiento previo = conclusión a posteriori sobre su legitimidad

Podemos concluir que según las resoluciones de la AEPD y de la propia jurisprudencia nos imponen el deber de consentir la grabación por videocámaras como potestad por parte del empresario siempre que exista un consentimiento inequívoco sobre las obligaciones de información, las garantías y su reforzamiento, exceptuando el caso remarcado por sentencia del Tribunal Constitucional el cual nos puede llevar en contra del futuro en materia de Protección de Datos, hacia el cual hasta ahora nos encaminamos.

5.3 Redes Sociales de Empresa

La aparición de la Redes Sociales de empresa abre una nueva puerta sobre el tratamiento de datos personales en el entorno laboral. Estamos ante un nuevo canal de comunicación y el aporte de una nueva ficha laboral del trabajador, es decir una carta de presentación no solo a Recursos Humanos, sino entre los compañeros y demás áreas de la entidad empresarial.

Todo ello debe venir estructurado bajo una buena redacción de condiciones de uso y aviso legal, para que de nuevo el trabajador preste su consentimiento a este posible nuevo tratamiento de sus datos. Por ejemplo Javier

Prenafeta, abogado especialista en Tecnologías de la Información, señala lo siguiente en torno a lo comentado anteriormente:

“Estrictamente, el uso para fines laborales de datos depositados en redes sociales requeriría de autorización debido a la normativa de protección de datos y a las condiciones de uso de Facebook, que limita el uso de la información a la propia red social”. “Y por tanto, no sería necesaria la aplicabilidad de la “Ley Facebook” debido, a que la propia red social ya posee sus propios mecanismos de control de la privacidad”13.

Debemos también destacar el tipo de uso de dicha red social corporativa, porque puede que solamente esté vinculada a las relaciones laborales, pero puede que se haga un uso personal de la misma, o incluso que se hagan un uso propagandístico de la misma, u otros fines como puede ser la reivindicación sindical.

De nuevo a mi juicio estamos ante la delimitación y alcance de las cuestiones legales, a través de la susodicha política de privacidad, condiciones de uso y aviso legal en cuestión; incluso posiblemente incluir dicha política de uso y finalidad en el correspondiente convenio colectivo, acuerdos con los representantes de los trabajadores. En definitiva es dotar dicha herramienta de la mayor seguridad jurídica posible.

13 SILVIA MONTERO; ENCARNACION CASTILLO; ROCIO LOPEZ: (I.B.D.) AUDITORIA DE LA LOPD, IC EDITORIAL, 2011.



5.4 Control del correo electrónico por parte del empresario

En este ámbito debemos concretar el uso de los correos, el destino y origen de los sistemas que están a disposición de los empleados, puesto que una mala definición del uso y destino de los sistema deja la puerta abierta al uso personal, privado, etc., por parte de los empleados, es necesario el desarrollo de un código de uso de los recursos tecnológicos, donde se desarrolle estos ámbitos, más concretamente en aquellos como el correo electrónico.

En este ámbito, a mi juicio la organización del correo electrónico y el sistema de utilización que deba seguirse para su uso y manejo corresponde en exclusiva a la empresa, quien se reserva, en función de las necesidades organizativas concurrentes en cada momento, la posibilidad de mantener, modificar las condiciones de utilización o suprimir el uso de dicha herramienta de trabajo, todo ello como hemos mencionado anteriormente si se ha estipulado así en la normativa interna de la empresa.

Así mismo la empresa puede reservarse el derecho de bloquear el correo electrónico que tenga su origen en determinados remitentes, como por ejemplo, el bombardeo publicitario sin necesidad de tener que justificarlo. La empresa puede imponer también que los usuarios eviten facilitar su dirección de correo electrónico a personas o instituciones que puedan provocar o fomentar la remisión o recepción de correos electrónicos masivos o improcedentes. En todo caso, si se produjeren remisiones o recepciones masivas o improcedentes, será esta cuestión de los trabajadores que se vendrán obligados a adoptar las medidas oportunas para evitar su reiteración en el futuro, pudiendo solicitar de los responsables de sistemas la asistencia técnica que precisen.

Por tanto, debemos existir que es obligación y garantía para el empresario el desarrollo de marco regulatorio de este proceso y uso del correo electrónico. Puesto que en caso de duda, laguna o insuficiencia reguladora de cualquier tipo se limitara en todo caso a los principios de buena fe, libertad de empresa y respeto a los derechos fundamentales, todos ellos en el marco de lo dispuesto en la normativa que hubiera desarrollado el empresario y, en particular, en relación con los criterios generales y normas reguladoras establecidas, que se configura como referencia interpretativa preponderante a todos los efectos.

La empresa deberá regular en el futuro cualquier situación o incidencia no contemplada en la normativa desarrollado a este efecto y que haga aconsejable su previsión como consecuencia de la puesta en práctica de dicha normativa o de la modificación de la legislación vigente.

Con carácter general, la empresa debería prohibir el envío de correos electrónicos masivos, salvo autorización por cuestiones de negocio. También se debe definir lo que se considera envío masivo de correo electrónico, por ejemplo en la práctica viene siendo cuando sea remitido a más de 50 destinatarios internos o, a más de 15 destinatarios externos, siendo computables como destinatarios cuantas personas física o jurídica reciban el correo electrónico, incluidos los puestos en copia, por lo que las listas de distribución no computan, en ningún caso, como un solo destinatario.



Una vez manifestado el alcance y límites que el empresario pueda hacer sobre los sistemas de correo electrónico, debemos mencionar el uso personal del mismo y al régimen que puede estar sometido.

En principio legalmente, vista la jurisprudencia de lo laboral, si al empleado se le destina un equipo para la movilidad, funcionalidad, etc., este podrá hacer uso del correo electrónico facilitado por la Empresa para su uso personal y familiar en términos razonables y moderados. La utilización del correo electrónico para fines personales o particulares se llevará a cabo, salvo supuestos de urgencia o necesidad, fuera del horario de trabajo de los usuarios, dado su carácter de herramienta de trabajo.

El carácter razonable y moderado de envíos de correos electrónicos de carácter personal se presumirá, salvo prueba en contrario, hasta el número de alrededor de ochenta correos mensuales, eso viene estableciendo los laudos arbitrales y la jurisprudencia del caso. Siendo posible superar estos baremos si se justifica su causa por parte del empleado.

En los envíos de carácter personal y familiar es recomendable por parte del empleado indicar en el apartado referente a la materia o contenido del correo, la palabra, “PERSONAL”. El no indicarlo, podría liberar así a la Empresa de cualquier responsabilidad en orden al control de dichos correos.

Por ultimo con respecto al desarrollo normativo de esta codificación se debe determinar, que al cesar en la empresa por extinción del contrato de trabajo, el empleado procederá a eliminar la totalidad de los correos electrónicos e información contenida en su buzón de correo, además de la devolución de la cuenta y Logs que le corresponderán a la empresa.

En los apartados anteriores hemos hablando del contenido del desarrollo y alcances que es recomendable tener en nuestra normativa sobre el uso de recursos tecnológicos en este caso como el del correo electrónico. Ahora vamos a hacer una aproximación jurídica en caso de ausencia de los compromisos mencionados.

En primer lugar, sino tenemos regulado lo anterior, podemos entrar ante una incidencia de la protección de la intimidad, puesto que la transmisión de correos electrónicos está cubierto por el precepto constitucional sobre la protección y secreto de las telecomunicaciones con independencia del medio utilizado.

Estamos ante dos clases de interpretaciones jurídicas sobre los sistema de correo electrónico, de ahí la importancia de delimitar minuciosamente las condiciones legales, puesto que en definitiva estamos ante una doble colisión de derechos a través de medios informáticos, como son los sistemas de correo, que en un principio en la mayoría de los casos son propiedad del empresario, aunque se ponen a disposición de los trabajadores en un marco de una relación laboral. Si esto no queda claro estaremos siempre en un ámbito privado donde prima el usuario en este caso el empleado, hasta hacerse por costumbre con la propiedad del correo.



5.5 El absentismo laboral, controles

De nuevo en este epígrafe estamos ante una de las atribuciones del Estatuto de los Trabajadores en su artículo 20.3 del Estatuto de los Trabajadores. Dependiente del tipo de ausencia, falta no justificada, impuntualidad, ausencia médica, etc., por lo tanto ante este abanico de causas de absentismo podemos también encontrar diferentes tratamientos de datos personales y niveles.

Siendo aceptable en la mayoría de los casos el tratamiento para los datos de acceso físico o control de accesos, puesto que existe un derecho de información, recabamiento del consentimiento y cesión de los datos del empleado a la entidad para dicho fin, véase tarjetas identificativas, etc., otro caso muy distinto es el control del absentismo laboral por ausencia médica, cuestión esta que se escapa a los fines para el que los datos del empleado fueron recabados, la empresa puede conocer inicialmente las condiciones de aptitud y por lo tanto la incorporación del Apto o no Apto del empleado, otra cuestión diferente sería obligar al trabajador a hacer otro tipo de reconocimiento para esta causa y su recopilación.

Según autores como Eduardo José Lagarón Martín: “Podrá optarse porque ciertos ficheros contengan datos relativos a la salud y así conocer motivos por los que se da el absentismo laboral, pero en ningún momento la recopilación de los datos podrá ser únicamente de datos relativos a salud para poder así, reducir el absentismo laboral. La elaboración de un fichero que contenga datos relativos a la salud únicamente para controlar el absentismo laboral no se ajusta al principio de proporcionalidad y así lo indicó el Tribunal Constitucional en su sentencia 202/1999 que señala: “lo primero que conviene advertir es que entre dichas facultades no figura la de proceder al almacenamiento en soporte informático de los datos atinentes a la salud de los trabajadores -y en concreto del diagnóstico médico- prescindiendo del consentimiento de éstos. Por otra parte, y con independencia de ello, lo verdaderamente relevante es que la medida adoptada por la empresa, sometida a los cánones establecidos para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, no reviste la consideración de solución idónea, necesaria y proporcionada para la consecución del fin, en este caso, el control del absentismo laboral” y además señala “pues no se trata de medida de suyo ponderada y equilibrada, ya que de ella no se derivan más beneficios o ventajas para el interés general o para el interés empresarial que perjuicios sobre el invocado derecho a la intimidad.” La sentencia destaca que el principio de proporcionalidad no se ajusta, aunque exista consentimiento del trabajador, pues dicho consentimiento es independiente de la obtención de datos de carácter personal sobre datos relativos a la salud con el fin de controlar el absentismo laboral, ya sea proporcionado o no, ya que aunque exista consentimiento, puede vulnerarse el derecho a la intimidad”14.

14 Lagarón Martín, Eduardo José: PROTECCIÓN DE DATOS EN EL ÁMBITO LABORAL, 14 de Febrero de 2011.



Por ello podemos concluir que en este punto tan complicado de la obtención de datos de salud para controlar el absentismo, puede ser proporcional siempre que se indique únicamente el status de aptitud o no aptitud del empleado, alimentado de un justificante externo y de condición voluntaria, aportado por el propio trabajador y con consentimiento expreso.

6 Relaciones con los Sindicatos y Protección de Datos.

Dentro del buen funcionamiento de una empresa, donde existe un número superior a cincuenta trabajadores, existe por norma general Representantes legales de los Trabajadores, en adelante RLT, realizando las tareas de las que son afines, como son la promoción y defensa de los intereses de los trabajadores, dicha competencia viene atribuida ya desde la carta magna en su artículo 28.1 donde se integra la vertiente funcional del derecho a la libertad sindical.

Los Representantes Legales de los Trabajadores, pueden actuar en este tratamiento de datos de dos maneras, recopilando y atribuyéndose funciones como Responsable del tratamiento o fichero, o a través de los Recursos Humanos de la empresa y el registro de ficheros y datos que a ellos pertenece.

Debemos recordar que les apara una legitimación de uso de esos datos por la LOLS, Ley orgánica de Libertad Sindical, siendo esta última manera la más común de proceder, puesto que en la mayoría de los casos es poco común que los RLT’s registren su fichero, su responsable y encargado del mismo.

En todo caso, como hemos remarcado durante la elaboración de este trabajo, estaremos bajo el amparo de la Ley Orgánica de Protección de Datos, siempre y cuando no este delimitado dicho régimen a otra normativa, en este caso de Libertad Sindical y RLT’s estamos ante otra jurisdicción o ámbito, donde no cabe solo de forma supletoria la LOPD.

Sin ir más lejos la RLT´s será responsable del tratamiento de datos del tablón de anuncios sindical, así como de la información publicada, todo ello bajo el uso restringido al entorno de la empresa, es decir no se podrá publicar ni difundir información de las acciones sindicales recogidas en el tablón de anuncios fuera de la empresa.

Estos flujos de datos personales se fundamentan en el derecho de la libertad sindical y en él participan las RLT’s y el Comité de Empresa. Este derecho sindical posibilita como hemos matizado más arriba la capacidad de proceder a un tratamiento de datos y/o al acceso de datos de carácter personal por terceras personas, donde aparentemente en un principio carecerían de legitimación.



Esta prevalencia del derecho sindical sobre la LOPD, que hemos mencionado anteriormente se esgrime en el recurso de reposición E/00729/2008 sobre el proceso sancionador de 19 de Diciembre de 200715 que indica: “el derecho a la libertad sindical, (…) ha de prevalecer sobre el derecho a la protección de datos personales, cuando, como sucede en el caso examinado, la acción sindical ampara la actuación del sindicato recurrente para divulgar entre los trabajadores de los centros los datos precisos, y únicamente necesarios, para el entendimiento de la noticia, teniendo un conocimiento cierto de la información relevante desde el punto de vista sindical.”

Con ello y siguiendo las consideraciones de la AEPD16 debemos tener en cuenta conforme a la LOPD en las relaciones sindicales lo siguiente:

- La mesa electoral será responsable del tablón de anuncios de elecciones sindicales con la publicación de las listas.

- El tablón de anuncios es responsabilidad del Comité de empresa y de la sección sindical en cuestión que lo trate o al que pertenezca.

- Se debe tener en consideración la ubicación de tablón tanto en la red, solo para Intranet de la empresa, como la ubicación física de la misma.

- Debe tenerse muy en cuenta el principio de calidad desde el punto de vista de la proporcionalidad de los tratamientos y de la finalidad de los mismos.

- Se debe imposibilitar lo máximo posible el acceso de terceros a esta información publicada.

Para concluir se ha determinado por parte de la AEPD, que la cesión de datos a las RLT’s se podrá producirse siempre que el trabajador tenga dedicación sindical o ceda su consentimiento expreso para dicha finalidad o tratamiento.

7 Prevención de Riesgos Laborales y la Protección de Datos

En la tarea de la Prevención de Riesgos laborales y la Protección de Datos, nos encontramos primeramente de nuevo con un solapamiento y supletoriedad de la LOPD sobre la Ley 31/1995 de 8 de Noviembre de Prevención de Riesgos Laborales y sus normas de desarrollo, en las cuales se impone a la empresa la realización de un conjunto de acciones y procesos para atenuar los riesgos derivados del trabajo.

15 MALPARTIDA MORANO, José, PRADAS MONTILLA, Ricardo. Boletín de la Facultad de Derecho” nº 18.201. “Empresas y Protección de Datos de Carácter General”. 2009.16 AEPD . Informe 0299/2009. Madrid. Año 2009.



Para comenzar destacaremos que para la realización de esta tarea es necesario tratar con datos personales de los trabajadores, en principio dicho tratamiento en función de esta necesidad se encuentra legitimado por la existencia de una relación contractual con el empleado.

Como la propia normativa de Prevención de Riesgos Laborales, recoge que la vigilancia de la que habla la ley solo podrá llevarse a cabo cuando el trabajador preste su consentimiento o cuando la RLT’s manifiesten a los empleados la necesaria y obligatoria vigilancia del trabajador por la naturaleza del trabajo desempeñado.

Debemos entender distintas interpretación en función del destinatario y responsable:

- Servicio de prevención propio, será responsable la empresa.- Servicio de prevención ajeno, será responsable la empresa concesionaria.- Servicio de prevención mancomunado, será responsable la empresa matriz.

Todo ello bajo un criterio de nivel alto de seguridad de los datos, donde en principio el empresario solo tendrá acceso, véase doctrina constitucional17, a dichos datos el personal médico autorizado y autoridades sanitarias, nunca el empresario exceptuando el informe de las conclusiones que deriven de accidentes de trabajo, reconocimientos médicos o similares.

8 Conclusiones

En este trabajo he pretendido dar una noción práctica, actual y sobre todo real acerca del tratamiento de datos en el entorno laboral, la multitud de escenarios en las relaciones laborales, la tecnología y demás herramientas que se han introducido en este entorno, hacen más si cabe la necesidad de remarcar la importancia de la protección de datos de carácter personal.

Quiero recalcar la existencia de inseguridad jurídica en este entorno, con respecto a la protección de datos, en cuanto al régimen de la videovigilancia en el trabajo, el uso de los sistemas empresariales, las redes sociales corporativas y el BYOD (Bring your own Device) siempre hablando del entorno laboral, todo ello siendo optimistas será posiblemente solucionado con la nueva directiva, reglamento Europeo de Protección de Datos, así como sus normas de desarrollo estatal.

A lo largo de este trabajo hemos hablado mucho acerca del choque de la diversa normativa y la LOPD, desde las relaciones laborales, la prevención de riesgos laborales y otras, donde podemos concluir que de donde surgen las inseguridades jurídicas son de los tratamientos tecnológicos que se hacen de los datos, cuestión esta comentada en esta conclusión y a lo largo del trabajo.

17 Sentencia A.N. de 16 de enero de 2013. Protección de datos: Datos de carácter personal relativos a la salud.



Debemos entender que no se puede regular la multifuncionalidad de estas causas y efectos, aunque existan fuertes pretextos para ello, en la mayoría de los casos, como es normal la legislación va por detrás de la sociedad, con ello no quiero decir que estos espacios no se encuentren regulados en cierta medida, puesto que hay ciertas legislaciones del mundo real, podemos llamarlo así, que se trasladan al mundo inmaterial o irreal de Internet.

El hecho de poder regular las nuevas tecnologías y algunos ámbitos de Internet a través de un nuevo marco normativo surgido de esta nueva directiva y reglamento Europeo determina un acercamiento legislativo entre los distintos países miembros de la UE18 y hace que podamos en todo momento ajustar las nuevas tecnologías al principio de proporcionalidad. El nuevo paquete de medidas busca reforzar por parte de los usuarios el control sobre los datos, todo ello bajo la armonización de un marco legal Europeo. Al cual se deberán en un futuro remitirse en todo momento tanto la jurisprudencia como nuestras queridas Agencias de protección de datos del ámbito Europeo.

9 Bibliografía / Referencias

– AEPD. Informe 0299/2009. Madrid. Año 2009.

– Agencia Española de Protección de Datos Guía para la inscripción de ficheros. Registro General de Protección de Datos. Resolución de 12 de julio de 2006.

– Agencia Española de Protección de Datos: GUÍA La protección de datos en las relaciones laborales. 2009.

– Barnard, Catherine: European Union Law, ISBN: 9780199686117, Publicación: Oxford: Oxford University Press, 2014.

– BRU, Elisenda. (2007) “La Protección de Datos en España y en la Unión Europea. Especial referencia a los mecanismos jurídicos de reacción frente a la vulneración del derecho a la intimidad”. En “III Congreso Internet. Derecho y Política (IDP). Revista de Internet, Derecho y Política. Nº 5. UOC – ISSN 1699-8154

– Craig, Paul: EU Law: text, cases and materials, ISBN: 9780198714927. Edición: 6th ed. Publicación: Oxford: Oxford University Press, 2015.

– Circular 1/2016 sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del código penal efectuada por ley orgánica 1/2015

– Comunicado de la Sala de lo Social del Tribunal Supremo Fecha 21-9-2015 Sentencia 21-9-2015 Recurso Nº: CASACION 259/2014 Recurrente: UNISONO SOLUCIONES DE NEGOCIO, S.A. Recurrido: FEDERACIÓN DE SERVICIOS FINANCIEROS Y ADMINISTRATIVOS DE COMISIONES OBRERAS (COMFIA-CC.OO).

18 Data Privacy Institute, ECIX e ISMS: Estudio de impacto y comparativa con la normativa española de la propuesta de Reglamento General de Protección de Datos de la Unión Europea. 2012.



– Data Privacy Institute, ECIX e ISMS: Estudio de impacto y comparativa con la normativa española de la propuesta de Reglamento General de Protección de Datos de la Unión Europea. 2012.

– GUDE FERNÁNDEZ, ANA: LA VIDEOVIGILANCIA LABORAL Y EL DERECHO A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL © UNED. Revista de Derecho Político N.º 91, septiembre-diciembre 2014, págs. 43-90.

– Lagarón Martín, Eduardo José: PROTECCIÓN DE DATOS EN EL ÁMBITO LABORAL, 14 de Febrero de 2011.

– MALPARTIDA MORANO, José, PRADAS MONTILLA, Ricardo. Boletín de la Facultad de Derecho” nº 18.201. “Empresas y Protección de Datos de Carácter General”. 2009.

– Ortega, Luis (Ortega Álvarez): Derecho comunitario europeo, Deposito Legal: VA 1144-2007, ISBN: 9788484067382, Publicación:Valladolid: Lex Nova, 2007.

– SENTENCIA 292/2000, de 30 de noviembre de 2000. Magistrados: Don Pedro Cruz Villalón, don Carles Viver Pi-Sunyer, don Rafael de Mendizábal Allende, don Julio D. González Campos, don Manuel Jiménez de Parga y Cabrera, don Tomás Salvador Vives Antón, don Pablo García Manzano, don Pablo Cachón Villar, don Fernando Garrido Falla, don Vicente Conde Martín de Hijas, don Guillermo Jiménez Sánchez y doña María Emilia Casas Baamonde. Tipo y número de registro Recurso de inconstitucionalidad 1463-2000. Fecha de resolución 30/11/2000.

– Sentencia del Tribunal Supremo de 26 de septiembre de 2007. Control empresarial del correo electrónico.

– STS de 6 de octubre de 2011, recurso 4053/2010 Despido por uso indebido del ordenador de la empresa, al ser utilizado para fines propios.

– Sentencia A.N. de 16 de enero de 2013. Protección de datos: Datos de carácter personal relativos a la salud.

– SILVIA MONTERO; ENCARNACION CASTILLO; ROCIO LOPEZ: (I.B.D.) AUDITORIA DE LA LOPD, IC EDITORIAL, 2011.

– Troncoso Reigada, Antonio: Comentario a la Ley orgánica de protección de datos de carácter personal. Depósito Legal: NA 1923-2010. ISBN: 9788447034239. Publicación: Cizur Menor (Navarra) : Civitas Thomson Reuters, 2010


Documents

Protección de Datos Personales en El Ambtio Laboral (Final)