Tiempo de lectura 8m
Es bien sabido que el artículo 4 del Código del Trabajo supedita la posibilidad de controlar a los trabajadores a un acuerdo sindical específico o a una autorización de la ITL, lo que no es necesario cuando el control se efectúa sobre los instrumentos utilizados por el trabajador para realizar su trabajo.
No obstante, la norma exige que cualquier actividad de control cumpla las disposiciones del Código de Privacidad. ¿Qué significa esto? ¿Cómo conciliar los requisitos de control y la privacidad de los empleados? ¿Qué debe hacer el empresario para no incurrir en infracción?
A este respecto, el Auto de Requerimiento dictado por el Garante de la Privacidad contra el Ayuntamiento de Bolzano el 13 de mayo de 2021 proporciona indicaciones útiles. Veámoslo juntos.
El caso
Un empleado del Ayuntamiento de Bolzano había interpuesto una demanda ante el Garante de la Privacidad alegando un tratamiento ilícito de datos personales por parte del Ayuntamiento al vigilar su navegación por Internet. En concreto, el empleado había sido sancionado disciplinariamente porque las comprobaciones realizadas habían revelado que había estado accediendo a las redes sociales durante horas.
El ayuntamiento se defendió alegando que había suscrito un acuerdo sindical relativo a la supervisión del tráfico de la red para los requisitos de seguridad de su red informática, en el que también se establecía que los gestores podían solicitar al administrador de la red que realizara controles selectivos del acceso a Internet por parte del personal de la oficina respectiva.
La Administración también afirmó haber informado a los empleados sobre el control del tráfico y sus modalidades mediante la publicación de diversos documentos, a disposición de los trabajadores: una nota de información general para los trabajadores sobre el tratamiento de datos personales; el acuerdo sindical mencionado, el formulario que cada empleado debía firmar al solicitar el acceso a Internet; el código de conducta y las circulares internas de la Oficina de Personal.
Posición del garante
Las averiguaciones del Garante mostraron que el ayuntamiento había empleado un sistema de supervisión y filtrado de la navegación por Internet de los empleados, con almacenamiento de datos durante un mes y elaboración de informes, por motivos de seguridad de la red.
El Garante constató la ilicitud del tratamiento a la luz del Reg. 679/2016/UE, en base a una serie de consideraciones.
En primer lugar, el responsable del tratamiento debe adoptar las medidas adecuadas para facilitar al interesado toda la información a que se refieren los artículos 13 y 14 del Reglamento de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje sencillo y claro. En el transcurso de las comprobaciones, se había puesto de manifiesto que, en la página web de la Entidad, no existía información específica sobre el tratamiento de los datos personales de los empleados, ni, en la información puesta a disposición, se hacía referencia alguna al tratamiento de datos personales relativos a la navegación por Internet de los empleados. Los demás documentos puestos a disposición de los empleados, en los que se mencionaba la supervisión de su navegación por Internet, no podían constituir una nota informativa en el sentido del artículo 13 del Reglamento, ya que no contenían los elementos esenciales exigidos por el RGPD y habían sido redactados para cumplir obligaciones distintas de las derivadas de la normativa de protección de datos. En cambio, antes del tratamiento, el responsable del tratamiento debe proporcionar a los interesados información adecuada sobre las características esenciales del tratamiento en sí; se trata de permitir que el interesado sea plenamente consciente del tipo de operaciones de tratamiento que pueden llevarse a cabo basándose también, en un marco de licitud, en los datos recogidos en el curso de la actividad laboral.
Además, el responsable del tratamiento debe respetar siempre los principios de protección de datos establecidos en el artículo 5 del Reglamento, según los cuales los controles y tratamientos de datos personales deben ser en cualquier caso no masivos, graduales y admisibles sólo después de haber probado medidas menos restrictivas de los derechos de los trabajadores. De la investigación preliminar se desprendía, en cambio, que las características originales del sistema y las operaciones de tratamiento resultantes (recogida previa y generalizada de datos relativos a las conexiones a los sitios web de empleados individuales, almacenamiento durante treinta días y posibilidad de extraer informes relativos a la navegación de empleados individuales) no eran necesarias ni proporcionadas en relación con la finalidad de protección y seguridad de la red interna invocada por la Entidad.
Además, en términos más generales, el sistema utilizado por el Ayuntamiento implicaba inevitablemente el tratamiento de información también ajena a la actividad profesional, deducible de las URL visitadas, y era, por tanto, contrario a la prohibición de que el empresario trate datos "no relacionados con la evaluación de la aptitud profesional del trabajador", como establecen el artículo 113 del Código, el artículo 8 de la Ley nº 300, de 20 de mayo de 1970, y el artículo 10 del Decreto Legislativo nº 276, de 10 de septiembre de 2003.
Además, el artículo 4, apartados 1 y 2, de la Ley nº 300/1970 establece que los datos recogidos mediante los instrumentos de control y los del trabajo pueden ser utilizados por el empresario "para todos los fines relacionados con la relación laboral", siempre que "se facilite al trabajador información adecuada sobre las modalidades de utilización de los instrumentos y de realización de los controles y en cumplimiento de lo dispuesto en el Decreto Legislativo nº 196, de 30 de junio de 2003". Por lo tanto, las operaciones de tratamiento posteriores y posibles presuponen la necesidad de proporcionar a las personas afectadas la información adecuada sobre el tratamiento que el empresario se reserva el derecho a realizar y la configuración adecuada de los sistemas para que sólo se lleven a cabo las operaciones necesarias y sólo se recojan los datos pertinentes en relación con la finalidad principal para la que se tratan originalmente los datos.
Además, el artículo 88 del RGPD permite al empresario utilizar los datos personales de los empleados para otros fines relacionados con la gestión de la relación, pero sólo en la medida en que la recogida original se haya llevado a cabo legalmente, teniendo en cuenta el objetivo principal y de conformidad con los principios generales de protección de datos.
Por lo tanto, en aplicación del principio de responsabilidad, corresponde al responsable del tratamiento evaluar si las operaciones de tratamiento que se van a llevar a cabo pueden presentar un alto riesgo para los derechos y libertades de las personas físicas, lo que requiere una evaluación de impacto previa sobre la protección de los datos personales. Según el Garante, una operación de tratamiento consistente en la recogida previa y generalizada de datos relativos a las conexiones a los sitios web de los empleados individuales, el almacenamiento durante treinta días y la posibilidad de extraer un informe relativo a la navegación de los empleados individuales entraña riesgos específicos para los derechos y libertades de los interesados en el contexto laboral.
A la luz de los principios expuestos, la decisión del Garante debe tenerse en cuenta a la hora de realizar operaciones de control sobre la actividad desarrollada por los trabajadores, ya que el artículo 4 del Código del Trabajo, por sí solo, no la legitima.
En consecuencia, será necesario:
- Proporcionar a los empleados un aviso informativo, de conformidad con el artículo 13 del RGPD, que cubra específicamente todas las posibles operaciones de tratamiento. Un documento genérico no es suficiente a este respecto;
- Realizar evaluaciones de impacto de los tratamientos aplicados.
¿Le queda alguna duda al respecto?
Póngase en contacto con nuestros asesores para obtener respuestas.