Resumen de Vigilancia empresarial y protección de datos: doctrina jurisprudencial
- español
La insuficiente concreción en el artículo 20.3 del Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el Texto Refundido del Estatuto de los Trabajadores, del alcance de la potestad de vigilancia y control empresarial, ha alimentado un rico e intenso debate jurídico sobre la protección de los derechos de intimidad, secreto de las comunicaciones, protección de datos, etc., del trabajador. En este artículo, que tiene por objeto analizar los criterios interpretativos y aplicativos emanados de la Sala de lo Social del Tribunal Supremo a propósito de los temas de vigilancia del empresario y de protección de datos, se explica la evolución de la doctrina jurisprudencial sobre tal conflicto jurídico, a la vez que se confronta con la doctrina del Tribunal Europeo de Derechos Humanos, y se valora la incidencia que el cambio normativo producido por la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos digitales, tiene sobre la misma. A falta de una regulación específica, el Tribunal Supremo y el Tribunal Constitucional han realizado una loable labor de integración, configurando unos cánones de enjuiciamiento de los conflictos en esta materia. Ahora, la reciente Ley Orgánica 3/2018 ha venido a cubrir en parte el vacío legal existente en nuestro ordenamiento jurídico, al regular, en su Título X, una serie de derechos digitales a los trabajadores, que constituyen auténticos límites al poder de control del empresario. Los principales conflictos de interés que se han suscitado en esta materia se refieren a la supervisión de las herramientas tecnológicas facilitadas por el empresario al trabajador y a la videovigilancia. En concreto, se estudia la posibilidad de acceso por parte del empleador a los correos electrónicos -u otros archivos informáticos- de naturaleza privada, generados por el trabajador en el ordenador proporcionado por la empresa, y la legitimidad de la implantación de sistemas de vigilancia mediante videocámaras para el control del trabajador.
En el tratamiento de la primera cuestión, el Tribunal Supremo ha seguido una línea progresivamente devaluadora del principio de respeto a la expectativa de intimidad acogido en la STS 26/9/2007: En esta sentencia, el Alto Tribunal abogaba por la necesidad de implantar protocolos de uso en las empresas con prohibición total o parcial de los usos personales, informando a los trabajadores de la existencia de tales normas de uso, así como de las medidas de control, fijándose que la tolerancia de ciertos usos personales moderados crea una “expectativa de confidencialidad” que no puede ser desconocida, de tal forma que el derecho a la privacidad se veía afectado si se accedía al ordenador sin haber existido advertencias anteriores sobre la posibilidad de control. En posteriores sentencias, el Tribunal Supremo ha ido modulando su posición inicial, de forma tal que la información previa sobre la política de uso de los medios informáticos y sobre las medidas de control, ha dejado de ser una condición de licitud para el acceso empresarial, considerándose suficiente el establecimiento de una prohibición empresarial de uso con fines personales. El Tribunal Constitucional ha proseguido en la misma línea, generando en la STC 170/2013 un corpus doctrinal incluso más flexible, al admitir la legitimidad del acceso empresarial al ordenador del trabajador ante la mera tipificación en convenio colectivo de sector de ámbito nacional de ilicitud del uso de nuevas tecnologías con fines personales.
Sin embargo, este criterio no se adecua a los estándares mínimos exigidos por el TEDH en la sentencia Barbulescu II, que descarta la legitimidad de la supervisión de las comunicaciones electrónicas del trabajador si previamente no ha sido advertido de ello y de su alcance, aun cuando se haya establecido la prohibición de uso con fines personales de los medios informáticos. La sentencia aporta y concreta, con diáfana claridad, unos criterios de inexcusable respeto para la determinación de la validez de los registros en las comunicaciones electrónicas de los empleados. En tal sentido, enuncia los criterios de ponderación a tener en cuenta (el denominado “test Barbulescu”): a) la notificación previa al trabajador de la posibilidad de que su actividad puede ser monitorizada; b) el grado de intromisión del empresario (durante cuánto tiempo, a qué archivos se accede y cuántas personas acceden al resultado; c) la existencia de una razón legítima empresarial que justifique la monitorización; d) la inexistencia de otras vías menos invasivas que el acceso directo a la correspondencia; e) la adecuación del uso (resultado) al objetivo que justifica la monitorización; f) la previsión de garantías para el trabajador, como la previa comunicación al trabajador. Por otra parte, la doctrina del TS y del TC no concuerda tampoco con la nueva regulación del art. 87 de la LO 3/2018, que reclama la necesidad de establecer las reglas de uso de los dispositivos digitales respetando los estándares mínimos de protección, y la obligación de notificar a los trabajadores tales reglas.
En materia de videovigilancia, el TS se ha limitado, no sin ciertas contradicciones, a secundar la doctrina vacilante del Tribunal Constitucional, que, a diferencia de otras problemáticas similares de control tecnológico, ha valorado la videovigilancia desde la perspectiva de los principios de protección de datos. La evolución de la doctrina casacional ha ido en la línea de relativizar la exigencia del deber de información previa, fijada en la STC 29/2013, obligando al empresario no solo a la colocación de un cartel distintivo con las indicaciones de la Instrucción 1/2006 de la AEPD (referencias a la LOPD, la finalidad para la que se tratan los datos y la identificación del responsable), sino a “la información previa y expresa, precisa, clara e inequívoca a los trabajadores de la finalidad de control de la actividad laboral a la que la captación podía ser dirigida”. Sin embargo, en la sentencia 39/2016, aboga por legitimar la medida de control audiovisual sobre la base únicamente de la existencia de un cartel anunciando la existencia de las cámaras en el lugar de trabajo, dando validez a las imágenes tomadas a través de las cámaras de video instaladas en una tienda, ante las sospechas de apropiación de dinero de una de las empleadas, sin haber informado previamente a los empleados. No obstante, dicha doctrina se compadece mal con la fijada por el TEDH, en la sentencia López Ribalta, que exige una comunicación a los trabajadores de la medida de control en los términos de la normativa de protección de datos. Y tampoco encaja con el nuevo art. 89 de la LO 3/2018, que desarrolla una lógica hermenéutica similar a la de la sentencia López Ribalta, al imponer a los empleadores el deber de informar con carácter previo, y de forma expresa, clara y concisa, acerca de tal medida.
En la última parte, se hace un análisis de la jurisprudencia sobre el derecho fundamental de protección de datos, donde se pone de relieve la escasa aplicación de los principios de protección de datos a otros conflictos tecnológicos distintos a la videovigilancia, y se deja constancia de la doctrina del Tribunal Supremo sobre la prevalencia del derecho a recibir información de los representantes sindicales frente al derecho fundamental de protección de datos.
- English
The insufficient specification in the article 20.3 of the Royal Legislative Decree 2/2015 dated 23rd October which approved the rewritten text of the Statute of Workers rights about the power of surveillance and corporate control has fueled an enriching and intense legal debate about the protection of the right to privacy, secrecy of communications. Data protection etc. of the employees.
In this article, which has the aim to analyze the interpretation and application criteria emanated from the Labour Chamber of the High Court in the field of employer surveillance and data protection, we explain the evolution of the doctrine of case law regarding conflictive legal opinions, as well as we compare it with the European Court of Human Rights doctrine and we evaluate the effect of the legislative change produced by the 3/2018 Statutory Law of Personal Data Protection and Digital Rights. In the absence of a specific regulation the Supreme Court and the Constitutional Court have done a laudable work setting some legal guidelines in order to resolve the conflicts of this area of law.
Now the recent 3/2018 Statutory Law has partially covered the existing gap in our legal system, regulating, by Tittle X a range of workers´ digital rights that constitute an effective limit on corporate power. The main conflicts of interest that have arisen in this area of the Law concern the supervision of the technological tools provided by the employer to the employee and the video surveillance.
The main conflicts of interests that has been raised in this topic refer to the surveillance of the technological tools facilitated to the employee by the employer and the video surveillance. In particular, employers possibility to access to private emails -or other informatics fields- is studied, emails that are generated by the employee on a computer given by the employer, and the legitimacy to implement video surveillance systems to control the workers.
In relation to the first issue, The Supreme Court has adopted a progressively devaluating tendency of the principle of respect to the expectation of privacy established by the 2007/9/26 Supreme Court judgement: in this judgement, the High Court advocate for the necessity to implement protocols of use in the enterprise about the total or partial prohibition of personal use, informing the employees about the existence of usage rule, as well as about the control measures, setting that the tolerance about some measured personal use can create an “expectation of confidentiality” that it cannot be unknown, in such a way that the right to privacy was affected if there was an access to the computer without previous warnings about the possibility to control it. In next judgements, the High Court has been modulating the initial position, in this way the previous information about the policy of using the computer resources and the control measures, is no longer a condition for the legality of the employer access, considering sufficient with the establishment of an enterprise prohibition of use for personal purposes. The Constitutional Court has followed the same trend, creating in the 170/2013 CCJ a doctrinal corpus even more flexible, admitting the legitimacy of the employer access into the employee’s computer merely with a categorization in the sector collective bargaining of the unlawfulness of the use of new technologies with personal purposes. However, this criteria does not comply with with the minimum standards set by the ECHR in the Barbulescu II judgment, which dismisses the legitimacy of the supervision of the electronic communications of the employee when it was not previous advice about it and its scope, even when a prohibition of the use of informative devices for personal purposes is been established. The judgement provides and precise, with diaphanous clarity, some criteria of inexcusable respect for the determination of the validity of the employee’s electronic communications search. In that sense, it spelled out the weighting criteria to take into account (the so-called “Barbulescu test”): a) whether the employee has been notified of the possibility that the employer might take measures to monitor correspondence and other communications, and of the implementation of such measures; b) the extent of the monitoring by the employer and the degree of intrusion into the employee’s privacy (for how long, which documents are searched and how many people had access to the results); c) the existence of a legitimate reason in the employer that justifies the monitoring; d) whether it would have been possible to establish a monitoring system based on less intrusive methods and measures than directly accessing the content of the employee’s communications; e) the appropriate use (result) for the objective that justifies the monitoring; f) whether the employee had been provided with adequate safeguards, especially when the employer’s monitoring operations were of an intrusive nature. On the other hand, the High Court and the Constitutional Court doctrines does not match with the the new regulation contained in article 87 of the 3/2018 Statutory Law, which demands the need to establish the rules of usage of digital devices observing the minimum standards, and the duty to inform to the employees about those rules.
Regarding video surveillance, the Supreme Court has not without contradiction done no more than support the hesitant finding of the Constitutional Court, which, unlike in other technological control problem, has evaluated video surveillance of data protection perspective. The doctrinal evolution of the High Court has been relativizing the duty of previous information settled in the 29/2013 CCJ, forcing the employer not only to put a distinctive poster with the indications of the 1/2006 Instruction of the Spanish Data Protection Agency -AEPD- (references to the data protection law -LOPD-, the purpose of data processing and the identification of the responsible person), but also to the “prior and express, precise, clear and unequivocal information to the employee about the purpose of controlling the work activity to which the capture could be directed”. Nevertheless, in the 39/2016 judgement, they require a legitimation of the audiovisual control measure on the unique basis of the existence of a poster announcing the existence of cameras in the workplace, giving validity to the images taken with the cameras installed in a shop, without the employees previous information.
On the face of it, it seems contradictory with the doctrine settled by the ECHR, in the Lopez Ribalba judgement, which requires the communication to the employees of the corporate control in terms of the data protection legislation, nor with the new article 89 of the 3/2018 Statutory Law which imposes a similar logic of the Lopez RIbalba judgement, requiring on the employers the duty to inform in advance, in a express, clear and concise way, the measure adopted.
In the last section, the practical scope of the fundamental right to the protection of data is established, where the law level of application of the data protection principle to other technological conflicts different of the video surveillance is underlined, and it takes stock of the High Court doctrine about the prevalence of the right of the trade unions representatives to receive information.of data against the data protection fundamental right.
