part0009

1. El proceso evolutivo de la digitalización y antecedentes normativos en materia de privacidad

Vivimos en un período de la historia de la humanidad inimaginable hace apenas una década. Los avances tecnológicos han transformado nuestro mundo debido al impulso de una imparable evolución digital. En este escenario de continua transición, el desarrollo tecnológico desempeña un papel determinante, también, cómo no, en el ecosistema de las relaciones laborales exigiéndose unos estándares mínimos de seguridad, incluida la vertiente jurídica. Para DAVARA (1997) (1) al pronosticar, por entonces, una incipiente «mecanización» masiva de los despachos profesionales y de una «oficina virtual », ya destacaba la necesaria exigencia de seguridad, pero desde una triple perspectiva: física, lógica y también jurídica.

El mercado laboral y el tejido empresarial hace tiempo que comenzaron un proceso de cambio o adaptación provocado por la creciente competitividad y la digitalización, acelerado, eso sí, por la situación pandémica y los consecuentes confinamientos de la población. En este mercado digital se están demandando ya determinados perfiles tecnológicos (STEM (2) ) o con competencias digitales muy específicas. Además, no es descabellado pensar que esta cuarta revolución industrial o tecnológica pudiera provocar, por ejemplo, la expulsión de millones de personas del mercado laboral que no cuentan con determinadas competencias digitales, o como consecuencia de la generalización de la robótica y la automatización de procesos, o del creciente desarrollo de las empresas basadas en una economía colaborativa. Riesgos que se reconocen expresamente en la Estrategia Europea de Datos del Parlamento Europeo, de 25 de marzo de 2021 (3) , cuando se señala que una sociedad y una economía de los datos bien construidas han de estar concebidas para beneficiar a todos los consumidores, trabajadores, empresarios, empresas emergentes y pymes ; y deben respetar los derechos laborales, crear empleo de calidad sin rebajar las condiciones laborales, mejorar la calidad de vida de los ciudadanos de la UE y reducir las brechas digitales existentes sin crear otras nuevas.

Puede afirmarse, por otro lado, que hasta este momento los seres humanos hemos contado con dos factores de producción básicos, como son el capital y el trabajo . Pero en la actual revolución tecnológica ha emergido indiscutiblemente un nuevo factor de producción: los datos.

Estos datos, en realidad, son parte de la propia dignidad de las personas, e, incluso, contribuyen a la libertad del hombre y a alcanzar una convivencia social justa (DAVARA 2001) (4) . Desde esta perspectiva, como veremos a lo largo de estas líneas, el derecho a la protección de esos datos personales ha alcanzado la categoría de derecho fundamental en los modernos ordenamientos jurídicos, y por supuesto, también en el marco europeo.

Atrás en el tiempo queda la Declaración Universal de los Derechos del Hombre , donde en su artículo 12 señalaba que nadie puede ser objeto de injerencias arbitrarias en su vida privada surgiendo un primigenio derecho contra tales injerencias o ataques; o el Pacto Internacional de Derechos Civiles y Políticos , tratado internacional que entró en vigor en 1976, y que se articulaba en la misma línea frente a injerencias ilícitas en la vida privada.

Pero no es hasta el año 1983 cuando, con ocasión de la Sentencia sobre la Ley del Censo del Tribunal Constitucional Federal Alemán (5) se reconoce el derecho a la autodeterminación informativa . Esta Sentencia fijó las bases de este derecho sobre una serie de premisas esenciales como la facultad de la persona de decidir por sí misma sobre la difusión y la utilización de sus datos personales; la libertad de planificar o decidir por autodeterminación personal los datos que son difundidos a terceros; y la premisa de que se debe garantizar que el interesado pueda conocer «quién»; «qué»; «cuándo», y «con qué motivo» trata sus propios datos personales. Es decir, el derecho a la autodeterminación informativa , gira en torno al principio de consentimiento informado y sobre la base del principio de finalidad en el tratamiento de los datos personales. El Tribunal alemán consideró que la autodeterminación informativa se derivaba del derecho fundamental al debido respecto de la personalidad, protegido en la Constitución alemana, pudiendo entenderse, incluso, siguiendo a ALONSO MARTÍNEZ (2002), que esta resolución es el primer antecedente directo de la figura del consentimiento como requisito inherente a la protección de datos personales (6) . Como veremos posteriormente, en el proceso evolutivo y jurisprudencial consolidado, el consentimiento como causa de legitimación para tratar datos no resulta ahora un soporte válido, como regla general, en el ámbito de las relaciones laborales, e incluso ya muy era cuestionable estando vigente la Directiva 95/46/CE y la Ley Orgánica 15/1999, de 13 de diciembre.

Para tener una visión completa de la gestación del marco legal del derecho fundamental a la protección de datos es preciso situarse en el 28 de enero de 1981, fecha de publicación del Convenio n. o 108 del Consejo de Europa (7) para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. (8) El Convenio 108 es el primer (y único) instrumento internacional jurídicamente vinculante adoptado, hasta este momento, en el ámbito de la protección de datos, y tiene como fin «garantizar [… ] a cualquier persona física [… ] el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal» (9) .

El esfuerzo de alineamiento y homogeneización del marco legal europeo en materia de protección de datos durante las décadas siguientes ha tenido como resultado la aparición del Reglamento General de Protección de Datos (RGPD) (10) , que pretende garantizar un nivel coherente de protección en la UE evitando divergencias que dificulten la libre circulación de datos dentro del Mercado Interior. Aspira, además, a dotar de seguridad jurídica y de transparencia a los operadores ofreciendo a los ciudadanos europeos el mismo nivel de derechos, al igual que mismas obligaciones y responsabilidades para los responsables y encargados del tratamiento (11) .

En todo caso, y con independencia de los objetivos pretendidos por el RGPD, debe ser objeto de crítica el hecho de que existen más de 50 referencias del RGPD a la posibilidad de desarrollos normativos nacionales, lo cual, unido al margen de apreciación por parte de las distintas autoridades de protección de datos (12) , no parece que esté contribuyendo a una completa uniformidad del panorama europeo en esta materia.

De cualquier modo, debemos destacar que con el RGPD se ha producido una evolución desde el principio de consentimiento hacia el principio de licitud del tratamiento . Es decir, el nuevo sistema de legitimación para tratar datos, que incorpora el RGPD en su artículo 6, viene a suponer un importante cambio conceptual, ya que se ha pasado de emplear el consentimiento del interesado como un principio cardinal básico al que le seguían un elenco de excepciones, a disponerse de un conjunto de opciones legitimadoras del tratamiento de datos de carácter personal situadas en un mismo nivel.

El RGPD, además, abre una puerta al desarrollo de nuevos instrumentos o mecanismos que complementen la regulación en el ámbito de las relaciones laborales, primeramente, a través de la aprobación de normas específicas por parte de los Estados Miembros; seguido de la negociación colectiva como instrumento esencial, que está llamada a complementar las lagunas existentes en materia laboral; y en tercer lugar, la promoción de la autorregulación de los diferentes sectores, mediante códigos de conducta y mecanismos de certificación (artículos 40 y sig. del RGPD).

2. El derecho al entorno digital, a la intimidad y a la protección de datos como derechos fundamentales aplicables a las relaciones laborales

La jurisprudencia ha venido configurando una doctrina específica sobre los derechos fundamentales relacionados con la privacidad de los trabajadores en el entorno laboral, que se concreta en los derechos a la intimidad (artículo 18.1 CE), al secreto de las comunicaciones (artículo 18.3 CE), y, a la protección de datos de carácter personal. El derecho al entorno digital, o derecho a la protección del propio entorno virtual se perfila incluso por el propio TS, tal y como referimos, a continuación.

El derecho a la intimidad es un derecho fundamental regulado en el artículo 18 de la CE, así como en el artículo 4.2 del Estatuto de los Trabajadores (ET) y el artículo 8 del Convenio Europeo de Derechos Humanos (CEDH). La noción de intimidad constitucionalmente protegida es un concepto de carácter objetivo o material, mediante el cual el ordenamiento jurídico designa y otorga protección al área que cada uno se reserva para sí o para sus íntimos, un «ámbito reservado de la vida de las personas excluido del conocimiento de terceros» en contra de su voluntad (STC 10/2002, 127/2003, y 189/2004).

Dispone el artículo 4.2.e) del ET que «en la relación de trabajo, los trabajadores tienen derecho al respeto de su intimidad y a la consideración debida a su dignidad». Por su parte, el artículo 20.3 ET establece que «el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad».

Los trabajadores igualmente tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y frente al uso de dispositivos de videovigilancia y geolocalización en los términos establecidos en los artículos 79 a 97 LOPDGDD y artículo 20 bis ET, a los que dedicaremos algunas líneas al tratar los derechos digitales.

Como regla general, la jurisprudencia viene entendiendo que este derecho a la intimidad no se vulnera por el control empresarial siempre que la conducta sancionada esté específicamente prohibida y el trabajador haya sido debidamente informado de los controles establecidos por el empresario.

Por su parte, el reconocimiento del derecho a la protección de datos personales como derecho fundamental no proviene originariamente de la CE, ya que no menciona este derecho de una forma explícita. El derecho a la protección de datos personales en España si bien encuentra sus cimientos en el artículo 18.4 de la CE, donde la Carta Magna ya alertó en 1978 acerca de los riesgos que podía entrañar el uso de la informática, es la jurisprudencia la que, a través de un conjunto de sentencias, fue configurando originariamente el derecho a la protección de datos tal y como lo conocemos, es decir, diferenciado y autónomo del derecho a la intimidad.

En la STC 254/1993 el TC hace referencia, por primera vez, al derecho fundamental a la protección de datos. En ella se sientan las bases del contenido de este derecho al que la doctrina y la jurisprudencia comparada conocían como «autodeterminación informativa», concepto que las STC 254/1993 y 94/1998 ayudaron a concretar, refiriendo que estábamos ante un nuevo derecho fundamental, por el que se garantiza a la persona el control sobre sus propios datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados. En lo que se refiere a la configuración del derecho, destaca la trascendente STC 292/2000, que estableció el derecho a la protección de datos personales como fundamental y autónomo, por el que el afectado tiene el poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo.

Dicho lo cual, en la actualidad, la consideración del derecho a la protección de datos como un derecho fundamental se reconoce expresamente en el Considerando 1 del RGPD (13) . Por su parte, la LOPDGDD se refiere igualmente la protección de datos como derecho fundamental, con amparo en la CE y lo hace en la primera línea de su Exposición de Motivos y en su artículo 1.

De cualquier modo, la normativa sobre protección de datos no puede entenderse de forma independiente del Derecho del Trabajo y viceversa. Es más, la AEPD ya ha analizado esta cuestión (14) señalando que los convenios colectivos están entre las fuentes de la relación laboral que regulan los derechos y obligaciones concernientes a la misma, también en materia de protección de datos. Por tanto, los convenios colectivos deben tener un protagonismo destacado en la definición y concreción del derecho a la protección de datos en el ámbito laboral, conforme disponen los artículos 88 y 9.2.b; y Considerando 155 RGPD; y artículo 91 LOPDGDD cuando hacen referencia a la negociación colectiva y al establecimiento de garantías adicionales de la mano de los convenios colectivos, principalmente en el control de los dispositivos puestos a disposición de los trabajadores, los sistemas de videovigilancia, grabación de sonidos y dispositivos de geolocalización, además de en la determinación del derecho de desconexión digital. En esta línea la STC 170/2013 consideró que cuando estuviese tipificado como sanción en el convenio colectivo el uso de medios informáticos de la empresa para fines distintos de los permitidos, tal tipificación es absolutamente vinculante para el trabajador y supone una prohibición expresa del uso extralaboral de tales medios.

Por otra parte, la STS 489/2018 (Sala Penal), de 23 de octubre, introduce el concepto del derecho al entorno digital, o derecho a la protección del propio entorno virtual, configurándolo incluso como un derecho constitucional de nueva generación. El TS destaca que hay derechos fundamentales en juego en el sentido de entender gráficamente que «los trabajadores no dejan ni su intimidad ni el resto de sus derechos en las puertas de la oficina o empresa». También, considera la STS como «una obviedad por nadie discutida que la relación laboral impone modulaciones, en esos derechos, aunque nunca absolutas, como se ha preocupado de resaltar la jurisprudencia y el artículo 20.3. del ET; de redacción un tanto obsoleta y no acompasada con las nuevas —o ya no tan nuevas realidades tecnológicas».

El TS configura (fundamento de derecho quinto), este derecho al entorno digital argumentando que «(… ) algunos precedentes alientan la aparición de un derecho vinculado a los mencionados, pero con cierta vocación de emanciparse para cobrar autonomía e identidad propias. Partiendo de la plurifuncionalidad de los datos que se almacenan en cualquier ordenador y otros dispositivos asimilables por su capacidad de acumular información vinculada a una persona (smartphone ) se conviene en la necesidad de un tratamiento unitario a partir de la proclamación de un derecho al entorno digital. Sería un derecho de nueva generación que serviría para alumbrar y justificar distintos escalones de protección jurisdiccional (… )» «el legislador con buen criterio ha optado por otorgar un tratamiento unitario a los datos contenidos en los ordenadores y teléfonos móviles, reveladores del perfil personal del investigado, configurando ese derecho constitucional de nueva generación, el derecho a la protección del propio entorno virtual».

Dicho lo anterior, basta con un ejercicio de observación de la extensa y, en ocasiones, vacilante, jurisprudencia existente para poder afirmar que no es sencillo conjugar el derecho a la intimidad personal y familiar y la protección de datos personales, con otros derechos como la libertad de empresa (artículo 38 CE) y la facultad de dirección y control del empresario (artículo 20.3 ET).

La celebración de un contrato de trabajo no implica, en modo alguno, la privación para el trabajador de los derechos que le reconoce la CE. La libertad de empresa, contemplado en el artículo 38 CE, tampoco legitima que los trabajadores hayan de soportar limitaciones injustificadas de sus derechos fundamentales y libertades públicas. Este es el planteamiento que viene sosteniendo, de forma reiterada, el TC (entre otras, STC 146/2019). Pero estos derechos no son absolutos, sino que están sujetos a limitaciones en su ejercicio, ya que se debe compaginar con otros derechos, igualmente objeto de protección, siendo especialmente conflictiva la limitación del derecho a la intimidad derivada de la actuación empresarial en el ejercicio de la facultad de dirección y control regulado en el artículo 20.3 del ET. Así, según reiterada doctrina del TC, se puede concluir, en primer lugar, que los derechos fundamentales del trabajador deben adaptarse a los requerimientos de la organización productiva en que se integra (STC 5/1981; 106/1996 y 199/1999). Además, las facultades empresariales se encuentran limitadas por los derechos fundamentales del trabajador, que son prevalentes y constituyen un límite a sus facultades sancionadoras, de organización y de gestión (STC 292/1993, 136/1996, y 49/2003). Y finalmente, cuando se prueba indiciariamente que una decisión empresarial puede enmascarar una lesión de derechos fundamentales incumbe al empresario acreditar que su decisión obedece a motivos razonables y ajenos a todo propósito atentatorio del derecho de que se trate y que es preciso garantizar, en tales supuestos, que los derechos fundamentales del trabajador no sean desconocidos por el empresario bajo la cobertura formal del ejercicio por parte de éste de los derechos y facultades reconocidos por las normas laborales (STC 38/1981 y 125/2007).

3. Riesgos y evaluación del equilibrio entre el interés empresarial y la expectativa razonable de privacidad de los trabajadores

Todo tratamiento de datos personales en al ámbito laboral va a implicar necesariamente la existencia de una serie de riesgos para los derechos de los trabajadores por lo que, atendiendo a cada supuesto concreto se va a requerir la confección de una evaluación del equilibrio entre el interés legítimo del empresario de proteger su interés empresarial y la expectativa razonable de privacidad de los trabajadores.

El concepto de «expectativa razonable de intimidad» lo introduce el Tribunal Europeo de Derechos Humanos (TEDH) en algunas de sus Sentencias (por ejemplo, en los casos Halford; Copland; y Liberty (15) ), en los que la apreciación, a la vista de las circunstancias, de que el trabajador no estaba advertido de la posibilidad de que sus comunicaciones pudieran ser objeto de seguimiento por la empresa ha llevado a admitir que dicho trabajador podía, razonablemente, confiar en el carácter privado de las llamadas efectuadas desde el teléfono del trabajo o, igualmente, en el uso del correo electrónico y la navegación por internet.

En esencia, estas resoluciones del TEDH entienden que no existe vulneración de la expectativa razonable de privacidad cuando el control empresarial de un ordenador no ha resultado ni excesivo ni desproporcionado para la satisfacción de los intereses empresariales frente a la competencia desleal, siendo la prueba pericial informática practicada, en su caso, susceptible de conseguir el objetivo propuesto —juicio de idoneidad—, necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia —juicio de necesidad— y ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto —juicio de proporcionalidad en sentido estricto—.

En todo caso, los riesgos para los derechos de los trabajadores, que suponen los tratamientos en las relaciones laborales, se ponen de manifiesto en el Considerando 75 RGPD cuando señala que los riesgos pueden deberse al tratamiento de datos que revelen la militancia en sindicatos, datos relativos a la salud; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo.

Estos riesgos se relacionan con gran detalle en el Dictamen 2/2017 del Grupo de Trabajo del Artículo 29 cuando se señala que las tecnologías permiten que los trabajadores puedan ser objeto de seguimiento a lo largo del tiempo, en los lugares de trabajo y en sus hogares, a través de diferentes dispositivos, como teléfonos inteligentes, ordenadores de mesa, tabletas, vehículos y tecnología ponible o wearable .

Se advierte, que, si el tratamiento no tiene límites y no es transparente, existe un alto riesgo de que el interés legítimo de los empresarios en la mejora de la eficiencia y protección de los activos de la empresa se convierta en un control injustificado e intrusivo. Además, ese control puede provocar un efecto desalentador sobre los derechos fundamentales de los trabajadores a organizarse, a reunirse y a comunicarse de forma confidencial.

En ocasiones, se plantean situaciones en el proceso de contratación laboral que puede vulnerar el derecho a la igualdad de trato además del derecho de protección de datos del trabajador, como en los supuestos en los que se solicita a un candidato información sobre su inmunidad a la COVID-19. La AEPD consideró (16) que ni existe legitimación para el tratamiento de esos datos de salud, ni los fines de este se ajustan al RGPD, pues la solicitud de este tipo de información de salud, como requisito para acceder a un puesto de trabajo, daría lugar a una diferencia de trato que no obedece a una justificación objetiva y razonable.

En la misma línea tampoco resulta lícito que una empresa requiera los antecedentes penales de un candidato a un puesto de trabajo durante un proceso de selección, ya que una entidad del sector privado no puede tratar datos personales relativos a la comisión de infracciones penales o administrativas, ya que éstos solamente podrán ser objeto de tratamiento en los supuestos previstos en las respectivas normas reguladoras. Incluso la solicitud de una declaración responsable de que se carece de antecedentes penales ha de ser considerada como un tratamiento de datos relativos a condenas penales, resultando ilícito el tratamiento de este dato en cuestión (SAN 14/2020, de 10 de febrero de 2020. Sala de lo Social). Sirva como ejemplo, la sanción de 2 millones de euros impuesta por la AEPD a Amazon, por solicitar un certificado de antecedentes penales a sus trabajadores (PS/00267/2020).

Todo ello hace, en definitiva, que se imponga la obligación de realizar una evaluación del equilibrio entre el interés legítimo del empresario de proteger su empresa y la expectativa razonable de privacidad de los trabajadores. Y en todo caso, el enfoque orientado al riesgo que se propugna en el RGPD debe implicar que el responsable del tratamiento debe identificar, analizar y evaluar los riesgos derivados del concreto tratamiento de datos personales, en este caso, en el ámbito laboral, aplicando medidas de seguridad, técnicas y organizativas, adecuadas a ese riesgo resultante.

Desde un punto de vista general a todos los tratamientos con datos personales en el ámbito de las relaciones laborales le son de aplicación los principios básicos que se reconocen en el RGPD y en la LOPDGDD. Así, el tratamiento de datos en el ámbito laboral debe limitarse a cuando sea adecuado, pertinente y no excesivo en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido los datos personales. Asimismo, los datos no pueden usarse para finalidades incompatibles con aquéllas para las que hubieran sido recogidos, conforme regula el artículo 5 RGPD.

En lo que respecta al principio de transparencia e información, de conformidad con los artículos 12 y 13 RGPD es el propio contrato de trabajo, o un anexo al mismo, el medio idóneo para informar al trabajador sobre el tratamiento que se realizará respecto de sus datos personales en relación con la prestación laboral y concretamente, entre otras circunstancias, acerca de quién es el responsable del tratamiento; los destinatarios de los datos (mutualidades, TGSS, servicios externos de reconocimientos médicos, empresas de seguridad, etc.); existencia de sistemas de videovigilancia, o dónde se pueden ejercitar los derechos que le reconoce el RGPD.

Aunque es exigible dar cumplida respuesta al principio de información, a través de una cláusula informativa, no es necesario contar con el consentimiento del trabajador, ya que la causa legitimadora del tratamiento siempre va a venir determinada por la existencia de la propia relación laboral, siendo necesarios para su cumplimiento efectivo o, incluso, por venir exigida en una norma con rango de ley. Por tanto, en el ámbito laboral la base jurídica principal siempre será la ejecución del contrato de trabajo, porque el consentimiento del trabajador afectado no es válido cuando se proporciona en un contexto de desequilibro claro entre el interesado y el responsable del tratamiento, como sucede, en general, en las relaciones laborales (Considerando 43 RGPD). Es reseñable en este punto, como la Autoridad Griega de Protección de Datos , en su Resolución de 26 de julio de 2019, impuso una sanción de multa de 150.000 euros a una consultora por solicitar el consentimiento de sus empleados para el tratamiento de sus datos personales (17) .

No obstante, en determinados casos, el consentimiento expreso, inequívoco e informado del trabajador podría ser lícito y suficiente para el desempeño de algunos tratamientos como, por ejemplo, la difusión de imágenes o vídeos de los empleados por motivos ajenos al cumplimiento del contrato laboral a través de internet con un fin de promoción de la entidad.

El Dictamen del GT29 2/2017 señala al respecto, que «habida cuenta de la dependencia que resulta de la relación empresario/trabajador, este último rara vez está en condiciones de dar, denegar o revocar el consentimiento libremente». El GT29, en la misma dirección, ya señaló en el Dictamen 8/2001, «que cuando un empresario tiene que tratar datos personales de sus trabajadores, es engañoso partir del supuesto de que el tratamiento puede legitimarse a través del consentimiento de estos. En los casos que un empresario dice que requieren consentimiento y existe un perjuicio real o potencial relevante derivado del hecho de que el trabajador no consienta (lo cual puede ser muy probable en el contexto laboral, especialmente cuando el empresario hace un seguimiento del comportamiento del trabajador a lo largo del tiempo), entonces el consentimiento no es válido, ya que no es y no puede ser dado libremente».

En la STS 4086/2015, de 21 de septiembre (Rec. 259/2014), el TS se opuso a que en el contrato de trabajo se hiciera constar mediante cláusula/tipo que el trabajador prestaba su consentimiento a aportar los datos referidos a su correo electrónico y teléfono, ya que se consideró que el trabajador es la parte más débil del contrato y al ser incluida por la empresa en el momento de acceso a un bien escaso como es el empleo puede entenderse que su consentimiento sobre tal extremo no es libre y voluntario.

De cualquier modo, la existencia de una relación contractual no es la única causa de legitimación para tratar los datos en el ámbito laboral, ya que, en ocasiones, el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, conforme al artículo 6.c RGPD. Es frecuente que el Derecho laboral imponga obligaciones que requieran el tratamiento de datos personales, como, por ejemplo, el propio ET; la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales (LPRL), o el Estatuto Básico del Empleado Público. Así, por ejemplo, la AEPD acordó archivar las actuaciones seguidas contra un centro comercial que disponía de cámaras fototérmicas a la entrada de los establecimientos para la toma de temperatura de los trabajadores, ya que se entendió que se trataba de una obligación legal en virtud de la LPRL, y que no se realizaba de manera aislada, sino juntamente con otras medidas para la lucha contra la COVID 19, previstas en un plan de contingencia (E/03882/2020).

El interés legítimo prevalente de los empresarios, del artículo 6.1.f RGPD, puede invocarse, en ocasiones, como fundamento jurídico, pero solo si el tratamiento es estrictamente necesario para un fin legítimo y cumple los principios de proporcionalidad y subsidiariedad, tal y como ha venido reconociendo el Dictamen 2/2017 del GT29. De cualquier modo, como regla general, un interés legítimo en sí mismo no es suficiente para primar el interés empresarial sobre los derechos y libertades de los trabajadores, por lo que es una causa de legitimación para el tratamiento de datos muy peligrosa.

En otro orden de cosas, y desde un punto de vista general, cabe mencionarse como el artículo 9.1 RGPD establece, como regla general, la prohibición del tratamiento de datos que revelen la afiliación sindical, datos biométricos dirigidos a identificar de manera unívoca a una persona física (que pudieran tratarse en el registro horario), o los datos relativos a la salud. No obstante, se permiten los tratamientos siempre que vengan exigidos por una norma específica en material laboral o se autorice por un convenio colectivo que establezca garantías adecuadas respecto a los derechos fundamentales (artículo 9.2.b y Considerando 52 RGPD). Igualmente, se permiten los tratamientos con esa tipología especial de datos cuando sea necesario «para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador (… ), sobre la base del Derecho de la UE o de los Estados miembros» (artículo 9.2.h) RGPD). En este punto, la LOPDGDD (artículo 9.2) aclara que este tipo de tratamientos deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad. La LOPDGDD, por su parte, introduce en su artículo 9.1 la consideración de que únicamente el consentimiento del afectado no es suficiente para levantar la prohibición del tratamiento de datos cuya finalidad principal sea, entre otros, identificar su afiliación sindical.

En España, en el título X de la LOPDGDD, se establece una primera regulación básica de los conocidos como derechos digitales . El paso siguiente se ha producido con la aparición de la Carta de Derechos digitales (18) , adoptada por el Gobierno de España en el mes de julio de 2021. Se trata de un instrumento sin carácter normativo, que pretende ser un marco de referencia para guiar futuros proyectos legislativos y el desarrollo de políticas públicas en España. Se reconocen una serie de derechos en el entorno digital con relación a la protección de datos; y entre otros, se incluyen en el apartado XIX un elenco de derechos en el entorno laboral y empresarial.

Los artículos 87 a 91 de la LOPDGDD se ocupan de los derechos de los trabajadores, introduciendo algunas previsiones destacables, como el establecimiento de medidas de control del empresario, la videovigilancia y la grabación de sonidos, los sistemas de geolocalización y el derecho a la desconexión digital. La Exposición de Motivos (Preámbulo IV) de la LOPDGDD, menciona incluso que una futura reforma de la CE debería elevar a la categoría de derechos fundamentales los derechos en el entorno digital.

Cabe destacarse como durante la tramitación parlamentaria de la LOPDGDD se introdujo, con cierta premura, el meritado Título X dedicado a los derechos digitales, con la posible intención de publicitar el haber sido el primer Estado de la UE en regularlos de una forma explícita y monográfica. Cuestiones de oportunidad política aparte, la doctrina más autorizada ha criticado la inclusión de estos derechos digitales en la LOPDGDD, ya que parece que, por su propia naturaleza y temática, hubiera merecido una regulación específica, mediante Ley Orgánica (19) .

En lo que respecta a los dispositivos digitales el artículo 87.3 LOPDGDD (y artículo 17.3 Ley 10/2021, de 9 de julio, de trabajo a distancia) dispone, en primer lugar, que el empleador debe establecer criterios de utilización que respeten unos estándares mínimos de protección de la intimidad de acuerdo con los usos sociales y a los derechos reconocidos constitucional y legalmente; en su elaboración, deben participar los representantes de los trabajadores; además, el empleador debe informar, de forma precisa, a los trabajadores acerca de los usos autorizados; y se deben establecer garantías para preservar la intimidad del trabajador, como, por ejemplo, determinación de los períodos en que esos dispositivos puestos a su disposición podrán utilizarse con una finalidad de carácter privado.

En todo caso, la utilización de los medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos debe garantizar adecuadamente el derecho a la intimidad y a la protección de datos de acuerdo con los principios de idoneidad, necesidad y proporcionalidad de los medios utilizados (artículo 17.1 Ley 10/2021).

En cuanto a los tratamientos con fines de videovigilancia debemos recordar como la Instrucción 1/2006, la AEPD determinó los requisitos y límites de los tratamientos de datos personales mediante videocámaras con fines de seguridad. Actualmente, estos tratamientos se regulan en el artículo 22 de la LOPDGDD, si bien, el apartado 8, hace una remisión al artículo 89 LOPDGDD, en los supuestos de tratamientos por el empleador de datos obtenidos a través de sistemas de videovigilancia. Pues bien, siguiendo la regulación de la LOPDGDD el empresario puede tratar las imágenes obtenidas a través de estos sistemas para el ejercicio de las funciones de control de los trabajadores siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo. Por tanto, las imágenes grabadas no pueden ser utilizadas por parte del empleador para fines distintos que los propios de vigilancia y control.

Nuestra jurisprudencia (por ejemplo, STC 10/07/2000) ha venido considerando que en estos supuestos se deberá respetar el principio de proporcionalidad , es decir, el empleador podrá adoptar esta medida cuando no exista otra más idónea para conseguir los fines perseguidos de vigilancia y control; además de valorar, si la grabación debe ser continua o restringida a determinados momentos, o pueden implementarse soluciones tecnológicas restrictivas, como por ejemplo, máscaras dinámicas de privacidad . En todo caso, y atendiendo a la jurisprudencia del TEDH, todo tratamiento de datos de videovigilancia debería partir, para considerar o no, que se ajusta al principio de proporcionalidad, por realizar el denominado «Test Barbulescu » que se configura en la STEDH, de 5 de septiembre de 2017 (caso Barbulescu vs Rumanía).

De cualquier modo, la videovigilancia por motivos de seguridad, en la medida que implica un tratamiento con imágenes, es decir, con datos personales, y supone una restricción de derechos fundamentales del trabajador, debe entenderse en sentido restrictivo y limitado a los casos en que exista una necesidad real de seguridad (STC 99/1994; 6/1995; 186/2000), si bien, la STC 196/1987 es partidaria de entender como interés constitucionalmente relevante la existencia de una finalidad de seguridad preventiva y genérica.

Por otro lado, tal y como refiere el artículo 89.1 LOPDGDD, y ya advertían las STC 29/2013 y 39/2016, el empleador debe informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes (artículo 64.1 ET), acerca de la instalación de sistemas de videovigilancia en el centro de trabajo y, en su caso, con los límites que diremos después, respeto de los sistemas de grabación de sonidos. En el supuesto de que se haya captado la comisión flagrante de un acto ilícito por los trabajadores se entenderá cumplido el deber de informar cuando existiese al menos el cartel distintivo aprobado por la AEPD (artículo 22.4 LOPDGDD).

Por tanto, el tratamiento de datos provenientes de un sistema de videovigilancia es lícito, aun sin contar con el consentimiento del afectado, en caso de que los trabajadores hayan sido debidamente informados de la existencia de esta medida. Pero debe advertirse que dichas medidas deben haber sido expresamente comunicadas al trabajador, pasando así a formar parte de la propia relación laboral y siendo el tratamiento de los datos necesario para su adecuado desenvolvimiento.

Además, únicamente se deben captar imágenes en los espacios indispensables para satisfacer las finalidades de control laboral (artículo 89.2 LOPDGDD). Deben respetarse, en síntesis, los derechos específicos de los trabajadores, como, por ejemplo, su intimidad, en relación con espacios vetados a la utilización de este tipo de medios como vestuarios, baños, taquillas o zonas de descanso; o el derecho a la propia imagen de los trabajadores, además de la vida privada en el entorno laboral, no registrando, en particular, las conversaciones privadas.

En lo que atañe de forma específica a la grabación de sonidos en el centro de trabajo, debe señalarse que esta actividad se encuentra muy restringida ya que sólo se admite en caso de riesgos relevantes para «la seguridad de las instalaciones, bienes y personas» y siempre respetando los principios de proporcionalidad (STC 98/2000), de intervención mínima y las garantías previstas en la propia LOPDGDD (artículo 89.3). Pueden existir, no obstante, supuestos excepcionales como el de los teleoperadores en línea o casos en los que resulta compatible y conforme al RGPD el uso de las grabaciones telefónicas del empleado con los clientes, —con una finalidad originaria de control de calidad del servicio, para acreditar incumplimientos laborales del mismo y la consecuente imposición de sanciones disciplinarias (STC 160/2021).

La supresión de las grabaciones de audio se deberá realizar en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las grabaciones deberán ser puestas a disposición de las autoridades en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación (artículo 22.3 de la LOPDGDD).

Destacamos como la AEPD acordó apercibir a una entidad en la que algunos trabajadores portaban dispositivos que captaban audio en el centro de trabajo, sin haber informado debidamente ni a los propios empleados ni a sus representantes (Procedimiento N.o : PS/00067/2020). Especialmente sorprendente resulta la sanción de multa de más de 35 millones de euros por parte de la Autoridad de Protección de Datos de Hamburgo (20) , impuesta a una empresa textil por recabar, sin que existiese legitimación a tal fin, datos de salud y referentes a la vida privada de sus empleados, a través de sistemas de grabación continuados en el centro de trabajo.

La utilización de sistemas de geolocalización en el ámbito laboral también se regula en la LOPDGDD (artículo 90). Se permite el uso de estos sistemas para el ejercicio de las funciones de control por parte del empresario (artículo 20.3 ET), siempre que los empleados y sus representantes sean informados de forma expresa, clara e inequívoca, acerca de la existencia y características de estos dispositivos y de la posibilidad de ejercer sus derechos de acceso, rectificación, limitación del tratamiento y supresión. Como cualquier tratamiento, el referido a los datos de localización debe ser proporcionado a la finalidad que lo motiva debiendo respetarse siempre la propia dignidad del trabajador. En este sentido, el TS concluyó que el tratamiento de los datos, para justificar un despido, obtenidos por un geolocalizador GPS instalado en un vehículo de empresa es lícito en el caso en el que el empleado esté informado de la instalación del dispositivo, tenga restringida la utilización del vehículo a la actividad laboral y sólo recojan información sobre el movimiento y localización, incluso fuera del horario laboral (STS 766/2020, de 15 de septiembre. Rec. 528/2018).

Finalmente, el derecho de los trabajadores a desconectar del trabajo, por medios digitales, una vez concluida la jornada laboral, se reconoce, por primera vez en España con la LOPDGDD. La notoria absorción de espacios de la vida privada de los trabajadores potenciada con el empleo de las tecnologías de la información y las comunicaciones, que hace que el trabajador esté prácticamente siempre conectado, y a disposición de los requerimientos de la empresa, por lo que surge un nuevo derecho a la desconexión digital, que encuentra su regulación en la LOPDGDD, el ET y en la Ley 10/2021 de trabajo a distancia (21) .

Este derecho surge como una nueva herramienta de limitación de los poderes del empresario, con el objetivo de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar, si bien este derecho de desconexión digital no es absoluto, tal y como se han ocupado de recordar algunas Sentencias, como la STSJ de Madrid, de 4 de noviembre de 2020 (rec. 430/2020). En esta resolución se señala que la realización de un curso online de carácter obligatorio fuera del horario laboral tiene la consideración de tiempo de trabajo efectivo y, por tanto, no resulta de aplicación el derecho a la desconexión digital. En la misma dirección la STSJ (Sala de lo Social) de 9 de junio de 2021 (rec. 318/2021), dispone que el derecho del trabajador a la desconexión digital no es incompatible con que la empresa pueda imponer la realización de actividades laborales fuera del horario ordinario.

Se contempla, además, la obligación empresarial de elaborar una política interna dirigida a trabajadores y directivos, que (previa audiencia de los representantes de los trabajadores, en su caso) regule las modalidades de ejercicio del derecho a la desconexión y las acciones de formación sobre el uso de los medios tecnológicos a efectos de evitar el riesgo de «fatiga informática» con especial mención a aquellos supuestos en los que el trabajo se desarrolle a distancia (artículo 88.3.º LOPDGDD y 18.2 Ley 10/2021). Además, la negociación colectiva, de sector o de empresa (convenios o acuerdos colectivos de trabajo), puede introducir medidas concretas o garantías adicionales que faciliten la desconexión digital (artículos 91 LOPDGDD y 18.2 Ley 10/2021). Estas obligaciones deben ser implementadas por las organizaciones con independencia de su actividad o tamaño y su omisión puede encontrar encaje sancionador en el Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el Texto Refundido de la Ley sobre Infracciones y Sanciones en el Orden Social (LISOS).

(1)

DAVARA RODRIGUEZ, M.A., «La mecanización de la actividad profesional o un nuevo concepto de trabajo» (X Años de encuentros sobre informática y derecho 1996/1997). Universidad Pontificia de Comillas. (Editorial Aranzadi). 1997, págs. 381 a 391.

Capítulo II

Evolución del derecho fundamental a la protección de datos en las relaciones laborales