AD 194/2020
Abstract
Las empresas, en el marco de las relaciones laborales con sus trabajadores, realizan un tratamiento de sus datos personales con diversas finalidades, entre las que podemos citar el cobro de la nómina, los procedimientos establecidos para el control horario mediante el uso de una tarjeta nominativa o la huella, o el control de la prestación laboral utilizando para ello tecnologías como las cámaras de videovigilancia o el GPS. En ocasiones, este tipo de tratamientos se realiza sin cumplir la normativa de protección de datos, pudiendo ser sancionados mediante una multa o a través de la figura del apercibimiento por parte de la autoridad de control de protección de datos. En este artículo analizamos algunas de estas resoluciones sancionadoras, incluyendo alguna vinculada a la situación derivada con ocasión de la pandemia generada por el COVID-19.
Companies, within the framework of relations with their workers, carry out a processing of their personal data for various purposes, among which we can include the collection of payroll, the procedures established for the time control through the use of a nominative card or the fingerprint, or the control of the work performance using technologies such as video surveillance cameras or GPS. Sometimes such processing is carried out without complying with data protection law, and may be sanctioned by a fine or through the figure of the notice by the data protection supervisory authority. In this article we discuss some of these sanctioning resolutions, including one linked to the situation arising in the occasion of the pandemic generated by COVID-19.
Palabras clave:
Trabajadores, huellas biométricas, videovigilancia, GPS
Workers, fingerprints, surveillance, GPS
1.- Introducción.
2.- El consentimiento no legitima el tratamiento de datos entre empresario y trabajador.
3.- La huella para el fichaje ¿Dato biométrico o no? Posible cambio de criterio.
4.- Uso de grabaciones de imágenes y sonidos para control laboral.
5.- Datos del GPS para procedimientos disciplinarios.
1.- Introducción.
Tras más de dos años desde la aplicación del Reglamento General de Protección de Datos (RGPD), tanto la Agencia Española de Protección de Datos (AEPD) como otras autoridades de control europeas han dictado ya numerosas resoluciones sancionadoras que afectan a diversos sectores, incluyendo varias en las que se han apreciado vulneraciones en el ámbito de las relaciones laborales. Incluso, una de ellas ha sido bastante mediática como la multa de más de 35 millones de euros impuesta por la Autoridad de Protección de Datos de Hamburgo a la empresa sueca H&M, de su sede en Nuremberg, por recabar, sin que existiese legitimación, datos de salud y de la vida privada de sus trabajadores[i].
La norma europea no es ajena a las situaciones que pueden darse en el ámbito laboral respecto al tratamiento de datos personales, puesto que su artículo 88[ii] realiza una reserva en favor de los Estados miembros para que a través de su derecho interno o convenios colectivos puedan “establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral”.
Sobre esa facultad otorgada a los Estados miembros para que legislen en esta materia, debemos recordar los artículos que contempla el Título X de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD): “Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo” (artículo 89); y “Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral” (artículo 90). Estos preceptos han motivado, a su vez, la modificación tanto del Texto Refundido de la Ley del Estatuto de los Trabajadores como del Texto Refundido de la Ley del Estatuto Básico del Empleado Público, introduciendo, respectivamente, el artículo 20 bis y letra j) bis del artículo 14, estableciendo la garantía de intimidad de los trabajadores y empleados públicos en relación sobre el uso de dispositivos de videovigilancia y geolocalización, además de también sobre los dispositivos digitales que les facilite el empleador para realizar la prestación laboral. Los artículos 89 y 90 de la LOPDGDD se completan con el artículo 91 cuyo contenido es un mero recordatorio a los efectos que a través de los Convenios Colectivos, como ya indica el RGPD, se puedan contemplar medidas adicionales para garantizar la protección de datos personales y derechos digitales de los trabajadores.
Sin perjuicio del contenido de los preceptos citados, a esta regulación se le podría haber añadido alguna cuestión más que incide de forma relevante en el tratamiento de datos en este ámbito.
Nos referimos, por una parte, a la posible utilización de datos biométricos[iii], como la huella o el reconocimiento facial, con la finalidad de control horario y/o de acceso a las instalaciones donde se realiza la prestación laboral, datos que con el RGPD ostentan el carácter de “categorías especiales de datos”[iv]; y por otra, el fenómeno conocido como “Bring your own device” (BYOD) consistente en que el trabajador pone a disposición de la empresa medios de su propiedad, como pueden ser el móvil o un portátil para lleva a cabo la prestación laboral, y que puede suponer una injerencia en la medida que se contemple un control de esos medios por parte del empleador.
Pues bien, la lectura de las resoluciones sancionadoras dictadas sobre todos ellos (exceptuando el BYOD) por las autoridades de control, permite conocer cuáles son los criterios que se están aplicando, y por consiguiente, tanto sancionado, en aquellos supuestos en que se ha considerado que se ha cometido un infracción del RGPD, como aquellos otros en los que no se ha apreciado tal comisión, por lo que se ha dictado una resolución de archivo.
De esta forma, comentaremos a continuación aquellos que consideramos más relevantes o destacables.
2.- El consentimiento no legitima el tratamiento de datos entre empresario y trabajador.
Los supuestos de legitimación para el tratamiento de datos personales se encuentran regulados en el artículo 6 del RGPD, sin que ninguno de los contemplados sea preferente al resto, de manera que todos ellos se sitúan al mismo nivel, y su aplicación dependerá de cada caso concreto en los que vaya a realizarse un tratamiento.
Dichos supuestos son 7, siendo los siguientes: consentimiento, ejecución de un contrato, cumplimiento de una obligación legal, protección de los intereses vitales, misión de interés público, ejercicio de poderes públicos e interés legítimo. A éstos, habría que añadir las legitimaciones que a su vez, recoge el artículo 9 del RGPD respecto al tratamiento de las “categorías especiales de datos”.
La existencia de una base legitimadora es fundamental, ya que permite que se pueda producir el tratamiento de datos personales de un interesado. Supone poder dar respuesta a la pregunta “¿Cuándo puedo tratar los datos personales?”. Junto a ello, otro elemento esencial son los principios relativos al tratamiento del artículo 5 del RGPD, que responden a su vez a la pregunta “¿Cómo debo tratar los datos personales?”.
Como vemos, tanto legitimación como principios, se constituyen como la base indispensable para llevar a cabo todo tratamiento de datos personales, sin perjuicio del cumplimiento del resto de obligaciones, como podrían ser, por ejemplo, la creación del registro de actividad de tratamientos o el análisis de riesgos.
En este sentido, el RGPD tiene en cuenta esta consideración, puesto que al tipificar las infracciones de los artículos 5, 6 y 9, les atribuye que su vulneración pueda ser sancionada con la cuantía máxima, 20 millones de euros (o 4% del volumen de negocio anual del año anterior), mientras que el incumplimiento de otros preceptos, como la no creación del registro de actividades de tratamiento o no realización del análisis de riesgos, se podría multar como máximo con 10 millones de euros (o 2% del volumen de negocio anual del año anterior)[v].
En cuanto a qué base legitimadora permite el tratamiento de datos personales en las relacionales laborales, la que operará de forma más frecuente será la relativa a la ejecución de un contrato, como pueden ser los datos personales que facilita el trabajador al firmar el contrato de trabajo, y que podrán ser utilizados con diversos fines, como por ejemplo, cumplir con las obligaciones salariales.
También, y siempre dependiendo del caso concreto, podría operar el resto de bases, salvo la referente al ejercicio del poder público, y probablemente en alguna cuestión residual el consentimiento. Sobre este particular, el RGPD configura como una de las características del consentimiento que debe prestarse de forma libre. El considerando 43 recuerda que no opera el consentimiento cuando exista un desequilibrio entre el interesado y el responsable del tratamiento, como sucede en las relaciones laborales, e incluso, este considerando pone como ejemplo no sólo que este desequilibro se produzca cuando el responsable sea una autoridad pública sino también cuando el cumplimiento de un contrato dependa del consentimiento. Además, debemos tener presente una de las reglas máxima para que pueda legitimarse el tratamiento de datos mediante el consentimiento: que una vez prestado el mismo, se pueda retirar, cuestión que no se produce en el tratamiento de datos derivado de la relación laboral.
Sírvase como ejemplo de esta no aplicación del consentimiento en las relaciones laborales la sentencia de la Sala de lo Social del Tribunal Supremo de 21 de septiembre de 2015, que declara abusivo incluir en el contrato de trabajo una cláusula por la cual sea obligatorio que el trabajador deba facilitar al empresario su número de móvil o correo electrónico particular, debiendo excluirse este tipo de cláusulas de los contratos de trabajo, y no existiendo un consentimiento libre y voluntario aplicable en la posible autorización de tratamiento de estos datos personales[vi].
Podría, de forma excepcional, darse algún supuesto como podría ser suscribirse a una newsletter que publique la empresa, siempre y cuando, no existiese la creación de “listas negras” sobre aquellos que no se apuntasen para recibirla.
Como muestra, la multa de 150.000 impuesta por la Autoridad de Protección de Datos de Grecia a la consultora PricewaterhouseCoopers por solicitar a sus trabajadores el consentimiento para el tratamiento de sus datos personales. Según la resolución sancionadora adoptada por esta autoridad de control[vii], no puede prestarse el consentimiento de forma libre al no existir un equilibrio entre las partes, suponiendo una impresión errónea sobre la base legitimadora, cuando realmente la aplicable es otra -la ejecución de un contrato-, de la que los trabajadores no han sido informados. Por tanto, y a juicio de esta autoridad, se estaban tratando los datos personales vulnerando el principio de licitud, lealtad y transparencia del artículo 5.1.a) del RGPD. También se estimó vulnerado el principio de “responsabilidad proactiva” del 5.2 del RGPD, por haber obligado a los trabajadores a firmar una declaración en la que se indicaba que sus datos personales se trataban con fines motivados por la relación laboral, siendo pertinentes y apropiados.
Sin perjuicio lo anterior, recientemente, y con ocasión de la situación generada por la pandemia que todavía, desgraciadamente, sufrimos, se ha producido una excepción en relación al posible tratamiento del correo electrónico y número de móvil particular de los trabajadores. Así, se había interpuesto denuncia por un trabajador ante la AEPD debido a que su empresa le solicitó esos datos con la finalidad de entregar la nómina, que hasta la fecha se facilitaba en formato papel. Entiende la AEPD que existiendo la obligación de dicha entrega mediante un recibo individual y justificación de pago según lo dispuesto en el artículo 29.1 del Texto Refundido del Estatuto de los Trabajadores, y no acudiendo presencialmente en ese momento los trabajadores al centro de trabajo debido a la pandemia, y por tanto, sin que se pueda procederse a la citada entrega, se trataría de un “sistema sencillo para que puedan acceder al recibo”.
En consecuencia, se dicta por la autoridad de control una resolución de archivo considerando que los hechos denunciados no suponen que se haya podido cometer una infracción del RGPD[viii].
3.- La huella para el fichaje ¿Dato biométrico o no? Posible cambio de criterio.
Con anterioridad al RGPD, el dato biométrico de la huella era considerado como un dato más sin que tuviese el carácter de dato especialmente protegido, por lo a efectos de determinar la legitimación para su tratamiento se aplicaba el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
En relación a su utilización con fines de control horario, o lo que se conoce popularmente como “fichaje”, la sentencia de la Sala de lo Contencioso Administrativo del Tribunal Supremo de 2 de julio de 2007 resolvió un recurso de casación cuya finalidad, entre otras, era la interpretación de si la utilización de un sistema biométrico para fichar puesto en marcha por el Gobierno de Cantabria vulneraba el artículo 18 de la Constitución Española en relación con la LOPD[ix]. Según esta sentencia, su finalidad era plenamente legítima al utilizarse para “el control del cumplimiento del horario de trabajo al que vienen obligados los empleados públicos”. Y a efectos de legitimación para el tratamiento de los datos, “no es necesario obtener previamente su consentimiento ya que el artículo 6.2 de la LOPD lo excluye”.
Con posterioridad a esta sentencia, aunque ya siendo de aplicación el RGPD, la citada sala dictó una sentencia el 19 de septiembre de 2019 por la que anuló una multa impuesta por la AEPD, siendo vigente todavía la LOPD, a un gimnasio por utilizar la huella para poder acceder al mismo. Dicha sentencia no se refiere directamente a la legitimación para su tratamiento, aunque sí menciona la existencia de un contrato en el que se informaba de la utilización de este sistema, por lo que deducimos que dicha legitimación no se basaba en la prestación del consentimiento sino en la ejecución de un contrato (ver al respecto artículo 6 de la derogada LOPD).
En todo caso, destacar que, si bien el gimnasio alegó que la huella no era un dato biométrico, al recabar únicamente “minucias”, la Audiencia Nacional sí lo consideró como dato personal de tal condición, coincidiendo con el criterio de la Autoridades de Protección de Datos, y de forma más concreta, con el dictamen del año 2003 emitido por el Grupo del Artículo 20 -hoy Comité Europeo de Protección de Datos-, y con otro posterior, del año 2012 sobre evolución de tecnologías biométricas, como el ADN, firma biométrica, reconocimiento facial y de voz, e impresiones dactilares[x].
Como ya hemos expuesto, esta situación cambia desde la aplicación del RGPD ya que los datos biométricos forman parte de las “categorías especiales de datos”, siendo de aplicación en lo que se refiere a la legitimación para su tratamiento lo regulado en el artículo 9 del RGPD, y no el 6 de la citada norma.
Para tratar de solventar esta circunstancia de un dato que con la normativa anterior no causaba problemas a efectos de legitimación, la AEPD había estimado que, al menos, para el control del fichaje se podría utilizar el artículo 9.2.b del RGPD, en virtud del cual, se podría utilizar la huella para este fin cuando “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”, y en base al artículo 20 del Texto Refundido del Estatuto de los Trabajadores y siempre que fuese estrictamente necesario. Y esta misma legitimación, también sería aplicable en el uso del reconocimiento facial para el acceso a instalaciones, según la naturaleza de la actividad y de dichas instalaciones.[xi]
Sin embargo, atendiendo al contenido de algunas resoluciones dictadas recientemente por la AEPD, este criterio de tratar los datos biométricos en base a los supuestos legitimadores contemplados en el artículo 9 del RGPD, y principalmente al caso que nos ocupa utilizando el 9.2.b, cambiaría, ya que para considerar el dato como biométrico, se tendría que diferenciar si su finalidad es la identificación (que sí seguiría siendo biométrico), o la autenticación o verificación (que no lo sería).
En estas resoluciones, en las cuales se denuncia el uso de la huella con fines de control horario, y que han afectado a responsables tanto en el ámbito privado como en el ámbito público, salvo una que se ha concluido en sancionar mediante el apercibimiento por vulnerar el artículo 13 del RGPD relativo al derecho de información en el proceso de recogida de la huella, se han archivado.[xii]
En este sentido, y como ya apuntábamos, en las citadas resoluciones se plasma este nuevo criterio en base al cual no todos los datos biométricos deben considerarse como tales, ya que para que ostenten tal consideración será necesario que se “sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física”. La AEPD lo fundamenta interpretando la definición de datos biométricos del artículo 4.14 en relación con el 9.1, y el considerando 51, todos ellos del RGPD, así como el Protocolo de enmienda al Convenio para la Protección de Individuos con respecto al procesamiento de datos personales, aprobada el 18 de mayo de 2018. Este último, no incluye dentro de la categoría de datos biométricos referencia alguna a la autenticación, sino a la identificación.
Por tanto, habría que diferenciar para categorizar este tipo de datos como biométrico si su finalidad es la identificación del interesado, comparando sus datos biométricos con una serie de plantillas mediante una búsqueda uno a varios; o consiste en realizar una verificación o autenticación en el que la comparativa será uno a uno, y no siendo calificado el dato biométrico. Todo ello supondría, a efectos de legitimación aplicar el artículo 6 para el control horario en el caso de utilizar la huella mediante un sistema que compruebe uno a uno, y no tener que aplicar el artículo 9, con lo cual existiría más flexibilidad, que también sería aplicable en el caso del gimnasio u otros establecimientos.
Estas resoluciones, también indican a modo de resumen los elementos que deben cumplirse, entre ellos, cumplir con el derecho de información en los términos del artículo 13 del RGPD así como con los principios de finalidad, necesidad, proporcionalidad y minimización de datos, el uso de plantillas biométricas, asegurar que no sea posible la reutilización de los datos biométricos para otro fin, y utilizar mecanismos basados en tecnologías de cifrados para evitar la lectura, copia, modificación o supresión no autorizada de datos biométricos.
En definitiva, dada la problemática expuesta que ha motivado este posible cambio de criterio, hubiese sido muy positivo, como ya adelantamos al principio de este artículo, haber regulado el tratamiento de datos biométricos en el ámbito laboral dentro del Título X de los Derechos Digitales de la LOPDGDD. En todo caso, se podría modificar en cualquier momento la citada ley para introducir esta regulación.
Por otra parte, otras autoridades de control sí han interpuesto multas por estos mismos hechos, como sería el caso de la Autoridad de Control de Holanda y la Autoridad de Control de Rumanía. La primera, multó a una empresa con 725.000 euros, considerando que el tratamiento de la huella con fines de control de asistencia no puede fundamentarse en los apartados del artículo 9.2 del RGPD. La segunda, impuso una multa de 5.000 euros a otra empresa que exigía el uso de este dato para que los trabajadores pudiesen acceder a determinadas salas, vulnerando el principio de minimización de datos ya que se podría haber habilitado este acceso de otra forma menos intrusiva para la privacidad de los interesados.[xiii]
4.- Uso de grabaciones de imágenes y sonidos para control laboral.
En la introducción de este artículo ya mencionamos que uno de los artículos del Título X de la LOPDGDD sobre los Derechos Digitales, el 89, reconoce el “Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo”. De su contenido se deduce qué requisitos deben cumplirse para utilizar las cámaras, incluyendo la posible grabación de sonidos, con fines de control de la prestación laboral.
De esta forma, el legislador español no es ajeno a la realidad social ya que cada vez son más frecuentes el uso de las cámaras con fines de control, tanto lo que se refiere a su tradicional utilización con fines de seguridad, como otros posibles usos como el que pueda afectar a los trabajadores.
Junto a éstos, también han aparecido un amplio abanico de situaciones como comunidades de propietarios que han instalado cámaras de seguridad, las denominadas mirillas digitales (que si graban se someterán a la normativa de protección de datos), el uso de “cámaras on-board” en los automóviles (ya vengan instaladas de fábrica en los automóviles o posteriormente por los propietarios), cámaras para proteger las plazas de garajes particulares, utilización de drones con diversas finalidades (incluso con la pandemia para controlar el aforo de las playas) o el uso de las carcasas (cámaras falsas).
A este respecto, recordemos que en el año 2006, mediante la publicación de la Instrucción 1/2006, la AEPD ya estableció los requisitos para que el tratamiento de datos personales mediante cámaras con fines de seguridad se ajustase a la normativa de protección de datos. Esta Instrucción estaría en la actualidad derogada puesto que el artículo 22 de la LOPDGDD, dentro del Título II sobre los “Tratamientos específicos” regula de forma detallada los “Tratamientos con fines de videovigilancia”.
Es más, según los datos de la Memoria del año 2019 publicada por la AEPD[xiv], se presentaron 1.415 reclamaciones en el área de actividad de videovigilancia, constituyendo la segunda área con más reclamaciones, siendo un 12% del total de todas las recibidas en ese año por la autoridad de control. Durante el citado año se tramitaron 106 procedimientos sancionadores, siendo el grupo de actividad con más procedimientos sancionadores tramitados, un 31% sobre el total del mencionado año, si bien no aparece dentro del grupo con mayores multas económicas impuestas, ya que la gran parte de estas reclamaciones se sanciona con la figura del apercibimiento.
Estos datos muestran que la autoridad de control debe dedicar grandes recursos, tanto personales como materiales, para verificar si se graba excesivamente la vía pública o existe el cartel de videovigilancia (o ambas cuestiones), terminando, además como hemos señalado, mayormente en sanciones de apercibimiento.
Desde nuestro punto de vista, y aunque obviamente se trata de un debate de gran calado, las reclamaciones sobre el uso de cámaras, al menos las relacionadas con fines de seguridad, deberían ser inspeccionadas por la policía local, y en caso de incumplimiento, su tramitación sería municipal.
Volviendo al tema de las cámaras en el ámbito laboral, el artículo 89 de la LOPDGDD fundamenta su posible uso en base a las funciones de control que puede ejercer el empleador sobre los trabajadores, de conformidad con el artículo 20.3 del Texto Refundido del Estatuto de los Trabajadores, y en el ámbito del sector público según la legislación de función pública.
Aunque el precepto no lo cite expresamente, este uso debe ser proporcional, es decir, no todos los trabajos admitirían este tipo de control a través de las cámaras, por lo que para su posible implantación debe valorarse caso por caso, atendiendo las características del puesto de trabajo y las funciones a desarrollar, así como si existiese la posibilidad de lograr ese control mediante la utilización de medios menos intrusivos.
Incluso, como consecuencia de este principio de proporcionalidad, procede valorar si la grabación debe ser continua o en determinados momentos. Así, esta cuestión ha sido considerada como una infracción del principio de minimización de datos, artículo 5.1.c) del RGPD, por la Autoridad Francesa de Protección de Datos (CNIL), que sancionó a una empresa por grabar de forma constante a los trabajadores[xv], cuando ya había advertido previamente de que no procedía esta grabación continua, y que para evitar la misma, reorientase las cámaras o utilizase máscaras dinámicas de privacidad al visualizar las grabaciones. Se multó a dicha empresa con 20.000 €, ya que además se constataron otros incumplimientos referidos al derecho de información y a las medidas de seguridad.
En cambio, esta proporcionalidad sí se ha recogido expresamente en el apartado 3 de este artículo 89 al regular el posible uso de grabaciones de sonidos, ya que únicamente se admitirán “cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad, el de intervención mínima y las garantías previstas en los apartados anteriores”. [xvi]
Por otra parte, en el apartado 2 del mencionado artículo 89 se establece la obligación de informar previamente a los trabajadores, empleados públicos, y en su caso, a sus representantes en el caso de que se utilice este tipo de control. Aunque esta obligación sólo se recoge respecto al uso de cámaras también es aplicable cuando se utilicen las grabaciones de sonido.
En este sentido, vinculado tanto con la licitud de la grabación como el cumplimiento del derecho de información, procede citar dos resoluciones sancionadoras dictadas por la AEPD, que terminaron una con el pago de una multa de 9.600 € (el responsable se acoge a la modalidad de “pronto pago”, procediendo un descuento del 20% de la multa que se quería imponer que era de 12.000 €) y la otra de apercibimiento.
Por lo que se refiere a la primera de ellas, en el PS/00401/2018[xvii], un camarero denuncia al restaurante en el que trabaja debido a que, puesto que ha sido grabado por las cámaras existentes en el interior y exterior del local, éstas han sido utilizadas como prueba para imponerle una sanción disciplinaria. Denuncia también que no se le ha informado de su existencia y que no cuentan con cartel informativo. En las imágenes utilizadas para el procedimiento disciplinario, cuya sanción fue de 45 días de suspensión de empleo y sueldo, aparecía el trabajador fuera de su puesto de trabajo realizando otra serie de actividades que no tenían nada que ver con sus tareas. En las alegaciones, el reclamado, además de aportar documentación como el cartel de videovigilancia o sendos documentos firmados por los trabajadores (excepto el propio denunciante) denominados “Consentimiento para el tratamiento de datos” y “Videovigilancia y/o control laboral”, pone de manifiesto que las grabaciones que se utilizaron para el expediente disciplinario no procedían de las instaladas en el restaurante, ya que no funcionaban, sino del móvil de otro trabajador.
Estos hechos suponen que existió una “falta de información previa sobre el uso de las imágenes, el uso de éstas obtenidas de un empleado que realiza el seguimiento casi diario en febrero de 2018, la voluntad de uso y destino de las imágenes de video expresadas en la carta de sanción entregada al empleado supone que no se disponía en aquellos momentos de base legítima para el tratamiento de datos que se produjo con el tratamiento empleado”. Y añade la resolución, “También para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad, el de intervención mínima y las garantías previstas en los apartados anteriores”.
En consecuencia, se ha cometido una infracción del artículo 5.1.a) del RGPD, relativo al principio de licitud, lealtad y transparencia, habiéndose tenido en consideración para determinar la cuantía de la multa, a los efectos de los criterios regulados en el artículo 83 del RGPD y 76 de la LOPDGDD, que sólo afecta a un empleado la conducta del responsable, que éste es una PYME que cuenta con 31 trabajadores, que su actividad no está vinculada principalmente con la protección de datos personales, y finalmente, una falta de diligencia debida.
Respecto a la segunda de las resoluciones, el PS/00067/2020[xviii], la denuncia fue interpuesta por un sindicato contra una empresa cuyos mandos intermedios grababan las conversaciones con los trabajadores a través de unas grabadoras colgadas en el cuello. Según esta empresa, la medida se adoptó con fines disuasorios ya que previamente a su puesta en funcionamiento, una encargada, al pedir explicaciones a una trabajadora, ésta se encaró con la “intención de infligirle un daño físico”. Esta justificación se considera suficiente a los efectos de valorar la proporcionalidad del artículo 89.3 de la LOPDGDD, si bien, se tendría que haber cumplido con el derecho de información del artículo 13 del RGPD, por lo que aunque se apercibe a la empresa, debe cumplir con este derecho, tanto respecto a sus trabajadores como sus representantes, en el plazo de un mes.
Retornando al análisis del contenido del artículo 89, mencionar que su apartado 2 recoge una serie de prohibiciones que afectan tanto a la grabación de imágenes como de sonidos, de forma que no se admiten los mismos en “lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos”. Precisamente, en el PS/00150/2019[xix] se multó con 20.000 € al propietario de un inmueble destinado a la práctica de actividades sexuales, al tener instaladas cámaras de videovigilancia en la zona de comedor, así como en la entrada captando también el pasillo, por haber cometido una infracción del artículo 5.1.c) del RGPD que regula el principio de minimización de datos. La AEPD, además de imponer la multa en la cuantía citada, ordena la retirada de las cámaras y la supresión de las imágenes grabadas, ya que también podría haber afectado a derechos de terceros.
5.- Datos del GPS para procedimientos disciplinarios.
El artículo 89 analizado en el apartado anterior se completa con lo recogido en el artículo 90 que regula el “Derecho a la intimidad ante la utilización de sistemas de geologalización en el ámbito laboral”, y cuyo contenido sigue la misma estela: se faculta al empleador a utilizar estos sistemas para controlar a los trabajadores en base a la misma legitimación que hemos descrito respecto al uso de cámaras, y con idéntico requisito de transparencia, es decir, se debe informar de forma previa tanto a los trabajadores o empleados públicos como a sus representantes.
A diferencia del precepto anterior, aquí se cita expresamente que se les informe sobre el posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión. Aunque el artículo 89 no lo haya recogido de forma expresa, no es óbice para que también se les informe, puesto que, como hemos visto, debe darse cumplimiento al derecho de información del artículo 13 del RGPD.
Y precisamente sobre esta falta del derecho de información en el uso de sistemas de geolocalización, la AEPD ya ha había sancionado con anterioridad al RGPD, tanto en el sector público como en el sector privado.
Así, podemos citar, a modo de ejemplo, la resolución del AP/00040/2012[xx], en el que se declara que el Ayuntamiento de Dos Hermanas ha infringido lo dispuesto en el artículo 5.1 de la LOPD, infracción tipificada como leve por el artículo 44.2.c) de la mencionada LOPD, por no haber dado cumplimiento al derecho de información de protección de datos en relación con la instalación de dispositivos GPS en los coches de la Policía Local; o el PS/00558/2013[xxi], en el que se impone una multa de 20.000 € a una empresa por los mismos hechos, habiendo tenido en consideración para determinar esta cuantía que la empresa no se dedicaba como actividad al tratamiento de datos personales y que se había informado, al menos, a los representantes de los trabajadores.
Sobre los datos que se recaban a través de estos sistemas, es bastante ilustrativa la resolución de archivo del E/742/2008, que de forma detallada en relación a la implantación de un GPS en una furgoneta, cita que se recogía la siguiente información: hora de aparcamiento, puntos de paso y paradas, consumos, horas de funcionamiento, horas de parada, kilómetros por jornada, y desviación de horas de la furgoneta en función de un horario de trabajo configurable[xxii].
En definitiva, la AEPD sigue en estos y otros expedientes de inspección el criterio marcado a través de sendos informes evacuados, en los años 2008 y 2009, por el Gabinete Jurídico. Sobre estos informes, uno analiza cómo debe procederse en el tratamiento de datos emitidos por el sistema de GPS instalados en vehículos, y el otro, sobre el posible tratamiento por una empresa de seguridad de los datos de localización de sus empleados en tareas de escolta obtenidos a través del teléfono que se les proporciona y que dispone de localizados de GPS[xxiii].
Por otra parte, desde la aplicación del RGPD se ha tramitado una reclamación interpuesta contra el Ayuntamiento de Alcobendas, que ha dado lugar a la resolución sancionadora PS/00124/2019 de apercibimiento[xxiv], por no haber informado a un trabajador de la posibilidad de utilizar los datos del GPS en un expediente disciplinario, datos que se incorporaron por el instructor del mismo en la fase de pruebas.
Durante la tramitación de este procedimiento por la AEPD, ese Ayuntamiento aportó un informe de su Delegado de Protección de Datos en el que se recomendaba a la Dirección de Policía Local, como responsable del tratamiento, que se procediese a “entregar a todos los agentes un documento informativo sobre el uso del dispositivo para finalidades laborales, y que quede constancia de haber realizado esta comunicación”. Como consecuencia de ello, por el Ayuntamiento se aprueba una orden sobre el uso del equipo personal de comunicaciones y su localización, cuy a finalidad consiste en el “control, gestión y coordinación de patrullas y agentes desplegados por el municipio para optimización de recursos y pronto auxilio en caso de necesidad y como parte de gestión de la relación laboral se podrían extraer los datos del dispositivo con objeto de comprobar el cumplimiento de las tareas encomendadas y verificar si coinciden con los partes de trabajo y fichas de actividad pudiendo ser incluso utilizados con fines disciplinarios en caso de comprobar su incumplimiento”.
En la resolución, la AEPD indica que “hay que tener en cuenta, que no se discute si los agentes sabían que el sistema contaba con GPS, que posiblemente si lo sabían, sino el uso que del sistema se puede hacer, previas las garantías establecidas por la LOPDGDD. Las expectativas razonables de los empleados no pueden prever que dicho sistema vaya a ser utilizado para el control de la actividad laboral, contando como se acredita, que originariamente sus fines son la seguridad de las patrullas y las personas. Mucho menos que ante una queja del servicio se use el citado sistema”.
Y además, también señala que “Al reclamante no se le había informado previamente a la extracción que correlaciona su dispositivo con sus datos y sus movimientos en la prestación del servicio que podía ser objeto de dicha verificación, ni del modo de ejercicio de sus derechos y resto de elementos que se prescriben en el artículo 13 del RGPD asociados a dicho tratamiento. Si se hubiera decidido que para el control del desarrollo de la actividad por parte de los agentes, control de posiciones geográficas en relación con el cumplimiento de ordenes es preciso o conveniente el sistema de GPS, debería haberse informado del uso, consecuencias, finalidad, tratamiento y derechos”.
Por tanto, se constata que por ese Ayuntamiento se ha cometido una infracción del artículo 5.1.b del RGPD, que regula el principio de limitación de la finalidad que supone que los datos serán recogidos con fines determinados, explícitos y legítimos, no siendo tratados ulteriormente de manera incompatible con los mismos. Se podría haber resuelto también con otra infracción, la del artículo 13 del RGPD, al no haber informado de este uso.
Por último, resaltar que recientemente, el 15 de septiembre de 2020, la Sala de lo Social del Tribunal Supremo ha dictado una sentencia para la unificación de la doctrina, sobre un despido disciplinario para el que se utilizó los datos del GPS del coche de empresa, conociendo el trabajador el posible uso del mismo para funciones de control, no apreciando vulneración de los derechos fundamentales de la trabajadora.
Javier Sempere
11 de diciembre de 2020
[i] La nota de prensa (en alemán) sobre esta resolución publicada por la Autoridad de Protección de Datos de Hamburgo se puede consultar en el siguiente enlace:
https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren
[ii] Además del artículo 88, el RGPD también dedica el considerando 155 a la protección de datos en las relaciones laborales, en similares términos que los reflejados por el citado artículo.
[iii] El RGPD define los datos biométricos en el apartado 14 de su artículo 4 como “Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
[iv] El artículo 9 del RGPD regula el tratamiento de categorías especiales de datos. Formarían parte de la misma, aquellos datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
[v] Ver al respecto los apartados 4 y 5 del artículo 83 del RGPD.
[vi] Nota de prensa publicada por el Consejo General del Poder Judicial sobre esta sentencia, bajo el título “Una empresa no podrá obligar al trabajador a facilitar el teléfono móvil y el correo electrónico en el contrato”.
[vii] Resumen de esta resolución sancionadora de la Autoridad de Protección de Datos de Grecia
[viii] Resolución de Archivo E/08145/2020
https://www.aepd.es/es/documento/e-08145-2020.pdf
[ix] Sentencia de la Sala de lo Contencioso Administrativo del Tribunal Supremo de 2 de julio de 2007
http://www.poderjudicial.es/search/AN/openDocument/bd9426fbfedfb515/20070809
[x] Ver al respecto “¿Se puede utilizar la huella para el control de accesos a un gimnasio?” de F. Javier Sempere, publicado en la revista La Ley Privacidad, número 3.
[xi] Ambos supuestos se desprenden de esta presentación denominada “Preguntas de los asistentes” que tuvo lugar en la 10ª Sesión Anual Abierta de la AEPD. 4 de junio de 2018.
https://www.aepd.es/sites/default/files/2019-12/9-preguntas.pdf
Con posterioridad a la adoptación de este criterio, se modificó en el año 2019 el Texto Refundido del Estatuto de los Trabajadores, el artículo 34.9 respecto a la obligación de la empresa de garantizar el registro obligatorio de la jornada.
[xii] Estas resoluciones de archivo son las siguientes:
E/07273/2020 tramitado contra IDCQ HOSPITALES Y SANIDAD S.L.U como consecuencia de la reclamación interpuesta por la Asociación de Médicos y Titulados Superiores de Madrid
https://www.aepd.es/es/documento/e-07273-2020.pdf
E/03925/2020 tramitado contra ATOS IT SOLUTIONS AND SERVICES IBERIA S.L como consecuencia de la reclamación interpuesta por la Sección Sindical CGT-ATOS IT
https://www.aepd.es/es/documento/e-03925-2020.pdf
E/10900/2019 tramitado contra el Ayuntamiento de Teulada como consecuencia de la reclamación interpuesta por dos trabajadores
https://www.aepd.es/es/documento/e-10900-2019.pdf
Por su parte, la resolución de apercibimiento PS/00145/2019 se tramita como consecuencia de la denuncia interpuesta por dos trabajadores contra la Consejería de Educación y Deporte de la Junta de Andalucía por implementar el control mediante huella digital en un Instituto de Educación Secundaria. Además de apercibir a esta Consejería por incumplir el artículo 13 del RGPD, se la requiere para que cree el correspondiente registro de actividades de este tratamiento y se realice la evaluación de impacto de protección de datos.
https://www.aepd.es/es/documento/ps-00145-2019.pdf
[xiii] La información sobre estas dos resoluciones se ha obtenido de la página web https://www.enforcementtracker.com/
[xiv] Memoria AEPD 2019
https://www.aepd.es/sites/default/files/2020-05/memoria-AEPD-2019.pdf
[xv] Resolución de la Autoridad Francesa de Protección de Datos:
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038629823
[xvi] Sobre este criterio de proporcionalidad en la grabación de sonidos, ver la Sentencia 98/2000 de 10 de abril del Tribunal Constitucional, conocida popularmente como “Sentencia del Casino de La Toja”
https://www.boe.es/diario_boe/txt.php?id=BOE-T-2000-9223
[xvii] Resolución del PS/00401/2018
https://www.aepd.es/es/documento/ps-00401-2018.pdf
[xviii] Resolución del PS/00067/2020:
https://www.aepd.es/es/documento/ps-00067-2020.pdf
[xix] Resolución PS/00150/2019:
https://www.aepd.es/es/documento/ps-00150-2019.pdf
[xx] Resolución AP/00040/2012:
https://www.aepd.es/es/documento/aapp-00040-2012.pdf
[xxi] Resolución PS/00558/2013
https://www.aepd.es/es/documento/ps-00558-2013.pdf
[xxii] Ver al respecto “La instalación del GPS en el vehículo de la empresa sin conocimiento del trabajador no vulnera su intimidad” de F. Javier Sempere
[xxiii] Informes AEPD 193/2008 y 0090/2009
https://www.aepd.es/es/documento/2008-0193.pdf
https://www.aepd.es/es/documento/2009-0090.pdf
[xxiv] Resolución PS/00124/2019
https://www.aepd.es/es/documento/ps-00124-2019.pdf
F. Javier Sempere Samaniego
Letrado del Consejo General del Poder Judicial.
Doctorando por CEU Escuela Internacional de Doctorado (CEINDO).
Licenciado en Derecho por la Univesidad de Alcalá de Henares. Máster en Alta Dirección Pública por el Instituto Ortega y Gasset. Máster en Tecnologías de la Información por el INAP.
Pertenece al Cuerpo de Técnicos Superiores de Administración General de la Comunidad de Madrid.
Ha desarrollado su carrera profesional vinculado a la protección de datos prestando sus servicios en la Agencia Española de Protección de Datos, Agencia de Protección de Datos de la Comunidad de Madrid, y Dirección General de Justicia de la CM.
También ha participado en diversos proyectos europeos como SURPRISE (Surveillance, Privacy and Security), EUROPRISE (European Privacy Seal) Y E-PRODAT (Mejores prácticas en protección de datos y administración electrónica).
Autor del “Crossover entre el RGPD y la nueva LOPD. Versión 2.0”
También ha colaborado con artículos jurídicos y de opinión en divesos medios.
Premio por la Agencia Vasca de Protección de Datos, III Edición, en ”Comunicación y difusión de la protección de datos” por el blog Privacidad Lógica.
Premio en el 2014 y 2015 por la Asociación Derecho en Red en la categoría al Mejor Post Jurídico por “Uso y régimen jurídico aplicable a los drones” y “Normas aplicables al uso de Whatsapp por las Administraciones públicas”, respectivamente.
Ponente y formador.
https://es.linkedin.com/in/fco-javier-sempere-samaniego-bba4bb19
@fjavier_sempere
Javier, excelente artículo muy clarificador. Gracias
Clarificador y muy actualizado. Muy Interesante!
Excelente artículo. Muy interesante y muy buena exposición.