¿Cómo deben tratar las empresas los datos de sus empleados que encuentren en redes sociales?
En una resolución tomada a primeros del mes de junio, tras la reunión del Grupo del Articulo 29, organismo que integra a los diferentes reguladores de protección de datos de toda la UE, se acaba de publicar un documento sobre cómo deben procesar los datos de sus empleados en las redes sociales las empresas. Una decisión muy cercana al espíritu del Reglamento Europeo de Protección de Datos (RGPD) porque realmente prohíbe que las empresas utilicen esa información sin el consentimiento del afectado.
Este Grupo de Trabajo del articulo 29 (GT29) que con la entrada en vigor del RGPD se convertirá en el Comité Europeo de Protección de Datos fue creado por la Directiva 95/46/CE. Como órgano consultivo independiente lo integran las autoridades de protección de datos de todos los Estados Miembros, el Supervisor Europeo de Protección de Datos y la CE, que realiza funciones de secretariado. La propia Agencia Española de Protección de Datos es miembro desde su inicio Sus decisiones no son jurídicamente vinculantes, pero tienen un importante valor doctrinal y son utilizados y citados por los legisladores y los tribunales nacionales y europeos.
Lo que piensa la AEPD de dicho dictamen
Fuentes de la AEPD señalan a CONFILEGAL que el citado documento es complementario a un Dictamen que data de 2001 sobre el tratamiento de los datos personales en el contexto laboral, así como un Documento de Trabajo de 2002 sobre la vigilancia de las comunicaciones electrónicas en el lugar de trabajo. Desde entonces han ido apareciendo e implantándose nuevas tecnologías que permiten un procesamiento más sistemático y potencialmente invasivo de los datos personales de los trabajadores, lo que ha planteado nuevos retos desde el punto de vista de la privacidad y la protección de datos.
También nos señalan que el dictamen “examina el equilibrio entre el interés legítimo del empleador y las expectativas razonables de privacidad de los empleados en distintos escenarios. Con carácter general, las Autoridades reafirman que los empresarios deben tener siempre presentes los principios fundamentales de protección de datos, independientemente de la tecnología utilizada, incluyendo el derecho de información del empleado.
Al mismo tiempo comentan que “en este sentido, debería informarse de manera efectiva acerca de cualquier actividad de monitorización, el propósito y circunstancias de la misma, así como de las posibilidades al alcance de los empleados para evitar que sus datos sean recabados a través de las tecnologías”.
Desde la AEPD subrayan que “en ocasiones cabe invocar el interés legítimo para este tipo de tratamiento, siempre que este sea estrictamente necesario para un fin legítimo y cumpla los principios de proporcionalidad y subsidiariedad”.
Y el ejemplo que nos explican tienen que ver con el seguimiento de perfiles en redes sociales”. El Grupo entiende que sólo puede accederse a los perfiles sociales de los trabajadores o de los candidatos a un puesto de trabajo siempre que esos perfiles sean públicos, que el empleador justifique la necesidad de hacerlo para atender a sus intereses u obligaciones legales y respetando criterios de proporcionalidad.”
Sólo puede accederse a los perfiles sociales de los trabajadores o de los candidatos a un puesto de trabajo siempre que esos perfiles sean públicos
Esos criterios exigirían, entre otras cosas,” distinguir entre perfiles personales o de tipo profesional, así como si la información a la que se accede es relevante para el puesto de trabajo al que el empleado aspira o que desempeña. En todo caso, el empleado debe ser informado de ese uso de la información. No serían admisibles prácticas como solicitar el consentimiento del empleado o candidato para acceder a perfiles no públicos o solicitar que el empleador sea incluido como ‘amigo’ en los perfiles de empleados o candidatos”.
En este documento consensuado por los integrantes de este organismo se deja claro que aunque la información de las redes sociales sea pública, no deben asumir las empresas que pueden utilizar esos datos sin el consentimiento del afectado.
Hay que tener en cuenta la red social y el tipo de contenido que se publique
Para Cecilia Álvarez, presidenta de la Asociacion Profesional Española de Privacidad (APEP), sobre cómo se puede garantizar que las empresas no utilicen la información en redes sociales de sus empleados señala que “Las normas y la jurisprudencia imponen obligaciones de transparencia y proporcionalidad que deben seguir los empleadores (públicos y privados) cuando toman la decisión de utilizar información publicada por sus empleados en redes sociales para una finalidad determinada. En cualquier caso, el tipo de red social es relevante”.
También deja claro que “no todas las redes sociales tienen la misma naturaleza. Algunas de esas redes tienen un carácter eminentemente público y otras permiten el ajuste de preferencias de privacidad. El contenido de lo publicado es también relevante, en particular, si viola derechos de propiedad intelectual o el honor, la intimidad, la imagen o los datos personales de otros o constituye un ilícito civil, penal, un acto de competencia desleal del que la organización tenga que responder u otra transgresión de la buena fe contractual que debe gobernar sus actuaciones para con su empleador”.
Para esta jurista, “en cualquier caso, la mejor garantía es no publicar “en abierto” aquellos contenidos que sólo queramos compartir con nuestro círculo de amigos y no permitir el acceso como “amigo” a quiénes no queremos que accedan a contenidos que queremos mantener en un círculo privado”,
En opinión de la presidenta de APEP “las organizaciones deben informar a sus trabajadores de la política de protección de sus datos , incluida la que resulte de verificar el uso permitido a los empleados de las herramientas profesionales como el email o Internet que se les pone a disposición o se les permite utilizar para el trabajo”.
Al mismo tiempo cree que “además, cada vez es más habitual que las organizaciones informen a los empleados de las reglas que estos deben seguir en el uso de las redes sociales corporativas y de cuándo y en qué tipo de redes pueden manifestarse en público como “portavoces” de la organización o no”.
Despido laboral y uso de las redes sociales
Cuando le preguntamos sobre qué sucedería si un profesional fuera despedido por la información que hay en redes sociales utilizada por su empresa, Álvarez contesta que “la validez de un despido está determinada por la legislación laboral, no por las normas de protección de datos. En cualquier caso, es relevante saber de qué contenido estamos hablando y si es relevante en el marco de la relación laboral de que se trate, si se publicó en un entorno que el empleador podía acceder sin violentar las preferencias de privacidad del empleado, cuándo se publicó, etc. El contexto es esencial para valorar la actuación tanto del empleado como del empleador”.
Respecto al consentimiento que debe tener la empresa del empleado para utilizar sus datos personales, la presidenta de APEP destaca que “en realidad, lo que el documento más bien dice es que la organización (pública o privada) no debería basarse en el consentimiento del empleador para utilizar sus datos como regla general.
A su juicio “el control de la relación laboral conforme al 20.3 del Estatuto de los Trabajadores, el cumplimiento de obligaciones legales y el interés legítimo, en todos los casos presididos por la aplicación de los principios de transparencia y proporcionalidad, deberían regir casi todos los tratamientos de datos personales en el ámbito laboral, con la posible excepción de los tratamientos con datos sensibles que no se amparen en un deber legal, de datos personales consistentes en imágenes (también sujetas a la L.O. 1/1982) y de los datos que queden protegidos por el secreto de las comunicaciones, en su caso”.
Cada vez es más habitual que las organizaciones informen a los empleados de las reglas que deben seguir en el uso de las redes sociales corporativas
Cuidado con las sanciones
Respecto a las sanciones que puede recibir empresas que entren en estas prácticas, Álvarez señala que “las potenciales infracciones pueden ser de diversa naturaleza, desde la falta o defectuosa información, la ausencia de una base legal adecuada, la falta de proporcionalidad de la medida, etc”.
E indica que “el nuevo Reglamento General de Protección de Datos UE deja un amplio margen a las autoridades de control para imponer sanciones respecto de cada infracción, estableciendo únicamente topes máximos muy elevados y criterios a tener en cuenta como agravantes o atenuantes a la hora de determinar la sanción exacta. Nos encontramos ante una gran inseguridad jurídica a la hora de determinar la posible consecuencia de una infracción en materia de protección de datos”.
Contar con una política adecuada de tratamientos de datos
Sobre esta cuestión también opina otro experto. Es el caso de Ricard Martínez, director de la Catedra de Privacidad y Transformación Digital Microsoft-Universitat de Valencia, señala que “las empresas deben tener una política adecuada del tratamiento de datos de sus empleados en redes sociales. Dichas políticas deberían evitar el mínimo impacto en la privacidad de los trabajadores, especialmente en entornos de redes sociales, como Facebook de uso privado y más transparentes en redes públicas donde puede existir un interés legítimo para el tratamiento”.
Desde su punto de vista “en este sentido, los espacios en Linkedin para colaborar deberían tener unas políticas de privacidad sobre los usos que se hacen bastante precisas, sobre todo para aquellos trabajadores que representen a la empresa en dicha red social . Se trata de evitar comportamientos como competencia desleal, revelación de secreto o atentar contra el honor corporativo”.
A juicio de Martínez, “en ese caso aplicando las normas del Estatuto de los Trabajadores y su artículo 20, legitiman la potestad disciplinaria las empresas para el uso de los datos. Sin embargo, es fundamental que las empresas realicen un estudio preciso de lo que quieren o deben hacer para desplegar esas políticas tan concretas”.
Informar al trabajador de que existe esa política
Para Martínez es fundamental que el trabajador esté informado de esas políticas de privacidad y las conozca desde el principio. “Si trascendemos a las normas básicas de protección de datos y acudimos al estatuto de los Trabajadores, en los artículos del 62 al 68, sobre las competencias de la representación sindical y comité de empresa en las administraciones públicas, parecería más que razonable que el empleador diera a conocer sus políticas, no solo al trabajador sino también a la representación sindical”.
Nuestro interlocutor recuerda que “se han dado casos que esas políticas se han introducido en el convenio de la empresa, gracias al a doctrina del Tribunal Constitucional, marcando las reglas de funcionamiento dentro de la empresa y legitimando despidos mediante el acceso a correos electrónicos de naturaleza corporativa”
Las empresas no pueden estar desprotegidas por una política de protección de datos cuando esa actuación se hace de forma pública y existe el interés legítimo
Respecto a si se podría producir un despido por esos datos encontrados en redes sociales de cierto trabajador, nuestro interlocutor señala que “dependería de la normativa laboral y de las reglas en relaciones no laborales como la contratación de un autónomo para justificar esos despidos si se atenta contra los derechos de la empresa de forma ilícita, negligente o doloso. Las empresas no pueden estar desprotegidas por una política de protección de datos cuando esa actuación se hace de forma pública y existe el interés legítimo. Se aplicaría el derecho de trabajo puro y duro”.
En cuanto al consentimiento de la empresa Ricard Martínez subraya que “el Grupo del art 29 ha sido claro, el consentimiento del trabajador no es un elemento básico para tratar los datos de un empleado. La legitimación se encuentra en la ejecución de la relación contractual y en el despliegue de todas aquellas y competencia que atribuye al empresario. Es decir, el empresario utiliza determinados datos del trabajador porque son necesarios para el contrato de trabajo, tiene que saber cuánto tiempo trabaja. En el documento se dice que salvo cuestiones anexas o tangenciales, hay que asegurarse muy mucho de no utilizar el consentimiento”.
Respecto a las sanciones cree que será cuestión del regulador de cada país, en definitiva “Hay algunas muy elevadas. Es el caso del uso de los datos biométricos podrían ser muy graves por tratar datos sin legitimación para ello. Eso lo decidirá el regulador en función de ello. Creo que los reguladores van a gestionar este tema y ofrecerán decisiones racionales sobre este aspecto sancionador. El propio RGPD señala que esa sanción sea proporcional a la infracción de la empresa pero no que cierre la empresa. No se trata tanto de que se cierre una empresa”.
Noticias Relacionadas:
Lo último en Áreas y sectores