La AEPD advierte que las grabaciones de conversaciones o imágenes en el trabajo deben justificarse para evitar sanción
|
02/11/2020 01:00
|
Actualizado: 02/11/2020 15:06
|
En una de sus primeras resoluciones, la PS/0067/2020, el regulador se hace eco de una denuncia de un sindicato de una empresa de Zaragoza sobre unas grabaciones de unas conversaciones de forma irregular, para sancionarla con un apercibimiento a dicha empresa, a la que da un plazo de un mes para resolver esa política de privacidad equivocada.
Expertos como Víctor Salgado, socio director del despacho Pingos & Salgado Abogados, Vanesa Alarcón, socia responsable del área de TMT en Fieldfisher Jausas y Laura Davara, socia del despacho Davara & Davara Asesores Jurídicos, analizan esta resolución y advierten que la Agencia Española de Protección de Datos (AEPD) también ha puesto el foco en el control empresarial del trabajador, donde ante cualquier medida o grabación visual o sonora hay que informar previamente a trabajadores y representantes sindicales es obligatorio en esos casos.
A juicio de estos expertos, esta situación genera que las medidas de prevención de riesgos laborales de las empresas tendrán que adaptarse a este escenario. Está claro que la AEPD va a estar pendiente del control de los empleados por parte de las empresas, ya lo hizo con la geolocalización de los trabajadores, y es previsible que dicha labor de supervisión se extienda al teletrabajo, que desde hace unos días estrena nueva normativa en nuestro país.
UNA RESOLUCIÓN QUE MARCA UN PRECEDENTE
Para Salgado, de Pintos & Salgado Abogados, especializado en derecho tecnológico, advierte que “es una de las primeras resoluciones de la AEPD que aborda el tema de la privacidad de los trabajadores en su lugar de trabajo. En el fallo apercibe a la empresa y le obliga a solventar el problema que tiene de las grabaciones que se hacen en el seno de la misma con un protocolo de actuación definido. Esta es una sanción, donde queda claro el incumplimiento de la ley”.
Desde su punto de vista “dicha resolución es un precedente y un aviso a navegantes para lo que pueda surgir en acciones similares. La AEPD hay que recordar que hace unos meses puso en marcha una Guía de Relaciones Laborales en materia de privacidad, con lo cual es otro frente que se abre a las empresas y a los expertos en privacidad. No se descarta que pasado un tiempo el propio regulador pudiera comprobar que la empresa ha modificado su política de actuación en materia de privacidad”.
A juicio de este experto las consecuencias de dicha resolución son varias “la primera, que la empresa demandada aparece en dicho fallo con una sanción, lo que repercute en su reputación y propia imagen. Al mismo tiempo, debe corregir lo que le pide la AEPD en materia de privacidad. Creo que lo lógico es que diseñasen unos protocolos claros en materia de privacidad para adoptar las medidas adecuadas y evitar otra resolución similar”.
Salgado explica a Confilegal que “la AEPD ha tenido en cuenta que había una razón de fondo en el proceder de la empresa a nivel de grabaciones de sus trabajadores, como es preservar su integridad física. Tiene en cuenta las grabaciones de sonido que ha hecho la propia compañía , pero lo que no ha hecho correctamente es no cumplir con el deber de información de los trabajadores y sus representantes, según el articulo 13 de la LOPDGDD [Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales]”.
La resolución de la AEPD recalca, según este experto “que cualquier análisis de este tipo de situaciones debe hacerse a priori para poder saber el impacto que puede tener en la privacidad de los trabajadores. Ahora con el RGPD y el principio de responsabilidad proactiva, no solo hay que cumplir la ley sino que también hay que demostrarlo que se está en condiciones de cumplir con la normativa actual de protección de datos. La empresa debe demostrar que en todo momento cumplió los requisitos del RGPD [Reglamento General de Protección de Datos] y la ley”.
En el caso de una reincidencia por parte de esta compañía, Salgado aclara que “estaríamos ante una infracción grave y una desobediencia a lo marcado por la AEPD. Con la normativa anterior al RGPD estaríamos hablando de un mínimo de 40.000 euros, ahora, como ha cambiado el baremo, el margen sería más amplio. Hasta ahora a empresas que no son grandes las sanciones en un mínimo de 40.000 euros de sanción”.
Este jurista también nos señala que “alguno de los trabajadores afectados por esa resolución podría, si no están de acuerdo con la resolución recurrir por la via judicial ordinaria por los daños y perjuicios que puedan sufrir los afectados. Lo único que habría que acreditar en via judicial sería el daño causado, el incumplimiento legal ha quedado patente por el propio procedimiento administrativo”.
BUSCAR MEDIDAS MENOS INVASIVAS
Alarcón, de Fieldfisher Jausas, sobre la Resolución de la AEPD considera que “la Agencia sí ha reconocido la comisión de la infracción por parte de la compañía, pero, por el momento, no se le aplica la sanción oportuna. Es la forma de actuar del regulador, sobre todo cuando la empresa o el responsable del tratamiento no ha sido investigado ni sancionado con anterioridad por parte de la Agencia”.
De este modo, la AEPD, le otorga una oportunidad para que la compañía haga mejor las cosas. En el caso de que dicha compañía fuera investigada nuevamente por cualquier motivo y se diera una circunstancia de infracción, la AEPD entonces sí, seguramente, procedería a la sanción”.
Al mismo tiempo destaca “que en la citada resolución se requiere a la compañía para que informe a los trabajadores conforme establecen los artículos 13 del RGPD y 89 de la LOPDGDD. Por lo tanto, en caso de que no se ejecute lo requerido, también podría imponer la correspondiente sanción”.
Para este jurista “la compañía tomó dichas medidas como solución temporal a los posibles conflictos que se dan entre los empleados en el día a día, teniendo en cuenta la integridad física de dichos empleados, lo cual primaría frente al derecho a la protección de sus datos”.
Recuerda que “se informó al comité de empresa, pero no se reflejó esta situación en la documentación interna de la compañía, ni en la del propio comité. Por lo que está claro que sí existe dicha infracción”.
Esta jurista recuerda que “es importante, por un lado, tener en cuenta que la normativa de protección de datos no está por encima de todo, sino que, en función de la situación, debe ponderase cuál es el derecho que primaría por encima del otro, en caso de posible conflicto entre ellos”.
Alarcón señala que “en el caso de la resolución analizada, se procede a la colocación de estas grabaciones debido a un intento de agresión de una empleada a otra. Luego, existe un riesgo de que alguien pueda ser dañado físicamente y, por lo tanto, que se infrinja en las instalaciones de una empresa, el derecho a la integridad física y moral que, son derechos reconocidos como esenciales en la propia Constitución Española”.
Por lo tanto, la empresa ha operado adecuadamente a la hora de proteger la integridad física de los trabajadores, pero no a la hora de informarles de esta medida que, en ningún caso, reuniría lo dispuesto por los artículos citados antes, relativos al deber de información sobre el tratamiento de datos.
Para esta experta, lo adecuado, además, hubiera sido – desconozco si se llevó a cabo – realizar un análisis de riesgos o pequeña evaluación de impacto, en virtud de lo que establece la normativa de protección de datos, con carácter de urgencia, previo implementar este tipo de soluciones; es posible que tras el análisis se incorporasen otras medidas, tal vez, menos intrusivas, si cabe”.
Otras cuestiones que destaca Alarcón es poder analizar y ver “quién es la persona que después supervisa dichas grabaciones y cómo se procede a dicha eliminación del contenido, de esas grabaciones, ya que deberá darse cumpliendo con lo dispuesto en la normativa, esto es, pudiéndose verificar y acreditar que se trata de una eliminación total”.
Para Vanesa Alarcón “toda compañía que quiera implementar este tipo de medidas de seguridad y control, desde el punto de vista de la protección de datos, debe analizar la proporcionalidad y pertinencia de implementar este tipo de soluciones, valorando si existen otras medidas alternativas y que se puedan adoptar con carácter más prolongado o permanente”.
De forma complementaria es partidaria de “ofrecer formación a los empleados sobre ética, responsabilidad, ejemplos de lo que se puede o no puede hacer con otros compañeros, así como sobre la existencia y funcionamiento de los protocolos de acoso laboral, ampliando elementos en aquellos que incluyan cómo actuar en este tipo de situaciones”.
GRABACIONES DEL EMPRESARIO, JUSTIFICADAS
Por su parte, Davara, socia de Davara & Davara Asesores Jurídicos, “advierte que de la Resolución de la AEPD conviene destacar cómo la propia Agencia deja claro que el uso de sistemas de grabación -de voz o de imagen- por parte del empresario no está prohibido, pero es necesario que se cumplan los siguientes requisitos”.
Davara explica que se trata de que “existan riesgos relevantes para la seguridad de instalaciones, bienes y personas (tal y como pone de manifiesto la entidad denunciada al afirmar que ha habido varios casos en los que se ponía en peligro la integridad física de las encargadas), que se cumpla con el principio de proporcionalidad y de intervención mínima y, por supuesto, que se informe previamente y de manera transparente sobre el tratamiento de datos personales que se está llevando a cabo, tal y como exige el artículo 13 del Reglamento europeo”.
Esta jurista señala que “el uso de dispositivos para controlar el cumplimiento de las obligaciones laborales, así como para prevenir la materialización de riesgos contra bienes, personas e instalaciones encuentra su amparo legal tanto en el artículo 20.3 del Estatuto de los trabajadores como en el artículo 89.3 de la LOPDGDD”.
Junto a esto destaca “numerosa jurisprudencia que, de manera resumida, aparece reflejada en la propia Resolución de la AEPD que alude a la sentencia del Tribunal Constitucional 114/1984, de 29 de noviembre, y las sentencias del Supremo 222/2015, de 16 de abril o la 678/2014, de 20 de noviembre”.
Desde su punto de vista “las TIC ofrecen al empresario multitud de posibilidades para llevar a cabo el control del cumplimiento de las obligaciones laborales. Pero no todo vale. Es necesario que las empresas “cambien el chip” y pongan la protección de la privacidad de los trabajadores en el centro de sus acciones, de esta manera se evitarán muchos “sustos” en forma de posibles sanciones de la AEPD.”
Esta jurista también señala que “la empresa debe cumplir con lo dispuesto por el Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia. Una de las obligaciones es formar a los teletrabajadores sobre ‘cómo teletrabajar’. Puede parecer innecesario, pero es imprescindible. Y es algo que empresas y trabajadores deben entender…y esperamos que no tengan que aprender a base de sanciones”.
También comenta que “es necesario que la empresa, en todo tratamiento de datos personales que haga, cumpla con los principios de protección de datos: ‘licitud, lealtad y transparencia’, ‘limitación de la finalidad’, ‘minimización de datos’, ‘exactitud’, ‘limitación del plazo de conservación’ e ‘integridad y confidencialidad’. Y, por supuesto, que documente todas las acciones que toma para ello, dando cumplimiento, así, al principio de ‘accountability’”.
Noticias Relacionadas: