Firmas
El test Barbulescu como elemento de «Compliance»
05/10/2023 06:31
|
Actualizado: 05/10/2023 03:39
|
El artículo 20.3º del Estatuto de los Trabajadores establece y reconoce al empresario la posibilidad de adoptar las medidas que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.
Es cierto que dicho control no es ilimitado, y en el momento presente debe tenerse en consideración como el desarrollo tecnológico está condicionado nuestro día a día, y ello es especialmente trascendente e importante en el ámbito de las relaciones laborales en el seno de cualquier empresa, donde se trata de conciliar fundamentalmente el principio que garantizar la inviolabilidad de la figura del trabajo (ex artículo 18 del estatuto de los Trabajadores), con el poder de dirección y de ordenación de los medios de producción que posee el empleador o empresario.
Dentro de dicho poder de control, es importante tener en cuenta que cualquier límite que se establezca siempre estará sometido a un principio de proporcionalidad, el cual limita y condiciona dicho poder de dirección, y a los efectos de las presentes reflexiones debe tenerse presente, que los empresarios, pueden establecer controles sobre el uso de esos equipos, y en concreto, sobre las comunicaciones realizadas con ellos.
Al hilo de ello, debe traerse a colación el contenido de las sentencias del Tribunal Europeo Derechos Humanos (TEDH) de 12 de enero de 2016 (“Caso Barbulescu 1”), y de 5 de septiembre de 2017, (“Caso Barbulescu 2”)[i], siendo ambas de plena aplicación a la situación que estamos analizando
Con carácter general, se puede afirmar, que por medio de dichas resoluciones se establecen límites efectivos a la capacidad de control que posee el empresario sobre los medios de producción y en relación con la ordenación del trabajo desempeñado por sus trabajadores, y de manera específica, sobre la capacidad de control del empresario con relación a las comunicaciones del trabajador utilizando herramientas informáticas laborales, fundamentándose las mismas de acuerdo con el contenido del artículo 8 de la Carta Europea de Derechos Humanos, relativo al derecho al respeto de la vida privada y familiar, donde de manera literal se afirma lo siguiente:
“1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.
2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás”.
PARÁMETROS DE BARBULESCU
Según la sentencia del Tribunal Europeo de Derechos Humanos (TEDH), de fecha 5 de septiembre de 2017 (Barbulescu II), el “Test Barbulescu”[ii] ha de cumplir una serie de parámetros, partiendo de que debe tratarse de medios corporativos puestos por la empresa a disposición de los trabajadores para el desempeño de sus funciones. Dichos parámetros son:
a). La empresa debe acreditar que el trabajador ha sido informado expresamente de la posibilidad de que el empresario puede adoptar medidas para controlar la correspondencia u otras comunicaciones, así como de la puesta en práctica de las medidas, debiendo ser la información previa, precisa, transparente y específica.
b). No es suficiente con que la empresa tenga protocolos o reglas internas que prohíban el uso de los medios corporativos para fines personales, sino que será necesario, además, que la empresa previamente avise sobre los controles que pudiera llevar a cabo.
c). También hay que analizar cuál ha sido el alcance de la vigilancia y su grado de intromisión en la vida privada del trabajador. En este sentido, entre los elementos señalados por el TEDH para realizar el análisis se encuentran: distinguir entre el control de las comunicaciones o frecuencia y su contenido; también si han estado sujetas a vigilancia todas las comunicaciones o solo parte de ellas; otro aspecto relevante es también si la fiscalización de las mismas fue o no por tiempo limitado; y, por último, el número de personas que tuvieron conocimiento del resultado de la vigilancia.
d). Hay que someter el control (monitorización) al test de proporcionalidad. En este sentido, hay que examinar si la empresa ha proporcionado previamente un motivo legítimo que justificara la vigilancia de las comunicaciones y el control de su contenido, teniendo en cuenta que el control del contenido de las comunicaciones requiere de una justificación más fundamentada. En este sentido, hay que calibrar si hubiera sido posible utilizar un sistema de control menos invasivo que el hecho de acceder directamente al contenido de las comunicaciones.
e). Sobre la vigilancia del contenido de las comunicaciones (correo electrónico, ordenador corporativo…), el TEDH ha distinguido entre el control del flujo de comunicaciones y el de su contenido, de modo que el acceso al segundo debe estar justificado por necesario, idóneo y proporcional, es decir, puede ser realizado sobre la totalidad o sólo una parte de ellas, por un tiempo limitado, estableciendo también un número limitado de personas que pueden tener acceso a sus resultados.
Complementariamente a dicho planteamiento, debe tenerse presente la sentencia de la Sala de lo Social del Tribunal Supremo de fecha 8 de febrero de 2018iii], por la que se atribuye plena validez procesal a la prueba derivada del examen del correo electrónico existente en el ordenador del trabajador lo que se denomina “monitorización lícita”, puesto que se han cumplido los requisitos fijados por el TEDH (Test Barbulescu”).
REQUISITOS DEL TEDH
En este sentido, dicho Alto Tribunal ha puesto de manifiesto los criterios fijados por el TEDH, a modo de preguntas, que una empresa debe poder responder antes de sancionar (llegando al despido) a un empleado, son éstos[iv]:
a). Información previa:
¿El empleado ha sido informado de la posibilidad de que la empresa tome medidas para supervisar su correspondencia y otras comunicaciones, así como la aplicación de tales medidas?
b). Alcance de la monitorización:
¿Cuál fue el alcance de la supervisión realizada por la empresa y el grado de intrusión en la vida privada del empleado?
En este sentido, entre otras cuestiones, hay que analizar si la supervisión de las comunicaciones se ha realizado sobre la totalidad o sólo una parte de ellas y si ha sido o no limitado en el tiempo y el número de personas que han tenido acceso a sus resultados.
c). Justificación:
¿La empresa ha presentado argumentos legítimos para justificar la vigilancia de las comunicaciones y el acceso a su contenido…?
d). La existencia de otros medios menos invasivos:
¿Habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado?
A este respecto, es necesario evaluar, en función de las circunstancias particulares de cada caso, si el objetivo perseguido por el empresario puede alcanzarse sin que éste tenga pleno y directo acceso al contenido de las comunicaciones del empleado.
e). Consecuencias de la supervisión.
¿Cuáles fueron las consecuencias de la supervisión para el empleado afectado … con las referencias citadas?
¿De qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida…?
SENTENCIA DE LA SALA DE LO PENAL QUE ASUME LOS CRITERIOS DE BARBULESCU II
En este orden de cosas debe tenerse presente la sentencia de la Sala de lo penal del Tribunal Supremo número 489/2018 de 23 de octubre, la cual asume los criterios de la Sentencia Barbulescu II, donde se fijan los criterios que tiene que asumir la Empresa, cuando se necesite investigar los correos electrónicos del trabajador, de manera específica, cuando se sospeche de manera fundada de la existencia de actuaciones, que puedan ser consideradas como conductas ilícitas o al menos irregulares llevadas a cabo por el empleado, tomando como fundamento la cuestión de si es lícito o no que el empresario supervise el uso que uno de sus empleados haga de los medios informáticos puestos a su disposición.
En este caso, debe ser considerado como punto de partida de carácter esencial los derechos que en cada momento pueden verse afectados como consecuencia de la intervención que se pretende llevar a cabo donde pueden verse afectados derechos con el secreto de las comunicaciones, o el derecho a la protección de datos de carácter personal, en función si dichos mensajes han sido leídos por el trabajador destinatario de los mismos, y ello, con independencia de que se proceda a la ponderación de dos elementos fundamentales a tener en cuenta, y que son:
a). El hecho consistente en si el trabajador ha sido advertido o no por parte de la empresa de la intervención que se puede llevar a cabo en cualquier momento.
b). Y, si, además, el trabajador ha sido expresamente informado y advertido que el uso del dispositivo informático o de almacenamiento masivo de datos, ha de dedicarse de manera exclusiva y excluyente únicamente a las tareas de sus funciones vinculadas al ejercicio de sus actividades laborales y/o profesionales dentro del ámbito de la empresa.[v]
Y todo ello con la finalidad, de que el previo conocimiento del trabajador y el consentimiento a dicho acceso determina básicamente, que la información obtenida sobre la base de dicha intervención no pueda ser considerada como una prueba de carácter ilícito de conformidad con lo previstos en el artículo 11. 1º de la Ley Orgánica del Poder Judicial, al poder vulnerarse de manera directa o indirecta derechos fundamentales de la persona.
No obstante, lo anterior, debe tenerse presente que ha sido el Tribunal Europeo de Derechos Humanos en su Sentencia del 17 de octubre de 2019, quien ha modificado los anteriores criterios con relación al Test Barbulescu, esta vez con relación a un supuesto de videovigilancia, donde se desarrolla y completa, precisamente, los pronunciamientos que ya había llevado a cabo el TEDH.
EJES VERTEBRADORES DE LA DECISIÓN DEL TEDH
La decisión del TEDH gira en torno a dos ejes vertebradores.
De un lado, dirimir si la videovigilancia oculta obtenida sin informar a las trabajadoras de su existencia, finalidad y de sus derechos (artículo 5 LOPD) vulnera la vida privada de las exempleadas (artículo 8 CEDH); de otro, interpretar si la admisión de las pruebas inculpatorias y la validez de los acuerdos de finiquito firmados por las trabajadoras tras el visionado de las imágenes, alegándose que existió coacción por parte de la empresa (ésta les dijo que si no firmaban ejercitarían las correspondientes acciones penales) supuso una vulneración del derecho a un proceso justo (artículo 6.1 CEDH).
Estas son sus principales consideraciones:
a). Legitimidad para la valoración del proceso en su conjunto, pero no sobre la admisibilidad de las pruebas
El TEDH no está legitimado para resolver sobre si las pruebas utilizadas en un proceso son admisibles.
De manera exclusiva solo está legitimado para juzgar si el proceso en su conjunto, incluidas las pruebas practicadas, fue realmente un proceso que pueda ser calificado como justo.
b). La videovigilancia justificada por razones legítimas.
La videovigilancia tiene que estar justificada principalmente por razones legítimas y plenamente ajustadas a derecho.
En este sentido, es importante considerar dentro de las mismas, la existencia de sospechas fundadas de conductas ilegales o irregulares, y al mismo tiempo el interés legítimo del empresario en adoptar medidas ordenadas a garantizar la protección de sus bienes y el buen funcionamiento de la empresa.
c). La valoración del grado de intrusión y de invasión de la intimidad.
El grado de intrusión en la intimidad de los solicitantes debe ser en todo caso proporcional a lo que es a la zona que objeto de la vigilancia, y de las personas que se encuentren afectadas por la misma.Al mismo tiempo, dicha observancia también se encuentra limitada a la zona, donde presuntamente se desarrollan las conductas ilícitas y/o irregulares, pero no a otras que nada tengan que ver con ella.
d). Valoración del lugar en que se llevó a cabo la videovigilancia.
En el análisis de la proporcionalidad de una medida de vigilancia por videocámara, es esencial verificar la protección de la intimidad de un empleado.
Esta expectativa es muy elevada en lugares de carácter privado, como los aseos o los vestuarios, en los que está justificada una mayor protección.
También una prohibición total de la vigilancia por vídeo.
Sigue siendo alta en áreas de trabajo cerradas como las oficinas.
Es manifiestamente inferior en lugares visibles o accesibles para los colegas o, como en el presente caso, para el público en general.
e). La valoración del alcance temporal de la medida.Las medidas de vigilancia a adoptar siempre ha de tener un carácter eminentemente temporal ajustado de manera proporcional a las circunstancias concurrentes.
SEIS PUNTOS ESENCIALES A TENER EN CUENTA
Sobre la base de todo lo anterior, puede afirmase con Trenado[v] que el «Test Barbulescu», que complementa el principio de proporcionalidad que exige en la actualidad el Tribunal Constitucional, a los efectos de poder enjuiciar la licitud del control empresarial del uso abusivo o no permitido de los medios informáticos (monitorizar a los empleados), es una lista de seis «check points», que han de ser tenido en consideración, y ponderar a la hora de llevar a cabo las intrusiones en los medios tecnológicos de los que disponga el trabajador.
Tales principios o punto básicos son lo que se indican seguidamente:
1. Principio de información previa del control a efectuar, así como de las medidas de control que se adoptarán
Así, respecto del «Principio de información previa», se debe contestar a la concreta cuestión de si el trabajador ha sido informado de la posibilidad de que el empresario adopte medidas para supervisar su correspondencia u otras comunicaciones y, también, sobre si ha sido informado de las consecuencias de la aplicación de tales medidas.
Para que estas disposiciones cumplan el mandato contenido en el artículo 8 del CEDH, la advertencia debe ser clara en cuanto a la naturaleza de la supervisión y se deberá informar antes de su implementación sobre el establecimiento de las medidas.
2. Principio de necesidad
En lo que concierne al «Principio de necesidad», hay que preguntarse acerca del alcance de la supervisión del empresario y del correlativo grado de intrusión en la esfera privada del empleado.
Concretamente, se deberá tener en consideración si la supervisión de las comunicaciones se ha realizado de forma general o únicamente a una parte, si se ha limitado o no en el tiempo, así como el número de personas que han tenido acceso a sus resultados de la supervisión.
3. Principio de justificación
Por su parte, el «Principio de justificación» parte de la premisa de que la vigilancia del contenido de las comunicaciones es intrusiva por naturaleza y puede tener afectación en la privacidad del empleado, por lo que requiere justificaciones fundadas.
Básicamente, en relación con este principio hay que preguntarse sobre si el empleado ha presentado argumentos legítimos para justificar la vigilancia de las comunicaciones y el acceso a su contenido.
Este principio requiere que existan unas sospechas previas fundadas de la empresa en relación con el posible incumplimiento del trabajador (y éste es, justamente, el caso; por lo tanto, la videovigilancia puede realizarse si hay sospechas razonables de que se ha cometido una infracción grave, con perjuicio importante para la empresa), admitiéndose también por parte de la jurisprudencia la posibilidad del «hallazgo casual», con determinados límites, a raíz de la averiguación de los hechos de manera fortuita.
4. Principio de idoneidad
En lo que al «Principio de idoneidad» atañe se deberán tener en cuenta cuáles son las consecuencias de la supervisión para el trabajador afectado, y de qué modo utilizó el empresario los resultados de la medida de vigilancia; en concreto, si los resultados se utilizaron para alcanzar el objetivo declarado de la medida.
En otras palabras, se trata de responder a la cuestión de si era posible un sistema de vigilancia basado en medidas menos intrusivas que el acceso directo a las comunicaciones del empleado.
5. Principio de proporcionalidad
Para hacer efectivo el «Principio de proporcionalidad» se deberá tener en cuenta el alcance de la supervisión efectuada por el empresario.
En concreto, se trata de preguntarse sobre cuáles fueron las consecuencias de esta supervisión para el trabajador afectado y en qué medida incidieron en su vida privada.
Es decir, si las mismas fueron proporcionadas a la invasión que dicha supervisión supone al ejercicio de la libertad protegida, o si sirvieron los resultados para alcanzar el objetivo declarado de la medida.
6. Principio de transparencia
Finalmente, el «Principio de transparencia» requerirá plantearse si el empresario ofreció al empleado garantías adecuadas, teniendo en cuenta que las medidas de intervención tenían carácter intrusivo.
Desde el punto de vista del «Compliance», es importante tener en consideración, que no basta que la persona jurídica en general, y cualquier empresa a modo particular establezca una reglamentación sobre el uso de los medios tecnológicos proporcionados por el empleador al trabajador, sino que para posibilitar esa limitación de uso, ante la posibilidad de la producción de cualquier conducta ilícita, anómala o irregular, es necesario llevar a cabo, tal y como se ha venido señalando, el Test Barbulescu, a los efectos de concretar de la manera más exacta y puntual lo que representa tal intromisión en la intimidad del trabajador como consecuencia del uso de tales medios tecnológicos, y la consiguiente limitación en el control que puede llevar a cabo el empresario, que debe cumplir siempre con los principios antes mencionados, especialmente con el de proporcionalidad, en el sentido de que la limitación o intrusión en la intimidad del trabajador sea lo menos gravosa posible para la posición jurídica del mismo, y de manera simultánea, no exista un medio alternativo que responda a la misma funcionalidad, que no sea tan dañino o gravoso.
[i] La Sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos (TEDH) de 5 de septiembre 2017. Caso Barbulescu contra Rumanía.
[ii] En este sentido, el párrafo 120 de la Sentencia, enumera 6 factores para tener en cuenta respecto de “Test Barbulescu”:
1) El empleado ¿Ha sido informado de la posibilidad de que el empleador tome medidas para supervisar su correspondencia y otras comunicaciones? ¿Ha sido informado de las consecuencias de aplicar tales medidas?
El Tribunal considera que, para que las medidas puedan ser consideradas conforme a los requisitos del artículo 8 del Convenio:
- La advertencia debe ser clara en cuanto a la naturaleza de la supervisión
- Se debe informar sobre el establecimiento de la medida, con anterioridad a ser implementada.
2) ¿Cuál fue el alcance de la supervisión del empleador y el grado de intrusión en la vida privada del empleado?
Debiendo tener en cuenta, si la supervisión de las comunicaciones se ha realizado:
- Sobre la totalidad o sólo una parte de las comunicaciones.
- Si la supervisión, se ha limitado o no, en el tiempo.
- El número de personas que han tenido acceso a sus resultados de esa supervisión.
3) ¿El empleador, ha presentado argumentos legítimos para justificar la vigilancia de las comunicaciones y el acceso a su contenido?
La vigilancia del contenido de las comunicaciones es por su naturaleza, un método muy invasivo de la privacidad, por lo que requiere justificaciones fundamentadas.
4) ¿Era posible un sistema de vigilancia basado en medidas menos intrusivas que el acceso directo a las comunicaciones del empleado?
5) ¿Cuáles fueron las consecuencias de la supervisión para el empleado afectado? La consecuencia, ¿Fue proporcional a la invasión que dicha supervisión supone al ejercicio de la libertad protegida? ¿Sirvieron los resultados para alcanzar el objetivo declarado de la medida?
6) ¿Al empleado se le ofrecieron garantías adecuadas, teniendo en cuenta, que las medidas de intervención tenían carácter intrusivo?
[iii] Tribunal Supremo. Sala de lo Social de 08/02/2018. Recurso número 1121/2015. Resolución número: 119/2018.
[iv] Cfr.: MARTIN ESTEBARANZ, Estela. “Monitorizar el email del trabajador sí, pero cumpliendo el test Barbulescu”. Economist & Iurist. 24 de septiembre de 2023. Obra citada.
[v] Cfr.: CABALLERO TRENADO, Laura. “Giro del TEDH: el empresario puede videovigilar al empleado si tiene dudas razonables de una infracción grave que socave gravemente sus intereses”. LegalToday. 19 de noviembre de 2019. Obra citada.
Otras Columnas por Javier Puyol Montero: