Actualmente es incuestionable que asistimos, de un modo cada vez más frecuente, al uso, por parte de empresas privadas y entidades públicas, de diversos sistemas de control en el ámbito laboral tales como sistemas de monitorización, videovigilancia o mecanismos de registro biométrico y geolocalización de los trabajadores.
Pero ¿están amparadas estas tecnologías por la legalidad vigente?, ¿qué implicaciones conllevan en materia de protección de datos?, ¿qué limites han de tenerse en cuenta a la hora de valorar su implantación y uso? Y la jurisprudencia, ¿qué dice al respecto?
De entre todas estas tecnologías mencionadas centraremos nuestra atención, a ojos de este artículo, en los sistemas de geolocalización de los trabajadores vía GPS, en vehículos o a través de teléfonos móviles, por ser este uno de los sistemas más en alza en los últimos tiempos en las empresas como medio de control de los empleados, así como un recurrente punto de controversia en el ámbito laboral.
Lo primero que debemos dilucidar, es si nos encontramos, o no, ante un tratamiento de datos de carácter personal cuando una empresa accede a los datos derivados de la geolocalización de un empleado.
El artículo 4 del Reglamento Europeo de Protección de datos (RGPD) define los datos de carácter personal como “toda información sobre una persona física identificada o identificable (…)”. Asimismo, los datos de localización fueron ya definidos en el artículo 2 de la Directiva 2002/58/CE como «cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público«.
A pesar de que el nuevo Reglamento de privacidad electrónica e-privacy, que sustituye a la Directiva 2002/58/CE, no recoge como tal este concepto; el mismo ha venido siendo mantenido tanto por la Agencia Española de Protección de datos (AEPD) como por el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, en su artículo 64.b.
Partiendo de ambas definiciones, ¿podremos, entonces, considerar los datos de localización como datos de carácter personal? La AEPD es clara a este respecto al indicar que los datos de localización se refieren siempre a una persona física identificada o identificable, consecuentemente, podremos considerarlos como datos de carácter personal, quedando su tratamiento sujeto a las disposiciones contenidas en la normativa vigente en materia de protección de datos. Así lo refleja en varias de sus resoluciones, de entre las que destacamos: E/00827/2018 y E/00868/2018.
¿Será, entonces, necesario contar con el consentimiento previo del trabajador?
Es, sin duda, una de las cuestiones que más incertidumbre causa entre los empresarios que valoran la instalación y uso de estos sistemas de control.
La respuesta es no, no será necesario contar con este consentimiento por encontrase este tratamiento en el marco de una relación laboral (excepción recogida en el artículo 6.1.b del RGPD), pudiendo el empresario ampararse en el artículo 20.3 del Estatuto de los Trabajadores; el cual le permite adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales. Estas medidas, deberán, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el artículo 18 de la Constitución Española (Sentencia 03058/2017 del Tribunal Superior de Justicia de Asturias y Sentencia 260/2014 del Tribunal Superior de Justicia de Madrid)
A pesar de lo anteriormente mencionado, es importante recalcar que no nos encontramos ante una medida de control absoluta, sino respecto de la cual han de tenerse en cuenta ciertas consideraciones o límites que han venido marcando tanto la jurisprudencia española como la AEPD a lo largo de los años.
1. Deber de informar. Aunque no se requiera el consentimiento previo del interesado; esto no exime al empresario de cumplir con el principio de información (recogido en los artículos 13 y 14 del RGPD) respecto del uso y destino de esos datos; cuestión reafirmada por el Tribunal Supremo en un auto del pasado mes de Julio. Este deber permanecerá intacto incluso en los supuestos en los que no sea necesario el consentimiento tal y como afirma el Tribunal Constitucional en su nota informativa de marzo de 2016.
Este criterio ha sido compartido por la Agencia Española de Protección de Datos al indicar en las resoluciones mencionadas que “(…) el articulo 20.3 no legitima por si solo el tratamiento de los datos denunciados, si bien este será posible, aún sin contar con el consentimiento del afectado en caso de que el trabajador haya sido informado debidamente”
2. Juicio de proporcionalidad respecto del sistema de control escogido. El Tribunal Constitucional, en su sentencia 123/2002 de 20 de mayo, indicó que la constitucionalidad de cualquier medida que pueda, en mayor o menor medida, restringir algún derecho fundamental del interesado, vendrá determinada por el cumplimiento del principio de proporcionalidad. ¿Cómo sabemos si la medida escogida es proporcional? Se deberán efectuar los siguientes juicios:
– De idoneidad; para determinar si es susceptible de conseguir el objetivo propuesto.
– De necesidad; ¿es esta medida el medio más moderado para conseguir el fin propuesto con igual eficacia?
– De proporcionalidad en sentido estricto; es decir, si la medida es ponderada o equilibrada por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.
Deberemos, por tanto, analizar el caso concreto para determinar si el tratamiento está, o no, justificado.
3. Uso exclusivo durante la jornada laboral. La facultad de control empresarial desaparece en el momento en que la jornada laboral concluye; siendo indispensable, a partir de ese momento, obtener el consentimiento de los trabajadores para poder mantener en funcionamiento los dispositivos GPS.
¿Por qué motivo? Lo resuelve el Tribunal Superior de Justicia de Asturias al indicar que toda vez que ha finalizado la jornada laboral, el contrato de trabajo deja de constituir el vínculo entre las partes que ampara el poder del empresario para imponer las medidas implantadas de captación y tratamiento de datos.
Por último, cabe mencionar, que en cumplimiento de los principios establecidos en el RGPD tales como el principio de responsabilidad proactiva y limitación del tratamiento, las entidades deberán implementar políticas de conservación de datos que garanticen que los datos de geolocalización obtenidos se eliminen pasado un período de tiempo justificado en consideración a la finalidad para la que los mismos fueron recabados.