La protección de datos personales ha cobrado una relevancia incuestionable en los últimos años, especialmente con la promulgación del Reglamento General de Protección de Datos (RGPD) en 2018. Este reglamento ha proporcionado a los individuos un control más férreo sobre su información personal, al tiempo que impone a las organizaciones un marco normativo claro y estricto para el tratamiento de estos datos. En este contexto, las sanciones impuestas por la Agencia Española de Protección de Datos (AEPD), como la reciente multa de 200.000 euros a una entidad bancaria, son un recordatorio de que el incumplimiento de la normativa en protección de datos no solo tiene repercusiones económicas, sino también reputacionales.
El caso de la entidad bancaria involucra la gestión inapropiada de datos personales de un exempleado tras la transferencia de un teléfono móvil corporativo, y destaca cuestiones clave sobre la validez de los consentimientos en el tratamiento de datos y la obligación de garantizar la privacidad de la información personal, incluso cuando el trabajador ya no forma parte de la empresa. Este artículo realiza un análisis exhaustivo de los hechos, las normativas implicadas, la defensa de la entidad, la resolución de la AEPD, y las implicaciones para las empresas en el ámbito de la protección de datos.
El conflicto comenzó cuando la entidad bancaria, al finalizar la relación laboral de uno de sus empleados, le permitió adquirir un dispositivo móvil corporativo, bajo una política interna que permite a los trabajadores quedarse con el teléfono móvil empresarial una vez concluida su relación laboral. De acuerdo con este acuerdo, el empleado debía poder seguir utilizando el dispositivo como si fuera de su propiedad personal.
Sin embargo, unos meses después, el exempleado se encontró con que su teléfono había sido bloqueado por el banco, alegando que aún estaba conectado a la plataforma corporativa de gestión de dispositivos. La actuación por parte de la entidad reclamada ha supuesto la pérdida absoluta del control sobre sus datos sin previo aviso, y sin posibilidad de realizar copia de seguridad por su parte. Ante esta situación, el exempleado solicitó a la entidad la restauración del acceso completo al dispositivo. La respuesta de la entidad fue que, para poder utilizar nuevamente el teléfono, era necesario hacer un restablecimiento de fábrica, lo que conllevaría la eliminación de todos los datos personales almacenados en el dispositivo.
El exempleado, preocupado por la pérdida de datos importantes y personales, presentó una queja ante la AEPD. En su denuncia, el exempleado alegó que la acción de la entidad vulneraba sus derechos fundamentales, especialmente el derecho a la protección de datos personales, estipulado en el RGPD y la LOPDGDD. La AEPD, al analizar los hechos, determinó que, aunque el banco tenía derecho a eliminar los datos corporativos de los dispositivos, no podía borrar la información personal almacenada en el dispositivo sin una base legal adecuada.
Normativa Aplicable: RGPD y LOPDGDD
El caso pone de manifiesto varias cuestiones fundamentales en el ámbito de la protección de datos personales. En primer lugar, se debe considerar el marco normativo que regula el tratamiento de los datos personales en la Unión Europea, es decir, el Reglamento General de Protección de Datos (RGPD). Este reglamento establece las condiciones bajo las cuales las empresas y entidades pueden tratar los datos personales de los individuos, y las responsabilidades que asumen al hacerlo.
El RGPD: Principios Básicos
El RGPD establece varios principios fundamentales que deben regir el tratamiento de los datos personales: (artículo 5 RGPD)
Legalidad, lealtad y transparencia: El tratamiento de los datos debe basarse en el respeto a la ley, ser transparente para el interesado y legítimo.
Minimización de datos: Solo deben tratarse los datos necesarios para los fines del tratamiento.
Exactitud: Los datos deben ser precisos y, cuando sea necesario, actualizados.
Limitación del almacenamiento: Los datos deben ser conservados de forma que se permita identificar a los interesados solo durante el tiempo necesario para cumplir con los fines del tratamiento.
Integridad y confidencialidad: El tratamiento debe garantizar la seguridad de los datos, incluyendo su protección contra el acceso no autorizado o ilícito.
La LOPDGDD y los Derechos de los Trabajadores
La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) complementa al RGPD y aborda específicamente el tratamiento de datos en el ámbito laboral. En este caso, la LOPDGDD refuerza los derechos del trabajador sobre su información personal, incluso cuando dicha información se encuentra en dispositivos corporativos.
Artículo 87. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
[…]
- Los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. En su elaboración deberán participar los representantes de los trabajadores.
El acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados.
Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado.
Análisis de la Sentencia de la AEPD
La AEPD, tras recibir la denuncia del exempleado, inició una investigación en la que se analizó si la actuación de la entidad bancaria cumplía con los principios del RGPD y la LOPDGDD. La AEPD concluyó que, aunque el banco tenía la facultad de eliminar los datos corporativos del dispositivo, no tenía derecho a borrar los datos personales del exempleado sin su consentimiento explícito. Concretamente en el supuesto analizado de acuerdo a lo establecido en el artículo 6.1, no consta acreditada base de legitimación alguna de las contempladas en el citado precepto para el tratamiento llevado a cabo.
El Principio de Finalidad y el Consentimiento del Interesado
El caso también pone de manifiesto la importancia del principio de finalidad y el consentimiento en el tratamiento de datos. La AEPD argumentó que el trabajador no había otorgado su consentimiento explícito para que sus datos personales fueran eliminados de forma unilateral por la entidad bancaria.
La AEPD argumentó que si bien las condiciones de uso del terminal móvil corporativo otorgaban a la Empresa el derecho a eliminar todos los datos que se encontraban en las aplicaciones corporativas contenidas en el dispositivo “en cualquier momento durante la duración del contrato del empleado con la Empresa, o posteriormente al mismo y sin previo aviso”, lo que no contenía o concedía dicho condicionado es que la parte reclamada pudiera eliminar los datos no incluidos en dichas aplicaciones corporativas y que afectaban a datos e información de carácter personal de la parte reclamante contenidas en el dispositivo adquirido.
La Multa de 200.000 Euros: Razón y Justificación
Se estima por tanto una vulneración del artículo 6.1, infracción tipificada en su artículo 83.5.a), por la que la AEPD impuso finalmente una multa económica de 200.000 euros a la entidad protagonista. Este artículo del RGPD establece que las empresas que incumplen los principios básicos del tratamiento de datos personales (incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9), pueden ser sancionadas con multas que pueden alcanzar hasta el 4% de la facturación anual global de la empresa o 20 millones de euros, lo que sea mayor. En este caso, la sanción económica fue determinada teniendo en cuenta la gravedad del incumplimiento al ser suprimidos datos de carácter personal de la reclamante del dispositivo adquirido sin estar autorizado para llevar a cabo el citado tratamiento (artículo 83.2.a) del RGPD).
Implicaciones para las Empresas
El fallo de la AEPD tiene importantes implicaciones para las empresas, especialmente para aquellas que manejan dispositivos electrónicos que contienen datos personales de sus empleados. Entre las lecciones que pueden extraerse de este caso, destacan las siguientes:
Necesidad de una Base Legal Adecuada: Las empresas deben asegurarse de contar con una base legal clara y explícita para el tratamiento de los datos personales de sus empleados, incluso cuando estos datos se encuentren en dispositivos que pasen a ser propiedad del extrabajador.
Consentimiento Expreso: En situaciones como la que acabamos de ver, donde un dispositivo personaliza su uso tras el término de la relación laboral, es fundamental obtener el consentimiento explícito del empleado para realizar cualquier acción sobre sus datos personales, como la eliminación de los mismos.
Transparencia en las Políticas de Privacidad: Las empresas deben comunicar de manera clara a sus empleados las políticas sobre el tratamiento de datos personales, especificando en qué situaciones los datos pueden ser eliminados o modificados.
Conclusión
La sanción impuesta a por la AEPD es un recordatorio de que, en la era digital, las empresas deben ser extremadamente cuidadosas con el tratamiento de los datos personales. Los casos como el que acabamos de presenciar nos recuerdan que el RGPD no solo afecta la gestión de datos dentro de la relación laboral, sino que su aplicación se extiende más allá de la finalización del contrato, cuando el acceso a la información personal de un trabajador puede seguir siendo un tema sensible.
Puedes consultar otras publicaciones relacionadas sobre el uso de dispositivos en el marco de la relación laboral pinchando aquí:
https://www.prodat.es/blog/puede-una-empresa-imponer-a-el-uso-del-movil-personal-de-sus-empleados-as-como-segundo-factor-de-autenticacion/
Escrito por: Jorge Rico
