Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 36

El TS, a través de tres trascendentes sentencias (de 26 de septiembre de 2007183, de 8 de marzo de 2011184; y de 6 de octubre de 2011185) ha determinado los límites del control empresarial sobre los medios informáticos en el trabajo186.

La STS, de 26 de septiembre de 2007187, por su parte, considera que el ordenador es un instrumento de producción del que es titular el empresario y éste tiene, por tanto, facultades de control de su utilización, que incluyen, lógicamente, su examen. Además, con el ordenador se ejecuta la prestación del trabajo y, en consecuencia, el empresario puede verificar su correcto cumplimiento. El Supuesto que resuelve la STS era el siguiente: un trabajador con contrato de alta dirección y categoría de director general es despedido, ya que, al ser revisado su ordenador, debido a la existencia de un virus informático, el técnico detecta determinados archivos temporales (concretamente, fotografías y vídeos) de antiguos accesos a páginas web de contenido pornográfico.

En ese momento, en presencia del Administrador de la Empresa, se procede a guardar esos archivos en un dispositivo externo USB, depositándose en una Notaría. Posteriormente, y una vez reparado el equipo, se realiza la misma comprobación en presencia de dos delegados de personal. En ambas ocasiones el trabajador se encontraba ausente.

Por otro lado, recuerda la necesidad de respetar, en el control, la dignidad humana del trabajador como exigencia general para todas las formas de control empresarial, como se establece en el artículo 20.3 del ET. Aclara el Supremo que el hecho de que el trabajador no esté presente en el control no es en sí mismo un elemento que pueda considerarse contrario a su dignidad.

Del mismo modo, la exigencia de que el registro se practique en el centro de trabajo y en las horas de trabajo no tiene sentido en el caso del control de los medios informáticos, ya que se parte de considerar que nos encontramos ante un control de un instrumento de trabajo cuyo titular es el empresario. Así, y basándonos en la argumentación anterior, la presencia de un representante de los trabajadores en el registro de un medio informático tampoco es necesaria, ya que nos encontraríamos ante un simple control por el empresario de sus medios de producción.

El TS es consciente de la existencia de un hábito generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos facilitados por la empresa a los trabajadores. Este hecho provoca lo que llama, al igual que ha hecho la jurisprudencia del TC, “una expectativa de confidencialidad en el trabajador” que debe ser desmitificada, estableciendo la empresa, previamente, un conjunto de reglas de uso de esos medios (con prohibiciones absolutas o parciales), debiendo informar a los empleados de la potencialidad de la existencia de controles, señalando los medios o herramientas que se aplicarían en la comprobación de la corrección de los usos. Igualmente, y como segundo requisito complementario al anterior, debería informarse acerca de las medidas que se adoptarán, en su caso, para garantizar la efectiva utilización laboral del medio, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la limitación de acceso a determinados sitios web.

Por su parte, la STSJ de Andalucía, de 17 de diciembre de 2007188, aborda la técnica conocida como de la búsqueda ciega por palabras clave (mediante el empleo de programas forenses), en el disco duro del ordenador facilitado por la empresa, en relación con las comunicaciones realizadas por el trabajador con terceros que guardan relación con indicios y sospechas de competencia desleal de aquel.

Considera la Sentencia que debe ir en conjunción con una impecable cadena de custodia (precinto y copia del disco duro depositado notarialmente, pericial informática por empresa independiente, información y conocimiento en todo momento del empleado sobre los motivos de tal proceder y proceso seguido al respecto), sin que dicha prueba constituya una vulneración del secreto de comunicaciones del empleado ni de su derecho de intimidad, si el perito informático no interfiere ningún proceso de comunicación ajena, sino que se limita a realizar una lectura ciega a través de una herramienta informática que no conlleva la lectura de toda la información, sino sólo para detectar lo relevante para la empresa, mediante la utilización de palabras clave (método poco invasivo –copia del disco duro original, que se precinta notarialmente y se le da un número hash, como funciones de resumen que consisten en algoritmos que crean, a partir de una entrada, ya sea un texto, una contraseña o un archivo, una salida alfanumérica de longitud normalmente fija– y cadena ulterior de custodia, pericial informática sobre palabras ciegas y análisis heurístico) que sólo permiten rescatar lo que interesa. En la misma línea se pronunció la STS, de 8 de febrero de 2018189.

Sobre el despido de una trabajadora de un colegio profesional por haber utilizado el correo electrónico corporativo para otros fines se pronuncia la Sentencia de la Sala de lo Social del TSJ de Madrid, de 17 de julio de 2009190. El Tribunal desestima el recurso de súplica interpuesto por la actora considerando el despido legal, puesto que cuando el Colegio procedió a controlar el contenido y destino de varios correos electrónicos enviados por la misma, se cumplieron los requisitos fijados por la meritada Sentencia de la Sala de lo Social del TS, para la Unificación de la Doctrina, de 26 de septiembre de 2007191.

La STSJ de Madrid, de 30 de octubre de 2009192, consideró que “no es lo mismo registrar la taquilla o el bolso de un trabajador que su ordenador porque, aunque en ambos casos pueden encontrarse elementos personales, la finalidad del continente es distinta. Sólo será posible efectuar registros sobre elementos personales de los trabajadores cuando éstos sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo y en ellos habrá de respetarse al máximo la dignidad e intimidad del trabajador. Además, habrá de efectuarse en presencia de un representante legal de los trabajadores o, en su ausencia, de otro trabajador de la empresa, siempre que ello fuera posible. En estos registros el empresario actúa, de forma exorbitante y excepcional, fuera del marco contractual de los poderes que le concede el artículo 20 ET y, en realidad, desempeña una función de policía privada o de policía empresarial que la ley vincula a la defensa de su patrimonio o del patrimonio de otros trabajadores de la empresa. Por el contrario, cuando se trata de medidas de control sobre los medios informáticos puestos a disposición de los trabajadores forman parte del poder de dirección ordinario: el ordenador es un instrumento de producción del que es titular el empresario y éste tiene, por tanto, facultades de control de la utilización, que incluyen lógicamente su examen. Por otra parte, con el ordenador se ejecuta la prestación de trabajo y, en consecuencia, el empresario puede verificar en él su correcto cumplimiento, lo que no sucede en los supuestos del artículo 18 ET, pues incluso respecto a la taquilla, que es un bien mueble del empresario, hay una cesión de uso a favor del trabajador que delimita una utilización por éste que, aunque vinculada causalmente al contrato de trabajo, queda al margen de su ejecución y de los poderes empresariales del artículo 20 ET para entrar dentro de la esfera personal del trabajador”.

La STS, de 8 de marzo de 2011193, se pronunció nuevamente sobre esta materia, aunque con alguna particularidad ya que, en este caso, la entidad encarga una auditoría para investigar la utilización por todos los empleados de la empresa de los ordenadores corporativos.

En este caso, el TS entendió que el control realizado fue oculto, ya que no constaba que la empresa hubiera establecido previamente reglas para el uso de esos medios, con aplicación de prohibiciones absolutas o parciales, ni tampoco que se hubiera informado a los trabajadores de que se iba a proceder al control ni de los medios a aplicar en orden a comprobar su correcto uso, así como las medidas a adoptar para garantizar el uso laboral del medio informático. En este caso no se llegó a acreditar la existencia de una política de seguridad y de control en la empresa.

Resulta interesante el criterio de la STS, de 6 de octubre de 2011194, ya que unifica la doctrina en la materia matizando los criterios establecidos en las dos sentencias anteriormente comentadas.

Considera que desde el momento en que existe una prohibición absoluta de los usos personales, y aceptada la validez de esa prohibición –que lleva implícita la advertencia sobre la posible instalación de sistemas de control del uso del ordenador–, no es posible aceptar la existencia de un derecho del trabajador a que se respete su intimidad en el uso del medio informático puesto a su disposición para el trabajo. Lo contrario –concluye la sentencia– “equivaldría a admitir que el trabajador podría crear a su voluntad y libre arbitrio un reducto de intimidad, utilizando un medio cuya propiedad no le pertenece y en cuyo caso está sujeto a las instrucciones del empresario de acuerdo con lo dispuesto en el artículo 20 del ET”. La prueba derivada del control es, por tanto, válida, pues se obtendría sin vulneración de ningún derecho fundamental.

Por tanto, la meritada Sentencia habilita al empresario a controlar el correo electrónico (y demás medios informáticos) que él otorga a los trabajadores para el desarrollo de sus funciones, siempre que se haya informado acerca de las prohibiciones al trabajador y pueda demostrarse que ello efectivamente se ha realizado.

El TC, en su STC 241/2012, de 17 de diciembre de 2012195, viene a denegar el amparo a una trabajadora –al no considerarse vulnerados sus derechos a la intimidad personal y al secreto a las comunicaciones (artículo 18.3 de la CE)– que había sido amonestada por la empresa, en la que prestaba servicios de teleoperadora, al descubrirse casualmente que la recurrente había instalado en un ordenador de uso compartido en la entidad, carente de contraseña de acceso, una aplicación de mensajería instantánea, a través de la cual había realizado comentarios críticos, despectivos e incluso insultantes, respecto a otros compañeros de trabajo, superiores y clientes.

La pretensión de la trabajadora fue desestimada, tanto por el Juzgado de lo Social como por el TSJ de Andalucía, concluyendo, en síntesis, que efectivamente concurrían los juicios de idoneidad, necesidad y proporcionalidad en la acción de acceder a la carpeta donde se encontraban los datos dentro del ordenador de la empresa, sin que se conculcaran, en este caso, los derechos fundamentales de la trabajadora.

Llegado el asunto al TC, éste analiza, en primer lugar, si se ha producido una violación del derecho a la intimidad prevenido en el artículo 18.1 de la Constitución, determinando claramente que no. Recuerda el Tribunal que este derecho fundamental está estrictamente vinculado a la propia personalidad, y que deriva de la dignidad de la persona. Se trata de un ámbito reservado frente al conocimiento de los demás necesario para “mantener una calidad mínima de la vida humana”. Por otro lado, se apunta que la esfera de la intimidad se relaciona con la acotación que de la misma realice su propio titular, es decir, a cada uno le corresponde acotar el ámbito de su propia intimidad, ya sea personal o familiar, que reserva al conocimiento ajeno. En el supuesto analizado, el TC determina que no cabe apreciar afección a la intimidad, ya que la situación es propiciada por la propia trabajadora con sus actos voluntarios, como es proceder a la instalación de un programa de mensajería instantánea y utilizarlo en un ordenador de la empresa al que cualquiera de la organización potencialmente podría acceder.

Por otro lado, la STC trata someramente el secreto de las comunicaciones consagrado en el artículo 18.2 CE, trayendo a colación la STC, de 2 de julio de 2012196.

Se recuerda que este derecho fundamental afecta no solo a la interceptación o captación del proceso de comunicación, es decir, de la aprehensión física del mensaje, sino también al simple conocimiento antijurídico de lo comunicado a través de la apertura de la correspondencia almacenada por su destinatario o de mensajes de correos electrónicos o de texto en telefonía móvil. Igualmente, el secreto de las comunicaciones cubre otros aspectos anejos a la misma, como, por ejemplo, la identidad subjetiva de los interlocutores. Esto determina que la protección alcanza tanto al registro de llamadas entrantes y salientes almacenadas en un teléfono móvil, como a las cesiones de listados de llamadas por parte de las compañías de telecomunicaciones.

La meritada Sentencia se centra también en el ejercicio, por parte del empresario, de las facultades de vigilancia y control de los medios informáticos puestos a disposición de los trabajadores. Se parte de lo establecido en el artículo 20 del ET, donde se contempla la posibilidad de que el empleador, entre otras facultades, adopte las medidas que considere oportunas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores. Aunque esto, se insiste, siempre debe hacerse dentro del respeto a la dignidad del trabajador (artículos 4.2 c y 20.3 del ET y STC 186/2000, de 10 de julio197). En este ámbito, aunque pudiera caber una pretensión del trabajador respecto a un secreto de las comunicaciones, debe tenerse en cuenta que actúa a su vez legítimamente el poder del empresario, el cual tiene la posibilidad de establecer pautas, instrucciones, protocolos o códigos de buenas prácticas en el uso de los ordenadores o del resto de los medios de producción puestos a su disposición.

En cualquier caso, señala el TC, el ejercicio de esa potestad de vigilancia y control resulta limitado por la existencia de los derechos fundamentales, si bien, “… los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empresario a tal fin…”.

No obstante, lo dicho, ello no impide afirmar, según refiere el Tribunal Constitucional, que en el desarrollo de la prestación laboral puedan producirse comunicaciones entre el trabajador y otras personas cubiertas por el secreto del artículo 18.3 de la Constitución Española, por lo que pueden producirse vulneraciones de este derecho por intervenciones antijurídicas por parte del empresario, de otros trabajadores, o de terceros198.

En el caso concreto que resuelve la Sentencia se pone de manifiesto, como datos esenciales de la inexistencia de cobertura constitucional a la pretensión de secreto en las comunicaciones, el hecho de que el ordenador era de uso común para el resto de los trabajadores, sin necesidad de clave de acceso (era, por tanto, una comunicación abierta), lo cual demuestra que no podía existir una expectativa razonable de confidencialidad al utilizar ese programa de mensajería. Por otro lado, se acreditó que la empresa había prohibido expresamente a los trabajadores la instalación de aplicaciones en los ordenadores, lo cual se enmarca en las facultades de organización del empresario. Otro dato que tiene en cuenta la Sentencia para determinar su fallo es que el hallazgo de la instalación del programa fue casual por parte de otro trabajador, limitándose el empresario a comprobarlo con la finalidad de constatar si había habido un incumplimiento de la trabajadora y su alcance, desarrollándose esta actuación en un plazo breve de dos meses desde que se tuvo conocimiento de la existencia de la instalación del programa.

La STC, de 11 de febrero de 2013199, consideró que existe un deber de información previa a los trabajadores, por parte de la empresa, respecto a la existencia de controles, ya que el interés privado del empresario no podrá justificar que el tratamiento de datos sea empleado en contra del trabajador sin una información previa sobre el control laboral puesto en práctica.

En lo que respecta a las carpetas personales de los trabajadores, concurren dos situaciones, según las meritadas STS, de 26 de septiembre de 2007200, y la que ahora comentamos, STC, de 11 de febrero de 2013201:

a) Si la carpeta es un servicio que la empresa presta a sus trabajadores, permitiendo su uso con fines privados, no se consideraría como un instrumento de trabajo, y no sería posible extender aquí las facultades de control del empresario;

b) Si, por el contrario, la carpeta personal la crea el trabajador por propia iniciativa puede ser objeto de monitorización y control, como el resto del ordenador corporativo, previo establecimiento de las condiciones de uso e información.

El TC, en su STC 170/2013, de 7 octubre202, entiende que la mera sospecha acerca de si un trabajador transmite o no indebidamente información confidencial de su empresa a otra entidad mercantil constituirá causa suficiente para que el empresario esté legitimado para comprobar tanto el contenido de los mensajes SMS del teléfono móvil profesional del trabajador como del disco duro del portátil proporcionado por su empresa, y sobre la base de que el propio Convenio Colectivo hace mención al control de los medios informáticos por parte del empresario.

Para el TC no cabe deducir que el derecho al secreto de las comunicaciones quede en algún momento vulnerado. Entiende que, aunque la empresa no haya prohibido a sus trabajadores el uso personal de los medios informáticos de la empresa bajo protocolos de actuación, comunicación individual a los trabajadores, regulación detallada en el convenio colectivo aplicable, códigos de conducta, etc., ésta estará plenamente legitimada para vulnerar esas garantías reconocidas en la Constitución. Y es que, en este caso, la STC entiende que el fundamento radica en la previsión que recoge el Convenio Colectivo aplicable, que tipifica como falta leve “la utilización de los medios informáticos propiedad de la empresa (correo electrónico, Intranet, Internet, etc.) para fines distintos de los relacionados con el contenido de la prestación laboral”203.

El TS (Sala 2.ª) en su STS, de 16 de junio de 2014204, vino a confirmar la condena (si bien apreció la atenuante de dilaciones indebidas) a un trabajador como autor penalmente responsable de un delito continuado de falsedad en documento mercantil, en concurso ideal medial con un delito continuado de estafa (siendo la empresa empleadora la perjudicada).

Uno de los argumentos esgrimidos por el condenado en el recurso es la pretendida vulneración del derecho a un proceso con garantías por la intervención sin autorización de información incriminatoria contenida en su correo electrónico corporativo y en un disco duro que, tras su cese, permaneció bajo el control de la empresa.

En esta Resolución, la Sala se pronuncia sobre las intervenciones de las comunicaciones electrónicas en el ámbito laboral, apartándose de la doctrina jurisprudencial de la Sala de lo Social del TS y del propio TC, en el sentido de exigir la autorización judicial de forma tajante205.

La STS 226/2017, de 17 de marzo206, nuevamente consideró ilegítimo el control del correo electrónico de una trabajadora ya que considera que es necesario establecer unas reglas de uso previas e informar a los trabajadores de los controles de los medios informáticos que van a existir, respetando los derechos fundamentales y, particularmente, el derecho al secreto en las comunicaciones.

En un procedimiento de revisión de sentencia la empresa aporta como prueba, hallada posteriormente a la sentencia, un correo electrónico de la trabajadora a su letrado donde se contiene un fichero con la hoja de ruta de la estrategia procesal, que de haberse conocido antes hubiera resultado decisivo para sustentar su postura. La trabajadora impugna el recurso alegando una violación del secreto de las comunicaciones y del derecho al secreto profesional. El TS da la razón a la trabajadora considerando que la prueba no se ha obtenido de forma lícita y realiza un repaso de los criterios que en esta materia se viene manteniendo por la jurisprudencia.

La STS, de 8 de febrero de 2018207, aplicó la Doctrina del TEDH, que veremos posteriormente, en un asunto en materia de despido, donde se somete a examen el control empresarial del correo corporativo y el derecho a la intimidad del trabajador, concluyendo que el trabajador era conocedor de que no podía utilizar el correo para fines particulares y que la empresa podía controlar el cumplimiento de las directrices en el uso de los medios informáticos puestos a su disposición. El examen del equipo informático del trabajador se acordó tras el hallazgo casual de fotocopias de las transferencias bancarias efectuadas por un proveedor de la empresa a favor del trabajador. El contenido se examinó tratando de encontrar elementos que permitieran seleccionar los correos electrónicos a examinar, utilizando palabras clave que pudieran inferir en qué correos podría existir información relevante para la investigación. El TS finalmente, desestimó la pretensión del trabajador y estimó el recurso formulado por la empresa, atribuyendo plena validez procesal a la prueba derivada del examen del correo electrónico existente en ordenador del trabajador. Considera el Supremo que resulta esencial la transparencia informativa de las medidas de control en la empresa, debiendo superarse el juicio de idoneidad, necesidad y proporcionalidad.

Posteriormente, analizaremos la STEDH Caso Barbulescu II208, que resulta de gran importancia, ya no solo en el ámbito laboral, sino que sirve de inspiración en la jurisdicción penal, como ocurre en la interesante STS 489/2018 de la Sala Penal del TS, de 23 de octubre209, que introduce el concepto del derecho al entorno digital, o derecho a la protección del propio entorno virtual.

La STS, por un lado, considera nula la prueba obtenida del ordenador personal del condenado por apropiación indebida, señalando en su Fundamento de Derecho 9.° el contenido de la STEDH en el caso Barbulescu210.

La STS comentada destaca que hay derechos fundamentales en juego mencionando el dicho que “los trabajadores no dejan ni su intimidad ni el resto de sus derechos en las puertas de la oficina o empresa”. También, considera la STS como “una obviedad por nadie discutida que la relación laboral impone modulaciones, en esos derechos, aunque nunca absolutas, como se ha preocupado de resaltar la jurisprudencia y el artículo 20.3. del ET; de redacción un tanto obsoleta y no acompasada con las nuevas –o ya no tan nuevas– realidades tecnológicas”.

En el Fundamento de Derecho Quinto, el TS sorprende con la configuración de un nuevo derecho constitucional de nueva generación: el derecho al entorno digital211.

Finalmente, el TC en su STC, de 15 de marzo de 2021, (recurso de amparo núm. 6838-2019)212, estimó parcialmente el amparo de una trabajadora a la que se le habían vulnerado sus derechos a la intimidad y el secreto de las comunicaciones como consecuencia de la monitorización de su ordenador. Se constata que la trabajadora dedicaba en torno a un 30 por ciento de su jornada laboral a cuestiones profesionales, empleando el 70 de la jornada restante a solventar asuntos personales.

El Juzgado de lo Social, que conoció el asunto en primera instancia, consideró que se habían vulnerado los derechos fundamentales a la intimidad y al secreto de las comunicaciones, declarando la nulidad del despido. La sentencia señala que: “la monitorización del ordenador de la demandante ha permitido a la empresa conocer y grabar todo lo que apareciese en su pantalla, y se ha traducido en el conocimiento de mensajes de correo electrónico, ajenos a lo laboral y por tanto personales, que la actora remitió a familiares y a su asesora legal, como se desprende del contenido de la propia carta de despido”. Asimismo, fijó el pago de una indemnización como consecuencia de la lesión de sus derechos.

Posteriormente, el TSJ de Madrid confirmó que la prueba obtenida con la monitorización del ordenador era ilícita por haberse obtenido con violación de los derechos fundamentales, pero calificó el despido como improcedente y, rechazando, por dicha razón, pronunciarse sobre la indemnización que por vulneración de los derechos fundamentales se había concedido por el juzgado de lo social.

El TC concluye en su Sentencia que la resolución del TSJ de Madrid, no había vulnerado los derechos de la trabajadora al calificar el despido como improcedente en lugar de nulo, pues “no puede proclamarse que entre la calificación del despido y la reconocida lesión extraprocesal de un derecho fundamental pueda afirmarse la existencia de una consecutividad lógica y jurídica. Dicho, en otros términos, no existe un derecho fundamental a la calificación del despido laboral como nulo, por lo que la pretensión de la actora no puede tener sustento en una vulneración de los derechos reconocidos en el artículo 18.1 y 3 CE”. El TC descarta, por tanto, que la calificación del despido como improcedente lesione el derecho a la tutela judicial efectiva de la recurrente.

El TC considera, en cambio, que se había vulnerado el derecho a la tutela judicial efectiva (artículo 24.1 CE) al desconocer el derecho a obtener de los jueces y tribunales una resolución motivada y fundada en derecho sobre el fondo de las pretensiones deducidas por las partes en el proceso, concretamente en lo referido a la denegación de una indemnización para la trabajadora. Dispone el TC que “el argumento utilizado en la sentencia impugnada para denegar la indemnización consistente en afirmar que no ha existido vulneración de derechos fundamentales de la trabajadora debe ser calificado de incongruente, ilógico y contradictorio, pues la propia sentencia reconoce, que se vulneraron los derechos de la trabajadora al monitorizar su ordenador”. Por tanto, “dicha incongruencia no puede salvarse con la referencia a que la vulneración no la haya ocasionado el acto mismo del despido y en consecuencia éste haya sido declarado improcedente, pues el artículo 183.1 LRJS cuando dispone que la sentencia que declare la existencia de una vulneración de un derecho fundamental debe pronunciarse sobre la cuantía de la indemnización, no hace depender el reconocimiento de la indemnización de la calificación del despido, sino del reconocimiento de que la trabajadora ha sufrido discriminación u otra lesión de sus derechos fundamentales y libertades públicas, y ello con independencia de la calificación del despido”. En consecuencia, el TC anula la sentencia dictada por el TSJ de Madrid y acuerda la retroacción de las actuaciones al momento previo al dictado de la citada resolución para que, en congruencia con lo interesado en el recurso de suplicación en relación con la indemnización solicitada por la demandante, el órgano judicial resuelva de manera respetuosa con el derecho fundamental vulnerado.