Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 42

El TEDH, en su Sentencia, de 17 de octubre de 2019, en el Caso López Ribalda y otros c. España II220, sorprende con su fallo, ya que resulta contrario al que se pronunció en la STEDH del Caso López Ribalda I, y modifica en cierto sentido el Test Barbulescu.

Ahora, considera el TEDH que en aquella STEDH, de 9 de enero de 2018, no hubo violación del artículo 8 CEDH.

Dice ahora el TEDH que la empresa acreditara razones legítimas para instalar cámaras sin cumplir su obligación de información, como garantía de transparencia, a fin de sorprender a los trabajadores cometiendo el ilícito, no vulneraría su expectativa de privacidad. En tales circunstancias no era razonable que el empleador respetase tal nivel de protección a los empleados primando las razones del “buen funcionamiento de la empresa”221.

Esta STEDH converge con la dictada en el asunto Barbulescu, unificando el test, tanto para el control laboral por videovigilancia, como para la monitorización de equipos informáticos.

1. El TS habla incluso de un derecho constitucional de nueva generación: el derecho al entorno digital (STS 489/2018, de 23 de octubre). Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/bf7752f0b6d21b41/20181120.

2. Entre otras muchas, STC 146/2019, de 25 de noviembre de 2019. Rec. Amparo 2436/2017. https://hj.tribunalconstitucional.es/es/Resolucion/Show/26117.

3. En este sentido, y entre otras, STC (STC 5/1981; 106/1996 y 199/1999.

4. Entre otras Sentencias, STC 292/1993, 136/1996, y 49/2003.

5. En este sentido, se pronuncian, entre otras, las STC 38/1981 y 125/2007.

6. Los riesgos para los derechos de los trabajadores que suponen los tratamientos en las relaciones laborales se ponen de manifiesto en el Considerando 75 del RGPD cuando señala que “(…) los riesgos (…) pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, (…) en los casos en los que los datos personales tratados revelen (…) la militancia en sindicatos (…), datos relativos a la salud (…); en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, (…)”. Estos riesgos igualmente se relacionan con gran detalle en el Dictamen 2/2017 del Grupo de Trabajo del Artículo 29 cuando se señala que “las tecnologías modernas permiten que los trabajadores puedan ser objeto de seguimiento a lo largo del tiempo, en los lugares de trabajo y en sus hogares, a través de muchos dispositivos diferentes, como teléfonos inteligentes, ordenadores de mesa, tabletas, vehículos y tecnología ponible. Si el tratamiento no tiene límites y no es transparente, existe un alto riesgo de que el interés legítimo de los empresarios en la mejora de la eficiencia y protección de los activos de la empresa se convierta en un control injustificado e intrusivo. Para los trabajadores las tecnologías que controlan las comunicaciones también pueden tener un efecto desalentador sobre sus derechos fundamentales a organizarse, convocar reuniones de trabajadores y comunicarse de forma confidencial (incluido el derecho a buscar información). El control de las comunicaciones y del comportamiento ejercerá una presión coercitiva sobre los trabajadores para evitar la detección de lo que podría percibirse como anomalías, de manera comparable a la forma en que el uso intensivo de cámaras de televisión ha influido en el comportamiento de los ciudadanos en los espacios públicos”.

7. Tema que ya tratamos ampliamente en el Capítulo 14 (pp. 1065 a 1182) del “Prácticum Protección de Datos 2021” ÁLVAREZ HERNANDO, J. Thomson Reuters 2020.

8. Disponible en la dirección https://www.poderjudicial.es/search/indexAN.jsp?org=an&comunidad=13. Concluyó la AN que había quedado probado que “el Banco recurrente abrió´ una cuenta corriente para domiciliar la nómina del denunciante, utilizando para ello los datos personales facilitados por la empresa en la que dicho denunciante prestaba sus servicios, pero sin que se halla acreditado por tal Banco Santander, a pesar de corresponder al mismo la carga de la prueba”. Respecto a los atenuantes, la AN consideró que concurría una disminución cualificada de la culpabilidad, “dado que dicha entidad bancaria, tal y como la misma manifiesta y según se desprende de la relación de hechos probados, obró con la creencia de que la empresa que le cedió´ los datos personales del afectado contaba con el consentimiento del mismo, confiando en la buena fe de dicha empresa, por lo que la intencionalidad fue mínima, sin que tampoco el Banco haya obtenido beneficios por tal tratamiento.” Por otro lado, consta acreditado que la actora regularizó la situación de forma diligente poco tiempo después de haber requerido el afectado la cancelación de la cuenta. Por todo ello, la AN, revocó parcialmente la Resolución de la AEPD, reduciendo la sanción de multa de 40.001 euros a 10.000 euros.

9. Recordamos que el artículo 13 RGPD requiere informar, entre otras circunstancias, acerca de quién es el responsable del tratamiento; los destinatarios de los datos (mutualidades, TGSS, etc.); o dónde se pueden ejercitar los derechos de acceso, rectificación, supresión, etc.

10. El Considerando 52 RGPD señala, por su parte, que, “deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, (…)”.

11. El Considerando 43 RGPD recuerda que no opera el consentimiento cuando exista un desequilibrio entre el interesado y el responsable del tratamiento, como sucede en las relaciones laborales. El Dictamen del GT29 2/2017 señala que “habida cuenta de la dependencia que resulta de la relación empresario/trabajador, este último rara vez está en condiciones de dar, denegar o revocar el consentimiento libremente”. El GT29 ha señalado, en el Dictamen 8/2001, “que cuando un empresario tiene que tratar datos personales de sus trabajadores, es engañoso partir del supuesto de que el tratamiento puede legitimarse a través del consentimiento de estos. En los casos que un empresario dice que requieren consentimiento y existe un perjuicio real o potencial relevante derivado del hecho de que el trabajador no consienta (lo cual puede ser muy probable en el contexto laboral, especialmente cuando el empresario hace un seguimiento del comportamiento del trabajador a lo largo del tiempo), entonces el consentimiento no es válido, ya que no es y no puede ser dado libremente”.

12. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openCDocument/e5e0cf323aea82eb50e5b43c6a9bdffc838dacace4c57cd5.

13. Nota de Prensa de la Autoridad Griega de Protección de Datos disponible en la dirección: https://www.dpa.gr/sites/default/files/2020-12/SUMMARY%20OF%20DECISION%2026_2019%20(EN).PDF.

14. El RGPD, en su artículo 88, dispone que “los Estados miembros podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral”. El artículo 9.2.b RGPD se remite a la negociación colectiva cuando excepciona de la prohibición de tratamiento de categorías especiales de datos en aquellos supuestos en que éste es “necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la UE, de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”. El Considerando 155 RGPD dispone que: “el Derecho de los Estados miembros o los convenios colectivos, incluidos los “convenios de empresa”, pueden establecer normas específicas relativas al tratamiento de datos personales de los trabajadores en el ámbito laboral. Por su parte, el artículo 91 LOPDGDD dispone que “los convenios colectivos podrán establecer garantías adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos digitales en el ámbito laboral”. Por tanto, la LOPDGDD permite la autonomía colectiva en la determinación y concreción del contenido de estos derechos, en lo que respecta a la definición de “garantías adicionales” a las previstas en la propia LOPDGDD. La Disposición Final Decimotercera de la LOPDGDD únicamente reforma el artículo 20 bis del ET, pero no el artículo 4.2 ET y, por tanto, no incorpora expresamente al catálogo de derechos garantizados en la relación de trabajo, recogido en la LOPDGDD, los derechos de los trabajadores a la intimidad en el entorno digital y el derecho a la desconexión, entre otros. En conclusión, el contexto en el que debe de intervenir la negociación colectiva es en el control de los dispositivos puestos a disposición de los trabajadores, los sistemas de videovigilancia, grabación de sonidos y dispositivos de geolocalización, y el derecho de desconexión digital.

15. Sentencia disponible en la dirección: http://hj.tribunalconstitucional.es/es/Resolucion/Show/23616.

16. Ya la AEPD, en sus Informes 252/2006, 0154/2010 y 0384/2010 de la AEPD, anteriores al RGPD, confirmaban que el artículo 3 ET, incluye a los Convenios Colectivos entre las fuentes de la relación laboral que regulan los derechos y obligaciones concernientes a la misma.

17. Las Directrices WP251 del GT29, sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD consideran “suficientemente significativo” las decisiones que denieguen a una persona una oportunidad laboral o que la coloquen en gran desventaja. Disponibles en la dirección https://www.aepd.es/sites/default/files/2019-12/wp251rev01-es.pdf.

18. La nota de prensa (en alemán) del Comisionado de Protección de Datos y Libertad de Información de Hamburgo (HmbBfDI) está disponible en la dirección: https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren.

19. Cualesquiera entidades, ya sean de naturaleza pública o privada, tendrán que tratar datos personales desde las fases tempranas previas a la contratación del personal, bien durante el proceso de selección, bien en el desarrollo de unas oposiciones en concurrencia competitiva en el ámbito de la función pública. Lo primero de todo, es determinar cual será la base legitimadora del tratamiento de esos datos de los candidatos, pudiéndolo enmarcar en el artículo 6.1 b) RGPD, es decir, cuando “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”.

20. El artículo 4.19) del RGPD define “grupo empresarial” como el grupo constituido por una empresa que ejerce el control y sus empresas controladas. Existe un grupo de sociedades cuando varias de ellas constituyen una unidad de decisión. Es decir, es el conjunto de sociedades jurídicamente independientes, pero sometidas a una relación de dependencia y a una dirección económica centralizada. Los elementos que configuran un grupo empresarial son la relación de dependencia, directa o indirecta, de una o varias sociedades con respecto a otra y el ejercicio de una dirección económica unitaria o centralizada, esto es, la unidad de decisión.

21. Disponible en la dirección: https://www.aepd.es/es/documento/ps-00110-2010.pdf.

22. Este atenuante fue apreciado en un supuesto similar de cesión de un CV en la SAN, de fecha 14 de marzo de 2007 (Recurso 263/2005).

23. El Texto Refundido de la Ley sobre Infracciones y Sanciones en el orden social, aprobado por Real Decreto Legislativo 5/2000, de 4 de agosto, en el apartado 2 del artículo 16, señala que son infracciones muy graves “solicitar datos de carácter personal en los procesos de selección (…) que constituyan discriminaciones favorables o adversas para el acceso al empleo por motivos de sexo, origen -incluido el racial o étnico-, edad, estado civil, discapacidad, religión o convicciones, opinión política, orientación sexual, afiliación sindical, condición social y lengua dentro del Estado”.

24. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/5d9fb923553cf047/20200306.

25. El “Certificado de delitos de naturaleza sexual” permite acreditar la carencia de delitos de naturaleza sexual o, en su caso, la existencia de estos. Los certificados emitidos por el Registro Central de Delincuentes Sexuales informan de las condenas firmes dictadas por los órganos judiciales que constan anotadas en el Registro en la fecha en que aquellos son expedidos. La Ley Orgánica 1/1996, de Protección Jurídica del Menor, modificada por la Ley 26/2015 y la Ley 45/2015, de voluntariado, establecen la obligación de que se aporten certificados negativos del Registro Central de Delincuentes Sexuales para todos los profesionales y voluntarios que trabajan en contacto habitual con menores. La AEPD, en su Informe 0401/2015, interpretó que para considerar “trabajo habitual con menores”, es necesario que el puesto de trabajo implique por su propia naturaleza y esencia, un contacto habitual con menores, siendo los menores los destinatarios principales del servicio prestado. No siendo necesario presentar el certificado en aquellas profesiones que, teniendo un contacto habitual con el público en general, entre los que pueden encontrarse menores de edad, no estén por su naturaleza exclusivamente destinados a un público menor de edad.

26. El tratamiento de estos datos de antecedentes, únicamente pueden hacerse conforme con lo establecido en la regulación del Sistema de registros administrativos de apoyo a la Administración de Justicia (artículo 10.2 LOPDGDD). También solo será posible tratar esos datos cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones (artículo 10.3 LOPDGDD).

27. No obstante, el acceso a determinadas profesiones requieren acreditar la ausencia de antecedentes penales, como, por ejemplo: para el acceso a la Carrera Judicial (artículo 303 LOPJ); para el acceso a la abogacía (artículo 13.2 Estatuto General de la Abogacía Española); miembros directivos de entidades financieras (Bancos, cooperativas de crédito, sociedades de tasación, establecimientos financieros de crédito, establecimientos de cambios de moneda extranjera, sociedades financieras mixtas de cartera, servicios y entidades de pago y entidades de dinero electrónico), por exigencia del artículo 2.2.b del Real Decreto 256/2013, de 12 de abril; Auditores de cuentas (art. 9.1.c Ley 22/2015, de 20 de julio, de Auditoría de Cuentas); Funcionarios públicos (artículo 56.1.d Estatuto básico del Empleado Público). En puridad esta norma no exige carecer de antecedentes penales, de no hallarse inhabilitado por resolución judicial, lo que conlleva que pudiera interpretarse como no haber sido condenado a una pena de inhabilitación (En el sentido expuesto por la STS, de 18/09/2006); Docentes y maestros (artículo 12.1.b Real Decreto 276/2007, de 23 de febrero, por el que se aprueba el Reglamento de ingreso, accesos y adquisición de nuevas especialidades en los cuerpos docentes); Cuerpo del Notariado (artículo 7.2 Reglamento Notarial); Fuerzas Armadas (artículo 15.1.c del Real Decreto 35/2010, de 15 de enero, por el que se aprueba el Reglamento de ingreso y promoción y de ordenación de la enseñanza de formación en las Fuerzas Armadas); Seguridad privada (Vigilantes, detectives privados, guardas de campo, instructores de tiro, directivos de seguridad), por exigencia del artículo 28.1.e de la Ley 5/2014, de 4 de abril, de Seguridad Privada; Veterinaria (artículo 64.2.c del Real Decreto 126/2013, de 22 de febrero, por el que se aprueban los Estatutos Generales de la Organización Colegial Veterinaria Española); Empleados/as de Casinos (arts. 2.a y 27 de la Ley 8/2012, de 28 de diciembre, de Medidas Fiscales y Administrativas); Conductores de vehículos de transporte de pasajeros y mercancías (artículo 44 de la Ley 16/1987, de 30 de Julio, de ordenación de los transportes terrestres); Taxistas, bomberos, titulares de licencias de Loterías y casas de apuestas; entre otros.

28. Disponible en la dirección https://boe.es/diario_boe/txt.php?id=BOE-B-2009-29931.

29. El RGPD se refiere al principio de confidencialidad en su artículo 90 (obligaciones de secreto) y en el Considerando 39, cuando, desde un punto de vista general, promulga que los datos “deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento”.

30. Sentencia del TC disponible en la dirección: https://www.boe.es/buscar/doc.php?id=BOE-T-2001-332.

31. El deber de sigilo o de secreto resulta esencial en la sociedad de la información en la que nos encontramos y sitúa a la persona en zonas de riesgo para la protección de los derechos fundamentales, como la intimidad o el derecho a la protección de los datos del artículo 18.4 de la Constitución. Derecho fundamental que, a tenor de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre (RTC 2000, 292), “persigue garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino”, e impide que se produzcan situaciones atentatorias frente a su dignidad. Esta argumentación jurídica se recoge, entre otras, en la Sentencia de 25 octubre 2013 de la Audiencia Nacional (JUR 2013, 374474).

32. A este respecto se ha pronunciado la AEPD en su Informe del Gabinete Jurídico 0464/2013.

33. Como, por ejemplo, en las Sentencias: STSJ de Islas Canarias, Santa Cruz de Tenerife, de 7 marzo de 2006; STSJ del País Vasco, 4 de junio de 2013; STSJ de Canarias 22 de diciembre de 2014; STSJ de Cataluña, de 2 de octubre de 2014 y 4 de junio de 2013; STSJ de Andalucía, de 21 de mayo de 2014; STSJ de Extremadura de 5 febrero de 2018; y la Sentencia del Juzgado de lo Social núm. 4 de Valladolid, 384/2018, de 8 noviembre.

34. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/ffe3d9527d48bf54/20190220.

35. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/88c0fd6a1d239dab/20180403.

36. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/0aa71461c766d514/20170522.

37. El artículo 55.2 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP) establece que las Administraciones Públicas, entidades y organismos referenciados en el artículo 2 del EBEP seleccionarán a su personal funcionario y laboral mediante procedimientos en los que se garanticen determinados principios constitucionales entre los que se encuentran, en lo que aquí interesa, la publicidad de las convocatorias y de sus bases; y el principio de transparencia. En el artículo 61.1 EBEP se señala que los procesos selectivos tendrán carácter abierto y garantizarán la libre concurrencia, sin perjuicio de la promoción interna y de las medidas de discriminación positiva previstas en el propio EBEP. El artículo 78 EBEP determina que “Las Administraciones Públicas proveerán los puestos de trabajo mediante procedimientos basados en los principios de igualdad, mérito, capacidad y publicidad” y conforme al artículo 62 la condición de funcionario se adquiere, entre otros supuestos, por la “superación del proceso selectivo”. Respecto a las personas con discapacidad el artículo 59.1 EBEP dispone que: “en las ofertas de empleo público se reservará un cupo no inferior al siete por ciento de las vacantes para ser cubiertas entre personas con discapacidad, siempre que superen los procesos selectivos y acrediten su discapacidad y la compatibilidad con el desempeño de las tareas, de modo que progresivamente se alcance el dos por ciento de los efectivos totales en cada Administración Pública. La reserva del mínimo del siete por ciento se realizará de manera que, al menos, el dos por ciento de las plazas ofertadas lo sea para ser cubiertas por personas que acrediten discapacidad intelectual y el resto de las plazas ofertadas lo sea para personas que acrediten cualquier otro tipo de discapacidad”.

38. Sentencia disponible en la dirección https://www.poderjudicial.es/search/AN/openDocument/5371eedce9408fa0/20120525.

39. Señala la Sentencia que “(…) una de las excepciones a la exigencia de consentimiento para el tratamiento de datos es el de la colisión con intereses generales o con otros derechos de superior valor que hagan decaer la protección de datos por la preferencia que deba concederse a ese otro interés. En el caso presente, al tratarse de un procedimiento de concurrencia competitiva debemos atender a lo que señala el articulo 103 de la Constitución (…)” Continúa diciendo que “no es exigible el consentimiento de aquellas personas que participen en un procedimiento de concurrencia competitiva para el tratamiento de las calificaciones obtenidas en dicho procedimiento y ello como garantía y exigencia de los demás participantes para asegurar la limpieza e imparcialidad del procedimiento en el que concurren. (…) será preciso ponderar los intereses en conflicto para poder determinar cual de ellos debe prevalecer. Efectuada dicha ponderación, y valorando las circunstancias que aquí concurren, es claro para este Tribunal que debe prevalecer en este caso la garantía de publicidad y transparencia del proceso competitivo sobre el derecho a la protección de datos”. (…) En suma, la normativa legal que ampara la publicación contempla un régimen en el que se trata de proteger un bien jurídico público como es el derecho de los participantes en el proceso a obtener la información necesaria para hacer valer sus derechos frente al derecho a la privacidad de una persona, y sin el cual no se podría activar el derecho fundamental a la igualdad en el acceso a las funciones públicas reconocido por el artículo 23.2 CE. (…).

40. Disponible en la dirección https://www.poderjudicial.es/search/AN/openDocument/a5f70c68553d20ae/20151016.

41. La cláusula era la siguiente: “Ambas partes convienen expresamente que cualquier tipo de comunicación relativa a este contrato, a la relación laboral o al puesto de trabajo, podrá ser enviada al trabajador vía SMS o vía correo electrónico, mediante mensaje de texto o documento adjunto al mismo, según los datos facilitados por el trabajador a efectos de contacto. Cualquier cambio o incidencia con respecto a los mismos, deberá ser comunicada a la empresa de forma fehaciente y a la mayor brevedad posible”.

42. Sentencia accesible en la dirección: https://www.poderjudicial.es/search/documento/TS/9430737/garantias%20sociales/20210301.

43. Disponible en la dirección: https://www.aepd.es/es/documento/td-00161-2020.pdf.

44. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/openDocument/0a6669627bfbe1dd.

45. La cláusula cuya validez se cuestionaba, que la empresa demandada incorporaba a los contratos que firmaba con sus empleados al inicio de la relación laboral, decía: “El trabajador consiente expresamente, conforme a la Ley Orgánica 1/1982, de 5 de mayo, RD 1720/2007 de Protección de Datos de carácter personal y Ley Orgánica 3/1985 de 29 de mayo, a la cesión de su imagen, tomada mediante cámara web o cualquier otro medio, siempre con el fin de desarrollar una actividad propia de telemarketing y cumplir, por tanto, con el objeto del presente contrato y los requerimientos del contrato mercantil del cliente”.

46. https://www.poderjudicial.es/search/doAction?action=contentpdf&databasematch=TS&reference=7527471&links=proteccion%20de%20datos&optimize=20151120&publicinterface=true.

47. Disponible en la dirección: https://www.poderjudicial.es/search/openDocument/2c34aa6e8e54fd57.

48. El Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que, en relación con las disposiciones relativas al registro de jornada, establecida en el artículo 34.9 ET, viene a exigir un registro obligatorio de jornada, que no es otra cosa, que la obligación de las empresas de tener un control efectivo del número de horas que realizan sus empleados.

49. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/4d4855baa3e10d20/20100325.

50. La Audiencia Nacional, en Sentencia de 4 de diciembre de 2015, afirmó que “el registro de jornada, que no de horas extraordinarias, es el requisito constitutivo para controlar los excesos de jornada”. Y, a mayor abundamiento, precisó que la inexistencia del registro “coloca a las personas trabajadoras en situación de indefensión que no puede atemperarse porque las horas extraordinarias sean voluntarias, puesto que el único medio de acreditarlas es, precisamente, el control diario”.

51. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/fce8605f8f5efbbe/20071018.

52. La AEPD también se ha pronunciado sobre si el tratamiento de la huella dactilar, como dato biométrico, puede considerarse excesivo para el fin que motiva dicho tratamiento (entre otros, en su Informe 0324/2009). Resulta de interés, en esta materia, el Dictamen emitido por la Autoridad Catalana de Protección de Datos (APDCAT): “Dictamen en relación con la consulta formulada por un colegio profesional sobre la utilización de sistemas de control basados en la huella dactilar” (Dictamen CNS 63/2018), de 14/2/2019.

53. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/fb7127a701a759d7/20120911.

54. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/bbe889622ca3f88f/20100325.

55. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/4d4855baa3e10d20/20100325.

56. La citada SAN (Sala de lo Contencioso-Administrativo, Sección 1.ª) de 21 de junio de 2013, Recurso contencioso-administrativo 483/2011. Ponente: Quintana Carretero, entendió que se requería una concreta y específica información sobre la utilización de un sistema de lectura de huellas digitales como sistema de control de presencia de los trabajadores.

57. Resolución disponible en la dirección: https://www.aepd.es/es/documento/ps-00418-2019.pdf.

58. Accesible en la dirección: https://www.aepd.es/es/documento/ps-00128-2020.pdf.

59. El procedimiento se inicia como consecuencia de la reclamación presentada por un empleado de un ayuntamiento ante la AEPD, ya que la Corporación no había dado respuesta a su solicitud de información relacionada con el tratamiento de su huella dactilar para el control de acceso y fichaje.

60. Resolución disponible en la dirección: https://www.aepd.es/es/documento/ps-00127-2020.pdf.

61. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/d4770a5522fc8f02/20051027.

62. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/7875249644ed5e6e/20131113.

63. Disponible en la dirección: https://www.iustel.com/diario_del_derecho/noticia.asp?ref_iustel=1021602.

64. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/489b586cae10b075/20070809.

65. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/e16e657e5bec1ee1/20031212.

66. Ambas sentencias tienen el criterio siguiente: “… estamos ante un supuesto en el que el objeto no es la atención del paciente –finalidad que justifica la excepción a la prohibición establecida en la ley ya que el mantenimiento del historial médico redunda en beneficio de su salud sino ante una técnica de control del absentismo laboral– (…) En este sentido, (…) sí resulta de aplicación lo razonado en la STC 202/1999, de 8 de noviembre cuando razona que el fichero está fuera de las excepciones del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, pues no se dirige a la preservación de la salud de los trabajadores, sino al control del absentismo laboral; por lo que la existencia del mismo sin el consentimiento expreso del afectado es una medida inadecuada y lesiona el derecho de libertad informática. Por lo demás no es de aplicación el artículo 8 de la Ley Orgánica 15/1999, de 13 de diciembre, pues dicha norma que regula la cesión de datos relativos a la salud de las personas, parte de la previa existencia de un fichero legal de datos, y ya hemos visto que este no es el caso”.

67. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/3944.

68. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/3944.

69. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/baba987e1991bb70/20180226.

70. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/595ecfe936a123ae/20180126.

71. De gran interés resulta el comentario de la Sentencia que realiza YZQUIERZO TOLSADA en el BOE. Disponible en la dirección: https://www.boe.es/biblioteca_juridica/comentarios_sentencias_unificacion_doctrina_civil_y_mercantil/abrir_pdf.php?id=COM-D-2018-14_Comentarios_a_las_Sentencias_de_Unificacion_de_Doctrina__Civil_y_Mercantil__Twitter_y_las_intromisiones_leg%C3%ADtimas_en_el_derecho_a_la_propia_imagen_que_resultan_ileg%C3%ADtimas_en_el_derecho_a_la_intimidad.

72. El comentario que acompaña los tuits es: “Despido de un empleado por celebrar la Eurocopa de fútbol estando de baja por depresión”. En las imágenes se podía ver al empleado en “eventos del mundo de la moda y de la imagen y en lugares públicos, en la cercanía de políticos. Se trata de fotografías, captadas con la expresa anuencia del propio demandante, que ya se encontraban publicadas en páginas de diversas redes sociales de Internet (Facebook, Instagram, Twitter), por personas distintas de la demandada y cercanas al demandante (su partido político o alguno de sus amigos y amigas), sin que el demandante hubiera hecho objeción alguna a esta publicación previa”.

73. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/59afad9746ec0640/20160301.

74. El supuesto de hecho era el siguiente: Una trabajadora de baja por incapacidad temporal por enfermedad común, publica en su perfil de la red social Facebook un video tocando una guitarra en una fiesta con un brazo vendado; en semana santa, acude a un hotel; posteriormente acude a unos apartamentos; y finalmente, aparece realizando labores de bricolaje en su casa. La empresa tuvo conocimiento de estos hechos por su Facebook y el de su pareja, los cuales son públicos y no se encuentran restringidos sus accesos. Con ello, la empresa pretende acreditar la transgresión de la buena fe en la que se funda el despido disciplinario en el que se imputó la realización de actividades incompatibles con la situación de incapacidad temporal.

75. Dice que “las fotografías utilizadas por la empresa para proceder al despido de la trabajadora, reproducen momentos que pertenecen a su privacidad, actividad doméstica y momentos de ocio, pero que han sido compartidos por ella con terceros a los que ha permitido su fotografía en el momento de realización de la actividad. El visionado de las fotos evidencia que la trabajadora sabía que estaba siendo fotografiada, y tal hecho no puede discutirse. Este tercero al que se consintió la reproducción de la imagen propia, procedió a la exposición pública de las fotos en una red social de libre entrada a todo el que quiera tomar conocimiento de lo en ella expuesto. Si el acceso a la página de la trabajadora en esta red, ‘Facebook’, es libre, y el espacio en esta página donde el tercero ‘colgó’ las fotos, dice la sentencia en los hechos probados, no requiere uso de claves ni tiene restricción alguna, siendo estas circunstancias necesariamente conocidas por la demandante como usuaria de ‘Facebook’, no existe la vulneración del derecho a la intimidad personal y familiar denunciada, pues hay una autorización de la titular del derecho para que cualquiera, incluida su empleadora pueda tomar conocimiento de la parte de su intimidad que expone, por la publicidad que supone el medio”.

76. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/2574.

77. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/2660.

78. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openCDocument/9293c9f2ffd850f8ddaedeee43551672c26f4d7a88ed85e0.

79. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/b579ac58df7966cc/20160314. Esta sentencia confirmó íntegramente la parte dispositiva de la SAN 177/2014, de 30 de octubre de 2014.

80. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/ab669dce537b7397/20201223.

81. Señala la AN (F 5.°) que “comparte la preocupación de la empresa sobre la seguridad de sus datos, que no es baladí ni caprichosa, puesto que ya se han producido problemas significativos, (…) – Por ello, consideramos razonable, que la empresa haya prohibido la utilización de móviles entre sus trabajadores, puesto que es imposible controlar todas las terminales en todo momento, con el consiguiente riesgo de que se utilicen los móviles para fotografiar información sobre datos relevantes, sin que dicha restricción lesione el derecho de comunicación de los trabajadores, siempre que la empresa despliegue los teléfonos suficientes para que los trabajadores puedan comunicarse ante situaciones de necesidad, lo cual se ha demostrado. Consideramos, por otro lado, que los representantes de los trabajadores no pueden estar incomunicados en el lugar de trabajo, por cuanto pueden surgir múltiples necesidades de información o asesoramiento de su sindicato o de sus asesores, para poder cumplir con sus obligaciones representativas en el lugar de trabajo. – Ahora bien, una cosa es que los representantes de los trabajadores puedan comunicarse telefónicamente y otra cosa es que tengan derecho a utilizar sus móviles en el lugar de trabajo, cuando dispongan de teléfonos disponibles desplegados por la empresa para tal fin. Pues bien, se ha acreditado cumplidamente, a nuestro juicio, que la empresa ha desplegado en todas las plataformas los teléfonos suficientes para que los representantes de los trabajadores puedan recibir llamadas del exterior, así como comunicarse ellos con sus sindicatos o asesores, lo cual nos obliga a desestimar la segunda pretensión de su demanda, puesto que pueden ejercitar, sin impedimentos reales, su función sindical dentro de la empresa, quien está legitimada para no autorizar móviles en el centro de trabajo por unos motivos de seguridad, que consideramos razonables”.

82. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/ab669dce537b7397/20201223.

83. Señala la SAN (FJ 4.°) que “La Sala no comparte la actuación empresarial, aunque admitamos que la empresa está legitimada para organizar el trabajo, así como para establecer los sistemas de control y seguridad, que sean necesarios para asegurar sus obligaciones de seguridad con los datos personales confiados por sus clientes y usuarios del servicio, porque dichas potestades no son absolutas y no pueden invadir indiscriminadamente derechos legítimos de los representantes de los trabajadores. (…), salvo que se acredite que dichas medidas son idóneas, razonables y proporcionadas al fin propuesto. - Consiguientemente, debería haber probado que la introducción de papel escrito en las plataformas constituye un riesgo patente y actual, aunque no se permita a los trabajadores introducir medios para escribir en él, para la seguridad de los datos personales de sus clientes y usuarios, lo que no se ha acreditado en absoluto”.

84. Disponible en la dirección: http://hj.tribunalconstitucional.es/en-US/Resolucion/Show/420.

85. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/3513.

86. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/2d67997456a4ea73/20090716.

87. El Informe Jurídico de la AEPD 0434/2010 concluyó que resulta necesario contar con el consentimiento expreso y por escrito del afiliado no sólo para la comunicación al sindicato de los datos referidos al pago de la cuota sindical por parte del empresario, sino también para la comunicación previa efectuada por el sindicato al empresario de su condición de afiliado que solicita el descuento en la nómina de la citada cuota.

88. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/849b626c7aa8a121/20180305.

89. En este caso, el artículo 74 del Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Pública.

90. Memoria de la AEPD del año 2001 (https://www.aepd.es/sites/default/files/2019-09/memoria-AEPD-2001.pdf) y en el Informe 0101/2008, de 28 de mayo, por lo cual, la remisión de información sindical a través de correo electrónico supone la realización de un tratamiento de datos, por lo que, en consecuencia, los sindicatos están obligados al cumplimiento del RGPD y LOPDGDD.

91. Sentencia disponible en la dirección: http://hj.tribunalconstitucional.es/HJ/es/Resolucion/Show/5541.

92. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/e23d49113690a2a2/20131118.

93. Señala la Sentencia que “… en el caso de autos, en contra de lo que sostiene la entidad demandante, (la empresa) no niega el uso del correo por el sindicato, lo que se le dice al Sindicato, incluso por escrito, es que para asegurar el buen funcionamiento del sistema se encuentra sometido a una serie de límites. De aquí que se limiten los correos masivos y se exija al emisor que facilite un mecanismo que permite, a cada destinatario, rechazar, si lo desea el correo -garantía exigida por el artículo 16 de la LOPD- (…). Lo que quiere el sindicato es tener libre acceso sin ninguna restricción, así, con claridad, en su escrito de 13 de noviembre de 2012 reclama que se elimine completamente dichos filtros permitiendo el envío libre de correos electrónico con información sindical. Pero esta petición no sólo no es conforme, sino que es contraria a la jurisprudencia que cita para sostener su pretensión…”.

94. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/8ce79bc39d496e52/20190527.

95. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/1563c0bcf6ed4195/20181128.

96. No obstante, la AEPD viene recomendando la utilización de listas de distribución, que permiten que el sindicato remita la información a una dirección corporativa, sin tener acceso a las cuentas de correo electrónico de los trabajadores, con el objeto de minimizar riesgos en materia de protección de datos.

97. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/6e430bf16b729fcd/20100721.

98. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/c0ae7da0e3305357/20180416.

99. Señala la Sentencia que “el envío de correos electrónicos utilizando las listas de distribución tantas veces aludidas implique un tratamiento de datos personales, lo que impide considerar a CSIF responsable del tratamiento no teniendo la obligación de atender los derechos ARCO recogidos en la normativa de protección de datos. (…) Y en el presente supuesto ha resultado meridianamente acreditado que la Central Sindical recurrente no tiene acceso a las direcciones de correo que forman parte de las listas de distribución a las que envía la información sindical, ni mucho menos acceso a los datos personales de quienes figuran en tales listas de distribución, sino que únicamente conoce una dirección genérica (la de la lista de distribución) y no el nombre, apellidos, correo electrónico y categoría profesional de quienes integran las repetidas listas de distribución, cuyos datos personales son tratados por cada Organismo o Conselleria que componen el sector público gallego, cada una dentro de su ámbito. Por todo ello al no tener la Central Sindical Independiente y de Funcionarios (CSIF) la condición de responsable del fichero ni del tratamiento respecto de los datos personales que figuran en las listas de distribución a las que envía la información sindical, tampoco le corresponde atender el derecho de oposición ejercido por el afectado, por lo que ha dictarse un pronunciamiento estimatorio de la demanda, anulando las resoluciones de la AEPD que han sido impugnadas”.

100. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/cce702a853924fba/20110203.

101. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/55d1b9fc30f6a8b5/20080117.

102. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/55d1b9fc30f6a8b5/20080117.

103. La AN señala lo siguiente: “… Si la información en cuestión se hubiera publicado en la intranet corporativa, a la vista de las circunstancias concurrentes, no se habría apreciado vulneración del derecho a la protección de datos y seguramente el denunciante no hubiera puesto los hechos en conocimiento de la AEPD. Lo que singulariza este caso (…), es que los datos de carácter personal: nombre, apellidos, categoría profesional (agente de movilidad) y número de carné profesional, se publican en una página web en Internet y la publicación en dicha red no es idónea, necesaria ni proporcionada para mantener informados a los trabajadores en aquellas cuestiones que directa o indirectamente puedan repercutir en las relaciones laborales (…). Por ello, a la vista de las circunstancias concretas concurrentes, considera la Sala que el derecho a la libertad sindical se puede satisfacer plenamente sin necesidad de publicar en Internet los datos personales del denunciante, por lo que la citada publicación no puede ampararse bajo el ropaje del citado derecho de libertad sindical…”.

104. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/a16d62bf6258d74f/20131111.

105. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/38192e54e46a1ab0/20140718.

106. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/64015e85c5ffe31a/20160225.

107. El ET atribuye un conjunto de facultades a los representantes sindicales y, en particular, al comité de empresa, que comporta el acceso a datos de carácter personal de los trabajadores. Así, conforme al artículo 64 del ET, el comité de empresa tiene derecho a ser informado de todas las sanciones impuestas por faltas muy graves, a recibir la copia básica de los contratos y la notificación de las prórrogas y a que le sean notificadas las denuncias correspondientes a los mismos en el plazo de diez días siguientes a que tuvieran lugar. La comunicación a los órganos de representación de los trabajadores, tal y como recuerda el Informe 0154/2010 de la AEPD, únicamente puede considerarse adecuada dentro de las funciones de control que a los mismos atribuye el ET. Por ello, cualquier utilización de los datos para una finalidad distinta o su posterior divulgación podría resultar contraria a lo dispuesto en la normativa sobre protección de datos. Además, la divulgación podría incluso implicar una cesión de datos que debería contar con la consiguiente causa de legitimación del artículo 6 RGPD. Por tanto, únicamente podrán ser objeto de cesión los datos que resulten estrictamente necesarios para el cumplimiento de los deberes que establece el ET. Además, la propia AEPD recomienda optar por métodos en los que la información pueda presentarse de modo estadístico o anonimizado, siempre que permita al comité de empresa cumplir con sus funciones. En cualquier caso, debe respetarse el principio de minimización de datos.

108. En todo caso, y atendiendo a la jurisprudencia del TEDH todo tratamiento de datos de videovigilancia debería partir, para considerar o no, que se ajusta al principio de proporcionalidad, por realizar el denominado “Test Barbulescu”.

109. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/4170.

110. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/2616.

111. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/2860.

112. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/4170.

113. Disponible en la dirección: http://hj.tribunalconstitucional.es/en/Resolucion/Show/928.

114. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/4170.

115. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/f78c5308d318768e/20040131.

116. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/bc79a719016e8c3e/20061120.

117. Disponible en la dirección https://www.poderjudicial.es/search/indexAN.jsp.

118. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/72d1d97af387091a/20160916.

119. Disponible en la dirección: https://hudoc.echr.coe.int/eng#{“itemid”:[“001-197098”]}.

120. Sentencia del TC disponible en la dirección: http://hj.tribunalconstitucional.es/HJ/es/Resolucion/Show/23284.

121. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/e0c3eebf2461e58c/20140709.

122. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/4170.

123. Resolución disponible en la dirección: https://www.aepd.es/es/documento/ps-00150-2019.pdf.

124. Por su parte, el artículo 64.1 ET dispone que el comité de empresa tiene derecho a ser informado y consultado por el empresario sobre aquellas cuestiones que puedan afectar a los trabajadores, y en el punto 5 dispone que el comité de empresa tiene derecho a emitir informe, con carácter previo a la ejecución por parte del empresario de las decisiones adoptadas por éste, sobre diversas cuestiones; entre otras, el apartado f) se refiere a la implantación y revisión de sistemas de organización y control del trabajo.

125. Sentencia del TC disponible en la dirección: http://hj.tribunalconstitucional.es/HJ/es/Resolucion/Show/23284.

126. Señala la meritada Sentencia que “… el artículo 18.1 de la Constitución impone como regla de principio y, de forma añadida al resto de sus garantías -aunque sin perjuicio, obviamente, de los límites del Derecho que ha ido fijando nuestra doctrina en multitud de resoluciones-, un deber de información que protege frente a intromisiones ilegítimas en la intimidad. (…) No hay una habilitación legal expresa para esa omisión del derecho a la información sobre el tratamiento de datos personales en el ámbito de las relaciones laborales, y que tampoco podría situarse su fundamento en el interés empresarial de controlar la actividad laboral a través de sistemas sorpresivos o no informados de tratamiento de datos que aseguren la máxima eficacia en el propósito de vigilancia (…). En conclusión, no debe olvidarse que hemos establecido de forma invariable y constante que las facultades empresariales se encuentran limitadas por los derechos fundamentales (…). Por ello, al igual que el interés público en sancionar infracciones administrativas resulta insuficiente para que la Administración pueda sustraer al interesado información relativa al fichero y sus datos (…) tampoco el interés privado del empresario podrá justificar que el tratamiento de datos sea empleado en contra del trabajador sin una información previa sobre el control laboral puesto en práctica. No hay en el ámbito laboral, por expresarlo, en otros términos, una razón que tolere la limitación del derecho de información que integra la cobertura ordinaria del derecho fundamental del artículo 18.4 de la Constitución Española”.

127. Sentencia del TS de 13 de mayo de 2014. Recurso n.° 1685/2013. Ponente: Fernando Salinas Molina.

128. Refiere la Sentencia del TS indicada que (…) el supuesto ahora enjuiciado, como luego se indicará más detalladamente, es sustancialmente distinto al analizado en Sentencia 186/2000, de 10 de julio en el que, tratándose de una instalación puntual y temporal de una cámara tras acreditadas razonables sospechas de incumplimientos contractuales se emplea con la exclusiva finalidad de verificación de tales hechos y, analizándose el derecho fundamental a la intimidad ex artículo 18.1 CE, se razona que “la medida de instalación de un circuito cerrado de televisión que controlaba la zona donde el demandante de amparo desempeñaba su actividad laboral era una medida justificada (ya que existían razonables sospechas de la comisión por parte del recurrente de graves irregularidades en su puesto de trabajo); idónea para la finalidad pretendida por la empresa (verificar si el trabajador cometía efectivamente las irregularidades sospechadas y, en tal caso, adoptar las medidas disciplinarias correspondientes); necesaria (ya que la grabación serviría de prueba de tales irregularidades); y equilibrada (pues la grabación de imágenes se limitó a la zona de la caja y a una duración temporal limitada, la suficiente para comprobar que no se trataba de un hecho aislado o de una confusión, sino de una conducta ilícita reiterada), por lo que debe descartarse que se haya producido lesión alguna del derecho a la intimidad personal consagrado en el artículo 18.1 CE”, añadiendo que “la intimidad del recurrente no resulta agredida por el mero hecho de filmar cómo desempeñaba las tareas encomendadas en su puesto de trabajo, pues esa medida no resulta arbitraria ni caprichosa, ni se pretendía con la misma divulgar su conducta, sino que se trataba de obtener un conocimiento de cuál era su comportamiento laboral, pretensión justificada por la circunstancia de haberse detectado irregularidades en la actuación profesional del trabajador, constitutivas de transgresión a la buena fe contractual”; destacando, por otra parte, que “en el caso presente la medida no obedeció al propósito de vigilar y controlar genéricamente el cumplimiento por los trabajadores de las obligaciones que les incumben, a diferencia del caso resuelto en nuestra reciente STC 98/2000, en el que la empresa, existiendo un sistema de grabación de imágenes no discutido, amén de otros sistemas de control, pretendía añadir un sistema de grabación de sonido para mayor seguridad, sin quedar acreditado que este nuevo sistema se instalase como consecuencia de la detección de una quiebra en los sistemas de seguridad ya existentes y sin que resultase acreditado que el nuevo sistema, que permitiría la audición continuada e indiscriminada de todo tipo de conversaciones, resultase indispensable para la seguridad y buen funcionamiento del casino. Por el contrario, en el presente caso ocurre que, previamente, se habían advertido irregularidades en el comportamiento de los cajeros en determinada sección del economato y un acusado descuadre contable. Y se adoptó la medida de vigilancia de modo que las cámaras únicamente grabaran el ámbito físico estrictamente imprescindible (las cajas registradoras y la zona del mostrador de paso de las mercancías más próxima a los cajeros). En definitiva, el principio de proporcionalidad fue respetado”.

129. Resolución disponible en la dirección: https://www.aepd.es/es/documento/e-03357-2014.pdf.

130. Sentencia del TC disponible en la dirección: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2016-3405.

131. Sentencia del TC disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/6574.

132. Sentencia del TC disponible en la dirección: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2013-2712.

133. Disponible en la dirección: https://www.boe.es/buscar/doc.php?id=BOE-T-2001-332.

134. El TC indica que “(…) la empresa colocó el correspondiente distintivo en el escaparate de la tienda donde prestaba sus servicios la recurrente en amparo, por lo que ésta podía conocer la existencia de las cámaras y la finalidad para la que habían sido instaladas. Se ha cumplido en este caso con la obligación de información previa pues basta a estos efectos con el cumplimiento de los requisitos específicos de información a través del distintivo, de acuerdo con la Instrucción 1/2006. El trabajador conocía que en la empresa se había instalado un sistema de control por videovigilancia, sin que haya que especificar, más allá de la mera vigilancia, la finalidad exacta que se le ha asignado a ese control. Lo importante será determinar si el dato obtenido se ha utilizado para la finalidad de control de la relación laboral o para una finalidad ajena al cumplimiento del contrato, porque sólo si la finalidad del tratamiento de datos no guarda relación directa con el mantenimiento, desarrollo o control de la relación contractual el empresario estaría obligado a solicitar el consentimiento de los trabajadores afectados. En este caso, el sistema de videovigilancia captó la apropiación de efectivo de la caja de la tienda por parte de la recurrente que por este motivo fue despedida disciplinariamente. Por tanto, el dato recogido fue utilizado para el control de la relación laboral. No hay que olvidar que las cámaras fueron instaladas por la empresa ante las sospechas de que algún trabajador de la tienda se estaba apropiando de dinero de la caja (…) la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad (…) el razonamiento contenido en las Sentencias recurridas se desprende que, en el caso que nos ocupa, la medida de instalación de cámaras de seguridad que controlaban la zona de caja donde la demandante de amparo desempeñaba su actividad laboral era una medida justificada (ya que existían razonables sospechas de que alguno de los trabajadores que prestaban servicios en dicha caja se estaba apropiando de dinero); idónea para la finalidad pretendida por la empresa (verificar si algunos de los trabajadores cometía efectivamente las irregularidades sospechadas y en tal caso adoptar las medidas disciplinarias correspondientes); necesaria (ya que la grabación serviría de prueba de tales irregularidades); y equilibrada (pues la grabación de imágenes se limitó a la zona de la caja), por lo que debe descartarse que se haya producido lesión alguna del derecho a la intimidad personal consagrado en el artículo 18.1 CE (…)”.

135. Sentencia del TC disponible en la dirección: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2016-3405.

136. Disponible en la dirección: https://www.poderjudicial.es/search/contenidos.action?action=contentpdf&databasematch=TS&reference=7950854&links=%223331%2F2015%22&optimize=20170306&publicinterface=true.

137. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/4170f14988258ec0/20170303.

138. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/0a3103af008a74e2/20190220.

139. Sentencia del TC disponible en la dirección: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2016-3405.

140. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/0a3103af008a74e2/20190220.

141. Disponible en https://www.poderjudicial.es/search/indexAN.jsp.

142. Recuerda la STSJ de Asturias que “el régimen general es el de recabar la previa información expresa de la persona trabajadora cuando por parte de la empresa se van a adoptar medidas de comprobación de la prestación laboral a través de la grabación de imágenes. Esa exigencia se ve relevada en los casos de comisión de actos ilícitos, siendo suficiente entonces con la colocación de un dispositivo informativo en lugar suficientemente visible, extremo que no se cumple en el presente caso pues en el centro de trabajo no se había colocado cartel informativo alguno. Nos encontramos entonces con dos deberes de información que afectan al empresario/a en estos casos, el citado primeramente que le obliga a dar información previa, expresa, clara y concisa a las personas trabajadoras respecto de la utilización de sistemas de videovigilancia (…) deber que podría ceder cuando existieran sospechas razonadas y fundadas de la comisión de actos ilícitos en el seno de la empresa por parte de quienes trabajan en ella; y un segundo deber que opera siempre y en todo caso de colocar un dispositivo informativo en lugar suficientemente visible, que no cede ni ante la comisión de actos ilícitos tal como prevé expresamente el segundo párrafo del apartado 1 del artículo 89 LOPD. En definitiva, la empresa, ante hechos de especial gravedad, puede no informar, pero siempre que haya advertido previamente con la colocación del cartel informativo”.

143. Resolución (en francés) disponible en la dirección: https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038629823.

144. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/ebf5e87a501dafda/20150306.

145. “(…) No obstante, hay que insistir en que esa doctrina se articula sobre un supuesto concreto que es el de la instalación del sistema de grabación con carácter preventivo y anterior a cualquier incumplimiento laboral. Pero el supuesto que ahora examinamos es muy diferente, pues se trata de una grabación episódica y de breve duración que se realiza porque ya existían sospechas fundadas de que la falta de prendas y otros objetos del establecimiento mercantil que se venía observando en el cómputo obedecía a su sustracción por algún trabajador. Partiendo de esta circunstancia sería absurdo exigir a la empresa una comunicación a los trabajadores de la instalación de unas cámaras de grabación advirtiéndoles ‘en qué casos las grabaciones podían ser examinadas, durante cuánto tiempo y con qué propósitos, explicitando muy particularmente que podían utilizarse para la imposición de sanciones disciplinarias por incumplimientos del contrato de trabajo’, así como la colocación de carteles de publicidad, pues de esta forma se arruinaría con toda seguridad la finalidad buscada. Por ello, hay que considerar admisible la sustitución de la información a los trabajadores por la efectuada al presidente del comité de empresa (no al comité, teniendo en cuenta que uno de los afectados, precisamente el trabajador despedido, era miembro del comité) que se relaciona con la competencia de ese órgano respecto a ‘la implantación y revisión de sistemas de organización y control del trabajo’ establecida en el artículo 64.5.f) del ET (…)”.

146. Disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/4170.

147. Resolución disponible en la dirección: https://www.aepd.es/es/documento/ps-00067-2020.pdf.

148. La propia AEPD ha reconocido que pueden existir casos excepcionales como el de los teleoperadores online.

149. La supresión de los sonidos conservados por estos sistemas de grabación se realizará atendiendo a lo dispuesto en el apartado 3 del artículo 22 de la LOPDGDD, es decir, serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las grabaciones deberán ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.

150. Sentencia disponible en la dirección: https://www.boe.es/diario_boe/txt.php?id=BOE-T-2000-9223.

151. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/openCDocument/f9caf3b37c843044a0bb78e44820713e37b043f962d01222.

152. Como hechos probados, según la Sentencia, “la grabación se realizó en la vía pública, a la entrada de una empresa, y en ella se recoge una conversación entre un empleador y una empleada en la que el primero entrega una carta de despido o de sanción a la segunda y la invita a que se vaya. Existía lo que la Audiencia califica como ‘situación compleja en la relación laboral entre la demandada y la empresa de la que el actor es su representante legal’, y en este contexto, cuando la demandada llegó a su trabajo, al comprobar la presencia del vehículo del demandante, activó la grabadora de su teléfono móvil, y cuando se acercó a la puerta del lugar de trabajo y sin entrar en él, el demandante salió y se produjo una conversación entre ambos relacionada con su situación laboral y una carta de despido o sanción, solicitando el demandante a la demandada la entrega de las llaves de la oficina, y solicitando la demandada sus pertenencias. La conversación grabada no contenía referencias a la vida personal o familiar ni profesional, y no ha sido difundida, ni siquiera llegó a ser utilizada en el proceso laboral en el que se propuso como prueba”.

153. Fundamento jurídico 3.° (…) debe decidirse si la conversación grabada afectaba a la esfera de la intimidad personal del demandante, requisito necesario para que se haya producido una vulneración de la intimidad. Para responder a esta cuestión hemos de acudir a la doctrina del Tribunal Constitucional, que en su STC 170/2013, de 7 de octubre declara lo siguiente: “según reiterada jurisprudencia constitucional, el derecho a la intimidad personal, en cuanto derivación de la dignidad de la persona (artículo 10.1 CE), ‘implica la existencia de un ámbito propio y reservado frente a la acción y el conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana’. A fin de preservar ese espacio reservado, este derecho ‘confiere a la persona el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera íntima y la prohibición de hacer uso de lo así conocido’. Así pues, ‘lo que garantiza el artículo 18.1 CE es el secreto sobre nuestra propia esfera de vida personal, excluyendo que sean los terceros, particulares o poderes públicos, los que delimiten los contornos de nuestra vida privada’ (STC 159/2009, de 29 de junio, FJ 3; o SSTC 185/2002, de 14 de octubre, FJ 3; y 93/2013, de 23 de abril, FJ 8). En cuanto a la delimitación de ese ámbito reservado, hemos precisado que la ‘esfera de la intimidad personal está en relación con la acotación que de la misma realice su titular, habiendo reiterado este Tribunal que cada persona puede reservarse un espacio resguardado de la curiosidad ajena’; en consecuencia ‘corresponde a cada persona acotar el ámbito de intimidad personal y familiar que reserva al conocimiento ajeno’ (STC 241/2012, de 17 de diciembre EDJ 2012/305655, FJ 3), de tal manera que ‘el consentimiento eficaz del sujeto particular permitirá la inmisión en su derecho a la intimidad’ (STC 173/2011, de 7 de noviembre EDJ, FJ 2). Asimismo, también hemos declarado que la intimidad protegida por el artículo 18.1 CE no se reduce a la que se desarrolla en un ámbito doméstico o privado; existen también otros ámbitos, en particular el relacionado con el trabajo o la profesión, en que se generan relaciones interpersonales, vínculos o actuaciones que pueden constituir manifestación de la vida privada (STC 12/2012, de 30 de enero, FJ 5). Por ello expresamente hemos afirmado que el derecho a la intimidad es aplicable al ámbito de las relaciones laborales (SSTC 98/2000, de 10 de abril, FFJJ 6 a 9; y 186/2000, de 10 de julio, FJ 5)”.

154. La cuestión de la geolocalización fue objeto de estudio por parte de la AEPD, en su Informe Jurídico 0613/2009.

155. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/aa479d9f203c8b59/20070510.

156. Tal y como refiere el propio artículo 90 LOPDGDD. Por su parte, el artículo 2 de la Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, y el artículo 64.b) del Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, definen los datos de localización como “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público”.

157. De este modo, tal y como señala la AEPD en el Informe 0613/2009, si dicha finalidad pudiera ser conseguida por la realización de una actividad distinta al citado tratamiento, sin que dicha finalidad sea alterada o perjudicada, debería optarse por esa última actividad, dado que el tratamiento de los datos de carácter personal supone una limitación del derecho de la persona a disponer de la información referida a sí misma, tal y como consagra la STC 292/2000, de 30 de noviembre.

158. Aunque no sea necesario contar con el consentimiento del interesado, no se excluye el cumplimiento del derecho de información del artículo 13 RGPD. De esta forma, con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente, deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión. Del mismo modo, se debe informar a los representantes de los trabajadores de las políticas adoptadas en esta materia.

159. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/85ff441c84b7c469/20150331.

160. A este respecto señala la citada resolución que “(…) doctrina la indicada de la que se infiere, como cuestión básica y fundamental, a los efectos del posible uso por parte del empresario de mecanismos de vigilancia y control de sus trabajadores que puedan incidir en una posible restricción de un derecho fundamental de estos, y en concreto del contemplado en el artículo 18.4 de la CE, la necesaria y suficiente información a dichos trabajadores de su instalación, y de la finalidad que con la misma se persigue. Exigencia que, por lo que se refiere al caso examinado se cumplió, siendo ello una cuestión que se declara expresamente acreditada en los hechos probados de la sentencia impugnada, según los cuales el actor tenía conocimiento de que en el vehículo de la empresa que usaba para realizar su trabajo se había instalado un GPS, además, el propio actor suscribió un documento sobre tratamiento de datos, en los que prestaba su expresa conformidad, y siendo ello así deberá concluirse en la ausencia de las vulneraciones legales denunciadas, siendo legítimo el uso por parte de la empresa de los datos suministrados por el aludido sistema de vigilancia, evidenciadores de que el actor incumplió sus obligaciones laborales en los términos recogidos en la carta de despido, cuya certeza no ha sido puesta en duda (…)”.

161. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/740c240db4a4935e/20190821.

162. Señala la STSJ que “el empresario tenía un control exhaustivo de la localización del vehículo del que disponía el actor las 24 horas del día, todos los días del año y si tenía este conocimiento de la localización del vehículo lógicamente lo tenía también de su conductor. Lo que indudablemente es una invasión de su vida privada para la que no está facultado. Y si lo ha hecho sin advertirle de la colocación del GPS en el vehículo es de aplicación el aforismo legal ‘el alma del fraude es la ocultación’. Esta ocultación indica es causa de una conducta fraudulenta por parte del empresario; y si a ello se añade que el demandante es delegado sindical de UGT en la empresa, sus circunstancias personales privadas se extienden a su condición sindical. De lo que se deriva que la irregular conducta del empresario no sólo violaría el derecho fundamental básico del actor a su intimidad que el Estatuto de los Trabajadores le reconoce artículos 4.2 e); 18 y 19; sino también su derecho a la libertad sindical regulada en la Ley Orgánica de Libertad Sindical. En conclusión, el demandante se ha visto afectado con ello en su intimidad personal y a la libertad sindical como acertadamente se dice en el fallo de la sentencia de la instancia y lógicamente debe ser reconocida esa situación reiterando lo que le ha causado a su vez un daño moral que debe serle indemnizado”.

163. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/53173429cc2cbdd2/20171221.

164. Resolución disponible en la dirección https://www.aepd.es/es/documento/aapp-00040-2012.pdf.

165. Resolución disponible en la dirección https://www.aepd.es/es/documento/ps-00558-2013.pdf.

166. Resolución disponible en la dirección: https://www.aepd.es/es/documento/ps-00124-2019.pdf.

167. Sentencia disponible en la dirección https://www.poderjudicial.es/search/openDocument/8adba1406c95ebc3.

168. Advertimos que los hechos ocurrieron bajo la vigencia de la derogada Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos personales, por lo que no se ha tenido en cuenta los criterios normativos del artículo 90 LOPDGDD.

169. Sentencia accesible en la dirección: https://www.poderjudicial.es/search/documento/TS/9430737/garantias%20sociales/20210301.

170. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/8ed60e51766c4e3e/20190219.

171. Denominado “Proyecto Tracker” de Telepizza.

172. “Refiere el TS que (…) esto es, el test de idoneidad, desde la perspectiva de los derechos fundamentales, que es a lo que se refiere la sentencia recurrida, no es el que ha impedido superar el juicio de proporcionalidad sino el test de necesidad, en el sentido de que el medio o instrumento al que ha acudido la empresa para obtener aquel objetivo no es adecuado por existir otros medios menos invasivos y, en este extremo, la recurrente no ha desvirtuado lo que al respecto señala la Sala de instancia, al indicar que existen otros instrumentos que, siendo adecuados para cubrir la finalidad que persigue la empresa, resultan ser no invasivos de aquellos derechos constitucionalmente protegidos”.

173. “Señala la STS que (…) es cierto que empresa y trabajador pueden pactar las condiciones que estimen oportunas, que puedan afectar a las herramientas necesarias para el desarrollo de la actividad empresarial, pero aquí no se está analizando un pacto sino un proyecto implantado unilateralmente por la empresa del que, además de no haberse informado debidamente a la representación legal de los trabajadores, estos discrepan del mismo porque, junto a lo anterior, llega a establecer causas de suspensión y extinción vinculadas a conductas del trabajador al margen de las exigencias legales que deben seguirse a tal efecto”.

174. Dice el TS que “ni tampoco estamos ante una situación equiparable a la aportación de motocicleta propiedad del trabajador porque, insistimos y al margen de que ese instrumento no está en su configuración y herramienta de trabajo vinculado a datos personales, se trata de fijar si la medida adoptada no conculca los derechos fundamentales de los trabajadores”.

175. Las medidas de seguridad deben resultar adecuadas y proporcionadas al riesgo detectado, señalando que la determinación de las medidas técnicas y organizativas deberá realizarse teniendo en cuenta: la seudonimización y el cifrado, la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la capacidad para restaurar la disponibilidad y acceso a datos tras un incidente, proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas.

176. Siempre que en una brecha se vean afectados datos de carácter personal de personas físicas se debería comunicarlo a la AEPD y, además, hacerlo en un plazo máximo de 72 horas a contar desde que se tenga conocimiento de la brecha.

177. Resolución disponible en la dirección: https://www.aepd.es/es/documento/ps-00389-2019.pdf.

178. El derecho a la desconexión digital se regula en el artículo 88 de la LOPDGDD; en la Disposición final decimotercera de la LOPDGDD que modifica el artículo 20 bis del ET; y la Disposición final decimocuarta de la LOPDGDD que regula un nuevo precepto, el artículo 14. j bis, de la Ley del Estatuto Básico del Empleado Público (EBEP). Igualmente, en el artículo 18 del Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia.

179. Señala la referida Sentencia: “(…) los trabajadores están obligados a llevar el acelerómetro; lo tienen que llevar siempre, incluso fuera de la jornada laboral, porque lo tienen que poner a cargar en sus casas; no se puede desconectar, sino que se tiene que hacer con una aplicación de la que no tienen conocimiento los trabajadores; lo que sí se puede es desconectar el sonido (…). Se genera una situación de riesgo psicosocial (estrés) pues la circunstancia de que utilice la empresa un aparato de última tecnología para controlar el trabajo no puede tener la consecuencia de que fuera de la jornada laboral, tengan incluso que en su domicilio familiar haya de continuar en una situación in vigilando del citado dispositivo para que esté en condiciones óptimas para su buen funcionamiento en la jornada laboral”.

180. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/a5f70c68553d20ae/20151016.

181. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/ea15cd5fa4a7dbf3/20160218.

182. Que los medios tecnológicos puestos a disposición de los trabajadores pueden ser fiscalizados por parte del empleador, con el fin de verificar su correcto uso dentro del ámbito de la buena fe del trabajador es algo que, aunque pudiera parecer sencillo, no es en absoluto pacífico en la práctica, a la vista de la extensísima jurisprudencia de nuestros Tribunales y del Tribunal Europeo de Derechos Humanos (TEDH).

183. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/a5c9294e9422cea2/20071018.

184. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/ee61bf654b87b62d/20110407.

185. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/2887ee6c90c079a8/20120118.

186. Los criterios jurisprudenciales objeto de este epígrafe han de quedar restringidos al ámbito de la Jurisdicción laboral, no extendiéndose a la penal, tal y como destaca la STS, de 16 de junio de 2014.

187. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/a5c9294e9422cea2/20071018.

188. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/23946ac5eee83a7a/20080529.

189. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/caec97ebe1e1545f/20180305.

190. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/28cf513643bddae0/20090827.

191. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/a5c9294e9422cea2/20071018.

192. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/2ed3213168a037a1/20100128.

193. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/ee61bf654b87b62d/20110407.

194. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/2887ee6c90c079a8/20120118.

195. Sentencia disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/23200.

196. Sentencia disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/23001.

197. Sentencia del TC disponible en la dirección: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/4170.

198. Así se ha manifestado por el Tribunal Europeo de Derechos Humanos (Sentencia de 25 de junio de 1997 caso Halford c. Reino Unido, y 16 de febrero de 2000, caso Amann c. Suiza), donde se consideró que las llamadas telefónicas que proceden de locales profesionales pueden incluirse en los conceptos de “vida privada” y “correspondencia”, al igual que los correos electrónicos remitidos desde el lugar de trabajo y la información derivada del seguimiento del uso personal de Internet.

199. Disponible en la dirección: http://hj.tribunalconstitucional.es/HJ/es/Resolucion/Show/23284.

200. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/a5c9294e9422cea2/20071018.

201. Disponible en la dirección: http://hj.tribunalconstitucional.es/HJ/es/Resolucion/Show/23284.

202. Disponible en la dirección: http://hj.tribunalconstitucional.es/es/Resolucion/Show/23616.

203. El Fundamento Jurídico Cuarto de esta Sentencia señala que “… en tales circunstancias (…) cabe entender también en el presente supuesto que no podía existir una expectativa fundada y razonable de confidencialidad respecto al conocimiento de las comunicaciones mantenidas por el trabajador a través de la cuenta de correo proporcionada por la empresa y que habían quedado registradas en el ordenador de propiedad empresarial. La expresa prohibición convencional del uso extralaboral del correo electrónico y su consiguiente limitación a fines profesionales llevaba implícita la facultad de la empresa de controlar su utilización, al objeto de verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, incluida la adecuación de su prestación a las exigencias de la buena fe (…) tampoco apreciamos que el acceso por la empresa al contenido de los correos electrónicos objeto de la controversia haya resultado excesivo o desproporcionado para la satisfacción de los indicados objetivos e intereses empresariales (…) no consta en las actuaciones que el contenido de estos mensajes refleje aspectos específicos de la vida personal y familiar del trabajador, sino únicamente información relativa a la actividad empresarial…”.

204. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openCDocument/cac2ec927df2ac24a0bb78e44820713e35038df6f53826db.

205. Argumenta el Supremo, que “(…) el texto constitucional es claro y tajante cuando afirma categóricamente que se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. No contempla, por tanto, ninguna posibilidad ni supuesto, ni acerca de la titularidad de la herramienta comunicativa (ordenador, teléfono, etc. propiedad de tercero ajeno al comunicante), ni del carácter del tiempo en el que se utiliza (jornada laboral) ni, tan siquiera, de la naturaleza del cauce empleado (‘correo corporativo’), para excepcionar la necesaria e imprescindible reserva jurisdiccional en la autorización de la injerencia (…) por consiguiente, bien claro ha de quedar que en el ámbito del procedimiento penal, (…) para que pueda otorgarse valor y eficacia probatoria al resultado de la prueba consistente en la intervención de las comunicaciones protegidas por el derecho consagrado en el artículo 18.3 de la Constitución, resultará siempre necesaria la autorización e intervención judicial, en los términos y con los requisitos y contenidos que tan ampliamente se han venido elaborando en multitud de Resoluciones por esta Sala, a partir del importante Auto de 18 de Junio de 1992 (caso ‘Naseiro’), cualquiera que fueren las circunstancias o personas, funcionarios policiales, empresarios, etc., que tales injerencias lleven a cabo. Lo que por otra parte (…) operará tan sólo respecto a lo que estrictamente constituye ese ‘secreto de las comunicaciones’, es decir, con exclusión de los denominados ‘datos de tráfico’ o incluso de la posible utilización del equipo informático para acceder a otros servicios de la red como páginas web, etc., de los mensajes que, una vez recibidos y abiertos por su destinatario, no forman ya parte de la comunicación propiamente dicha, respecto de los que rigen normas diferentes como las relativas a la protección y conservación de datos (…) o a la intimidad documental en sentido genérico y sin la exigencia absoluta de la intervención judicial (…)” Por otro lado, la Sentencia se refiere a la imposibilidad de que pueda existir en estos casos, una “tácita renuncia” al derecho que pueda convalidar la ausencia de intervención judicial.

206. Disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/a6bfce4b84e467ca/20170411.

207. Disponible en la dirección: https://www.poderjudicial.es/search/contenidos.action?action=contentpdf&databasematch=TS&reference=8307801&links=%22119%2F2018%22&optimize=20180305&publicinterface=true.

208. Disponible en la dirección: https://www.legaltoday.com/files/File/pdfs/Sentencia-id190106.pdf.

209. Sentencia disponible en la dirección: https://www.poderjudicial.es/search/AN/openDocument/bf7752f0b6d21b41/20181120.

210. Señala la STS: Hito reciente y extremadamente relevante de la jurisprudencia recaída en esta materia viene constituido por STEDH, de 5 de septiembre de 2017 (…) No puede decirse que la sentencia Barbulescu II sea totalmente rupturista con los criterios que han ido cristalizando en nuestra jurisprudencia, someramente reseñada. Pero aporta y concreta al establecer con diáfana claridad parámetros de inexcusable respeto empujando a nuevas modulaciones y matizaciones que ya han aparecido en la jurisprudencia laboral (…). Acudiendo a la clásica técnica, se habla de la insoslayable necesidad de ponderar los bienes en conflicto. De una parte, el interés del empresario en evitar o descubrir conductas desleales o ilícitas del trabajador. Prevalecerá solo si se atiene a ciertos estándares que han venido a conocerse como el test Barbulescu. Se enuncian criterios de ponderación relacionados con la necesidad y utilidad de la medida, la inexistencia de otras vías menos invasivas; la presencia de sospechas fundadas (…) Algunos se configuran como premisas de inexcusable concurrencia. En particular, no cabe un acceso inconsentido al dispositivo de almacenamiento masivo de datos si el trabajador no ha sido advertido de esa posibilidad y/o, además, no ha sido expresamente limitado el empleo de esa herramienta a las tareas exclusivas de sus funciones dentro de la empresa (los usos sociales admiten en algún grado y según los casos, como se ha dicho, el empleo para fines personales, creándose así un terreno abonado para que germine una expectativa fundada de privacidad que no puede ser laminada o pisoteada). (…).

211. “(…) Algunos precedentes alientan la aparición de un derecho vinculado a los mencionados pero con cierta vocación de emanciparse para cobrar autonomía e identidad propias. Partiendo de la plurifuncionalidad de los datos que se almacenan en cualquier ordenador y otros dispositivos asimilables por su capacidad de acumular información vinculada a una persona (smartphone) se conviene en la necesidad de un tratamiento unitario a partir de la proclamación de un derecho al entorno digital. Sería un derecho de nueva generación que serviría para alumbrar y justificar distintos escalones de protección jurisdiccional (…)” “El Legislador con buen criterio ha optado por otorgar un tratamiento unitario a los datos contenidos en los ordenadores y teléfonos móviles, reveladores del perfil personal del investigado, configurando ese derecho constitucional de nueva generación, el derecho a la protección del propio entorno virtual”.

212. Sentencia disponible en la dirección https://www.tribunalconstitucional.es/NotasDePrensaDocumentos/NP_2021_032/2019-6838STC.pdf.

213. SSTEDH de 25 de junio de 1997, caso Halford c. Reino Unido; de 3 de abril de 2007, caso Copland c. Reino Unido y caso Liberty, de 1 de julio de 2008. https://www.mjusticia.gob.es/es/AreaInternacional/TribunalEuropeo/Documents/1292429139374-Trad._Sentencia_COPLAND_c.REINO_UNIDO.pdf.

214. Disponible en la dirección: https://insignis.aranzadidigital.es/maf/app/document?redirect=true&srguid=i0ad82d9a0000017b1ad1b60afcf06a3e&marginal=TEDH/2016/1&docguid=I5d937bb0e02011e588a0010000000000&ds=ARZ_LEGIS_CS&infotype=arz_juris;&spos=1&epos=1&td=1&predefinedRelationshipsType=documentRetrieval&fromTemplate=&suggestScreen=&&selectedNodeName=&selec_mod=false&displayName=.

215. Disponible en la dirección: https://www.legaltoday.com/files/File/pdfs/Sentencia-id190106.pdf.

216. Esta segunda sentencia, es consecuencia de una petición de reenvío por parte del demandante a la Gran Sala del TEDH, siendo esta segunda decisión la definitiva.

217. TEST BARBULESCU: 1) ¿El empleado ha sido informado de la posibilidad de que el empleador tome medidas para supervisar su correspondencia y otras comunicaciones, así como la aplicación de tales medidas? El TEDH considera que, para que las medidas puedan ser consideradas conforme a los requisitos del artículo 8 del CEDH (RCL 1999, 1190, 1572), la advertencia debe ser, en principio, clara en cuanto a la naturaleza de la supervisión y antes del establecimiento de esta. 2)¿Cuál fue el alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada del empleado? A este respecto, debe hacerse una distinción entre el control del flujo de comunicaciones y el de su contenido. También se debería tener en cuenta si la supervisión de las comunicaciones se ha realizado sobre la totalidad o sólo una parte de ellas y si ha sido o no limitado en el tiempo y el número de personas que han tenido acceso a sus resultados. Lo mismo se aplica a los límites espaciales de la vigilancia. 3) ¿El empleador ha presentado argumentos legítimos para justificar la vigilancia de las comunicaciones y el acceso a su contenido? Dado que la vigilancia del contenido de las comunicaciones es por su naturaleza un método mucho más invasivo, requiere justificaciones más fundamentadas; 4) ¿Habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado? A este respecto, es necesario evaluar, en función de las circunstancias particulares de cada caso, si el objetivo perseguido por el empresario puede alcanzarse sin que éste tenga pleno y directo acceso al contenido de las comunicaciones del empleado; 5)¿Cuáles fueron las consecuencias de la supervisión para el empleado afectado? ¿De qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida) ?; 6) ¿Al empleado se le ofrecieron garantías adecuadas, particularmente cuando las medidas de supervisión del empleador tenían carácter intrusivo? En particular, estas garantías debían impedir que el empleador tuviera acceso al contenido de las comunicaciones en cuestión sin que el empleado hubiera sido previamente notificado de tal eventualidad.

218. Disponible en la dirección: https://www.icav.es/bd/archivos/archivo11428.pdf.

219. Disponible en la dirección: https://www.legaltoday.com/files/File/pdfs/Sentencia-id192114.pdf.

220. Disponible en la dirección: https://hudoc.echr.coe.int/eng#{“itemid”:[“001-197098”]}.

221. “(…) aunque no cabe aceptar, con carácter general, que las meras sospechas de (…) delito por las empleadas justifique la instalación de cámaras encubiertas por parte del empleador, la existencia de sospechas razonables de que se ha cometido una infracción grave, que ha comprometido la propiedad con pérdidas de alcance, en el presente caso, puede entenderse que concurre una justificación suficiente”. “Esto es […] más cierto en una situación en la que el buen funcionamiento de una empresa está en riesgo no solo por la sospecha del mal comportamiento de un solo empleado, sino más bien por la sospecha de una acción concertada por parte de varios empleados, ya que esto crea una atmósfera general de desconfianza en el lugar de trabajo”.