Hola a tod@s!
Hay dos cosas que nunca me han gustado: la primera es postear a golpe de titular y la segunda es legislar a golpe de titular. En relación a la primera, si pasas por aquí alguna vez, verás que no suelo hacer caso de los intereses mediáticos a la hora de hacer mis entradas; creo que sólo lo he hecho una vez y fue con el tema del #Safeharbourazo. El motivo de saltarme mi propia regla entonces era que me parecía que nos estábamos centrando en la púa que se les hacía a las empresas con semejante decisión, pero pocos se paraban en ver el verdadero quid de la cuestión, tal y como intenté explicar en mi entrada. Creo que sobre la segunda cosa que no me gusta, no hace falta que me explique..
Esta vez he decidido volver a saltarme mis propias reglas ( soy así de rebelde) y es por una cuestión de mera utilidad: desde que saltó la noticia así, alegremente de que "tu empresa puede ver tu mail, y tu Whatsapp y si te descuidas tu árbol genealógico" he recibido no pocos Whatsapps de gente preocupada por el tema. Escribiendo este post me ahorraré dar explicaciones y podré, directamente, pegar un link y olvidarme del tema. Y aquí paz y después gloria. Así que sólo por ahorrar tiempo, merece la pena declararme insumisa temporal de mis propias normas. ;-)
Vamos al "suceso" desde la propia Sentencia, que podéis consultar aquí (está en inglés, aviso):
- Chico trabaja en empresa.
- Empresa le dice a chico que se abra una cuenta en Yahoo Messenger para responder a las cuestiones que le planteaban los clientes.
- Empresa accede a sus registros de actividad y ve que chico, además de responder dudas, también hablaba con su churry usando la aplicación.
- Empresa despide a chico.
- Chico se cabrea y demanda.
- El juzgado no le da la razón y le dice que el acceso a sus comunicaciones era la única forma de que la empresa pudiera verificar si se estaban cumpliendo las reglas. (Uy, esto me suena).
- Chico se vuelve a cabrear y va a Estrasburgo. Alude que se ha vulnerado este artículo de la Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data:
"Article 8 – Additional safeguards for the data subject
“Any person shall be enabled:
(a) to establish the existence of an automated personal data file, its main purposes,
as well as the identity and habitual residence or principal place of business of the
controller of the file;
(b) to obtain at reasonable intervals and without excessive delay or expense
confirmation of whether personal data relating to him are stored in the automated
data file as well as communication to him of such data in an intelligible form (..).
- El chico trabaja en la empresa desde el 1 de agosto de 2004 hasta el 6 de agosto de 2007. El 13 de julio de 2007 es cuando la empresa le indica que ha monitorizado su actividad en la app desde el 5 de julio de 2007 hasta el 13 del mismo mes y del mismo año.
"(...) On 13 July 2007 the employer informed the applicant that his Yahoo
Messenger communications had been monitored from 5 to 13 July 2007 and
that the records showed that he had used the Internet for personal purposes,
contrary to internal regulations(...)".
- La justificación de la empresa para el despido es que el chico se había saltado a la torera las "reglas internas" de uso de dispositivos y medios de la empresa, en las que taxativamente se prohíbe hacer uso personal de los mismos.
- El chico alega que la empresa también ha accedido a su cuenta personal (diferente de la corporativa) y que incluso sus colegas han comentado el contenido de sus comunicaciones, aunque éstas comunicaciones no contenían información "íntima":
" (...)The applicant also complained that his employer had also accessed
his personal Yahoo Messenger account, which had a different ID from the
one he had registered for professional purposes. Moreover, the transcript of
his communications had been made available to his colleagues who had
discussed it publicly (...)".
" (...)The transcript also contained five short messages
that the applicant had exchanged with his fiancée on 12 July 2007 using a
personal Yahoo Messenger account; these messages did not disclose any
intimate information (...)".
- Y ojo a esto: El empleado niega haber tenido noticia previa de la monitorización que estaba haciendo su jefe, argumentando que la prohibición general del uso personal inserta en la normativa "interna" no equivale a un aviso de monitorización.
"(...)He denied having been given proper prior notice of his
employer’s monitoring; he argued that the general prohibition in the
employer’s internal regulations could not have amounted to prior notice of
monitoring. He believed that the notice of 3 July 2007 had been identified
after the facts; he submitted a copy of this notice which however does not
bear the employees’ signatures..(...)"
Al final del post entenderás por qué me escaman estos puntos.
¿Qué dice el TEDH?
Voy a señalar las cosas más interesantes (al menos para mí) de la Sentencia:
- En relación a la monitorización, el TEDH entiende que el empleado tuviera una razonable expectativa de existencia de privacidad de su uso de internet y del email. La cuestión a dirimir es si esta expectativa tenía razón de ser también en relación al uso de Yahoo Messenger, aunque precisa que no hay debate acerca de que las normativas internas de la empresa prohibían estrictamente el uso personal de los equipos:
"(...)In the absence of a warning that one’s calls would be liable to
monitoring, the applicant had a reasonable expectation as to the privacy of
calls made from a work telephone and the
same expectation should apply in relation to an applicant’s e-mail and
Internet usage..(...)"
"(...)The Court must therefore examine whether in the present case the
applicant had a reasonable expectation of privacy when communicating
from the Yahoo Messenger account that he had registered at his employer’s
request. In this connection, it notes that it is not disputed that the applicant’s
employer’s internal regulations strictly prohibited employees from using the
company’s computers and resources for personal purposes...(...)"
- El Tribunal indica que no se le proporcionó para el estudio del caso el aviso firmado por los trabajadores que, en teoría, la empresa les entregó con fecha 3 de Julio de 2007. Además, la copia entregada por el denunciante no está firmada tampoco.
"(...)The Court notes that the Government
did not provide a signed copy of the employer’s notice of 3 July 2007 (see
paragraph 27 above) and that the copy provided by the applicant does not
bear any signatures (see paragraph 33 above)..(...)"
- El TEDH recuerda que los efectos del art. 8, esgrimido por el empleado para llegar hasta aquí, son esencialmente para proteger al individuo de injerencias arbitrarias por el Estado. Pero ojo: no sólo tenemos esta obligación "negativa" de "NO HACER", es que además el Estado está obligado a tomar medidas "positivas", es decir: "DE HACER" para que se cumpla esto; medidas que también implicarán que este obligado respeto y protección no quede en papel mojado cuando las relaciones se llevan a cabo entre individuos.
"(...)The Court reiterates that although the purpose of Article 8 is
essentially to protect an individual against arbitrary interference by the
public authorities, it does not merely compel the State to abstain from such
interference: in addition to this primarily negative undertaking, there may be
positive obligations inherent in an effective respect for private life. These
obligations may involve the adoption of measures designed to secure respect for private life even in the sphere of the relations of individuals between
themselves...(...)"
¿Y ahora qué?
Pues ahora nada. Igual llega tarde este post para aquellos que han llegado al trabajo esta semana y han puesto a disposición de su jefe su móvil para que se lea las interesantes conversaciones que tiene con su churry a horas intempestivas, ya que han visto en la prensa titulares que anuncian vía libre a todos los jefes para convertirse en "revisores" de la vida de sus empleados; pero para ti, que has decidido pasarte a leer este post, aún hay esperanza. Te presento al Informe 0464/2013 de la AEPD (sí: un informe de... ¡2013!). En este informe, la AEPD nos habló del uso de internet y del correo electrónico para fines profesionales. Vamos a ver su interesante contenido:
En este informe, se habla de un anexo al contrato de trabajo que el empleador entrega a sus empleados. En dicho Anexo, nos encontramos con que "se reconoce la propiedad empresarial de
dicho correo (el correo empresarial) y que el mismo será destinado “para fines profesionales, si bien
se autoriza al trabajador a que pueda hacer uso de dichas herramientas de
trabajo para fines personales, siempre que el mismo se realice de manera
razonable y conforme al principio de buena fe contractual. Esta cuestión afecta plenamente al futuro acceso que el empleador
pueda hacer respecto de los datos personales de sus trabajadores, tanto los
obtenidos a través de la navegación por Internet como los derivados del uso de
correo electrónico corporativo."
Pues bien, el Informe se remite también a la Sentencia de la
Sala de lo Social, Sección 1ª del Tribunal Supremo de 26 de septiembre de
2007, casación para la unificación de doctrina núm. 966/2006, Ponente Excmo.
Sr. Desdentado Bonete, de la cual, la AEPD destaca lo siguiente (el subrayado y la negrita lo hace la propia AEPD):
"Por ello, lo que
debe hacer la empresa de acuerdo con las exigencias de buena fe es
establecer previamente las reglas de uso de esos medios –con aplicación
de prohibiciones absolutas o parciales– e informar a los trabajadores de que
va existir control y de los medios que han de aplicarse en orden a
comprobar la corrección de los usos, así como de las medidas que han
de adoptarse en su caso para garantizar la efectiva utilización laboral del
medio cuando sea preciso, sin perjuicio de la posible aplicación de otras
medidas de carácter preventivo, como la exclusión de determinadas
conexiones. De esta manera, si el medio se utiliza para usos privados en
contra de estas prohibiciones y con conocimiento de los controles y medidas
aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado
«una expectativa razonable de intimidad» ".
Con esto en la mano, lo que podemos ver claramente es que es VITAL que el empleador se preocupe de "avisar" a sus trabajadores de que existen reglas internas sobre el uso de los medios corporativos, y debe dárselas a conocer. Además, debe avisar de que para verificar que se cumplen estas reglas, va a llevar a cabo acciones de control.
La AEPD no se conforma con mencionar esta Sentencia, sino que se remite a otra de 2013: Sentencia del Tribunal Constitucional, Sala
1ª 170/2013 de 7 de octubre. La diferencia esta vez era que el aviso del empleador estaba recogido expresamente en el Convenio Colectivo (sí, ese documento que pocos trabajadores se molestan en consultar y los legisladores se empeñan en denostar aprovechando el escaso interés que suele haber en él). Pues bien, el Informe que estamos viendo destaca lo siguiente sobre él: "(...) el régimen jurídico aplicable en la empresa
respecto al uso de las herramientas informáticas de su propiedad hacía factible y previsible la posibilidad de que el empresario ejerciera su facultad legal de
vigilancia sobre los correos electrónicos del trabajador, tanto a efectos de
supervisar el correcto cumplimiento de su prestación laboral desarrollada a
través de este instrumento, como a fin de constatar que su utilización se ceñía
a fines estrictamente profesionales y no personales o extralaborales. Tal
circunstancia impedía en este caso abrigar una expectativa razonable de
privacidad que determinara la entrada en la esfera de protección del derecho a
la intimidad, de acuerdo con lo explicado en la ya citada STC 12/2012, FJ 5 (...)".
¿Y esto a que nos lleva?
Pues a tener claro que "una pera es una pera" y "una manzana es una manzana": Una cosa es que el empresario pueda llevar a cabo determinadas actividades para verificar el cumplimiento de las normativas internas sobre el uso de los medios que da al trabajador para que realice sus labores (medidas que, tal y como vemos, han de ser avisadas al trabajador previamente) y otra que el empresario pueda tener vía libre a convertirse en un colaborador de cierto programa de televisión en relación a sus empleados. Todo esto está íntimamente relacionado con lo dispuesto en el art. 20.3 del Estatuto de los Trabajadores:
"El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana.. (...)"
Así que volvamos al inicio con estas conclusiones:
- La Sentencia del TEDH no da vía libre para que nadie vea tu mail, tu Whatsapp o tu árbol genealógico, hay que cumplir unas condiciones para ello e, incluso, cumplir las condiciones no implica vía libre para hacer lo que nos dé la gana.
- En España ya tenemos material sobre estos casos desde hace mucho tiempo. No deja de sorprenderme la rapidez con la que algunos claman por la "penalización de todo" cuando hay un caso mediático: parece que, cuando pasa algo que ocupa las portadas de la prensa, todos pensamos que no hay normas que cubran lo que ha sido noticia. Es como si tuviéramos que estar añadiendo constantemente al Código Penal artículos que recojan modos de matar a alguien: "Con un cuchillo, con un drone (ahora que se llevan tanto), con una pala de playa, con un triángulo de emergencia del coche..". Obviamente esto NO SIGNIFICA que ya esté todo hecho en estos temas; habrá que ir adaptando la normativa a determinadas situaciones, pero consultemos antes el marco existente, no legislemos a golpe de exclusiva.
En definitiva: ¿qué briconsejos puedo dar sobre el tema?
Pues los mismos que debemos aplicar a TODAS nuestras actividades: Sentido Común.
- Para cualquier trabajador, que no confunda el Usufructo con la Propiedad. El hecho de que nuestro Jefe nos proporcione determinados dispositivos para hacer nuestro trabajo no los convierte en cosas de nuestra propiedad. Independientemente de que se nos avise o no de que se va a controlar el uso que damos a estas cosas, es muy recomendable aplicar aquello de "quien evita la ocasión evita el peligro" que decían nuestras madres. ¿En serio es necesario para nosotros utilizar el móvil de empresa para llamar a nuestra casa? Yo creo que hoy en día no: prácticamente todo el mundo dispone a día de hoy de un terminal personal y de un contrato con una compañía telefónica para usarlo. Lo mismo en relación con nuestro PC o mail corporativo. Acceder a nuestra cuenta personal de correo desde los equipos corporativos nos expone a muchos más peligros que las ventajas que reporta, independientemente de que estemos avisados de que se nos va a controlar o no. Y esto incluye el uso de la Red Corporativa (es decir: conectarse al Wifi del trabajo desde nuestro dispositivo personal). Nos podemos encontrar con no pocos rompecabezas, por ejemplo: "Enchufo el móvil de empresa al Wifi del coche que ha alquilado mi empresa para ir a ver a un cliente y me pongo a enviar fotos y datos personales desde ahí a mis amigos". En este caso tendríamos 3 figuras: Nosotros, la empresa de alquiler del coche y la nuestra. ¿Merece la pena meterse en este berenjenal?
- Para los jefes: que estudien bien las situaciones antes de tomar determinadas medidas. Esto entra dentro de la LOPD, de las RRLL y del Sentido Común. Si quiero comprobar que mi trabajador es eficiente, tendré que tomar medidas que me ayuden a ello pero siempre teniendo en cuenta la existencia de derechos que me limitan mis actuaciones. Mi trabajador no es mi hijo, mi labor como jefe no implica que tenga que estar en constante vigilancia sobre si se porta bien o mal y no puedo ejercer una "patria potestad" que no me corresponde. Consultar a un profesional es vital para hacer las cosas bien.
Y hasta aquí llega mi post de hoy, entrada que les dedico a todos los abogados laboralistas que habrán sufrido esta semana ríos de consultas sobre este tema. Mi máxima admiración para todos los que se dedican a esta rama del Derecho tan imprescindible.
Un saludo y hasta la próxima!
Aclaración: La seudonimización viene recogida en el RGPD de la siguiente forma: "tratamiento de datos personales de manera tal que ya no puedan
atribuirse a un interesado sin utilizar información adicional, siempre
que dicha información adicional figure por separado y esté sujeta a
medidas técnicas y organizativas destinadas a garantizar que los datos
personales no se atribuyan a una persona física identificada o
identificable". Para que entiendas esta parrafada, te hablo en cristiano: Ese apodo tan amoroso que usa tu amorsito para llamarte y que solo conocéis vosotros, rollo: "Currupipi". Es imposible saber que Currupipi eres tú a no ser que nos den alguna pista, como que tu amorsito se llama "x". A grosso modo, esa es la idea (a lo cutre, lo sé, no dejes de leer el post por esta memez).
