Son numerosas las dudas y consultas legales que han surgido recientemente relacionadas con la privacidad por el teletrabajo, la nueva rutina para muchas empresas en esta pandemia dela COVID-19.
Estas cuestiones surgen en el marco de un enorme proceso de transformación digital, donde el teletrabajo ya es parte de la realidad de muchas empresas, en un contexto en que una fuga de información es aún más factible que hace unos meses, además de los peligros de ataques cibernéticos y brechas de seguridad en la información personal.Los abogados Efrén Díaz y Carlos Albareda, del área de Tecnología y Telecomunicaciones del Bufete Mas y Calvet, aclaran algunas de estas dudas.
¿Puede un administrador de sistemas informáticos acceder a información guardada por el trabajador en su ordenador?
Como ha establecido la regulación laboral y de protección de datos en vigor, la empresa no puede acceder a la información analógica ni digital del empleado sin su consentimiento. No obstante, la regulación actual prevé también que la empresa, y sus responsables, podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
En aquellas empresas que cuenten con un delegado de protección de datos, como reconoce el artículo 36 de la de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se garantizará la independencia del delegado de protección de datos dentro de la organización y evitar cualquier conflicto de intereses.
En este sentido y por disposición legal, el delegado de protección de datos en el ejercicio de sus funciones tendrá acceso a los datos personales y procesos de tratamiento. Específicamente la empresa, ya actúe como responsable o encargado del tratamiento, no podrá oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluido el previsto en el artículo 5 de esa ley orgánica.
En la actualidad, dada la situación pandémica que mueve al teletrabajo, los administradores de sistemas han podido tener acceso directo a gran cantidad de información corporativa, incluyendo todos los documentos generados por los usuarios. Si bien la responsabilidad de las tareas que realizan está legitimada, es preciso diferenciar la información corporativa de otros datos y documentos de carácter personal,más ahora si el ordenador utilizado para el trabajo es el ordenador personal.
La utilización fraudulenta u obtención de estos datos personales podrá conllevar algunas de las sanciones establecidas en el Reglamento General de Protección de Datos (RGPD) yen la LOPD. El hecho de ser el administrador de los sistemas informáticos dentro de una empresa conllevará una responsabilidad más elevada que cualquier otro trabajador.
El equilibrio entre el ámbito de intimidad del trabajador y la potestad de dirección y control empresarial se establece mediante el deber básico de confidencialidad y de secreto profesional para el tratamiento de datos personales, así como la responsabilidad de los responsables de tratamiento y encargados de tratamientos respecto al cumplimiento de dichos principios.
En este sentido, es importante tener en cuenta que cualquiera de las medidas que se adopten dentro del ámbito empresarial deben ser puestas en conocimiento del trabajador. Por tanto, una intromisión sin consentimiento en la información generada por un trabajador constituye un tratamiento ilícito de los datos, también de los personales, con la consiguiente responsabilidad y las previsibles sanciones administrativas. Todo ello sin olvidar la posible responsabilidad penal que lleve aparejada dicha acción en el ámbito del delito de revelación de secretos.
¿Está protegida la información que el usuario tiene en sus carpetas privadas? ¿Tienen los trabajadores o usuarios asegurada la privacidad de lo que guardan en sus ordenadores?
Desde la perspectiva de los trabajadores y usuarios, sí existe el derecho a la intimidad en el entorno laboral, donde nuevamente es clara la regulación vigente contenida en la citada LOPDGDD y en el Estatuto de los Trabajadores.
En efecto, según establece el artículo 87 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, el empleado tiene derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral. De este modo, los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.
De igual modo, el Estatuto de los Trabajadores, en el art. 20 dispone que el empresario podrá adoptar las medidas más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, pero la consideración debida a su dignidad se ha de aplicar en la adopción y aplicación de tales medidas.
Ambos preceptos son directamente aplicables a los administradores de sistemas informáticos, pues el contenido jurídico de ambos preceptos determina que el administrador de sistemas y el empleador podrán acceder a aquella información que por razones de su desempeño profesional estén facultados. A la hora de recopilar o acceder a datos de los dispositivos de los trabajadores, al menos se deberán tener en cuenta estos tres requisitos:
- Necesidad o licitud: Los datos han de ser tratados siempre que sean imprescindibles para el desempeño de las funciones laborales o de supervisión y vigilancia, para el caso de los empleadores.
- Minimización de datos: La recopilación de datos debe ser proporcionada y siempre en concordancia con la actividad laboral que se realice.
- Claridad y transparencia: Los datos deberán ser tratados con fines determinados, explícitos y legítimos, no siendo tratados ulteriormente de manera incompatible con dichos fines.
En conclusión, la empresa debe guardar un equilibrio proporcionado entre los derechos de intimidad y privacidad de sus empleados en el ámbito del trabajo, así como entre las potestades directivas y de control en el acceso y uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de sus obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.