Diego Ramos
Socio responsable del departamento de Propiedad Intelectual y Tecnología de la oficina de Madrid-DLA Piper
Hasta la entrada en vigor de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales («NLOPD»), el acceso a los contenidos generados por los trabajadores usando los dispositivos informáticos puestos a su disposición por el empleador entrañaba importantes riesgos jurídicos y responsabilidad para la empresa y sus directivos. La falta de acuerdo entre los sindicatos, las organizaciones empresariales y los sucesivos gobiernos habían llevado a que, durante décadas, la cuestión quedase sin regulación expresa. Una laguna que se rellenaba mediante los artículos 197 y concordantes del Código Penal, según los cuales el acceso a ficheros y mensajes personales, aunque estuvieran en dispositivos de empresa, era ilegal si no había sido autorizado por el trabajador antes, y por una variada jurisprudencia de las Salas de lo Social y lo Penal del Tribunal Supremo.
Esa situación cambió en diciembre de 2018 al entrar en vigor la NLOPD que regula esa materia de forma específica en su artículo 87 (LA LEY 19303/2018). La nueva norma intenta conseguir un equilibrio entre los intereses de los trabajadores y los de los empresarios. Comienza otorgando al empleador la facultad de acceder a los contenidos generados por sus trabajadores usando los dispositivos informáticos que ha puesto a su disposición y sin exigir el consentimiento de aquéllos. Aunque no se define de forma expresa bajo qué base legitimadora se efectuaría dicho acceso, que es en sí mismo una operación de tratamiento de datos o la implica, es razonable suponer que se trata del cumplimiento del contrato entre las partes (Artículo 6.1.b del Reglamento General de Protección de Datos de la Unión Europea (LA LEY 6637/2016) 2016/679, «RGPD») o del interés legítimo del empleador de acceder a contenidos asociados a las operaciones de la empresa y creados dentro del alcance del contrato de trabajo (Artículo 6.1.f del RGPD (LA LEY 6637/2016)).
Ese otorgamiento es importante por varios motivos. El primero, que deja de hacer depender el acceso a estos contenidos del consentimiento de los trabajadores. Eso es, en el fondo, bueno para todas las partes. Para la empresa porque le permite organizarse para gestionar los contenidos sin depender de la voluntad concreta de cada trabajador, muchas veces imposible de administrar de forma eficaz, sobre todo en plantillas grandes, en función de las inquietudes y condiciones individuales. También para los trabajadores, cuyo consentimiento, como el propio RGPD y el EDPB reconocen, no es con frecuencia libremente otorgado ante el temor a perder el puesto de trabajo o ser sancionado. El segundo, que las infracciones del nuevo régimen legal deberían ser sancionadas con carácter general en vía administrativamente, no penal. Algo lógico si tenemos en cuenta que los dispositivos a los que se accede y los contenidos allí ubicados son en principio, propiedad de la empresa y de naturaleza laboral. Sólo en supuestos muy excepcionales, donde se ven implicados datos evidentemente privados y existe un dolo manifiesto, cabría quizá plantearse un impacto penal. Lo cual no significa que la sanción sea escasa, atendido el importe de las multas que el RGPD (LA LEY 6637/2016) y la NLOPD (LA LEY 19303/2018) prevén.
El empleador debe garantizar el derecho fundamental a la intimidad de los trabajadores y sus restantes derechos fundamentales
En ese punto, el legislador reequilibra la regulación. Para empezar, exige que, en el ejercicio de su derecho de acceso y al regularlo, el empleador garantice el derecho fundamental a la intimidad de los trabajadores y sus restantes derechos fundamentales. Esa primera garantía supone trasladar a este caso concreto las exigencias de razonabilidad, legitimidad y proporcionalidad contenidas en el artículo 5 del RGPD (LA LEY 6637/2016). A partir de ahí, se establecen dos garantías más, como son la necesidad de involucrar a los representantes de los trabajadores en la redacción de las normas internas que deben regular el acceso a los contenidos y la necesidad de informar a los propios trabajadores sobre el detalle de las mismas de forma previa a su implantación. La intervención de los representantes de los trabajadores no supone que éstos puedan imponer sus propios criterios en la versión final de las normas reguladoras internas, ni que puedan vetar la redacción propuesta por la empresa. Sin embargo, el conocimiento previo de las mismas cumple una doble misión cuya importancia no es ni mucho menos menor. De un lado, permite detectar excesos que podrían ser puestos en conocimiento de la autoridad de supervisión. De otro, permite alertar a los trabajadores sobre el alcance de las normas internas de forma que éstos puedan ejercer los derechos y salvaguardas que les otorga el RGPD (LA LEY 6637/2016) y el NLOPD (LA LEY 19303/2018) en caso de no resultar adecuados los tratamientos de datos propuestos.
No acaban ahí las garantías. El acceso no puede producirse con cualquier finalidad. Las normativas internas de la empresa sólo pueden establecerlo para comprobar el cumplimiento de la normativa general o sectorial y la integridad del sistema de información. No es por tanto arbitrario. Adicionalmente, se aclara que existen en el acceso a estos contenidos dos rutas diferenciadas. Si la empresa decide que no se permite ningún uso para fines privados de los medios informáticos de la empresa, ni siquiera moderado, por las características del sistema y de las operaciones de la empresa, el nivel de detalle de la política interna podrá ser menor. Si, por el contrario, se admite el uso para fines privados, aunque sea modesto, de esos medios, se exige un detalle exhaustivo de cómo se producirá ese uso privado, en cuanto a horarios, volúmenes, contenidos y modos y cómo se deben identificar y proteger los contenidos privados por parte de los usuarios.
Aunque el artículo 87 NLOPD (LA LEY 19303/2018) no da ejemplos de cómo deben ser esas normas o políticas internas, la práctica y el espíritu de la norma sugieren que deberán estar redactadas en un lenguaje no técnico, fácilmente comprensible por cualquier persona sin conocimientos legales o informáticos avanzados, y que deben aclarar qué tipos de datos pueden ser accedidos, en que forma y con qué frecuencia, por quiénes, para que finalidades específicas dentro de las admitidas por la ley, por qué motivos y qué destino se dará a los datos obtenidos.
Hasta ahí lo que el artículo 87 NLOPD (LA LEY 19303/2018) proporciona de manera más o menos evidente. Ahora llegan las dudas que plantea. La primera es a qué datos se aplica ese régimen. La norma habla de los «contenidos» que se encontrasen en esos dispositivos. Dando un ejemplo, al texto del mensaje de correo-e que intercambié con un colega está claramente sometido a ese régimen, pero ¿Qué sucede con la existencia del mensaje en sí misma, comprobable en los logs del sistema de correo-e? Caben dos interpretaciones. La primera es sostener que los logs no son contenidos. Tal y como un magistrado, recientemente fallecido, de la Sala de lo Penal del Tribunal Supremo expresaba con un buen ejemplo gráfico, una cosa sería la carta y otra el sobre de la carta. Por lo tanto, el acceso a esos datos asociados al mensaje no sería acceso a contenidos y por tanto la compañía podría acceder libremente a los mismos en la medida en la que lo hubiera informado en su política de privacidad al amparo del artículo 13 RGPD (LA LEY 6637/2016). La otra postura sería sostener que cuestiones como el destinatario y el tema son en el fondo «contenidos» y están dentro del régimen del artículo 87 RGPD (LA LEY 6637/2016). La diferencia es en el fondo, escasa, desde un punto de vista práctico. Habría que informar a los interesados en todo caso y el tratamiento debería cumplir las exigencias del artículo 5 del RGPD (LA LEY 6637/2016).
Otra cuestión interesante es qué sucede con quienes no tienen relación laboral con la empresa pero sí usan sus dispositivos informáticos, como son los becarios o los colaboradores temporales mercantiles. El artículo 87 NLOPD (LA LEY 19303/2018) no los menciona y podría sostenerse que, por lo tanto, se les aplica el régimen previo a 2018. Sin embargo, esa solución no parece demasiado satisfactoria. Se entrega un ordenador de empresa y una cuenta de correo-e a un trabajador ordinario, a un becario y a un colaborador temporal mercantil. Se informa a los tres previamente de las reglas aplicables ¿Por qué exigir autorización previa en los dos últimos casos y sancionar penalmente posibles errores o incumplimientos? Sería mala solución ya que becarios y colaboradores mercantiles pueden estar sometidos incluso a mayor presión psicológica que un trabajador ordinario a la hora de otorgar su consentimiento, ya que su posición es incluso más débil en muchos casos. Es cierto que falta el requisito del control laboral ordinario y de la facultad directiva del empresario, pero no se puede negar que sí se retiene cierta facultad organizativa de la labor de unos y otros y, además, el contexto de medios y contenidos es muy similar si no idéntico. Tampoco parece lógico, por los mismos motivos, aplicarles una protección menor. Es lógico por lo tanto extender analógicamente el mismo régimen a los tres supuestos.
Un caso diferente sería el de los populares esquemas BYOD (Bring Your Own Device / Aporta Tu Propio Dispositivo) en los que determinados sistemas corporativos se ejecutan en un dispositivo propio del trabajador. En ese caso, el régimen del artículo 87 NLOPD (LA LEY 19303/2018) solo sería aplicable en la medida en la que la empresa pueda garantizar que sus derechos de acceso, investigación y en su caso borrado, se circunscriben exclusivamente a una sección aislada e incomunicada del dispositivo ya que, de otra forma, entendemos que se aplicaría a esos accesos el régimen previo a la NLOPD y podrían generarse responsabilidades penales.