Acceso clientes
  • Protección de datos
Redactado por: Redacción Espacio Asesoría
28 de junio de 2021

Difusión de información personal de empleada obtenida de su ordenador

Existe infracción porque se accedió a datos personales de la trabajadora que debieron haber estado especialmente protegidos.

La reclamante prestaba servicios en un Ayuntamiento como funcionaria. El Ayuntamiento incoa un expediente al haber aparecido documentos en el escáner y la impresora que podrían suponer que la reclamante realizara actividades personales o profesionales dentro de la jornada de trabajo, por lo que ordenó al departamento de informática que investigara los documentos del ordenador personal de trabajo para aclarar esos hechos. Los representantes de los trabajadores tampoco fueron advertidos de dicho acceso ni de los documentos aparecidos en el escáner.

Dentro de los documentos copiados del ordenador usado por la reclamante se contiene tanto información profesional como personal, copia de contrato de seguro de vehículo, declaración de hacienda, datos de contratos de préstamo hipotecario, o pago de bienes inmuebles, claves personales, datos bancarios, y de empresas, facturas de empresa de fotografía a nombre de otra persona, listado de cuentas anuales pérdidas y ganancias del ejercicio 2017 de una empresa y documentos sobre una sociedad que se dedica al negocio de la óptica denominada.

La AEPD destaca, siguiendo la jurisprudencia del TS, que entre los límites que deben imponerse a la informática, figura el derecho a la autodeterminación informativa como parte esencial, y este existe también en la ejecución de la prestación laboral, y así reconocen los tribunales que la vinculación con el empleador no supone la inexistencia del derecho a la intimidad.

La utilización de los ordenadores está generalizada en el mundo laboral, correspondiendo a cada empresario, en el ejercicio de sus facultades de autoorganización, dirección y control, fijar las condiciones de uso de los medios informáticos asignados a cada trabajador. En el marco de dichas facultades de dirección y control empresariales es admisible la ordenación y regulación del uso de los medios informáticos de titularidad empresarial por parte del trabajador, así como la facultad empresarial de vigilancia y control del cumplimiento de las obligaciones relativas a la utilización del medio en cuestión, siempre con pleno respeto a los derechos fundamentales.

El interés del empresario en evitar o descubrir conductas desleales o ilícitas del trabajador prevalecerá sólo si se atiene a ciertos estándares que han venido a conocerse como test Barbulescu (relativo al uso del ordenador), derivado de la sentencia de la gran sala del Tribunal Europeo de Derechos Humanos de 5/09/2017 (caso Barbulescu).

Así, la potestad empresarial de vigilancia y control queda sujeta a ciertos límites para que resulte lícito: que se hayan establecido previamente las reglas de uso de los medios informáticos puestos a disposición del trabajador -prohibiciones absolutas o parciales-; que se informe a los trabajadores de que va a existir control de dichos medios; y que igualmente se informe a los trabajadores de los medios de control que van a ser usados para fiscalizar el uso de los medios informáticos.

Y en el presente supuesto en la empresa no existía protocolo ni instrucciones sobre los límites y condiciones de utilización de los ordenadores, ni del escáner, ni tampoco sobre los procedimientos de control de su contenido, ni a nivel profesional laboral, ni a nivel de protección de datos que guardan conexión.

Además, no se indica que la reclamante experimentase una reducción sostenida o permanente de su rendimiento o que existían sospechas fundadas, o de alguna otra forma se diera a entender que podría estar dedicando parte de la jornada a sus asuntos particulares, siendo el motivo de la investigación los documentos almacenados en el escáner.

Por otra parte, tampoco se conoce si estas supuestas labores realizadas por la reclamante para o en las empresas que aparecen en los documentos hallados, se realizaban dentro o fuera del puesto de trabajo, y cabe indicar que la suposición o sospecha podría ser de la mera guarda de los documentos en el ordenador, no cabiendo interpretar que, por el mero hecho de ser hallados en el escáner, luego en el ordenador, conduzcan por sí mismas, a deducir que las supuestas actividades tenían lugar en el horario y desempeño del puesto de trabajo, utilizando dichos medios o era un simple guardado de documentación.

Razona la Agencia que para controlar ese aspecto, el alcance intrusivo sobre la intimidad de la empleada ha superado la razonabilidad de la intromisión, ya que, contando el reclamado con los medios suficientes para realizar la investigación ajustada a los objetivos, podría haber usado una técnica menos agresiva. Así, se han visto alcanzados archivos, documentos personales privados que nada tienen que ver con los motivos , asuntos de salud, de cursos y titulaciones, que se han recogido globalmente sin descarte alguno, con afectación de su intimidad de forma no necesaria.

De todo lo anterior, la AEPD considera que se ha producido un doble tratamiento de datos, puesto que, se ha accedido a datos personales almacenados en carpetas del escáner y del ordenador con el que prestaba servicios. Se accedió a datos personales de la trabajadora que debieron haber estado especialmente protegido, por lo que condena al ayuntamiento por la infracción de los arts.6 y 9 de la LOPD (EDL 2018/128249)).

RESOLUCIÓN AEPD 2 DICIEMBRE DE 2020. EDD 2020/40178

  • Protección de datos

Difusión de información personal de empleada obtenida de su ordenador

Existe infracción porque se accedió a datos personales de la trabajadora que debieron haber estado especialmente protegidos.

28/06/2021
Redactado por: Redacción Espacio Asesoría
0 comentarios