Control electrónico del funcionario

Control electrónico del funcionario y protección de datos

¿Se puede controlar al personal o no?

A nadie se le escapa, que sea cual sea la norma que escojamos (Estatuto de los Trabajadores, o cualquier norma específica de la Función Pública), constituye un derecho del empleador ejercer su capacidad de control sobre aquel que le preste un servicio (personal laboral, funcionarios de carrera, interinos, sustitutos, etc.). No está de más decir que dicha capacidad de control tendrá por objeto, única y exclusivamente, comprobar que el personal cumple con el cometido contractual encomendado, siendo ilícito todo aquel control destinado a otro fin.

Conclusión inicial: Sí se puede controlar, la cuestión es el cómo y con qué fin.

Cámaras de vídeovigilancia

Para que sea lícito el uso de las mismas, su uso ha de cumplir los siguientes requisitos:

  • caso de almacenarse imágenes (a veces no se hace), inscribir el fichero en la Agencia Española de Protección de Datos

  • comunicar en la inscripción en la Agencia, qué finalidad tiene el uso de las cámaras (en nuestro caso, control laboral, aunque puede ir unido a otros fines, como el de vigilancia de las instalaciones y/o su control de acceso)

  • instalar carteles advirtiendo del uso de las cámaras, indicando en ellos quién es el responsable del fichero, y ante dónde ejercer los derechos

  • no “hacer el pato” indicando en el cartel que nos asisten (como consecuencia de los tan extendidos y burdos copio y pego) los derechos de oposición y de rectificación (con las cámaras no existen tales derechos)

  • Oposición: Decimos que no existe ya que, de lo contrario, llegaríamos a situaciones absurdas (extremo el ejemplo por pedagogía) de que en pleno mundial de fútbol, final del mismo, un espectador, en la final, ejerce su derecho y solicita desactiven todas las cámaras del estadio. Absurdo ¿verdad?

  • Rectificación: Igual de absurdo que el anterior indicar que nos asiste tal derecho, salvo que concluyésemos que, una vez hecha una grabación, requiramos al responsable a fin de que “rectifique” la imagen (cogió nuestro lado malo o no me favorece en nada dicha toma …)

  • Poseer determinados folletos informativos a disposición del solicitante

  • Comunicar al trabajador, o en su caso a sus representantes sindicales, de modo claro, expreso e inequívoco, para qué se usan las cámaras, tiempo de conservación en su caso de las imágenes, o por ejemplo ante quién y cómo ejercer sus derechos.

  • Reflejar todo ello en el correspondiente y obligado documento de seguridad, con todo lo que ello conlleva (sería extenso explicarlo ahora)

  • Por último, el uso de las mismas tendría que estar debidamente justificado, en el sentido de no haber otro medio menos intrusivo que ellas a fin de ejercer el control laboral, y por supuesto, efectuar un uso no excesivo ni que lesionase el derecho a la intimidad o a la dignidad de la persona (cámaras en los aseos, por ejemplo)

Navegación, correos, y Nuevas Tecnologías en general (ámbito laboral)

Eterna parece la discusión acerca de si el empresario puede acceder o no al contenido de los correos electrónicos del trabajador. Hasta la fecha, hay dos posturas:

  • Quienes consideran que sin la autorización del empleado tal acceso sería ilícito, y por tanto nulo como prueba para un despido, por ejemplo, con la agravante de que, en su caso, podría incluso constituir delito (de descubrimiento y revelación de secretos)

  • Quienes interpretan que tal acceso es legítimo, pues entra dentro de las facultades de control del empresario en orden a comprobar el buen, leal y eficiente uso de su infraestructrura por parte del personal contratado.

Para evitar jugar a “la ruleta rusa” a la hora de procederse contra un trabajador (en cuanto a qué postura adoptará el juez), lo prudente es, que antes de que el trabajador inicie su prestación, se le comunique por escrito, entre otras cosas, que su correo corporativo sólo se podrá usar para los fines fijados en su contrato, y que estará disponible su contenido para el empresario. Tampoco estaría de más trasladarle la prohibición de que, con la infraestructura de la empresa, y durante su jornada de trabajo, le estará prohibido usar la misma pàra fines particulares o distintos (podría usar el PC del trabajo para leer su correo personal, no corporativo), advirtiéndosele que, en tal caso, quedaría constancia de su uso (sin accederse a su contenido), en prevención de un eventual aseguramiento de prueba en relación a una eventual acción de despido, disciplinaria, o de otra índole (robo de información reservada, o daños en el sistema, por ejemplo).

Ámbito de la Administración Pública

Aquí la cuestión se complica, pues tendríamos:

  • Recomendaciones internacionales (generalmente aceptadas por España)

  • Normativa interna española (ya en vigor)

Recomendaciones internacionales:

  • El Grupo de Berlín: Nació en la Conferencia Internacional sobre Protección de Datos (1983, Berlín), a propuesta del Länder alemán del mismo nombre. Agrupa no sólo a instituciones públicas (como Agencias de Protección de Datos) sino privadas (empresas, sindicatos, fundaciones, etc.). Analizan los distintos métodos de control (magnéticos, biométricos, vídeovigilancia, electrónicos …). Alerta sobre los riesgos y perjuicios posibles de la aplicación de dichas técnicas en la privacidad del trabajdor, recomendando por ello un uso moderado, a último remedio, proporcionado, informándose siempre de ello a los representantes de los trabajadores, comunicándoles la existencia tanto de su derecho de acceso, como, en su caso, de rectificación.

  • El Grupo de Trabajo del artículo 29: Llamado así por tener su origen en el artículo 29º de la Directiva de Protección de Datos (95/46, aunque llamada a ser sustituida pronto). Lo conforman representantes de las distintas Agencias europeas, el Supervisor Europeo de Proteción de Datos y un representante de la Comisión Europea. Aparte de incidir en los expuesto por el Grupo de Berlín, añade (de conformidad con la Directiva, y como no podía ser menos, y través, por ejemplo, de su Dictamen 8/2001), trae a colación lo que denomina principio de legitimidad, el cual habrá de guiar la implantación de las eventuales medidas tecnológicas de control, de modo y manera que los datos que se recaben (al igual que indica nuestra LOPD) habrán de ser los adecuados, pertinentes y nbo excesivos, poniendo ello en relación con la necesariedad, o no, de su recogida.

  • Documento de Trabajo (del Grupo del Artículo 29, o GT 29), sobre Vigilancia de las Comunicaciones Electrónicas, de 29/5/2002, el cual profundiza un poco más y añade:

  • a) Si es posible, el control del correo electrónico debería limitarse a los datos sobre tráfico de los participantes y a la hora de una comunicación más que al contenido

  • b) En la medida de lo posible, la prevención debería primar sobre la detección

  • c) Al analizar la utilización de Internet por los trabajadores, los empleadores deberían evitar sacar conclusiones precipitadas, dada la facilidad con que pueden visitarse involuntariamente algunos sitios

  • d) Difícil imaginar que pueda justificarse un período de conservación superior a tres meses (no se refiere a documentos en general, sino a los datos de control sobre el trabajador)

  • e) Administradores de Sistema: Enfatiza acerca de su mayor aún obligación de secreto profesional que los trabajadores medios.

En España, personal de las Administraciones Públicas

Digamos que el panorama se endurece, pues la norma llamada Esquema Nacional de Seguridad (Real Decreto 3/2013), dispone, entre otras muchísimas cosas, las siguientes:

  • las Administraciones públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente (artículo 11º1)

  • Todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos. (artículo 14º)

  • se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.” (artículo 23º)

Para terminar, y complicar aún más el panorama, obligada es la mención a que el futuro Reglamento Europeo de Protección de Datos (ojo que no decimos Directiva, sino Reglamento, por lo que una vez aprobada entrará en vigor a los 20 días de su publicación en toda la UE, a diferencia de las Directivas, que suelen dar unos años para su transposición por la ley nacional interna) establece SANCIONES ECONÓMICAS para las Administraciones Públicas que incumplan la normativa de protección de datos (actualmente, en España, la Administración no está sometida a multas, sino a otro tipo de sanciones).

Autor: Javier Hernández Martínez, abogado

Mail: javier@proteccionlegal.com

Web: www.proteccionlegal.com

Tlf.: 678.97.00.64

Se permite su uso y reproducción siempre y cuando se citen: Autor, mail y url, sin modificar su contenido, o en caso de citar parte de él, evitando distorsionar su sentido.

Bajo licencia Creative Commons: