Efrén Díaz y Carlos Albareda

Opinión

¿En qué casos puede la empresa acceder al ordenador del empleado que teletrabaja?

Guardar

Efren-diaz-carlos-albareda-bufete-mas-y-calvet
Efren-diaz-carlos-albareda-bufete-mas-y-calvet

¿Puedeun administrador de sistemas informáticos acceder a información guardada por eltrabajador en su ordenador sin pedir su consentimiento expreso? ¿Está protegidala información que el usuario tiene en sus carpetas privadas? ¿Tienen lostrabajadores o usuarios asegurada la privacidad de lo que guardan en susordenadores?

Estascuestiones surgen en el marco de un enorme proceso de transformación digital,donde el teletrabajo ya es parte de nuestra vida. Debido a la pandemia del Covid-19,nos hemos visto obligados a trasladar nuestro puesto de trabajo al hogar, conlos riesgos que esto conlleva. Hoy, más que nunca, una fuga de información es aúnmás factible que hace unos meses, además de los peligros de ataquescibernéticos y brechas de seguridad en la información personal. Estas seríanlas respuestas a dichas preguntas:

¿Puedeun administrador de sistemas informáticos, por ejercer dicho cargo, acceder ainformación guardada por el trabajador en su ordenador sin pedir consentimientoexpreso?

Comoha establecido la regulación laboral y de protección de datos en vigor, laempresa no puede acceder a la información analógica ni digital del empleado sinsu consentimiento. No obstante, la regulación actual prevé también que laempresa, y sus responsables, podrá acceder a los contenidos derivados del usode medios digitales facilitados a los trabajadores a los solos efectos decontrolar el cumplimiento de las obligaciones laborales o estatutarias y degarantizar la integridad de dichos dispositivos.

Enaquellas empresas que cuenten con un delegado de protección de datos, comoreconoce el artículo 36 de la de la Ley Orgánica 3/2018, de 5 de diciembre, deProtección de Datos Personales y garantía de los derechos digitales (LOPDGDD),se garantizará la independencia del delegado de protección de datos dentro dela organización y evitar cualquier conflicto de intereses.

Eneste sentido y por disposición legal, el delegado de protección de datos en elejercicio de sus funciones tendrá acceso a los datos personales y procesos detratamiento. Específicamente, la empresa, ya actúe como responsable o encargadodel tratamiento, no podrá oponer a este acceso la existencia de cualquier deberde confidencialidad o secreto, incluido el previsto en el artículo 5 de esa leyorgánica.

Enla actualidad y dada la situación pandémica que mueve al teletrabajo, esta coyunturase ha podido aprovechar por los administradores de sistemas para tener acceso directoa gran cantidad de información corporativa, incluyendo todos los documentosgenerados por los usuarios. Si bien la responsabilidad de las tareas querealizan está legitimada, es preciso diferenciar la información corporativa deotros datos y documentos de carácter personal, más ahora si el ordenador utilizadopara el trabajo es nuestro ordenador personal.

Lautilización fraudulenta u obtención de estos datos personales podrá conllevaralgunas de las sanciones establecidas en el Reglamento General de Protección deDatos y en la LOPD. El hecho de ser el administrador de los sistemasinformáticos dentro de una empresa conllevará una responsabilidad más elevada quela de cualquier otro trabajador.

Esteejemplo es igualmente aplicable a las responsabilidades de los empresarios ensu labor de vigilancia y control del trabajo efectivo de sus trabajadores. Deeste modo, un aprovechamiento fraudulento de su posición laboral conllevará lasmismas o más agravadas responsabilidades, con la correspondiente sanciónadministrativa.

Comohemos adelantado, la norma que afecta a las cuestiones planteadas se resuelveen gran medida en virtud del deber de confidencialidad reconocido en elartículo 5 de la citada Ley Orgánica de Protección de Datos Personales ygarantía de los derechos digitales. En este precepto se prioriza la defensa delos datos del trabajador frente a la posible injerencia de los intereses empresariales,donde no todo vale.

Elequilibrio entre el ámbito de intimidad del trabajador y la potestad dedirección y control empresarial se establece mediante el deber básico deconfidencialidad y de secreto profesional para el tratamiento de datospersonales, así como la responsabilidad de los responsables y encargados detratamientos respecto al cumplimiento de dichos principios.

Eneste sentido, es importante tener en cuenta que cualquiera de las medidas quese adopten dentro del ámbito empresarial deberán ser puestas en conocimientodel trabajador. Por tanto, una intromisión sin consentimiento en la informacióngenerada por un trabajador constituye un tratamiento ilícito de los datos,también de los personales, con la consiguiente responsabilidad y lasprevisibles sanciones administrativas. Todo ello sin olvidar la posibleresponsabilidad penal que lleve aparejada dicha acción en el ámbito del delitode revelación de secretos.

¿Estáprotegida la información que el usuario tiene en sus carpetas privadas? ¿Tienenlos trabajadores o usuarios asegurada la privacidad de lo que guardan en susordenadores?

Desdela perspectiva de los trabajadores y usuarios, sí existe el derecho a la intimidaden el entorno laboral, donde nuevamente es clara la regulación vigentecontenida en la citada LOPDGDD y en el Estatuto de los trabajadores.

Enefecto, según establece el artículo 87 de la Ley Orgánica de Protección deDatos Personales y garantía de los derechos digitales, el empleado tiene derechoa la intimidad y uso de dispositivos digitales en el ámbito laboral. De estemodo, los trabajadores y los empleados públicos tendrán derecho a la protecciónde su intimidad en el uso de los dispositivos digitales puestos a sudisposición por su empleador.

Deigual modo, el Estatuto de los trabajadores, en el art. 20, dispone que el empresariopodrá adoptar las medidas más oportunas de vigilancia y control para verificarel cumplimiento por el trabajador de sus obligaciones y deberes laborales, perola consideración debida a su dignidad se ha de aplicar en la adopción yaplicación de tales medidas.

Ambospreceptos son directamente aplicables a los administradores de sistemasinformáticos, pues el contenido jurídico de ambos preceptos determina que el administradorde sistemas y el empleador podrán acceder a aquella información que por razonesde su desempeño profesional estén facultados. A la hora de recopilar o accedera datos de los dispositivos de los trabajadores, al menos se deberán tener encuenta estos tres requisitos:

  1. Necesidado licitud (art.5.1.aRGPD): Los datos han de ser tratados siempre que sean imprescindibles para eldesempeño de las funciones laborales o de supervisión y vigilancia, para elcaso de los empleadores.
  • Minimizaciónde Datos (art. 5.1.cRGPD): La recopilación de datos ha de ser realizada de forma proporcionada ysiempre en concordancia con la actividad laboral que se realice.
  • Claridady transparencia(Art.5.1.b): Los datos deberán ser tratados con fines determinados, explícitosy legítimos, no siendo tratados ulteriormente de manera incompatible con dichosfines.

Enconclusión, la empresa debe guardar un equilibrio proporcionado entre losderechos de intimidad y privacidad de sus empleados en el ámbito del trabajo,aunque ahora se desempeñe fuera de las instalaciones físicas, pero dentro delos entornos digitales empresariales, así como entre las potestades directivasy de control en el acceso y uso de medios digitales facilitados a lostrabajadores a los solos efectos de controlar el cumplimiento de susobligaciones laborales o estatutarias y de garantizar la integridad de dichosdispositivos.

  • Carlos Albareda Úbeda, colaborador de las Áreas de Tecnología y Derecho Espacial en Bufete Mas y Calvet.