Cristóbal Molina Navarrete.
Catedrático de Derecho del Trabajo y de la Seguridad Social.
Universidad de Jaén.
“¡¡Datos, datos, datos!!” -exclamaba con impaciencia-. “¡¡No puedo hacer ladrillos sin arcilla!!”.
Sherlock Holmes. El Misterio de Copper Beeches (1892)
1. De la “economía de datos” al “capitalismo de hipervigilancia”: saber es poder –y negocio-. No descubro nada si recuerdo que, cualquiera que sea la tópica metáfora que se adopte (“el nuevo oro”, “el nuevo petróleo”, etc.), los “datos” constituyen una de las fuentes de “recursos” más importante de la sociedad de nuestro tiempo, e irá a más en la era de la digitalización. Y ello porque no solo son cada vez más abundantes (crecen exponencialmente), sino que, una gran mayoría de ellos, los que ofrecemos la ciudadanía a través de múltiples vías, como las redes sociales, aunque no solo, siguen siendo muy baratos, tanto que los ofrecemos “gratuitamente”. Si a ello añadimos que su “extracción” (minería de datos) y procesado (tratamiento) goza de técnicas cada día más sofisticadas (Big Data, machine learning -algoritmos que aprenden de datos para hacer predicciones-), a precios reducidos, comprenderemos porqué, el control de los volúmenes ingentes de datos, incluidos los personales, generados a diario, integra el objeto del deseo de empresas (poderes económicos) y autoridades (poderes públicos).
Como siempre, en tan inmensa potencialidad de conocimiento subyacen enormes oportunidades de negocio y desarrollo, descritas bajo el paradigma de la “economía de datos”. Tal es su relevancia, que la Unión Europea ha propuesto una Estrategia específica para crear un gran mercado único de datos, que deberán fluir libremente en beneficio de empresas y administraciones públicas. Pero, al tiempo, también supone una fuente de formidables amenazas para las libertades y la privacidad. De ahí que se denomine también como “capitalismo de la hipervigilancia”, esa suerte de “nuevo mundo feliz en el que el producto eres tú (y prefieres no saberlo)”.
2.Evitar los riesgos para aprovechar los beneficios: la AEPD da pautas útiles, pero poco originales y novedosas, para la gestión empresarial de datos de las personas trabajadoras. Tales potenciales ventajas (beneficios) y eventuales amenazas (riesgos) se hallan en todos los ámbitos de la vida ciudadana, ante la colonización digital de nuestras vidas. De los beneficios da cuenta, entre otras, la mejor gestión de la pandemia por las empresas y países que han usado más intensivamente las tecnologías de la información y la comunicación, facilitando desde la trazabilidad de los contagios a una mayor continuidad de la actividad. De las amenazas, nos alerta, por ejemplo, la STEDH de 25 de mayo de 2021 (caso Big Brother Watch and Others vs Reino Unido), que ha evidenciado, y puesto límites a, los excesos de los sistemas estatales de vigilancia masiva de las personas, dada la violación de derechos y libertades fundamentales de toda la ciudadanía (privacidad, libertad de expresión), si bien más de unos colectivos que otros.
Pero si el “futuro del trabajo es digital”, por la transición en marcha, acelerada por la pandemia y reclamada por numerosas empresas, que normalizan la dimensión digital de sus relaciones de negocios, mayor será el volumen de datos personales que circule. La inquietud de sus titulares (personas trabajadoras) aumenta a medida que lo hace la demanda de tratamiento por sus empresas. El debido equilibrio entre las razones de gestión (tratamiento) y autodeterminación (protección) requiere usos responsables. Algo complejo en la práctica, ante el cambio notable de la regulación y las crecientes posibilidades de conocimiento de datos personales que da la tecnología (Reglamento General Comunitario de Protección de Datos –RGPD– y Ley Orgánica de Protección de Datos y garantía de los derechos digitales –LOPDGDD-), también las redes sociales.
De ahí que, comprometida, y muy esperada, desde hace largo tiempo (piénsese que la ley entró en vigor a primeros de 2019),haya tenido mucho eco que la Agencia Española de Protección de Datos (AEPD) publique, por fin, la Guía sobre “Protección de datos en las relaciones laborales”. En principio, según confiesa de inicio, la Guía tendría una doble utilidad. Primero por su fin, pues pretende ser una herramienta práctica para todas las organizaciones, privadas y pública (para este ámbito vid. la STS, 3ª, 557/2021, 26 de abril –precisa las condiciones de control horario del personal funcionario–), obligadas al cumplimiento, no crear nuevas obligaciones. Segundo por su proceso de elaboración, en el que habría participado la autoridad laboral y los interlocutores sociales, por lo que ganaría en legitimación social.
3.No es vinculante, tampoco muy original ni novedosa, pero conviene tenerla en cuenta, porque la AEPD no solo es entidad de sensibilización, sino también autoridad de control del cumplimiento. Si bien la AEPD invoca, para justificar la Guía, su función de promover la sensibilización de todos los sujetos implicados en torno a los derechos y riesgos en el tratamiento de datos personales (art. 57 RGPD), en el caso de relevancia laboral, de ahí que exprese que no es vinculante, no se debe perder de vista que también ejerce la potestad sancionadora frente a posibles -y frecuentes- incumplimientos. Por lo tanto, conviene dar el justo valor que tiene, en la medida en que destila los criterios interpretativos consolidados, tanto en virtud de la doctrina jurisprudencial como de la propia, y sin duda son los que servirán para guiar su propia actuación ante eventuales denuncias o expedientes sancionadores (a instancia de parte o de oficio).
Esta significativa utilidad práctica, más allá de lo meramente orientativo, sin embargo, a mi juicio, viene relativizada por la poca novedad respecto de buena parte de sus criterios, pese a crecer en tamaño desde la de 2009. En realidad, salvo en relación con ciertos aspectos (acceso a redes sociales para la selección-contratación; sistemas internos de denuncia –“Whistleblowing”-, ex art. 24 LOPDGDD y pendientes de revisión con la Directiva 2019/1937/UE; registro de jornada; ciberacoso), las pautas que recopila son tributarias del conocido Dictamen 2/2017 sobre tratamiento de datos en el trabajo del Grupo de Trabajo del Artículo 29 (dejó de existir desde el 25 de mayo de 2018, hoy es Comité Europeo de Protección de Datos). Al que habría que añadir otras pautas del mismo órgano consultivo europeo sobre temas actuales, ante el incremento de la gestión algorítmica (Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD, 6 de febrero de 2018 -que explican los contenidos de los arts. 22 y 35 RGDP-). La novedad aquí se debe al -pretendido- nuevo art. 64.4 ET (transparencia algorítmica), tratado críticamente en una entrada anterior.
De ahí que su referencia a la cuestión axial, la de los “títulos de tratamiento” (las bases jurídicas) traiga causa de esas pautas y apenas aporte nada nuevo en la triada de posibilidades a disposición de las empresas para tratar datos personales de las personas trabajadoras (necesidad para la ejecución del contrato, el cumplimiento de obligaciones legales y convencionales, así como, a modo de cláusula de cierre, la justificación de un “interés legítimo”). Una vez más, recordará -ya se sabía- que el consentimiento apenas tiene valor en el ámbito del tratamiento laboral de datos personales, porque no es fiable ante el desequilibrio estructural de posiciones entre personas trabajadoras y empresa (más relieve le da la STS, 4ª, 304/2019, 10 de abril -respecto de las videollamadas como contenido obligatorio de la prestación de servicios de contact center-).
4.La llamada a la prudencia en el acceso a las redes sociales por la empresa para la selección, contratación y gestión de la relación de trabajo. Aunque, a mi entender, algo decepcionante, por la evidenciada relativa novedad de la Guía, son numerosos los contenidos que aborda, en los que no podemos entrar aquí (títulos para el tratamiento, derechos de protección, selección y contratación, gestión automatizada, registro de jornada, gestión de datos de ayudas sociales, control del cumplimiento -geolocalización, videovigilancia-, derechos de la representación laboral, vigilancia de la salud, tecnología de los “dispositivos ponibles” -wearable-, etc.[1]). Solo recordaremos alguna pincelada de aquellos temas más relevantes hoy y en los que repara especialmente la Guía, entre los que destaca, cómo no, el creciente recurso de las empresas a las redes sociales para la selección del personal, así como para el propio control de la actividad posterior. Una herramienta cada vez más utilizada en los departamentos de gestión de personas (esto es, los viejos “departamentos de recursos humanos”), pero que puede rebelarse como un “arma de doble filo” si no se es prudente en su uso, extralimitándose.
Recientemente conocíamos otro caso de despido de una persona trabajadora (conductor), sobre la prueba de una fotografía extraída de Facebook, en la que aparecía aquél mientras conducía, en tiempo de trabajo y que subió a la red. Aunque el despido fue declarado improcedente (STSJ Castilla-León/Valladolid, 15 de marzo de 2021, rec. 208/2021), por entender desproporcionada la sanción derivada, no se consideró nulo, porque la prueba es lícita y no hay violación de derecho fundamental alguno. De ahí que tampoco proceda una indemnización adicional de daños (si la prueba tecnológica resulta contraria al derecho a la privacidad sí debe generar indemnización adicional, en todos los casos, aunque el despido fuese declarado procedente por mediar causa suficiente no vinculada a la prueba anulada –STC de 15 de marzo de 2021-). La sala vallisoletana no tiene en cuenta que la publicación lo es en su muro personal, al considerar que lo publicado en una red social es de difusión pública, rechazando aplicar la doctrina, ciertamente más restrictiva, de la STC 27/2020, 24 de febrero (esta doctrina cuestiona que se pueda acceder a tal tipo de información sin autorización expresa).
Al margen de esta -importante- cuestión, lo cierto es que el acceso generalizado de las empresas a las redes sociales para tomar decisiones de gestión laboral (selección, contratación, gestión -incluso extintiva-), debe hallar límites más precisos, como expresa la AEPD y refleja en la Guía. A tal fin, cita el referido Dictamen 2/2017 del GT 29. De ahí que haya que probar la necesidad -no solo conveniencia- profesional y el carácter no reservado de la información. Por supuesto, no se puede exigir “amistad” a la persona trabajadora para facilitar el acceso a las informaciones en su red por la empresa.
Una prudencia de uso mayor para la gestión automatizada y para la elaboración de perfiles, según exigen los arts. 22 (límites a las decisiones automatizadas) y 35 (deber de evaluación de impacto) RGPD. En todo caso, la AEPD insiste en el respeto al principio de minimización de datos (solo pueden tratarse los estrictamente necesarios -así lo ha recordado la STS, 4ª, 1134/2020, 21 de diciembre, que excluye esta condición de dato necesario para la declaración de Hacienda exigida por el Banco de España a sus personas empleadas), debiendo la empresa elegir siempre el tratamiento menos invasivo, no solo en la selección, sino en todas las fases de gestión del trabajo, como por ejemplo en los controles (registros horarios, monitorización de equipos de trabajo, etc.). Por eso, advierte de no mezclarlos (ej. registros horarios con geolocalización), pues conlleva una mayor invasión. Aunque la jurisprudencia parece más permisiva, bastando con que haya una información precisa de los fines, así como ejercicio dentro de la jornada (ej. STS, 4ª, 766/220, 15 de septiembre -que estimó el recurso de la empresa-).
De especial utilidad -pese a lo insuficiente y poco exhaustiva, pues se trata de un sistema de litado abierto- puede ser la pauta clasificatoria que se extrae de la Guía, que resume en tres categorías de datos personales, según su tratamiento sea obligatorio o no, o bien valorativo. A saber:
|
Datos personales obligatorios |
Datos reservados |
Datos para valorar, según casos |
|
Nombre y apellidos; nacimiento |
Ideología, creencias religiosas, orientación sexual, afiliación sindical |
Datos de localización -interés legítimo ex art. 19 LOPDGDD-: Domicilio, email o número de teléfono particulares |
|
Sexo, nacionalidad, discapacidad |
Declaraciones fiscales, etc |
Cuenta bancaria |
|
DNI, NIE, n. afiliación a la SS |
Datos sobre la salud |
Usuario de redes |
|
(…) |
… |
… |
5.A la empresa le gusta la transparencia en el manejo de datos, pero prefiere su reserva respecto de la representación laboral, pero esta tiene derechos de acceso para sus fines legítimos. Aunque, salvo la citada información algorítmica, no hay novedad en esta cuestión, es destacable que la Guía de la AEPD dedique un apartado específico a recordar a las empresas que las representaciones laborales tienen derechos a acceder a ciertos datos personales, si así se derivan del cumplimiento de sus funciones. Merece la pena la llamada porque se constata, en la práctica, notables resistencias de empresas a ofrecer esta información, sobre la excusa de una política muy celosa de protección de los datos personales de sus personas empleadas, o de su clientela.
Recientes sentencias así lo evidenciarían, aclarando también el TS que la libertad sindical y el ejercicio de derechos colectivos requieren, en su justa medida, no más, del acceso a informaciones de tipo personal, como así lo prevé la ley. El celo empresarial en la seguridad de los datos (exigido por el art. 32 RGPD) no puede servir para devaluar los derechos colectivos, también fundamentales (ej. STS, 4ª,1033/2020, 25 de noviembre). Por supuesto, no es ilimitado, de modo que ha de ajustarse a lo necesario para cumplir con el fin, no más (STS, 3ª, 160/2021, 9 de febrero).
6.Hacia nuevas fronteras: la protección frente al ciberacoso en el trabajo basado en el uso indebido de datos personales. Queremos terminar este repaso por algunos de los aspectos señeros de la Guía de la AEPD sobre gestión de datos personales en el seno de las relaciones de trabajo haciendo referencia a una cuestión novedosa, y muy importante,más a más colonización digital de los tiempos de vida y de trabajo: el acoso digital. Aunque realmente no es original de esta Guía, porque la AEPD ya cuenta con un criterio específico al respecto precedente (La protección de datos como garantía en las políticas de prevención del acoso digital: recomendaciones de la AEPD), sí merece un mínimo comentario el que la AEPD vuelva a llamar la atención sobre la necesidad de dar una protección más eficaz a la privacidad de las víctimas de acoso en el trabajo, así como de las mujeres supervivientes a la violencia de género. Una necesidad relevante no solo porque se trata de datos especiales, exigidos de una protección reforzada, sino también porque, con la digitalización, crecen las situaciones vinculadas a las tecnologías de esta naturaleza, lo que agrava el problema y complica su gestión.
Entre las recomendaciones se sitúa la de asignar códigos identificativos, para la preservación de identidades (de personas acosadas, e incluso acosadoras), así como la de incluir, en la documentación de la empresa, un código que no permita que terceras personas -distinta a la empresa- puedan asociar esa información con la trabajadora. Es obvio que esta gestión será más problemática si es la persona titular de la empresa (en ocasiones esta será la persona que ejerce el acoso o la violencia de género). En cualquier caso, yendo estas conductas de acoso en el trabajo en general, y de ciberacoso particular, e aumento, con grave afectación también a la salud, la empresa debe tener un cuidado especial. Así lo reclama la AEPD y será más relevante con la entrada en vigor del Convenio 190 OIT (violencia y acoso), que prevé de forma expresa la prohibición de ciberacoso en el trabajo. También el articulo 4 del Real Decreto-ley 28/2020, de 22 de septiembre (trabajo a distancia) reclama una atención especial al respecto, incluso en el marco de las políticas y planes de igualdad. En última instancia, las empresas no se juegan en esta gestión de eficacia importantes sanciones, también su prestigio social.
[1] vid. Molina Navarrete, Cristóbal. Datos y derechos digitales de las personas trabajadoras en tiempos de (pos)covid19: entre eficiencia de gestión y garantías. Editorial Bomarzo, Albacete, 2021.