Dónde está el límite al control por la empresa de los dispositivos de sus trabajadores

Raquel Muñiz Ferrer. Socia de Sagardoy Abogados

Hoy en día si queremos hablar del control por la empresa de los dispositivos puestos a disposición de sus trabajadores no nos queda más remedio que citar y analizar la reciente sentencia dictada por el Tribunal Europeo de Derechos Humanos (TEDH) en fecha 5 de septiembre de 2017, por cuanto que en la misma se establece una nueva doctrina judicial (conocida como doctrina Barbulescu), que va a tener importantes efectos en la doctrina judicial española al introducir mayores garantías para los trabajadores cuando se aborda por parte del empresario el control de los medios informáticos de titularidad empresarial puestos a disposición de los empleados.

SUMARIO:

• Jurisprudencia del Tribunal Supremo
• Jurisprudencia del Tribunal Constitucional
• TEDH

• Jurisprudencia del Tribunal Supremo

Antes de abordar esa nueva doctrina judicial de la Gran Sala del TEDH, resulta necesario recordar cual ha sido la doctrina sentada por nuestros Tribunales a este respecto a lo largo de los últimos años.

La jurisprudencia de nuestro Tribunal Supremo se encuentra recogida principalmente en sus sentencias de fecha 20 de septiembre de 2007 y 6 de octubre de 2011. Lo que decidió la primera de esas dos sentencias fue un supuesto en el que se excluyó la validez de la prueba practicada de registro del ordenador, por entender que se había vulnerado el derecho a la intimidad del actor, porque, al no existir prohibición de uso personal del ordenador ni advertencia de control, existía para el trabajador una expectativa de confidencialidad en ese uso personal, expectativa que debió ser respetada. Además, en dicha sentencia el Tribunal señala qué es lo que debe hacer la empresa para poder controlar los dispositivos de sus trabajadores de acuerdo con las exigencias de buena fe, que es exactamente lo siguiente: “establecer previamente las reglas de uso de esos medios –con aplicación de prohibiciones absolutas o parciales– e informar a los trabajadores de que va existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones. De esta manera, si el medio se utiliza para usos privados en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado «una expectativa razonable de intimidad»”.

Por su parte, la segunda de las sentencias que hemos citado del Tribunal Supremo, se trataba de un supuesto radicalmente distinto del anterior, ya que en este caso sí que existía una prohibición absoluta que impuso el empresario sobre el uso de medios de la empresa (ordenadores, móviles, internet, etc.) para fines propios, tanto dentro como fuera del horario de trabajo, concluyendo dicho Tribunal que una prohibición tan terminante “lleva implícita la advertencia sobre la posible instalación de sistemas de control del uso del ordenador” y que, por tanto, “no es posible admitir que surja un derecho del trabajador a que se respete su intimidad en el uso del medio informático puesto a su disposición”. Es decir, si hay prohibición de uso personal deja de haber tolerancia y ya no existirá expectativa de confidencialidad, con independencia de la información que la empresa haya podido proporcionar sobre el control y su alcance, control que, por otra parte, es inherente a la propia prestación de trabajo y a los medios que para ello se utilicen, y así está previsto legalmente.

• Jurisprudencia del Tribunal Constitucional

Del Tribunal Constitucional debemos destacar las sentencias de fecha 17 de diciembre de 2012 (STC 241/2012) y 7 de octubre de 2013 (STC 170/2013). En las que dicho Tribunal señala que no cabe duda de que es admisible la ordenación y regulación del uso de los medios informáticos de titularidad empresarial por parte del trabajador, así como la facultad empresarial de vigilancia y control del cumplimiento de las obligaciones relativas a la utilización del medio en cuestión, siempre con pleno respeto a los derechos fundamentales. Y matiza que la expresa prohibición del uso extralaboral del correo electrónico y su consiguiente limitación a fines profesionales lleva implícita la facultad de la empresa de controlar su utilización, al objeto de verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, al entender que en ese caso no puede existir una expectativa fundada y razonable de confidencialidad respecto al conocimiento de las comunicaciones mantenidas por el trabajador a través de la cuenta de correo proporcionada por la empresa.

• TEDH

Pasando ya a analizar la doctrina Barbulescu contenida en la Sentencia del TEDH, lo primero y lo más relevante de la misma es que dicho Tribunal, después de analizar toda la normativa nacional aplicable al caso (la rumana), así como la legislación Internacional (normas de Naciones Unidas y del Consejo de Europa) y de la Unión Europea (Carta de derechos fundamentales de la Unión Europea, la Directiva 95/46/CE y el Reglamento 2016/679/UE relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos), concluye que las comunicaciones que el demandante realizó desde su lugar de trabajo estaban comprendidas en los conceptos de “vida privada” y “correspondencia” y que de ello se deduce que el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales de 1999 es aplicable a este asunto. Dicho artículo dispone que “Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia”.    

Para poder comprender la transcendencia de dicha conclusión, hay que explicar brevemente el supuesto de hecho del caso Barbulescu, ya que hay muchas empresas en nuestro país que podrían encontrarse en una situación similar por lo que se refiere a la reglamentación interna de la empresa en materia de control de los medios informáticos por parte del empresario.

Concretamente los hechos que acontecieron en dicho caso fueron los siguientes:

• El demandante, el Sr. Barbulescu, (ciudadano rumano) trabajaba para una empresa privada como ingeniero de ventas. A petición de su empresa, creó una cuenta Yahoo Messenger (servicio de mensajería en línea que ofrece una trasmisión de texto en tiempo real en internet) con el fin de recibir y responder a preguntas de los clientes. El ya disponía de otra cuenta Yahoo Messenger personal.
• El reglamento interno de la empresa prohibía la utilización por parte de los empleados de los recursos de la empresa en los siguientes términos: “Está estrictamente prohibido perturbar el orden y la disciplina en el recinto de la empresa y particularmente: (…) usar los ordenadores, fotocopiadoras, teléfonos, el télex y la máquina de fax con fines personales.”

Este reglamento no incluía ninguna mención sobre la posibilidad de la empresa de vigilar las comunicaciones de sus empleados.

• El demandante había sido informado del reglamento interno de la empresa, y lo había firmado.
• La empresa distribuyó a todos los empleados una nota informativa en la que les recordaba que tenían que acudir al trabajo para ocuparse de los problemas de la empresa y profesionales, y no de los problemas privados, y que no pasasen el tiempo en internet, hablando por teléfono o haciendo fotocopias de cuestiones que no competen a su trabajo ni sus funciones y que “La empresa se ve en la obligación de verificar y vigilar el trabajo de los empleados y de tomar las medidas oportunas contra los trabajadores en falta!. ¡Vuestras faltas serán en la alternativa vigiladas y castigadas!”. El demandante tuvo conocimiento de esta nota.
• La empresa registró en tiempo real las conversaciones del demandante en Yahoo Messenger.
• El demandante fue convocado por su director, que le informó que se habían supervisado sus conversaciones en Yahoo Messenger y que ciertos elementos indicaban que había utilizado internet con fines personales, contrariamente al reglamento interno. En ese momento no fue informado si la supervisión de sus comunicaciones también afectaba a su contenido. Ese mismo día, el demandante respondió por escrito a su director que sólo había utilizado el Yahoo Messenger con fines profesionales.
• El demandante fue convocado por segunda vez, para que explicase por qué toda la correspondencia intercambiada entre los días 5 y 12 de julio de 2007 utilizando el identificador en internet de S. Bucarest era de interés privado, como lo demostraba las 45 páginas que se le adjuntaban. Dichas páginas correspondían a la trascripción de las comunicaciones que el demandante había mantenido con su hermano y su novia durante el periodo que sus conversaciones estuvieron sometidas a vigilancia; dichas comunicaciones trataban de temas privados y algunas de ellas eran de carácter íntimo.

• El 1 de agosto de 2007 la empresa rescindió el contrato de trabajo del demandante.

El demandante impugnó la decisión de su despido disciplinario y sostiene que la decisión de su empresa de despedirle se tomó basándose en una vulneración de su derecho al respeto de la vida privada y de la correspondencia protegida por artículo 8 del Convenio y que, como los órganos jurisdiccionales internos no habían anulado esta decisión, éstos no habían cumplido su obligación de proteger ese derecho.

El TEDH en la sentencia Barbulescu interpreta tanto el concepto de “vida privada” como de “correspondencia” contenidos en el artículo 8 del Convenio, afirmando entre otros extremos lo siguiente:

Considera que el concepto de “vida privada” puede incluir actividades profesionales y que las restricciones establecidas en la vida laboral pueden incluirse en el artículo 8 cuando repercuten en la forma en que el individuo forja su identidad social a través del desarrollo de relaciones con otros. Además, señala en este punto que “es en el marco de la vida laboral donde la mayoría de la gente tiene muchas, si no la mayoría, de las oportunidades para fortalecer sus lazos con el mundo exterior”.

• Con respecto a la noción de “correspondencia” considera que los correos electrónicos enviados desde el lugar de trabajo están amparados por la protección del artículo 8, al igual que la información recogida mediante el seguimiento del uso que hace una persona de internet.

Tras lo cual, dicho Tribunal afirma que “las instrucciones de una empresa no pueden anular el ejercicio de la privacidad social en el puesto de trabajo. El respeto a la privacidad y confidencialidad de las comunicaciones sigue siendo necesario, aunque pueden limitarse dentro de las medidas de necesidad”.

En dicha sentencia se señala que los tribunales nacionales deben velar porque el establecimiento por una empresa de medidas para vigilar la correspondencia y otras comunicaciones sea cual sea su alcance y duración, vaya acompañado de garantías adecuadas y suficientes contra los abusos, y considera que la proporcionalidad y las garantías procesales contra el carácter arbitrario son elementos esenciales. En este contexto, el TEDH determina que las autoridades nacionales deberían tener en cuenta los siguientes factores:

1. ¿El empleado ha sido informado de la posibilidad de que el empleador tome medidas para supervisar su correspondencia y otras comunicaciones, así como la aplicación de tales medidas? Si bien en la práctica esta información puede ser comunicada efectivamente al personal de diversas maneras, según las especificidades fácticas de cada caso, el Tribunal considera que, para que las medidas puedan ser consideradas conforme a los requisitos del artículo 8 del Convenio, la advertencia debe ser, en principio, clara en cuanto a la naturaleza de la supervisión y antes del establecimiento de la misma.
2. ¿Cuál fue el alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada del empleado? A este respecto, debe hacerse una distinción entre el control del flujo de comunicaciones y el de su contenido. También se debería tener en cuenta si la supervisión de las comunicaciones se ha realizado sobre la totalidad o sólo una parte de ellas y si ha sido o no limitado en el tiempo y el número de personas que han tenido acceso a sus resultados. Lo mismo se aplica a los límites espaciales de la vigilancia.
3. ¿El empleador ha presentado argumentos legítimos para justificar la vigilancia de las comunicaciones y el acceso a su contenido? Dado que la vigilancia del contenido de las comunicaciones es por su naturaleza un método mucho más invasivo, requiere justificaciones más fundamentadas.

• ¿Habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado? A este respecto, es necesario evaluar, en función de las circunstancias particulares de cada caso, si el objetivo perseguido por el empresario puede alcanzarse sin que éste tenga pleno y directo acceso al contenido de las comunicaciones del empleado.

1. ¿Cuáles fueron las consecuencias de la supervisión para el empleado afectado? ¿De qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida?

1. ¿Al empleado se le ofrecieron garantías adecuadas, particularmente cuando las medidas de supervisión del empleador tenían carácter intrusivo? En particular, estas garantías debían impedir que el empleador tuviera acceso al contenido de las comunicaciones en cuestión sin que el empleado hubiera sido previamente notificado de tal eventualidad.

Aplicando tales principios generales al caso Barbulescu, la Gran Sala del TEDH considera que las autoridades nacionales no protegieron adecuadamente el derecho del demandante respeto de su vida privada y su correspondencia y que, por lo tanto, no valoraron el justo equilibrio entre los intereses en juego, y en consecuencia, se había producido una violación del artículo 8 del Convenio.

Las circunstancias que hicieron llegar a dicha conclusión a la Gran Sala fueron las siguientes:

• Que los órganos jurisdiccionales nacionales no consiguieron, por un lado, comprobar, concretamente, si el empleador había notificado previamente al demandante la posibilidad de que sus comunicaciones en Yahoo Messenger iban a ser controladas y, por otro, tener en cuenta que no se le había informado de la naturaleza y alcance de la vigilancia a que iba a ser sometido, así como del grado de intrusión en su vida privada y en su correspondencia.

• Que los órganos jurisdiccionales nacionales no determinaron, en primer lugar, qué motivos concretos justificaban la introducción de las medidas de control, en segundo lugar, si el empresario pudo haber utilizado medidas menos intrusivas para la vida privada y la correspondencia del demandante y, en tercer lugar, si el acceso al contenido de las comunicaciones hubiera sido posible sin su conocimiento.CONCLUSIONES: Por todo lo expuesto, no cabe ninguna duda que para poder controlar por parte de la empresa los dispositivos puestos a disposición de sus trabajadores resulta absolutamente necesario tener instaurado en la compañía una regulación del uso de tales dispositivos, y en particular, el uso profesional de los mismos, a través de diferentes instrumentos como pueden ser protocolos, políticas o códigos de buenas prácticas en los que se establezcan con total claridad, entre otros aspectos, la posibilidad de la empresa de vigilar las comunicaciones de sus empleados, así como el procedimiento a seguir para llevar a cabo dicho control, la naturaleza y alcance del control, los motivos que pueden dar lugar a realizar dicho control, etc. Además, de todo ello deben ser previamente informados los empleados. De esta manera la empresa no quedaría privada de sus poderes directivos y los trabajadores contarían con todas las garantías necesarias. No obstante, todo ello, hay que destacar que serán las circunstancias de cada caso concreto las que finalmente determinen si su fiscalización por la empresa ha generado o no la vulneración de algún derecho fundamental.