Privacidad en el ámbito laboral: límites del empresario en la monitorización de empleados

El uso habitual de herramientas digitales en el entorno laboral ha consolidado mecanismos de control empresarial que pueden poner en jaque derechos fundamentales, como la intimidad o la protección de datos personales.

Este artículo aborda los mecanismos legales y criterios jurisprudenciales que permiten la supervisión empresarial sin vulnerar estos derechos fundamentales, así como ejemplos prácticos que ilustran cómo implementar mecanismos de control respetando los límites legalmente permitidos.

Control empresarial: condiciones y límites legales

La organización del trabajo, así como la adopción de medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales forman parte del poder de dirección que el ordenamiento jurídico reconoce al empresario en el artículo 20.3 del Estatuto de los Trabajadores (ET).

La evolución de las herramientas digitales tiene un impacto constante y rápido en las empresas, llegando a transformar tanto su organización interna, como los modelos de trabajo. El progreso de las tecnologías y su incorporación a la organización del trabajo posibilita el crecimiento del poder de control empresarial.

Sin embargo, ese poder no es absoluto. Su ejercicio debe respetar los derechos fundamentales del trabajador, entre ellos el derecho a la intimidad y el derecho a la protección de datos personales recogidos en el artículo 18 de la Constitución Española. La implantación de mecanismos de control, especialmente cuando implican el uso de tecnologías, exige una ponderación cuidadosa entre las potestades de vigilancia y control del empleador y los derechos fundamentales del trabajador, con el fin de garantizar un equilibrio legítimo.

El Reglamento General de Protección de Datos (RGPD) establece el marco jurídico aplicable que exige que cualquier tratamiento de datos personales, incluido el derivado del uso y control de herramientas digitales, cumpla con principios como la licitud, lealtad y transparencia, la limitación de la finalidad, la minimización de datos y la proporcionalidad.

De manera específica, la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDygdd) dedica su Título X a la garantía de los derechos digitales, con especial incidencia en el ámbito laboral, regulando aspectos como el uso de dispositivos digitales (art. 87), la videovigilancia (art. 89) o la geolocalización (art. 90).

Concretamente, el artículo 87 reconoce el derecho a la protección de la intimidad de los trabajadores en el uso de los dispositivos digitales puestos a su disposición por el empleador. Asimismo, establece el derecho de la persona empleadora a acceder a los contenidos derivados del uso de medios digitales facilitados a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y garantizar la integridad de los dispositivos.

Las empresas deben fijar criterios de utilización de los dispositivos digitales respetando los estándares mínimos de protección de la intimidad. Es decir, se deben elaborar políticas de uso de dispositivos digitales con la participación de la representación legal de los trabajadores (RLT) y comunicarse al personal empleado.

(Imagen: E&J)

Por su parte, la jurisprudencia ha contribuido a perfilar los requisitos del control empresarial. Uno de los pronunciamientos más relevantes es la sentencia del Tribunal Europeo de Derechos Humanos (TEDH) del caso Barbulescu II c. Rumanía (2017), que establece que los trabajadores mantienen una expectativa razonable de privacidad incluso cuando utilizan medios digitales proporcionados por la empresa. Para que esa expectativa se vea legítimamente limitada, la sentencia establece unos mínimos que las empresas deben cumplir, entre ellos:

• Información clara y previa al trabajador sobre la posibilidad de supervisión.
• Razones legítimas y definidas para justificar el control.
• Medidas proporcionadas, necesarias y limitadas a lo necesario.
• Proporcionar a la persona trabajadora garantías adecuadas, sobre todo si el modo de supervisión previsto es especialmente invasivo.

El primer pronunciamiento para la unificación de doctrina en España vino de la mano del Tribunal Supremo (TS) en la sentencia 119/2018 del 8 de febrero. El TS considera válido y justificado un acto de control empresarial en el que: (i) existe normativa interna que limita el uso de los ordenadores corporativos a fines laborales y autoriza medidas de control necesarias; (ii) el personal acepta dicha política antes de acceder a los sistemas; (iii) el contenido controlado se limita a lo estrictamente necesario, sin ser un control genérico e indiscriminado y; (iv) el control se realiza accediendo al servidor alojado en la empresa, sin intervención de dispositivos personales.

Por todo ello, el TS considera que, al no haber tolerancia para el uso personal, no hay una expectativa razonable de intimidad y, por tanto, no puede exigirse que el empresario soporte ese uso y se abstenga de controlarlo.

Teniendo en cuenta lo anterior, el control empresarial sobre los medios digitales corporativos está permitido, pero debe ejercerse bajo un marco legal estricto, con información previa, justificación legítima, proporcionalidad en los medios y respeto a los derechos fundamentales.

Formas de control más habituales y su encaje legal

Correo electrónico corporativo

El acceso al correo electrónico profesional por parte de la empresa es una cuestión recurrente. Los tribunales lo han avalado, siempre y cuando concurran las condiciones indicadas anteriormente, tales como, que exista una política de uso de medios digitales previamente conocida por el trabajador y que el acceso esté justificado por razones objetivas y proporcionadas, como pueden ser la necesidad de verificar un posible incumplimiento o garantizar la continuidad operativa de la empresa tras la baja de un trabajador.

(Imagen: E&J)

Videovigilancia

El artículo 89 de la LOPDygdd permite el tratar las imágenes obtenidas para el control laboral, siempre que se informe con carácter previo, de forma expresa, clara y concisa a la plantilla y, en su caso, a la RLT. Si se capta la comisión flagrante de un acto ilícito, se entenderá cumplido el deber de informar cuando exista al menos un dispositivo informativo en lugar suficientemente visible identificando la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercer los derechos de protección de datos.

En ningún caso se pueden instalar cámaras en lugares destinados al descanso o esparcimiento de trabajadores (vestuarios, aseos, comedores y análogos) y la grabación de sonidos únicamente se admitirá cuando los riesgos para la seguridad resulten relevantes.

En este sentido es relevante la sentencia del TEDH de 17 de octubre de 2019 (López Ribalda II). El TEDH argumenta que los controles efectuados a través de cámaras ocultas son válidos siempre y cuando haya sospechas razonables, no meros indicios, de que se están cometiendo infracciones graves que causan un perjuicio relevante para la empresa. Es decir, no es válido cualquier tipo de control oculto mediante videovigilancia solo por el hecho de haber mínimas sospechas de cualquier delito. La sentencia incorpora el Test Barbulescu al control por videovigilancia, de modo que se deberán tener en consideración los factores ya analizados en el punto anterior. La información facilitada a las personas constituye uno de los criterios a tener en cuenta a la hora de evaluar la proporcionalidad de la medida. Sin embargo, en caso de que no se proporcione dicha información, las garantías provenientes del resto de criterios cobrarán más fuerza y relevancia.

Por su parte el TS en la sentencia 23/2025, de 14 de enero, confirma que las imágenes de videovigilancia pueden usarse con fines disciplinarios si las cámaras están instaladas en lugares visibles, el personal conoce su existencia, y la medida responde a sospechas indiciarias concretas sobre una conducta irregular grave. Aunque el deber de información previa es exigible, su omisión no implica automáticamente la nulidad del despido si el control supera un juicio de proporcionalidad riguroso y está destinado a verificar hechos sancionables.

En conclusión, se requiere información previa clara que especifique que las imágenes podrán utilizarse con fines de control laboral y el personal empleado debe conocer la instalación. Las cámaras ocultas o sin informar pueden suponer una vulneración del derecho a la intimidad, salvo en supuestos excepcionales y debidamente justificados.

(Imagen: E&J)

Geolocalización

El artículo 90 de la LOPDygdd establece que el uso de sistemas de geolocalización debe estar precedido por una información expresa, clara e inequívoca sobre la existencia y características de estos dispositivos y sobre el ejercicio de derechos a los trabajadores y, en su caso, a sus representantes.

La STS 766/2020, de 15 de septiembre, confirma la procedencia de un despido disciplinario, basado en datos de geolocalización del vehículo de empresa que constatan su utilización fuera de la jornada laboral, pese a las instrucciones expresas en contrario. Además, la trabajadora conocía la existencia del control por GPS por parte de la empresa.

En sentido contrario la STS 163/2021, de 8 de febrero, declara la nulidad de un proyecto empresarial consistente en un sistema de geolocalización mediante una App que los trabajadores (repartidores) debían instalar en sus móviles personales. El TS considera que la medida no supera el juicio de proporcionalidad y, además, los trabajadores no habían sido informados en los términos exigidos por el RGPD.

Por tanto, la geolocalización será legítima cuando sea necesaria para el control de la ejecución del trabajo (por ejemplo, en rutas comerciales o reparto), no siendo posible realizar seguimiento fuera del horario laboral, ni utilizar esta información con fines distintos a los inicialmente previstos.

Estas formas de control, aunque habituales, deben respetar principios como la proporcionalidad, la transparencia y la minimización del tratamiento. Es clave valorar si la medida es adecuada, necesaria y si existen opciones menos intrusivas. Solo así es posible garantizar un equilibrio real entre el control legítimo del trabajo y la protección de los derechos fundamentales.

(Imagen: E&J)

Casos prácticos: dudas habituales de las empresas 

¿Se puede acceder al correo electrónico de un trabajador que ha causado baja en la empresa?

Puede ser legítimo si existe una necesidad organizativa real (por ejemplo, para garantizar la continuidad del servicio con clientes o proveedores) y si se ha previsto previamente en una política interna clara, conocida por el trabajador.

En todo caso, debe valorarse si existen alternativas menos intrusivas, como establecer una redirección temporal o activar mensajes automáticos de ausencia. El acceso directo al contenido de los correos debería limitarse al mínimo imprescindible.

¿Se pueden redirigir los correos del trabajador que ha causado baja a otro compañero o un superior?

Aunque es posible en determinadas circunstancias, lo más recomendable es activar una respuesta automática en la cuenta de la persona que ha causado baja. De este modo, quien envíe un correo será informado de que ya no forma parte de la empresa y podrá reenviar su mensaje a otra dirección de contacto indicada en el propio mensaje.

Solo en casos concretos y debidamente justificados podría valorarse la redirección automática de mensajes, y siempre que esta opción haya sido prevista previamente en la política interna y se limite al tiempo estrictamente necesario. 

¿Se puede revisar el correo de una persona empleada si existen sospechas de una filtración de información?

Solo si hay indicios razonables, se ha informado previamente del posible control y se actúa bajo criterios de necesidad y proporcionalidad. Será necesario realizar un análisis jurídico en cada caso.

¿Es legal utilizar imágenes de videovigilancia para sancionar?

Pueden utilizarse si la medida es proporcional, está justificada y se ha informado previamente a la plantilla de que las grabaciones podrán tener ese uso. En casos excepcionales, como la captación de un acto ilícito flagrante, podría admitirse su uso sin información previa si existen carteles visibles que adviertan de la videovigilancia.

¿Se debe prever expresamente la prohibición del uso personal de los dispositivos?

Es recomendable establecerlo en la normativa interna que regule el uso de medios digitales, especificando que su uso es exclusivamente profesional. Esta normativa debe ser conocida por la plantilla y, en su caso, elaborada con la RLT.

(Imagen: E&J)

Buenas prácticas: control sí, pero con garantías

Para que el control empresarial se mantenga dentro de los límites legales, es fundamental adoptar una serie de medidas:

• Elaborar una política interna clara y específica sobre el uso de herramientas digitales que incluya información sobre su finalidad, límites, prohibición de usos personales (si procede), medidas de supervisión y posibles consecuencias del incumplimiento.
• Informar expresamente al personal sobre dicha normativa, preferiblemente de forma documentada, e integrarla en el proceso de incorporación o en formaciones periódicas.
• Garantizar la participación de la Representación Legal de los Trabajadores en la elaboración de la política de uso de dispositivos digitales.
• Valorar la proporcionalidad antes de implantar cualquier sistema de control o monitorización, analizando si la medida es necesaria para el fin perseguido y si existen alternativas menos intrusivas.
• Incluir la monitorización en el Registro de Actividades de Tratamiento de la organización e informar sobre el tratamiento a través de la política informativa correspondiente.
• Contar con el asesoramiento del Delegado de Protección de Datos o del departamento jurídico de la empresa en situaciones complejas.

Conclusión

El uso de herramientas digitales para el control en el ámbito laboral es legítimo y en muchos casos necesario para garantizar el cumplimiento de las obligaciones profesionales y proteger los intereses de la empresa. Sin embargo, dicho control debe ejercerse con cautela, dentro del marco legal y respetando los derechos fundamentales de las personas trabajadoras.