LEY DE PROTECCIÓN DE DATOS: CONTROLES EMPRESARIALES

Controles basados en el uso de tecnologías 

Cuando para el desarrollo de la función empresarial de control se utilizan las tecnologías de la información, las posibilidades de repercusión en los derechos del trabajador se multiplican. La aplicación de este tipo de técnicas se manifiesta de muy diversos modos. 

Pueden citarse entre otros, los controles biométricos como la huella digital, la videovigilancia, los controles sobre el ordenador, -como las revisiones, el análisis o la monitorización remota, la indexación de la navegación por Internet, o la revisión y monitorización del correo electrónico y/o del uso de ordenadores-, o los controles sobre la ubicación física del trabajador mediante geolocalización.

En la mayor parte de estos supuestos existen tratamientos de datos personales y, en consecuencia es necesario cumplir con los principios de protección de datos. La Agencia Española de Protección 26 Controles empresariales de Datos y la jurisprudencia de los tribunales han venido indicando distintos supuestos en los que tales tratamientos son admisibles y las condiciones para su realización. 

Por otro lado, el uso de tecnologías de la información multiplica las posibilidades de control empresarial y obliga a tener en cuenta el respeto a los derechos fundamentales de los trabajadores, a adoptar medidas de control que sean proporcionales y respeten su dignidad, su derecho a la protección de datos y su vida privada. 

Existe por tanto, un conjunto de principios cuyo respeto resulta recomendable cuando no prácticamente ineludible. 

- La legitimación para el tratamiento deriva de la existencia de la relación laboral y, por tanto, de acuerdo con el art. 6.2 LOPD, no se requiere del consentimiento.  

- A la hora de decidir adoptar una medida de control que comporte un tratamiento de datos personales debe aplicarse el principio de proporcionalidad. 

- Debe existir una finalidad que, en este caso, no puede ser otra que la establecida por el art. 20.3 ET de «verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». 

- Los datos que se obtengan y almacenen deberán ser exactos y puestos al día y no podrán conservarse más tiempo del necesario. Se recomienda a los empleadores fijar un plazo de conservación. 

- Debe cumplirse con el deber de información a los trabajadores. Este deber resulta particularmente relevante cuando se trate de controles sobre el uso de Internet y/o del correo electrónico. En este caso es muy recomendable que la información a los trabajadores sea clara en lo que respecta a la política de la empresa en cuanto a utilización del correo electrónico e Internet, describiendo de forma pormenorizada en qué medida los trabajadores pueden utilizar los sistemas de comunicación de la empresa con fines privados o personales. Así como que incluya la finalidad de la vigilancia, y cuando pueda repercutir sobre medios que el trabajador utiliza normalmente una información sobre las medidas de vigilancia adoptadas. Por otra parte, en la medida en la que este tipo de controles inciden sobre el conjunto de la empresa puede ser muy recomendable informar también a los representantes de los trabajadores de las políticas adoptadas en esta materia. No se trata en absoluto de que el trabajador conozca el detalle de políticas de seguridad que pueden afectar a ámbitos que la empresa necesita proteger. Sin embargo, es indispensable que conozca por ejemplo si puede recibir mensajes privados, o depositar fotografías en determinados espacios en su ordenador o en un servidor corporativo. La información previa y su prueba es esencial, ya que estos tratamientos no requieren el consentimiento del trabajador y son manifestación de los poderes de control del empresario. 

Controles sobre el absentismo laboral

El Estatuto de los Trabajadores faculta a las empresas para realizar controles en los supuestos de enfermedad o accidente de trabajo que motivan faltas de asistencia. Este control se realizará mediante reconocimiento médico y la norma establece las posibilidades de actuación del trabajador ante la negativa a someterse al reconocimiento. 

Por otra parte hay que tener en cuenta dos elementos que se han señalado con anterioridad en esta Guía: 

- El tratamiento de datos de salud requerirá del consentimiento expreso del trabajador o de la existencia de una previsión legal que exima del mismo. La LOPD contiene un régimen específico cuando se trata de la prestación de asistencia sanitaria que no resulta en absoluto aplicable a este caso. 

- Las posibilidades de acceso de la empresa a estos datos de salud y su utilización para fines distintos para los que fueron recabados resulta imposible ya que, como antes se señaló la empresa únicamente puede conocer las condiciones de aptitud. 

- La incorporación de datos de salud a un fichero con la única finalidad de realizar controles del absentismo resulta desproporcionada. 
El control del absentismo adquiere una relevancia particular cuando se realiza mediante la contratación de un prestador de servicios ya que, además de cumplir con las obligaciones propias de un encargado del tratamiento, debe atenerse a ciertas condiciones: 

- La información al trabajador debe ser muy precisa e indicar que se trata de un control laboral. Como indica el art.5 una de las informaciones que deben facilitarse en su caso se refiere a la obligación de facilitar datos y las consecuencias de la negativa a suministrarlos. 

- Para poder incorporar sus datos de salud a una historia clínica se requerirá el consentimiento expreso del trabajador. . No existe obstáculo a que se persiga la doble finalidad de verificar el estado de salud del trabajador y controlar el absentismo. Pero, si existe un tratamiento relacionado con la salud deberá obtenerse el consentimiento expreso del trabajador. 

- En el caso de que el prestador externo desarrolle servicios de vigilancia en la salud debería articular procedimientos que garanticen el cumplimiento de los principios de protección de datos, y en particular el deber de información, el principio de finalidad y la garantía del consentimiento en cada uno de los tratamientos. 

- Por último no debe olvidarse que para este tipo de servicios el prestador externo tiene la condición de encargado del tratamiento y deben de cumplirse las previsiones del artículo 12 de la LOPD.