Control del teletrabajo por el empresario. ¿Se puede monitorizar al trabajador que se encuentra teletrabajando desde su casa?

 Durante los peores momentos de la pandemia ocasionada por la COVID-19, vimos como la mayoría de las empresas optaban por la adopción de sistemas de teletrabajo para continuar desempeñando sus labores profesionales. Un año después, con una situación sanitaria que nos permite retomar poco a poco la normalidad, podemos decir que sin duda el teletrabajo ha venido para quedarse.

Uno de los aspectos que más dudas suscita es la monitorización de los trabajadores que se encuentran en régimen de teletrabajo, ¿puedo monitorizar el teletrabajo? ¿cómo debo hacerlo? ¿debo informar? Estas cuestiones, son cada vez más frecuentes debido al gran número de empresas que deciden implantar sistemas de monitorización, lo que ha reabierto el debate sobre su legalidad.

Si hablamos de sistemas de monitorización, es imprescindible acudir a los criterios asentados por el Tribunal Europeo de Derechos Humanos (TEDH) en su famoso caso Barbulescu vs. Rumania, STEDH de 5 de Septiembre de 2017

En su pronunciamiento, el TEDH acepta la legitimidad del empresario para la utilización de herramientas e instrumentos de monitorización sobre los trabajadores, pero siempre que se cumplan los seis criterios del llamado “Test Barbulescu”:

  1. Información al trabajador de la posibilidad de adoptar medidas de monitorización así como la notificación de su aplicación.
  2. Información sobre el alcance y grado de intrusión de las medidas.
  3. Justificación legítima de la utilización de las medidas.
  4. Valoración previa de la posibilidad de utilizar otras medidas menos intrusivas. En caso de existir medidas menos intrusivas, se debe justificar adecuadamente su descarte.
  5. Obtención del fin propuesto con la utilización de dichas medidas. Además, éstas han de ser proporcionales y necesarias frente a la invasión de la privacidad del trabajador.
  6. Garantías y salvaguardas adecuadas al trabajador, especialmente, asegurando que el empresario no pueda acceder al contenido sin la previa notificación al trabajador.

¿Permite la normativa española la monitorización en el ámbito laboral?

El artículo 20.3 del Estatuto de los Trabajadores, faculta al empresario a tomar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

Entonces, ¿puedo monitorizar a mis empleados?

En principio sería viable, pero siempre y cuando se cumpla con los criterios fijados por el TEDH y desarrollados por el Tribunal Supremo (TS). De esta manera, es imprescindible que la medida supere el juicio o test de proporcionalidad para el control laboral del trabajador, estableciendo que la medida es idónea, necesaria y proporcional a la medida de control establecida (Sentencia de la Sala Cuarta del Tribunal Supremo de 8 de Febrero de 2018) debiendo a su vez comunicar previamente al trabajador y la implantación de dicha medida. Por ello deberá valorarse si la medida de control cumple con:

  • Juicio de Idoneidad: la medida es susceptible de conseguir el objetivo propuesto.
  • Juicio de necesidad: es necesaria, en el sentido que no exista otra medida más moderada para la consecución de próposito de control con igual eficacia.
  • Juicio de proporcionalidad: la medida es ponderada o equilibrida, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

Además, es muy importante que la medida sea comunicada a los representantes sindicales con carácter previo a la ejecución de la misma para que emitan el correspondiente informe conforme lo dispuesto por el artículo 64 del Estatuto de los Trabajadores.

La Agencia Española de Protección de Datos (AEPD) también se ha pronunciado al respecto.

En concreto, en sus Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo, en el que la AEPD establece un conjunto amplio de medidas de protección de los datos personales en la modalidad de teletrabajo. Como no podía ser de otra manera, este documento incluye recomendaciones específicas respecto a la monitorización de los accesos realizados a la red corporativa desde el exterior. Así, la AEPD indica que:

“hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos”.

Además, hace especial hincapié en la necesidad de informar al personal, sobre la adopción de esta medida, máxime si se utiliza además para verificar el cumplimiento de las obligaciones laborales del personal.

Es importante que tengamos en cuenta esta medida debe respetar los principios de minimización de datos y limitación de la finalidad, es decir, no se puede recabar más datos de los estrictamente necesarios, y el empresario no está legitimado para utilizar los datos con finalidades distintas del control empresarial.

Adicionalmente al test de proporcionalidad y comunicación al trabajador y representantes sindicales, será necesario adecuar todo el procedimiento de monitorización a la normativa de protección de datos y por tanto se deberán verifiacr las siguientes cuestiones:

  • Identificar o crear el correspondiente Registro de Actividad e incluirlo dentro de la política RGPD de la empresa.
  • Realizar el correspondiente informe de evaluación de Riesgos de dicho Registro de Actividad para analizar el nivel de protección que debe ser aplicable a los sistemas de información implicados en el proceso (ordenadores, aplicaciones informáticas, dispositivos portátiles, entornos de red…, etc).
  • Identificar la base jurídica para el tratamiento, que no es otra que el contrato de trabajo o la realación jurídica laboral. En el supuesto de contar con trabajadores por cuenta propia o autonomos deberá analizarse si la relación mercantil puede suponer una base jurídica suficiente para realizar dicha monitorización, ya que en caso contrario será necesario solicitar el consentimiento del profesional autonomo para monitorizar su trabajo y el cumplimiento de las obligaciones profesionales.
  • Se deberán implantar las oportunas medidas de seguridad técnicas y organizativas sobre las aplicaciones y sistemas de monitorización garantizando un nivel de protección adecuado conforme a la evaluación de riesgos realizada.
  • En los supuesos de externalizar el servicio de monitorización por terceros será necesario firmar contratos de encargado de tratamiento con el proveedor de serivcios garantizando por parte de estos últimos el cumlimiento del RGPD y la normativa de proteccion de datos.
  • Además de informar al trabajador y sus representantes sindicales sobre la implantación de la medida, es recomendable incluir la previsión del Teletrabajo y su control, dentro de la Política interna de funciones y obligaciones en materia de protección de datos, para que dicha actividad quede regulada por el empresario y el trabajador tenga expresamente identificadas cuales son sus obligaciones laborales cuando se encuentra trabajando en su domicilio particular o fuera de la oficina o lugar de trabajo.
  • Por último generalmente será necesario realizar una evaluación de impacto anes de implentar los sistemas de monitorización, ya que se trata de una medida tecnológica nueva o desconocida y que puede incluir un tratamiento masivo de información.

En definitiva, se permite la monitorización y control de los trabajadores siempre y cuando se respeten los criterios enunciados por la doctrina y normativa expuestos, y se incluyan el proceso de monitorización dentro de la Política RGPD de la empresa. No debemos olvidar que las medidas de control empresarial suponen una inejerencia en los derechos de los trabajadores, y como tal deberán superar el test de proporcionalidad y considerarse dicha medida como necesaria, proporcional e idónea para la finalidad pretendida por la empresa.

 

Víctor León de Prada y Alina Nastasache

DPO&ITLaw

Visitas: 0