Privacidad de los empleados Vs Control Interno

RRHH Digital. A causa de la entrada en vigor del nuevo Código Penal, el pasado 23 de diciembre, una empresa puede ser penalmente responsable, no sólo de los delitos cometidos por sus representantes legales o administradores de hecho o de derecho, sino también por sus empleados como consecuencia de no haberse ejercido sobre ellos el “debido control”. Ahora la duda es cómo ejercer ese control sin perjudicar la privacidad de los trabajadores.

Por primera vez en nuestro ordenamiento jurídico se prevé la posibilidad de que una persona jurídica sea responsable de determinados delitos, y no sólo cuando son cometidos por las personas que ostenten representación legal, sino por el personal sometido a su autoridad en los supuestos en los que no se haya ejercido del “adecuado control”. Se trata de una extensión de la “culpa in vigilando” propia del ámbito civil al “ámbito penal”. Este hito marca un antes y un después para las empresas, a la hora de definir sus políticas de control y vigilancia de sus trabajadores. Con la entrada en vigor del nuevo Código Penal lo que antes era un derecho para las empresas, ahora es una obligación.

La duda principal es cómo dotar de contenido al concepto jurídico indeterminado “debido control”, sin perjudicar la privacidad del trabajador. Para ello, las empresas deberían diseñar un plan de prevención,-que en los ordenamientos jurídicos de ámbito anglosajón se denomina “corporate compliance”-, que permita ejercer su derecho y deber de control del empleado y que, a su vez, no vulnere lo previsto en la leyes que regulan la privacidad, en especial la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.

El artículo 20.3 del Estatuto de los Trabajadores señala que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”. Por otra parte, el derecho a la intimidad tiene como objeto la protección de la “esfera espiritual, afectiva o íntima de la persona y de su círculo familiar” (STC 110/1984). El Tribunal Constitucional ha declarado en reiteradas ocasiones que el derecho a la intimidad se puede aplicar en el ámbito de las relaciones laborales frente a actuaciones del empresario y que éste ha de respetar “la esfera de su intimidad personal y familiar” sustrayendo el ámbito de su vida privada a “intromisiones extrañas de la empresa”.

¿Cómo ejercer el “debido control” sin menoscabar la privacidad?

Lo fundamental es la correcta elección de los medios para llevar a cabo estos controles. Cuando se utilizan controles basados en las tecnologías de la información, como pueden ser los controles biométricos, videovigilancia, monitorización del correo electrónico o controles sobre la ubicación física del trabajador, generalmente existe tratamiento de datos personales. No olvidemos que tanto el correo electrónico y, en general, las tecnologías de la información son herramientas puestas a disposición por el empresario. Por todo ello, tanto la Agencia Española de Protección de Datos, como la jurisprudencia de los tribunales han indicado cuáles son las condiciones para su realización.
Existe pues, un conjunto de principios que es necesario tener en cuenta.

Primero, la legitimación para el tratamiento de los datos personales en el ámbito laboral, deriva de la existencia de una relación laboral, y de acuerdo con el artículo 6.2 de la LOPD, exenta de obligación de consentimiento. Pero será necesario informar al trabajador de la existencia de controles, mediante circulares, protocolos anexos al contrato laboral, etc. A partir de este momento, todos conocerán sus derechos y obligaciones, evitando malos entendidos en el futuro y, sobre todo, cumpliendo con el deber de informar que establece la Ley.

En segundo lugar, el tratamiento de datos personales deberá ajustarse al Principio de Proporcionalidad. Por ejemplo, sería lícito realizar labores de videovigilancia  en lugares donde se hace conteo de dinero metálico, pero no en todas las dependencias de la empresa.
En tercera posición, el empresario debe tener en cuenta que  la única finalidad que legitima este control es “verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”, y no otra.

Como cuarto punto a tener en cuenta, en cumplimiento del Principio de Calidad de los Datos, los datos que se obtengan y almacenen deberán “ser exactos y puestos al día y no podrán conservarse por más tiempo del necesario”. La Agencia Española de Protección de Datos aconseja a los empresarios establecer un plazo de conservación.

En el quinto lugar, deberá garantizarse en todo momento el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO)  a los trabajadores.

A título de recomendación, sería muy positivo que las empresas elaboraran un Código de Buenas Prácticas en el uso de medios informáticos, por especialistas en Derecho Laboral y Protección de Datos. Estas guías deberían ser comunicadas y divulgadas internamente, dándole la publicidad necesaria dentro de la empresa.