Cámaras fijas vs ocultas: los criterios jurisprudenciales que legitiman su uso para el control laboral difieren

camaras_ocultas_espana

Por Francisco R. González-Calero Manzanares

Hace más de dos años, publicaba un artículo titulado “Cámaras ocultas para controlar a los trabajadores. ¿Son legales?” en el que se ponían de manifiesto las diferencias existentes entre las sentencias de las salas de lo social de TSJ que, bajo determinadas condiciones y requisitos, permitían un uso concreto y limitado en el tiempo y la Agencia Española de Protección de Datos que en algunos supuestos entendía que se había vulnerado el deber de información del artículo 5 de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal. Posteriormente, se ha puesto orden en lo que respecta al control laboral por parte de cámaras fijas a raíz de laSentencia 29/2013 del Tribunal Constitucional de 11 de febrero  que declaró nulo un despido disciplinario utilizando como prueba imágenes de cámaras instaladas, a priori, con finalidad de seguridad y no de control laboral,  y en esa misma línea, resolvió el Tribunal Supremo en la Sentencia del 13 de mayo de 2014 (rec. 1685/2013) al declarar igualmente nulo el despido de una cajera de supermercado basado en imágenes captadas por  las cámaras ubicadas en el mismo, que probaban que la cajera, en beneficio de un cliente, no pasaba todos los productos por el lector de la caja. Y en fechas recientes la Sentencia 84/2015 del Tribunal Superior de Justicia de Madrid de 9 de febrero de 2015, ha hecho lo propio con el uso de cámaras ocultas resolviendo algunas dudas surgidas a raíz de las mencionadas sentencias del TC y TS como veremos a continuación.

Como acabamos de comentar, el Tribunal Constitucional en la Sentencia 29/2013 declaró nulo el despido de un trabajador de la Universidad de Sevilla al considerar que la utilización de cámaras de videovigilancia instaladas en los vestíbulos con fines de seguridad no pueden ser válidamente utilizadas para el control laboral si antes no se ha informado a los trabajadores de este uso adicional. Y es que en el supuesto analizado, la Universidad de Sevilla contaba con unas hojas de registro en las que los empleados apuntaban las horas de entrada y salida y ante la sospecha de fraude en la consignación de las mismas por parte del empleado en cuestión, decidió comprobar a través de las cámaras las horas de entrada y salida.

Pues bien el TC parte de la base de que lo que está en juego en este asunto el artículo 18.4 de la Constitución Española y no el 18.1, por lo que no entrará en juego su doctrina establecida en las sentencias 186/2000, de 10 de julio o 98/2000, de 10 de abril. Entiende igualmente que está fuera de toda duda que las imágenes grabadas en un soporte físico, son un dato de carácter personal cubierto por la protección del 18.4 CE, “ya que el derecho fundamental amplía la garantía constitucional a todos aquellos datos que identifiquen o permitan la identificación de la persona…. incluye también aquellos que facilitan la identidad de una persona física por medios que, a través de imágenes, permitan su representación física e identificación visual u ofrezcan una información gráfica o fotográfica sobre su identidad.“. Entiende por ello que debe asegurarse que las acciones dirigidas a la seguridad y vigilancia no vulneren el 18.4 CE.

Continua el Tribunal Constitucional estableciendo la distinción entre el contenido del 18.1 en contraposición al 18.4 al establecer que: “«[l]a función del derecho fundamental a la intimidad del art. 18.1 CE es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, FJ 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado… Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin»“. (La negrita es nuestra).

Continuando con su exposición concluye igualmente que: “ese derecho de informaciónopera también cuando existe habilitación legal para recabar los datos sin necesidad de consentimiento, pues es patente que una cosa es la necesidad o no de autorización del afectado y otra, diferente, el deber de informarle sobre su poseedor y el propósito del tratamiento En aplicación de esa doctrina, concluimos que no hay una habilitación legal expresa para esa omisión del derecho a la información sobre el tratamiento de datos personales en el ámbito de las relaciones laborales, y que tampoco podría situarse su fundamento en el interés empresarial de controlar la actividad laboral a través de sistemas sorpresivos o no informados de tratamiento de datos que aseguren la máxima eficacia en el propósito de vigilancia. Esa lógica fundada en la utilidad o conveniencia empresarial haría quebrar la efectividad del derecho fundamental, en su núcleo esencial. En efecto, se confundiría la legitimidad del fin (en este caso, la verificación del cumplimiento de las obligaciones laborales a través del tratamiento de datos, art. 20.3 LET en relación con el art. 6.2 LOPD) con la constitucionalidad del acto (que exige ofrecer previamente la información necesaria, art. 5 LOPD), cuando lo cierto es que cabe proclamar la legitimidad de aquel propósito (incluso sin consentimiento del trabajador, art. 6.2 LOPD) pero, del mismo modo, declarar que lesiona el art. 18.4 CE la utilización para llevarlo a cabo de medios encubiertos que niegan al trabajador la información exigible“. (La negrita es nuestra).

Para el TC la existencia de carteles anunciando el sistema de videovigilancia y la inscripción del fichero en la Agencia Española de Protección de Datos no contrarrestan su argumentación anterior, puesto que entiende que es necesario además facilitar información previa, expresa, precisa, clara e inequívoca a los trabajadores de la finalidad de control de la actividad laboral a la que esa grabación puede ser dirigida, máxime cuando las cámaras se ubican en vestíbulos y pasillos y no en los lugares de trabajo lo que hace, en principio, preveer la única finalidad de seguridad.

Llegados a este punto y fijados los criterios de legalidad de las cámaras fijas, nos encontramos con la aludida STSJ de Madrid 84/2015 que conoce en segunda instancia del despido disciplinario promovido por el actor (un empleado que a la vez es miembro del comité de empresa). A raíz de un inventario realizado en 2012 por la empresa se detecta que faltan 112 piezas, lo que se comunica a los trabajadores por si se encuentran en sus departamentos para que sean devueltas. Al no recibir respuesta al último emplazamiento de junio de 2013, en julio comunican a la presidenta del comité de empresa que durante el mes de agosto de 2013 se van a instalar unas cámaras ocultas enfocando los armarios del departamento donde se almacena el producto,  puesto que la dirección de empresa sospechaba que las piezas que faltaban estaban en poder de personal interno. Para llevarlo a efecto contratan a una empresa de detectives privados que, tras instalar las cámaras, realiza grabaciones entre los días 19 y 23 de agosto constatándose al visionarlas que el actor guardaba prendas en un armario adjunto a su puesto de trabajo y que las plegaba y guardaba en bolsas para sacarlas fuera de dependencias de la empresa. Queda igualmente constatado que las prendas coinciden con las echadas en falta en el inventario.

El TSJ de Madrid entiende que al tratarse de cámaras temporales, “el presente supuesto tiene mayor conexión con el resuelto en la STC 186/00 que con los examinados en la STC 29/13 y en la STS 13-5-14 rec. 1685/2013“, por lo que entraría en juego el artículo 18.1 CE (al tratarse de una grabación episódica) y no el 18.4 CE (al tratarse de una grabación con carácter preventiva). Recuerda el TSJM que “En el supuesto de la STC 186/00 también se trata de la instalación ocasional y temporal de una cámara de grabación en el puesto de trabajo – las cajas registradoras – tras acreditadas sospechas razonables de incumplimientos contractuales que fueron acreditados de esta manera“. Existen en ambos casos ilícitos laborales previos cuya averiguación es necesaria para cortar de raíz estas prácticas y sancionar a los culpables. Por el contrario lo que se enjuicia en la STC 29/2013 es “la licitud como prueba a efectos sancionadores laborales de las imágenes obtenidas por un sistema permanente de cámaras ubicadas no en puestos de trabajo sino en lugares comunes y de paso (en una Universidad) con publicidad y comunicación a la AEPD, pero sin advertencia alguna de su posible utilización para vigilar incumplimientos laborales“. (La negrita es nuestra).

Al tratarse por ello de un supuesto episódico y de corta duración entiende el TSJM que “sería absurdo exigir a la empresa una comunicación a los trabajadores de la instalación de unas cámaras de grabación advirtiéndoles [en qué casos las grabaciones podían ser examinadas, durante cuánto tiempo y con qué propósitos, explicitando muy particularmente que podían utilizarse para la imposición de sanciones disciplinarias por incumplimientos del contrato de trabajo], así como la colocación de carteles de publicidad ,pues de esta forma se arruinaría con toda seguridad la finalidad buscada. Por ello hay que considerar admisible la sustitución de la información a los trabajadores por la efectuada al presidente del comité de empresa (no al comité, teniendo en cuenta que uno de los afectados, precisamente el trabajador despedido, era miembro del comité) que se relaciona con la competencia de ese órgano respecto a “la implantación y revisión de sistemas de organización y control del trabajo” establecida en el art. 64.5.f) del ET“. (La negrita es nuestra).

Además entiende el TSJM que el derecho del trabajador a ser informado conforme al 18.4 CE tiene que ser ponderado con el derecho al empresario a la tutela judicial efectiva del 24.1 CE entendiendo que “La actuación de la empresa en este caso en cuanto medida restrictiva de un derecho fundamental, el del art. 18.4 de la Constitución , supera el juicio de proporcionalidad, pues cumple los tres requisitos o condiciones siguientes ( STC 186/00 ): si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y finalmente si es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto). La idoneidad no es cuestionable pues la grabación demostró en el juicio la conducta del trabajador que se le atribuía en la carta de despido e hizo posible la extinción del contrato de trabajo mediante despido disciplinario procedente por haber incurrido en un comportamiento muy grave. La necesidad es negada por el recurrente aduciendo que podría haberse utilizado un registro, pero no explica por qué un registro en la persona del trabajador es menos invasivo que una grabación de imágenes, aparte de que esta medida de control es menos idónea, ya que si resulta fallido un primer registro es claro que el trabajador culpable ya queda alertado. Y en cuanto a la proporcionalidad en sentido estricto el interés general de evitar la impunidad de conductas como la sancionada resulta superior al leve menoscabo relativo al tratamiento de datos, sobre todo teniendo en cuenta que las imágenes ni siquiera fueron tomadas por la demandada sino por una empresa del sector de vigilancia, se informó previamente al presidente del comité de empresa y no consta que hayan sido utilizadas para otra finalidad que su presentación en juicio“. (La negrita es nuestra).

En definitiva como acabamos de ver, el control laboral por medio de cámaras cambia radicalmente si se trata de cámaras permanentes y visibles (que además de cumplir con los requisitos de la LOPD y de la Instrucción 1/2006, requerirá comunicación previa sobre el uso y finalidad a los trabajadores), de si se trata de cámaras ocultas que deberán ser limitadas a un corto espacio temporal y la mayor prevalencia del derecho a la tutela judicial efectiva deberá ser justificado con el consiguiente juicio de idoneidad, necesidad y proporcionalidad. La falta de información a los trabajadores podrá ser salvada mediante información al comité de empresa.

Publicado originariamente por el autor en Legaltoday

¿Qué datos personales puede publicar una central de riesgo?, el Tribunal Constitucional se pronuncia en Perú

central_riesgo_peru

Por Cynthia Téllez Gutiérrez

El Tribunal Constitucional tomó posición respecto a los  tipos de datos personales pueden tratar y comercializar las centrales de riesgo, CEPIRS, para ello ha tomado principios rectores de la Ley de Protección de Datos Personales  como parámetros para determinar la legitimidad del tratamiento que pueden realizar las CEPIRS, el pronunciamiento principal ha sido sobre la prohibición de comercializar los datos laborales, contactos telefónicos y domicilio porque este uso no está en el ámbito de tratamiento de datos autorizado para las CEPIRS.

La sentencia delExp. Nº 03700-2010-PHD/TC del Tribunal Constitucional resolvió la demanda de un ciudadano que solicitaba a  la central de riesgo Equifax Perú  la eliminación y exclusión de toda información de deudas vigentes o anteriores, los montos de consumos en tarjetas de créditos, supresión de una deuda por considerar que la información era inexacta, y no se registren  y comercialicen todo dato relacionado a su domicilio y ocupación laboral.

Para resolver esta demanda de Habeas Data finalista, el Tribunal ha analizado, si la Ley Nº 27489, Ley que regula las Centrales Privadas de Información de Riesgos (Ley de CEPIRS) que fue modificada por la Ley Nº 27863, autoriza o no a las CEPIRS tratar y comercializar los datos personales reclamados por el ciudadano, utilizando los principios de proporcionalidad y finalidad expuestos en la Ley Nº 29733, Ley de Protección de Datos Personales,  para poder resolver estas autorizaciones de tratamiento sin previo consentimiento.

Datos de deudas y montos de consumos de tarjetas.

El Tribunal Constitucional reafirma su la posición que las CEPIRS pueden tratar información de riesgos crediticios, eso incluye información positiva y negativa de endeudamiento con entidades financieras, aclara que respecto a mostrar montos consumidos en tarjetas de créditos será un tratamiento proporcionado siempre que sean montos globales y no detalles de los consumos realizados.

En la sentencia se justifica la autorización dada por la Ley de CEPIRS  que además está respaldada por  la Ley de protección de datos personales en que la información de riesgos crediticios es necesaria para generar la confianza en el sistema financiero,  para ello se puede conocer el comportamiento  en el tiempo de los sujetos de créditos.  Por tanto, estas instituciones están  legitimados a tratar estos datos sin consentimiento del titular del dato, lo cual incluye información de deudas oportunas o tardíamente canceladas, pero manteniendo el plazo legal establecido para su difusión.

Respecto a la petición de eliminación de borrado de una deuda por considerarla inexacta, como el ciudadano no presentó ningún documento para la sustentación de esta afirmación no se procedió a su atención.

Otros datos personales: laborales, de contacto y domicilio

Recordemos que la Sentencia se circunscribe en determinar solo para el ámbito de las autorizaciones que tienen las CEPIRS dadas por su ley de creación,  para exponer y comercializar datos personales de las personas.

La Ley de CEPIRS  solo autoriza a estas entidades el tratamiento (recolección y comercialización) de datos crediticios y no otros tipos de datos. Así que el registro y comercialización de datos personales como los domicilios,  cargos laborales y números telefónicos que no son de naturaleza crediticia, y el Tribunal manda la eliminación de estos datos porque no hay proporción entre los datos recolectados y la autorización dada por Ley  de CEPIRS. Esta decisión es independiente si los datos fueron recogidos de fuentes públicas (como el caso del domicilio que fue recolectado de la consulta RUC del portal de la Sunat) o no, dado que las CEPIRS tienen delimitado legalmente los tipos de información y usos que pueden hacer usar y comercializar.

En conclusión, la precisión sobre la legitimidad de recolección y comercialización de estos datos se ha dado sobre la base si se cumple o no con la finalidad de la creación de las CEPIRS.

Criterios a aprender.

Por un lado, las entidades públicas o privadas si tienen una legislación especial que las regula, como es el caso de las CEPIRS, deberán determinar previamente a la recolección  y  usos de datos personales si estos están de acuerdo con los fines que les han sido autorizados legalmente y sin estos datos son necesarios o proporcionales para cumplir estos fines autorizados legalmente.

Por otro lado, a considerar a modo general, recordemos que la Ley de datos personales debe aplicarse en el marco de respeto de los demás derechos fundamentales, así en caso de datos personales de fuentes públicas se delimita el uso de estos datos, sin necesidad de contar con la autorización del titular del dato, a respetar los propósitos de creación y divulgación de estos bancos de datos y adicionalmente tener en cuenta los demás supuestos que esta Ley establece si se necesita o no consentimiento para el tratamiento de datos personales y los que se establezcan en otras normativas aplicables, pero aun así se establece que deben respetarse los derechos del titular del datos de poder accionar sus derechos ARCO (acceso, rectificación, cancelación y oposición) sobre estos datos cuando corresponda.

A estas excepciones para recolectar datos sin previo consentimiento, hay que  recordar el criterio establecido por la Autoridad de Protección de Datos en la resolución del caso de datosperu.org, en el cual se establece que pueden tratarse datos personales sin autorización del titular del dato si existiera una justificación de  “interés público”.  Por ejemplo, si  un medio de comunicación en la realización de investigación de periodismo en caso de corrupción divulga información que ha sido obtenida mediante una fuente de acceso público como los registros públicos , el SAT, entre otros, existirá una justificación de este tipo siempre que no se desnaturalice el propósito de publicidad de estos bancos de datos “fuentes de acceso público”, por ello, siempre se debe realizar un análisis específico en cada caso a fin de evaluar que el tipo de uso del dato  respete los principios de finalidad y proporcionalidad establecidos en la Ley de protección de datos personales.

Dato curioso

El mismo ciudadano de la presente sentencia, ya había reclamado anteriormente, en otra demanda, la eliminación de sus datos laborales y de domicilio  en una CEPIRS, el Tribunal Constitucional denegó la petición, aunque los votos estuvieron divididos habiendo  sido necesaria la intervención del Presidente del Tribunal para el voto decisorio.

Texto de la sentencia

Disponible en: http://www.tc.gob.pe/jurisprudencia/2015/03700-2010-HD.pdf

Artículo publicado originariamente por la autora en Privacy Perú.

Videovigilância: Restaurantes das “áreas de serviço” das autoestradas (Acórdão Tribunal Central Administrativo Sul, de 6 Nov. 2014)

camaras_portugal

Por João Ferreira Pinto

A Autoridade de Controlo portuguesa, a Comissão Nacional de Proteção de Dados (CNPD), viu confirmada pelo Tribunal, em 4 de dezembro de 2014 (Proc. 11195/14), a sua deliberação de não autorizar a recolha de imagens nos restaurantes das “áreas de serviço” das Autoestradas, no que diz respeito a:

  1. Zonas de refeições (cafetaria, self-service, sala de refeições, balcão e zona de mesas);
  2. Escritório;
  3. POS (Point-of-Sales);
  4. Acessos a sanitários (destinados a clientes e trabalhadores);
  5. Interior da copa das cozinhas;
  6. Corredor técnico;
  7. Entrada de serviço;
  8. Entrada da unidade;
  9. Loja;
  10. Via pública e zonas limítrofes.

Para efeitos de proteção das instalações contra vandalismo e roubo, a CNPD concedeu autorização parcial, para instalar câmaras de videovigilância apenas nos acessos às salas de refeições e na zona do cofre/depósito valores monetários nos escritórios.

No entendimento da CNPD, confirmado pelo Tribunal de recurso, o juízo de conformidade da extensão do tratamento de dados pessoais decorrentes da videovigilância nos restaurantes em causa, deve obedecer ao Princípio da proporcionalidade nos termos do art.º 5.º, n.º 1, al. c) da Lei n.º 67/98, de 26 de Outubro, Lei de Proteção de Dados Pessoais (LPDP).

O conteúdo tridimensional deste Princípio traduz-se na adequação, necessidade (ou proibição do excesso) e razoabilidade (ou proporcionalidade em sentido restrito).

A adequação proíbe a adoção de condutas administrativas inaptas para a prossecução do fim que concretamente visam atingir. A necessidade proíbe a adoção de condutas administrativas que não sejam indispensáveis para a prossecução do fim que concretamente visam atingir. E a razoabilidade proíbe que os custos da atuação administrativa sejam manifestamente superiores aos benefícios que se esperam da sua utilização.

Nas circunstâncias do caso concreto, impõe-se uma ponderação entre as medidas de segurança (videovigilância para segurança de pessoas e instalações do empregador) e a liberdade dos direitos fundamentais de clientes e trabalhadores.

Por um lado, considera a CNPD que uma finalidade genérica, preventiva ou de segurança, não constitui motivo suficiente para o empregador efetuar um controlo lícito de pessoas (clientes e trabalhadores) e bens, através da captação de imagens por videovigilância nos restaurantes. É necessário ocorrer uma situação de risco razoável para a segurança ou um perigo concreto.

Por outro lado, no que diz respeito aos direitos fundamentais, estão em causa no caso concreto, os direitos de personalidade, desde logo, o direito à imagem e reserva sobre a intimidade da vida privada e familiar dos utentes dos estabelecimentos, nas zonas de descanso e descontração (cfr. art.º 26.º da Constituição da República Portuguesa). Bem como o direito à imagem, privacidade e autodeterminação informativa dos trabalhadores (cfr. artigos 26.º, n.º 1 e 35.º, n.º 2 da Constituição da República Portuguesa). A videovigilância no interior dos locais de trabalho, com captação permanente das zonas de acesso restrito a trabalhadores, constitui um controlo do tempo e do desempenho dos trabalhadores proibido pelo Código do Trabalho (cfr. art.º 20.º).

Pelo que considera a CNPD, a videovigilância na zona da copa e nas zonas de refeições dos restaurantes das áreas de serviço, como inadequada, desnecessária e desproporcional.

O texto do Acórdão pode ser consultado através do link: http://www.dgsi.pt/jtca.nsf/170589492546a7fb802575c3004c6d7d/ec2d097c17a7033480257d8e004e55c3?OpenDocument

Comentarios a la SAN que resuelve como lícita la inspección del móvil de un alumno por parte del director de un centro escolar

movil_colePor José Luis Colom Planas

Introducción

La Sentencia de la Audiencia Nacional, objeto de este estudio, presenta una serie de peculiaridades que la hacen muy atractiva desde un punto de vista jurídico:

  • En primer lugar resuelve la legitimación del “tratamiento” de los datos personales en el Smartphone del alumno, por parte del director del colegio, basándose en la anulación del artículo 10.b del RD 1720/2007. En consecuencia resulta de aplicación directa el artículo 7.f de la Directiva 95/46/CE.
  • Se trata también de un caso de colisión entre derechos fundamentales de las personas, que exige discernir cuál de ellos debe prevalecer. Si bien la SAN no entra directamente en éstas valoraciones, yo sí que lo haré aquí.

Resumen de los antecedentes de hecho

Como resumen de lo acaecido en el colegio diré que a partir de la denuncia de una alumna de la misma clase que alegaba que el compañero le mostraba, sirviéndose de un Smartphone, vídeos “de mayores” que la importunaban, el director del centro junto a un informático de plantilla exigieron al alumno el pin y accedieron a los vídeos e histórico de navegación, inspección que corroboró las afirmaciones de la niña.

Pese a ser mi área de especialización, considero muy pobre valorar esta Sentencia exclusivamente en relación a la protección de datos personales. Como he manifestado en la introducción debería de valorarse también como una colisión de derechos fundamentales. Pasemos a analizar ambos planteamientos:

Valoración basada en la legislación en materia de protección de datos

La justificación de la Sala de lo Contencioso-Administrativo (Sección primera) de la Audiencia Nacional, se basa en el artículo 10 “Supuestos que legitiman el tratamiento o cesión de datos” del RD 1720/2007, de 21 de diciembre, que es el reglamento de aplicación de la LOPD.

El tribunal recuerda la divergencias de traducción o interpretación en el proceso de transposición de la Directiva europea 95/46/CE sobre el artículo 10.2.b del RD 1720/2007. Como consecuencia de la STJUE de 24 de noviembre de 2011, en España la STS de la sala 3ª de 8 de febrero de 2012 lo anuló por no ser conforme al artículo 7.f de la Directiva europea. Desde entonces, el referido artículo de la Directiva pasa a tener aplicación directa al ordenamiento jurídico español.

Para aquellos que no estén al corriente del efecto de tal anulación, a partir de ese momento ya no es posible afirmar que para que el tratamiento de datos personales sea lícito es necesario, cuando no conste el consentimiento del titular (ni concurran otros supuestos de excepción previstos en los artículos 6.2 y 11.2 de la LO 15/1999), que los datos consten en fuentes accesibles al público.

Dicho artículo 7.f de la Directiva establece dos únicos requisitos acumulativos para legitimar un tratamiento:

  • La necesidad de satisfacer un interés legítimo. En éste caso se satisface un interés legítimo como lo es el de preservar a una menor, y quién sabe si a los demás compañeros, de los efectos de una agresión moral.
  • Que no prevalezcan derechos y libertades fundamentales del interesado. Para analizar la prevalencia de derechos cabría decir que el ataque a la moral pública mediante pornografía, especialmente si tiene como destinatario a la infancia, cobra una intensidad superior según STC de 15 de octubre de 1982.

Valoración basada en la colisión de derechos fundamentales

Otra forma de estudiar este procedimiento es basándose en el conflicto de derechos fundamentales. Sabemos que los derechos no son absolutos y tienen límites que al colisionar deben ponderarse eludiendo reglas generales. Se evaluará cada caso en función de sus circunstancias concretas.

Los derechos en conflicto son por un lado el derecho a la protección de datos y a la intimidad personal, y por otro el derecho a la educación y a la integridad moral. Todos derechos fundamentales recogidos en la Parte Dogmática de la Constitución o de creación jurisprudencial. Deberemos discernir cuales deben prevalecer.

Si los analizamos con detalle:

  • El derecho a la protección de datos es el que garantiza a un individuo el control y la libre disposición de sus datos personales.
  • El derecho a la intimidad es el que protege todos aquellos aspectos concernientes a la vida privada de un individuo, los cuales tiene derecho a que no trasciendan a terceros.
  • El derecho a la educación Es el que garantiza el pleno desarrollo de la personalidad humana en el respeto a los principios democráticos de convivencia y a los derechos y libertades fundamentales.
  • El derecho a la integridad moral junto al derecho a la integridad física, son consecuencia del derecho a la vida plena, como se deduce del artículo 15 de la CE.

A la luz de amplia jurisprudencia constitucional y de variada doctrina sobre el carácter no ilimitado del derecho a la intimidad y el derecho a la protección de datos en su colisión con otros derechos fundamentales un criterio, que ha aplicado varias veces el TS para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es constatar que cumpla los tres siguientes requisitos o condiciones:

  • Juicio de idoneidad: Si tal medida es susceptible de conseguir el objetivo propuesto.
  • Juicio de necesidad: Si, además, es necesaria en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia.
  • Juicio de proporcionalidad en sentido estricto: Y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

Aplicando el juicio de proporcionalidad al caso que nos ocupa, obtenemos:

  • La medida fue idónea ya que su visualización sirvió para comprobar el contenido inadecuado de las imágenes y evidenciar que efectivamente fueron visionadas.
  • La medida fue necesaria, ya que no existía otra posibilidad más moderada para evidenciar los hechos. Recordemos que se hizo en presencia de un técnico informático que, si bien no era un perito, de forma dirigida solo buscó el material concreto objeto del conflicto. Está claro que no sirve como prueba pericial porque no se hizo en presencia de un secretario judicial o notario que certificara la preservación de la cadena de custodia, pero pensemos que se trataba de un menor en el centro educativo y a mi juicio los acontecimientos nunca deberían haber llegado tan lejos.
  • La medida fue proporcional en sentido estricto ya que si bien el acceso a datos personales puso en evidencia una faceta concreta del niño, hemos de recordar que la función del centro educativo es educar, es decir, corregir conductas inapropiadas a la edad, a la vez que preservar los valores y la afectación moral de los compañeros menores de edad. Quizá, dado que no existía el apremio de la urgencia, se hubiera podido retener el móvil al alumno y avisado a los padres para inspeccionarlo en su presencia contando con su consentimiento expreso (recordemos el artículo 13.1 del RD 1720/2007 tratándose de un menor), aunque vista a posteriori la actuación de éstos, podría presumirse que se negaran a su visionado.

Conclusiones

Mediante ambos planteamientos vemos que se llega a la misma legitimación de las actuaciones. En consecuencia, podemos concluir que la sentencia de la AN está bien fundada.

Ya que en esencia se trata de un conflicto entre derechos fundamentales sería posible, una vez agotada la vía judicial previa, solicitar sea admitido a trámite un hipotético recurso de amparo ante el TC.

No es aventurado afirmar sin embargo que según lo analizado aquí, basado en mi personalísima opinión, aún en el supuesto de que efectivamente fuera admitido a trámite el recurso ante el alto tribunal el fallo de la sentencia sería, con toda probabilidad, acorde al de la AN y, en consecuencia, se desestimaría el amparo.

Bibliografía consultada

Audiencia Nacional. Sala de lo Contencioso-Administrativo. Sección Primera. “Sentencia del recurso 481/2012”. 26 de septiembre de 2013.

SAN a 26 de septiembre de 2013

La Globalización del Derecho al Olvido

global_doPor Juan Ignacio Zamora Montes de Oca

Hace algunos meses el Tribunal Europeo falló un caso (Costeja vrs. Google) en donde se pone en la palestra el derecho al olvido. Este fallo, que podría considerarse un tanto ridículo desde el punto de vista de la realidad en Internet, tiene su fundamento en  la interpretación que hizo el Tribunal de las normas de protección de datos en el sentido que los motores de búsqueda pueden ser obligados a eliminar enlaces de historias que son absolutamente ciertas.

Desde que se dio el fallo, Google Europa ha estado tratando de cumplir con las más de 150.000 solicitudes que ha recibido y ha procedido a retirar de su motor de búsquedas europeo la información solicitada en los casos que corresponde, buscando la manera de cumplir con la sentencia, todo con el fin de continuar proveyendo de sus servicios a los usuarios.

La solución de Google para cumplir con lo ordenado por el Tribunal ha sido que los resultados de búsqueda de Google Europa actualmente muestren un mensaje de que existen resultados que podrían haber sido eliminados.

Como parte de este proceso, una vez que Google comenzó a retirar las historias solicitadas, procedió a alertar a los sitios web donde se encontraban los enlaces originales de que estos estaban siendo removidos del motor de búsqueda. Los propietarios de estos sitios web no contestos con esta situación empezaron nuevamente a escribir sobre los enlaces eliminados, trayendo la noticia original de nuevo a la luz pública, haciendo las mismas nuevamente visibles.

Tratando de buscar una solución a esta ya de por sí difícil situación, los reguladores europeos han enlistado filas contra Google, Yahoo y Microsoft con el fin de discutir la posibilidad de que las remociones no fueran sólo a nivel europeo sino globales, y que los buscadores no informen a los sitios web de que han retirado los links de sus historias. Esta propuesta difícilmente será aceptada por las empresas buscadoras, pues la idea de que las autoridades europeas puedan dictar el cómo los motores de búsqueda en otras partes del mundo trabajan es bastante riesgoso.

En el momento en que tribunales y reguladores en un país piensen que pueden determinar cómo los sitios web funcionen en otros países, se generará un enorme problema jurisdiccional, así como también puede ser muy peligroso el permitir que los estados opresivos puedan reclamar ellos el derecho a dictar cómo funciona la web en países con legislaciones más abiertas.

El verdadero problema aquí ha sido la interpretación que hizo el Tribunal Europeo en el caso Costeja vrs. Google, pues esta abrió una posibilidad que presenta imposibilidades para ser cumplida a cabalidad. La idea de que la información pública que está ampliamente difundida en Internet pase a “eliminarse” es una afirmación bastante difícil de aceptar en estas épocas de Internet. Si a esto le sumamos las diferencias que existen a nivel global en cuanto a las legislaciones, lo que resulta es un asunto que más que aclarar vino a generar mayor incerteza jurídica entre los usuarios de la Internet.

Acceso al correo electrónico del trabajador: ¿legal o ilegal?

correo_corporativo

Por Francisco R. González-Calero Manzanares

El Titular de este artículo puede parecer “rocambolesco”, pero define a la perfección la situación creada tras la reciente Sentencia 2844/2014 de la Sala de lo Penal de Tribunal Supremo de 16 de junio de 2014, que ha venido a alterar el estado de las cosas en lo que respecta a técnicas de monitorización y acceso al correo electrónico profesional del empleado, creando dos líneas jurisprudenciales diferentes a la hora de valorar la licitud de una prueba, lo que obligará con toda seguridad a rediseñar los protocolos, manuales, documentos y procedimientos internos relativos a la seguridad de la información y protección de datos.

Hasta ese momento, la reiterada jurisprudencia de la Sala de lo Social del Tribunal Supremo y del propio Tribunal Constitucional venían amparando estas prácticas en base a lo dispuesto en el artículo 20.3 del Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores: “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”, siempre que o bien se hubiera advertido previamente de tal circunstancia y se hubieran fijado las reglas del juego, o se hubiera prohibido total o parcialmente el uso personal de estos medios profesionales. En un primer momento, el Tribunal Supremo en su Sentencia de 26 de septiembre de 2007 ante el supuesto planteado de si la empresa puede acceder al correo electrónico del trabajador estableció que “en síntesis prevé la posibilidad de que el empresario pueda acceder al control del ordenador, del correo electrónico y los accesos a Internet de los trabajadores, siempre que la empresa de buena fe haya establecido previamente las reglas de uso de esos medios con aplicación de prohibiciones absolutas o parciales e informado de que va existir un control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos”. Posteriormente, el Tribunal Supremo da un paso más en su sentencia de 6 de octubre de 2011 en la que estableció que “si la empresa prohíbe totalmente el uso de estas tecnologías con fines particulares, ya sea dentro o fuera del horario laboral, no se puede entender que el Derecho Fundamental a la Intimidad o al Secreto de las comunicaciones opera en el uso de estos equipos”.

Es más, como hemos indicado anteriormente, el propio Tribunal Constitucional en las Sentencias STC 241/2012 y 170/2013 viene a respaldar estas tesis al entender en la primera, que ante el acceso a un programa de Chat instalado por las propias trabajadoras en un equipo multiusuario y sin clave de acceso, no cabe alegar expectativa en privacidad, máxime cuando previamente la empresa había prohibido la instalación de  este tipo de programas y en la segunda sentencia, al ratificar el despido disciplinario de un trabajador de una empresa del sector químico, que estaba pasando información a la competencia mediante el correo electrónico profesional y, en base a ello, se le despidió disciplinariamente. El TC entiende que como el Convenio Colectivo de las empresas del sector químico establece que los medios informáticos son medios profesionales, debe entenderse prohibido el uso personal de los mismos.

Llegados a este punto y retomando la Sentencia de la Sala de lo Penal, nos encontramos que sin necesidad de resolver sobre este asunto por existir suficiente material probatorio para condenar en este proceso, ante los argumentos dados por la Sentencia recurrida de la Audiencia Provincial “…el ordenador registrado era una herramienta propiedad de la empresa y facilitada por la empresa a don AAA exclusivamente para desarrollar su trabajo, por lo que entendemos que incluso en aquel supuesto en que pudiera utilizar el ordenador para emitir algún tipo de mensaje de carácter personal, entendemos que al utilizar precisamente un ordenador ajeno, de la empresa, y destinado exclusivamente para el trabajo a la empresa, estaba asumiendo -cediendo- la falta de confidencialidad -secreto- de las comunicaciones que pudiera tener el señor AAA utilizando tal terminal informático“, el Tribunal Supremo decide a través de un Obiter Dicta establecer su doctrina en esta materia.

Partiendo de las sentencias de la Sala de lo Social del Tribunal Supremo y del Tribunal Constitucional analizadas anteriormente, entiende que estas argumentaciones deben quedar delimitadas en el ámbito exclusivo de la jurisdicción social y no así en la penal, disponiendo que “a nuestro juicio, el texto constitucional es claro y tajante cuando afirma categóricamente que:-se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial-”.

Continua afirmando el Tribunal Supremo que: “no contempla, por tanto, ninguna posibilidad ni supuesto, ni acerca de la titularidad de la herramienta comunicativa (ordenador, teléfono, etc. propiedad de tercero ajeno al comunicante), ni del carácter del tiempo en el que se utiliza (jornada laboral) ni, tan siquiera, de la naturaleza del cauce empleado (“correo corporativo”), para excepcionar la necesaria e imprescindible reserva jurisdiccional en la autorización de la injerencia”. Y que tampoco una renuncia tácita a ese derecho puede convalidar la ausencia de intervención judicial.

Con todo ello, la propia Sentencia fija claramente el panorama actual en el que nos encontramos. En el caso de los correos electrónicos sin abrir por el destinatario, rige la protección constitucional que otorga el artículo 18.3 de la Carta Magna al secreto de las comunicaciones, y para los que ya han sido abiertos por el destinatario y otros aspectos susceptibles de control como los datos del tráfico, historial de navegación Web o acceso al disco duro, rige la protección del artículo 18.1 del derecho a la intimidad y 18.4 a la protección de datos personales, por lo que su control e intervención vendría amparada si se cumplen los requisitos fijados por las Sentencias del Supremo y Constitucional analizadas con anterioridad.

No obstante, aunque el Tribunal Supremo fija su doctrina para la válida aportación como prueba a un proceso penal de un correo electrónico, que fue abierto antes de que lo hiciera el destinatario del mismo, a la vista de la doctrina creada se puede entender que no solamente afecta a los correos electrónicos, sino a cualquier sistema de mensajería instantánea y Chat que permita establecer una comunicación entre dos o más personas.

Como bien señala Javier Aparicio Salom en su artículo publicado en el Diario Expansión el 4 de septiembre de 2014, “… a pesar de la claridad de esta sentencia, el tema sigue sin resolverse definitivamente. En efecto, no es posible ignorar la corriente doctrinal elaborada por el Tribunal Constitucional (Sentencia 142/2012 FJ 3) que, siguiendo la Sentencia del Tribunal Europeo de Derechos Humanos de 3-04-07, Caso Copland vs. Reino Unido, extiende el concepto de medios de comunicación y, por tanto, el ámbito de protección del 18.3 CE, no solo a los mensajes en curso y no abiertos, sino a todos los mensajes y a los datos de tráfico”, lo que lleva al autor a plantearse que puede ser constitutivo de delito la investigación sin autorización judicial de mensajes y de los datos de su envío o recepción, así como los relativos a las llamadas en base a la mencionada Sentencia “… concepto de secreto de la comunicación cubre no sólo el contenido de la comunicación, sino también otros aspectos de la misma, como la identidad subjetiva de los interlocutores, por lo que queda afectado por este derecho tanto la entrega de los listados de llamadas telefónicas por las compañías telefónicas como también el acceso al registro de llamadas entrantes y salientes grabadas en un teléfono móvil”.

Es más, a nuestro entender la falta e intervención judicial podría conllevar el incurrir en un delito de descubrimiento y revelación de secretos regulado en el artículo 197.1 del Código Penal cuyo tipo penal es el siguiente: “el que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación…”, en concordancia con el artículo 199.1 que lo especializa en relación con el oficio o relaciones laborales. Todo ello a tenor con lo dispuesto en reiteradas Sentencias del Tribunal Constitucional, entre otras la 142/2012, al entender sobre contenido del derecho al secreto de las comunicaciones del artículo 18.3 que “… consagra la interdicción de la interceptación o del conocimiento antijurídico de las comunicaciones ajenas, por lo que dicho derecho puede resultar vulnerado tanto por la interceptación en sentido estricto –aprehensión física del soporte del mensaje, con conocimiento o no del mismo, o captación del proceso de comunicación – como por el simple conocimiento antijurídico de lo comunicado –apertura de la correspondencia ajena guardada por su destinatario o de un mensaje emitido por correo electrónico o a través de telefonía móvil, por ejemplo –“.

A la vista de lo anterior, independientemente del uso que se le quiera dar a ese correo electrónico (amonestación, despido disciplinario, querella criminal o denuncia), con esta doctrina nos encontramos ante la disyuntiva de leer o no leer un correo electrónico con anterioridad a que lo haga su destinatario y sus posibles implicaciones legales. No cabe duda que esta línea jurisprudencial obliga a replantearnos muchos protocolos como por ejemplo, qué hacer con la cuenta de correo electrónico de un antiguo empleado a la que pueden seguir entrando correos electrónicos. Quizá por precaución lo lógico sería que automáticamente y durante un periodo lógico de tiempo saltara un mensaje de error en el que se facilitaran otras vías y personas de contacto con la entidad, aunque como acabamos de señalar esto es sólo un ejemplo de la casuística que en esta materia se va llegar a producir.

Publicado originariamente por el autor en El Derecho.

El derecho a la intimidad y al honor en Internet

sentencia_arg

Por María Julia Giorgelli

Este martes, la Corte Suprema de Justicia de la Nación rechazó la demanda que la modelo María Belén Rodríguez había presentado contra Google Inc y Yahoo de Argentina SRL, a quienes le había pedido una indemnización por daños y perjuicios a los buscadores Google Inc y Yahoo de Argentina SRL por considerarlos responsable del uso comercial no autorizado de su imagen y que se habían avasallado sus derechos personalísimos al habérsela vinculado a determinadas páginas de contenido erótico y/o pornográfico.

Más allá de su resolución final, el caso reviste suma importancia. Por un lado, por la jerarquía del tribunal que emitió el pronunciamiento, pero también se rescata la importancia de cierta doctrina y el procedimiento participativo empleado. La Corte consideró necesario oír argumentos y posturas de personas e instituciones destacadas en la materia mediante la herramienta conocida como “amigos del tribunal”. Así, se llevaron a cabo dos jornadas de audiencias en las que se oyeron diferentes opiniones. En esa oportunidad, la Defensoría del Pueblo solicitó intervenir y, si bien finalmente ello no fue admitido, sí pudieron acercarse sus argumentos en un escrito. Allí destacó la legitimidad de participar en ese proceso toda vez que el organismo posee competencia específica en materia de protección de datos personales por aplicación de la ley local 1845 y su decreto reglamentario 725/07.

En concreto, se recalcó la necesidad de garantizar el derecho al honor y la protección a la intimidad por parte de los buscadores de Internet considerando que son responsables una vez que fueron notificados de la vulneración del derecho a la privacidad y la protección de datos personales. En cuanto a la forma de solicitar la baja, la Defensoría mantuvo una postura más amplia y garantista, esto es, la innecesaridad de judicializar la cuestión: “ello debiera ocurrir una vez que son notificados por algún sujeto de la vulneración de estos derechos y sin necesidad de intervención judicial, mediante procesos sencillos y accesibles que hoy no se dan. Que si ello no sucediera oportunamente los mismos incurren en responsabilidad”.

En buena hora, sobre este aspecto, la mayoría del tribunal reconoce la responsabilidad subjetiva de los buscadores tal como lo ha sentado la Defensoría en el escrito referido y en diversas actuaciones donde se ha acudido directamente ante los buscadores. Sobre el procedimiento o modalidad de pedido, la Corte entiende que no es suficiente que ello sea solicitado por el afectado directo y aclara que en casos en que el contenido dañoso lesione el honor corresponde exigir la notificación judicial pero admite también la administrativa competente, tema que estaba en duda por alguna doctrina.

En conclusión, la Defensoría celebra que la Corte haya reconocido la protección del derecho al honor en la web. A partir de este fallo, no hay dudas de la competencia de la Dirección de Protección de Datos Personales de la institución para solicitar la baja de contenidos en el marco de la competencia que otorga la ley de protección de datos personales. Esa potestad constituye un aspecto esencial para lograr la efectiva protección de los datos personales, que en definitiva es un  derecho humano fundamental plenamente vigente en Internet.

¿Derecho al olvido y lista Clinton?

lista-clinton

Por Nelson Remolina Angarita

Desde la Sentencia T-414 de 1992, la Corte Constitucional introdujo la expresión “derecho al olvido”, sosteniendo que los datos negativos no pueden tornarse perennes ni mantenerse indefinidamente, porque implicarían una condena de por vida a una persona, una especie de prisión que la Corte denominó “la cárcel del alma”.  En efecto, aunque la persona no está encerrada en una cárcel de cemento y hierro, sí está padeciendo un sufrimiento interno y perpetuo por la divulgación, uso y no eliminación de información negativa.

La Sentencia C-185 del 2003 es muy clara en establecer que “la información negativa u odiosa, es decir aquella que asocia una situación (no querida, perjudicial, socialmente reprobada o simplemente desfavorable) al nombre de una persona, esté sometida a un término de caducidad bajo la idea de su permanencia limitada en el tiempo”. La eliminación de esa información negativa debe ser total, definitiva y no puede guardarse o trasladarse a otras bases de datos secretas u oscuras (C-1011/08, T-176/95, T-119/95).  

Como es sabido, algunas personas inocentes fueron incluidas en la lista Clinton y luego de una revisión minuciosa y exhaustiva por parte de las autoridades norteamericanas fueron excluidas de la misma, toda vez que esas mismas autoridades reconocieron que incurrieron en un error. Pero la pesadilla para esas personas no ha cesado debido a que en Colombia algunas organizaciones tienen dos bases de datos: en una incluyen a las personas que actualmente están en la lista Clinton y en otra a las que estuvieron en dicho listado. Así las cosas, las personas que estuvieron en la lista Clinton siguen condenadas por los responsables o encargados de este tipo de base de datos, la cual no solo es abiertamente inconstitucional, sino que es una práctica abusiva que, según la Corte Constitucional, consiste en “confeccionar listas negras” (C-1011/08).

En el caso de las personas que no debieron estar en la lista Clinton se está difundiendo información errónea y negativa. El aspecto negativo de la persona nunca fue cierto. Se trata de un dato negativo equivocado sobre el cual la Corte ha dicho que “es evidente que la permanencia del dato negativo equivocado causa, minuto a minuto, enorme daño a la persona, por lo cual es indudablemente contraria a la Constitución y altamente ofensiva para la dignidad del individuo” (T-303/98.)

Las personas inocentes, honorables y decentes que por error fueron incluidas en la lista Clinton y que luego fueron excluidas de dicho listado, continúan pagando una pena eterna por cuenta de las entidades que mantienen la base de las “personas que estuvieron en la lista Clinton”. Esto es manifiestamente contrario a postulados fundamentales de nuestra Constitución que prohíben las penas perpetuas y que exigen el respeto de la dignidad humana y de los derechos al buen nombre y a vivir en paz, libre de cualquier sospecha. La existencia de esas bases de datos no solo es ilegal y deshonesta, sino que es un típico ejemplo del delito de violación de datos personales.   

En síntesis, en Colombia debe eliminarse cualquier práctica o intento de convertir en deporte nacional el jugar con el buen nombre, la honra y la dignidad de las personas. El artículo 2º de nuestra Constitución ordena a las autoridades proteger la honra, derechos y libertades de las personas. Por eso, tanto la Delegatura de Protección de Datos de la Superintendencia de Industria y Comercio, como la Superintendencia Financiera están en la obligación constitucional de investigar lo que está sucediendo en Colombia con las bases de datos sobre “personas que estuvieron en la lista Clinton” y emitir instrucciones a todas las organizaciones para que cesen de utilizar dicho listado, lo eliminen de una vez por todas y lo dejen en el olvido definitivo.

Artículo publicado originariamente por el autor en Ambito Jurídico.

El acceso al correo electrónico corporativo, como medio de prueba, según se contempla en dos jurisdicciones: la social y la penal

correo_corporativo

Por José Luis Colom Planas

1. LEYES HABILITADORAS

El control empresarial sobre el uso por parte de los trabajadores de los medios informáticos de la empresa, incluido el correo electrónico,  se encuentra en España directamente fundamentado en la potestad empresarial de vigilancia y control atribuida por el artículo 20.3 del Real Decreto Legislativo 1/1995, de 24 de marzo, conocido como la LET (Ley del Estatuto de los Trabajadores). [2]

 “3.  El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

(Vid. STC 98/2000, de 10 de abril; STC 186/2000, de 10 de julio; STC 241/2012, de 17 de diciembre).

No obstante, el control queda sujeto a los siguientes límites para que resulte lícito:

  • Que se hayan establecido previamente las reglas de uso de los medios puestos a disposición del trabajador, ya sean prohibiciones absolutas o parciales.
  • Que se informe a los trabajadores de que va a existir control de dichos medios.
  • Que igualmente se informe a los trabajadores de los métodos de control que van a ser usados para fiscalizar el uso de esos medios.

Si bien el tercer límite no siempre ha sido recogido por la jurisprudencia o la doctrina, considero que, en caso de duda  la legitimación debería ser objeto de consideración restrictiva, prevaleciendo la interpretación proclive a la protección de los derechos fundamentales, conforme establece reiterada jurisprudencia del Tribunal Constitucional.
No obstante veremos que estos límites son adecuados para la admisión de pruebas en la jurisdicción social,  mientras que para la jurisdicción penal no serán suficientes.

2. TESITURA ENTRE CONSIDERAR AL EMAIL COMUNICACIÓN O FICHERO

La cuestión se plantea para llegar a discernir en que momentos, o diferentes estadios en los que se puede encontrar, un correo electrónico debe considerarse un fichero, o bien,  una comunicación de datos.

Esta tesitura es importante ya que determinará la Ley aplicable en el hipotético caso de producirse su violación.

Podríamos contemplar esquemáticamente diferentes topologías de red, para el proceso de gestionar los correos electrónicos en un entorno empresarial, que nos ayudarán a entender las diferentes fases durante su tránsito:

  • Servidor de Correo corporativo local.En este caso, los mensajes circulan directamente desde el emisor hasta el servidor de correo corporativo. Éste está instalado normalmente en el CPD de la compañía (aunque podría estar externalizado). El encaminamiento de los correos se logra gracias al registro “MX”, asociado al nombre de dominio que es utilizado en la empresa (por ejemplo “empresa.es”), dónde se le vincula la dirección IP pública de su propio servidor de correo. Los usuarios mediante una “App cliente de correo” o “un navegador”  se conectarán al servidor de correo corporativo en modo local, desde la propia red local de la empresa, o en modo remoto, a través de Internet desde fuera del perímetro de la empresa.
  • Servicios de correo contratados a un Internet Services Provider (ISP).En este caso, los correos electrónicos procedentes del emisor, se direccionan hacia un “Servidor virtual”, por ejemplo en el CLOUD, propiedad del ISP donde se almacenan los buzones asociados a las cuentas contratadas de correo. Los usuarios, mediante una “App cliente de correo” o “un navegador”,  se conectarán al servidor de correo corporativo siempre en modo remoto a través de Internet, no importando que estén dentro o fuera del perímetro de la empresa. Una vez conectados visualizarán, replicarán o extraerán los correos de su cuenta, en función de la configuración establecida.

Cabe considerar que puede existir una combinación de ambas topologías básicas, aunque estos entornos combinados eran más habituales en el pasado pretérito que ahora.

En relación al estadio concreto en que se encuentran los correos electrónicos, podemos discernir:

  • Tránsito desde el emisorhasta el Servidor de correo virtual del ISP que actúa como prestador de servicios de correo o hasta el Servidor de correo local. Es evidente que se trata de una comunicación pura de datos, pese a que se almacene transitoriamente en posibles nodos intermedios encaminadores de Internet que no consideraremos en este estudio.
  • Almacenamiento en el Servidor de correo virtual del ISP en espera de ser capturado o accedido por el destinatario de ese correo, que es el usuario de la cuenta de correo corporativo que le ha sido asignada. Podría considerarse comunicación de datos, dado que mientras no se contacte con el Servidor del ISP no será posible recibir, o simplemente leer,  de forma fehaciente el mensaje. Deberá estudiarse con detenimiento cada caso concreto así como el contrato de servicios suscrito.  Podríamos equipararlo a una carta en el correo postal ordinario que se encuentre almacenada en una cesta de la oficina de correos. Igualmente se considera “en tránsito” aunque esté retenida en espera del reparto previsto para el día siguiente o hasta el momento en que el interesado vaya personalmente a buscarla. En consecuencia la intervención del buzón de correos en el ISP podría llegar a considerarse violación del secreto de las comunicaciones, a no ser que tuviéramos la certeza de que los mensajes ya hubieran sido leídos por el destinatario. Esto último es muy difícil de instrumentar.
  • Almacenamiento en el Servidor de correo corporativo.Es análogo al anterior, pero con una “oficina de correos privada” en la propia empresa.Será el caso que requerirá de mayor atención para discernir si los consideramos ficheros de datos o correos en tránsito equiparables a comunicación de datos. Lo que es innegable es que allí se almacenan previamente todos los correos en espera de ser leídos y, durante determinado período de retención configurado, los que ya lo han sido.
  • Tránsito desde el Servidor de correo (ISP o privado)hasta la App de correo o el navegador. Se considerará comunicación de datos por lo que toda injerencia desde la red podría considerarse una violación de las comunicaciones.
  • Almacenamiento en la App de correo(por ejemplo en el archivo tipo “.pst” de un cliente tipo Outlook) de los correos importados quedando registrados en el disco duro o la memoria, según la tecnología, del equipo terminal (PC, tableta, Smartphone…).  Cuando el e-mail queda almacenado en el equipo operado por el trabajador cabría pensar que ha experimentado una metamorfosis jurídica, pasando de considerarse “comunicación” a hacerlo como “fichero de datos”. Ante tal circunstancia no podrá considerarse sujeto a la Ley 9/2014, de 9 de mayo, de Telecomunicaciones (LT) estándolo, si acaso, a la LO 15/1999, de 13 de diciembre, de protección de datos personales (LOPD). Tal afirmación veremos que no es literalmente aplicable cuando nos encontremos ante la jurisdicción penal, en cuyo caso deberá matizarse un poco más.

3. LA JURISDICCIÓN SOCIAL (LABORAL) Y EL CONTROL DEL EMAIL

Partiremos de la Sentencia de la Sala 1ª del TC a 7 de julio de 2013, en el recurso de amparo 2907/2011. [3]

Según ha tenido ocasión de reiterar el Tribunal Constitucional, el contrato de trabajo no puede considerarse como un título legitimador de recortes en el ejercicio de los derechos fundamentales que incumben al trabajador como ciudadano. No obstante, la inserción en la organización laboral modula aquellos derechos en la medida estrictamente imprescindible para el correcto y ordenado desenvolvimiento de la actividad productiva de forma proporcional y adecuada a la consecución de tal finalidad.

Los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empresario a tal fin a los trabajadores.

Ante una prohibición expresa del uso extra-laboral del correo electrónico corporativo, y de acreditarse haber informado fehaciente a los trabajadores de que va a existir control efectivo sobre el correo electrónico propiedad de la empresa y que ésta ha puesto a disposición de los mismos con la finalidad exclusiva de facilitar su desempeño profesional, cabe entender que no puede existir una expectativa fundada y razonable de confidencialidad respecto al conocimiento de las comunicaciones mantenidas por el trabajador a través de la cuenta de correo proporcionada por la empresa.

De todo lo anterior se desprende que, en la jurisdicción social [ámbito laboral], la adscripción fehaciente del trabajador a unas normas de uso que habiliten a la empresa para implantar las medidas acordadas en ellas de vigilancia y control, legitimarán la obtención de correos electrónicos como prueba.

4. PREVALENCIA DE LA JURISDICCIÓN PENAL

Aunque solo afecte de forma tangencial a esta línea argumental, es jurídicamente reconocido en relación a las cuestiones prejudiciales, que se incluyan en el sistema de separación jurisdiccional aquellas cuestiones prejudiciales relevantes para la resolución de la causa principal. Si surge la existencia de una vía penal abierta deberá suspenderse el procedimiento principal, hasta que recaiga resolución de los órganos penales, dejando patente con ello la prevalencia de la jurisdicción penal sobre el resto (civil, contencioso-administrativo, social). [4]

Una posible argumentación la tenemos en que la jurisdicción penal ha de dar una respuesta rápida, justa y eficaz contra los autores de un hecho delictivo. El juez penal ejercita ius punendi del Estado, ya que es la misión que tiene encomendada tanto por la CE como por la LOPJ.

¿Se podría extender esa prevalencia de la jurisdicción penal en las cuestiones prejudiciales a todo el ámbito de la administración de justicia?

Mediante criterios estrictamente materiales, podríamos postular que sí, encontrando su fundamento en:

  • La relevancia de los bienes e intereses protegidos por las normas penales que afectan a toda la sociedad.
  • Que el proceso penal está regido por los principios de legalidad, imparcialidad y oficialidad, encontrándose ajeno a la autonomía de la voluntad.

En consecuencia, no debería ser motivo de sorpresa que la jurisdicción penal gozara de ciertas peculiaridades, traducidas en mayores garantías, en relación a todas las fases del proceso, incluida la probatoria. Especialmente si existe el riesgo razonable de que para la obtención de las evidencias se conculquen derechos fundamentales de las personas.

5. LA JURISDICCIÓN PENAL Y EL CONTROL DEL EMAIL

La STS 2844/2014 de la Sala Segunda, de 16 de junio, en el Recurso de Casación 2229/2013, se aparta de la línea jurisprudencial habitual para la jurisdicción social (laboral) en relación a la validez  de la evidencia probatoria del correo electrónico corporativo obtenida ejerciendo el poder de inspección y control  atribuido a la empresa mediante la habilitación que otorga el artículo 20.3 de la LET.

Las mayores garantías a que me refería antes que deben contemplarse en la jurisdicción penal, se concretan en la STS 2844/2014 mediante la introducción de una importante distinción a tenor de uno de los atributos que califica a todos los mensajes de correo electrónico:

Los mensajes de correo que ya han sido abiertos, o leídos, por su destinatario, pasan a ser considerados ficheros de datos.

Los que permanecen cerrados o, todavía no leídos, se ven afectados por el secreto de las comunicaciones.

El alto tribunal declara que para acceder a estos últimos se requiere disponer previamente de autorización judicial en virtud del derecho fundamental al secreto de las comunicaciones y en concordancia con el artículo 579 de la LECRIM.

Anteriormente la STC 114/1984, de 29 de noviembre de 1984, [5] en el recurso de amparo núm. 167/1984 promovido contra la Sentencia de la Magistratura de Trabajo núm. 4 de Alicante, de 10 de mayo de 1983, en los fundamentos jurídicos se expresa:“El derecho al «secreto de las comunicaciones… salvo resolución judicial» no puede oponerse, sin quebrar su sentido constitucional, frente a quien tomó parte en la comunicación misma así protegida. Rectamente entendido, el derecho fundamental consagra la libertad de las comunicaciones, implícitamente, y, de modo expreso, su secreto, estableciendo en este último sentido la interdicción de la interceptación o del conocimiento antijurídico de las comunicaciones ajenas. El bien constitucionalmente protegido es así -a través de la imposición a todos del «secreto»- la libertad de las comunicaciones, siendo cierto que el derecho puede conculcarse tanto por la interceptación en sentido estricto (que suponga aprehensión física del soporte del mensaje -con conocimiento o no del mismo- o captación, de otra forma, del proceso de comunicación) como por el simple conocimiento antijurídico de lo comunicado(apertura de la correspondencia ajena guardada por su destinatario, por ejemplo).

Consecuentemente con este criterio del Tribunal Constitucional, la apertura ilegítima de un correo electrónico cerrado, aunque estuviera almacenado estáticamente en el equipo terminal de un usuario, constituiría una violación del secreto de las comunicaciones al considerarse conocimiento antijurídico de lo comunicado. El secreto de las comunicaciones como norma constitucional se dirige inequívocamente a garantizar su impenetrabilidad por terceros ajenos a la comunicación misma. Posee eficacia erga omnes.

En esta sentencia la Sala de lo Penal considera conveniente, “en aras a fijar una clara doctrina en materia de tanta trascendencia, salir al paso de ciertas afirmaciones rotundas (…)”.

Concretamente, las afirmaciones argumentales incluidas en la Resolución de Instancia: “…el ordenador registrado era una herramienta propiedad de la empresa y facilitada por la empresa [al trabajador] exclusivamente para desarrollar su trabajo, por lo que entendemos que incluso en aquel supuesto en que pudiera utilizar el ordenador para emitir algún tipo de mensaje de carácter personal, entendemos que al utilizar precisamente un ordenador ajeno, de la empresa, y destinado exclusivamente para el trabajo a la empresa, estaba asumiendo -cediendo- la falta de confidencialidad -secreto- de las comunicaciones que pudiera tener el [trabajador] utilizando tal terminal informático”, son argumento utilizados en el ámbito jurisdiccional de lo social y que han de quedar restringidos al ámbito de la jurisdicción laboral. En modo alguno procede que se extiendan al enjuiciamiento penal.

Según la Sentencia del TS, el  texto constitucional en su artículo 18.3 es claro y tajante cuando afirma categóricamente que  “Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvoresolución judicial”.

No contempla, por tanto, ninguna posibilidad ni supuesto para excepcionar la necesaria e imprescindible reserva jurisdiccional en la autorización de la injerencia:

  • Ni acerca de latitularidad de la herramienta comunicativa (ordenador, teléfono, etc. propiedad de tercero ajeno al comunicante).
  • Ni del carácter deltiempo en el que se utiliza (jornada laboral).
  • Ni, tan siquiera, de lanaturaleza del cauce empleado (“correo corporativo”).

Tampoco una supuesta “renuncia tácita” al derecho fundamental que protege el secreto de las comunicaciones puede convalidar la ausencia de intervención judicial:

De una parte porque obviamente la “renuncia” a la confidencialidad, o secreto de la comunicación, no se produce ni es querida por el comunicanteque, de conocer sus consecuencias, difícil es imaginar que llevara a cabo la comunicación objeto de intervención.

Y, de otra parte, porque ni aun cuando se entienda que la “renuncia- autorización” se haya producido, resultaría operativa ya que, a diferencia de lo que ocurre con la protección del derecho a la inviolabilidad domiciliaria (art. 18.2 CE), la Carta Magna española no prevé, por la lógica imposibilidad para ello, la autorización del propio interesado como argumento habilitante para la injerencia.

De todo lo anterior se desprende que, en la jurisdicción penal, la adscripción fehaciente del trabajador a unas normas de uso que habiliten a la empresa para implantar las medidas acordadas en ellas de vigilancia y control, legitimarán la obtención de correos electrónicos como prueba, excepto para los correos que todavía no han sido abiertos ya que su consulta significaría una violación del secreto de las comunicaciones quedando invalidadas al haber sido obtenidas ilícitamente, salvo resolución judicial previa.

En este punto creo interesante aportar una apreciación de Carlos Gómez-Jara en su artículo “Investigaciones internas y correo corporativo: un nuevo criterio para su validez jurídico-penal” donde dice: “La distinción [entre correo leído y no leído] se puede prestar a abusos – por ejemplo, mediante la utilización de la función de “marcar como no leído” – y puede precisar de ulteriores matizaciones – fundamentalmente, en el ámbito de los correos enviados, donde pudiera resultar excesivamente gravoso probar si el destinatario ha abierto o no el mensaje enviado -.

Serán los peritos informáticos especializados los que validarán la viabilidad tecnológica de discernir si un correo leído y vuelto a marcar como “no leído” deja alguna evidencia rastreable de su doble cambio de atributo.

6. CUADRO RESUMEN

Tipos de Normas Legislaciónaplicable Jurisdicción Social Jurisdicción penal
Protección de datos 18.4 CE PromulgarNormas de uso del correo electrónico corporativo Correos electrónicos que han sido abiertos por destinatario PromulgarNormas de uso del correoelectrónico
Intimidad documental 18.1 CE
Secreto de las comunicaciones 18.3 CE579 LECRIM Correos cerrados Resolución judicial

BIBLIOGRAFÍA CONSULTADA

1] STS 2844/2014 de la Sala Segunda, de 16 de junio. Recurso de Casación 2229/2013.

STS 2844/2014
[2] BOE. “Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores”. Ministerio de Trabajo y Seguridad Social. TEXTO CONSOLIDADO. Última modificación: 3 de agosto de 2013.

Ley del Estatuto de los Trabajadores

[3] José Luis Colom. “Control empresarial del correo electrónico corporativo. Análisis de la Sentencia de la Sala 1ª del TC a 7-10-2013, en el recurso de amparo 2907/2011”. Blog Aspectos Profesionales. 12 de octubre de 2013.

Control empresarial del correo electrónico

[4] José María Romero Tejada. (Teniente fiscal del Tribunal Superior de Justicia de Cataluña). “Prejudicialidad penal. Incidencia en la actividad administrativa”. Fundación Democracia y Gobierno Local. p 153 a 159. Junio 2009.

[5] STC 114/1984, de 29 de noviembre de 1984. “Recurso de amparo núm. 167/1984 promovido contra la Sentencia de la Magistratura de Trabajo núm. 4 de Alicante, de 10 de mayo de 1983”.

STC 114/1984

La internacionalización del derecho al olvido y el ‘efecto Streisand’

delete_cuesta

Por Alberto Cuesta Ureña

Tan solo han transcurrido algo más de dos meses desde que irrumpió en el mundo de la privacidad la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre el famoso caso Google y el derecho al olvido. Esta sentencia posibilita a los ciudadanos borrar sus datos y la huella que han dejado en la red si este hecho les causa algún perjuicio. Al mismo tiempo, aclara que Google debe acatar la regulación sobre protección de datos que emana de los legisladores e instituciones de la Unión Europea (U.E).

Dos son los principales efectos que observo con el paso de las semanas ante esta resolución judicial que entran en conflicto: la reclamación de la internacionalización del derecho al olvido y el “efecto Streisand”.

Por una parte, respecto a la demanda de globalización del derecho al olvido,  hay que recordar que esta decisión del TJUE en base al principio de territorialidad ampara únicamente a los ciudadanos que forman parte de la U.E, individuos que por tanto disfrutan de mayores derechos frente a Google en relación a personas del resto del mundo. Los mismos disponen de un formulario facilitado por el buscador, mediante el cual pueden solicitar el borrado de enlaces y que ha recibido innumerables peticiones desde que fue puesto a disposición de los ciudadanos. Otros buscadores siguen el ejemplo como Bing, el buscador de Microsoft, que ha creado un formulario muy parecido al de Google. Los afectados tienen que identificarse y concretar qué páginas quieren que salgan de los resultados. Microsoft acepta peticiones para no mostrar resultados en el buscador de informaciones que sean “falsas o poco precisas; incompletas o inadecuadas; desfasadas o excesivas”. 

Como se puede comprobar, esta situación es injusta para los ciudadanos que no pertenecen a la U.E puesto que no disponen de un mecanismo análogo. Por ello, ya se escuchan voces en distintos Estados que reclaman la extensión del derecho al olvido más allá de las fronteras europeas. En las últimas semanas un grupo de parlamentarios chilenos presentó un proyecto destinado a reconocer el “derecho al olvido”. Un tribunal de Canadá se ha mostrado a favor de la retirada de enlaces no solo del buscador Google en el país www.google.ca, sino también en www.google.com, lo que supone, la aplicación del derecho al olvido a nivel mundial. En numerosas legislaciones el derecho al olvido ya está regulado, puesto que como sabemos el mismo se basa en el derecho de cancelación. A modo de ejemplo, en Uruguay se contempla legalmente desde 2008, aunque son muy pocos los ciudadanos que lo conocen. Desde la aparición de la resolución europea y en base a su gran difusión, se han generado intensos debates en todo tipo de foros jurídicos, legislativos y ciudadanos de muchos Estados. Ello está propiciando que se inste a Google a eliminar enlaces por parte de ciudadanos residentes fuera de la U.E que consideran que les perjudica una determinada información indexada en el buscador.

Por otro lado, otra de las consecuencias de la sentencia y que entra en confrontación con lo comentado, es el ‘efecto Streisand’ que está afectando plenamente al caso Google y al derecho al olvido. Se denomina con este término al intento de ocultar una información que finalmente adquiere una repercusión insospechada. Lo mismo que le sucedió a la afamada actriz y cantante Barbara Streisand y la fotografía de su casa de la costa Californiana cuando intentó que se retirara de un website. Pues bien, en el supuesto en el que nos encontramos, ya han surgido las primeras páginas webs que enumeran y facilitan los enlaces que desde Google están eliminando. Desde http://hiddenfromgoogle.com/ podemos comprobar cuáles son los últimos contenidos que desde el buscador han desindexado. A día de hoy este tipo de websites no son muy conocidos por el internauta medio, pero esta u otras páginas similares, puede que en el futuro sean una referencia y minimicen los efectos del ejercicio del derecho al olvido. Otro ejemplo del ‘efecto Streisand’ ocurre en el propio caso Google, a día de hoy todos sabemos quién es el señor Mario Costeja y el tipo de embargo que sufrió, cuando su intención era todo lo contrario…

Del ‘efecto Streisand’ desconocemos hasta qué punto puede desarrollarse y afectar a la efectividad del ejercicio del derecho al olvido por parte de los ciudadanos, pero lo que es seguro que en la esfera de Internet, deben existir voces críticas ante derechos que si son ejercidos sin control pueden perjudicar a la naturaleza libre y neutral de la red de redes. Se han eliminado enlaces incluso de Wikipedia y ello ha provocado que se considere censura al ejercicio de este derecho.

Por lo tanto, ante un escenario en Internet tan complejo como en el que nos encontramos: por un lado, con una normativa estricta de privacidad en la U.E.; por otro lado, con un movimiento que lucha por un Internet en el que toda información pueda permanecer accesible e indexada en los buscadores; y finalmente, con legisladores de países no pertenecientes a la U.E., que intentan incrementar la protección de la privacidad de sus ciudadanos para que también les ampare el derecho al olvido, es necesario establecer las normas del juego claramente en textos legales, no solo regionales, y sí internacionales, que vinculen a todos los actores implicados a nivel mundial. De esta forma se evitarían costes en tiempo y dinero acudiendo a terceros para que resuelvan las controversias (buscadores o tribunales de justicia). Por último, debo decir que la sentencia del TJUE es un importante paso en aras de alcanzar la protección de la privacidad de los ciudadanos, pero al mismo tiempo provoca que existan ‘navegantes’de primera y de segunda en la red a nivel internacional. En una realidad como es la de Internet, esencialmente globalizado, uno de los aspectos que se deben asegurar es la igualdad de derechos a todos los ciudadanos del planeta en la protección de su vida privada y personal al navegar.

Artículo publicado orginariamente por el autor en El Derecho.