Politica de desconexión digital

POLÍTICA DE DESCONEXIÓN DIGITAL; NOVEDADES EN GEOLOCALIZACIÓN Y CONTROL DE JORNADA LABORAL.

 

POLÍTICA DE DESCONEXIÓN DIGITAL; NOVEDADES EN GEOLOCALIZACIÓN Y CONTROL DE JORNADA LABORAL.

 

En el post de hoy: (i) hablaremos de la política de desconexión digital y la nueva obligación de registrar el inicio y fin de la jornada laboral, de acuerdo con el Real Decreto Ley 8/2019 de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.

(ii) Comentaré también unas resoluciones relevantes recientes en materia de tratamiento laboral del dato de geolocalización y control de horario laboral por dato biométrico.

(iii) Además, ooojo al dato, este post incluye la posibilidad de descargar gratuitamente mi modelo de política de desconexión digital. Pero por favor, no me tire, no me tire del brazo, oiga, eso en un momentín.

Enlace de descarga al documento de politica de desconexión digital aquí.

politica de desconexion digital

1.- GEOLOCALIZACIÓN. EL PROYECTO TRACKER DE TELEPIZZA: EL SECRETO ESTÁ EN LA MASA

La Audiencia Nacional declaró recientemente la nulidad del Proyecto Tracker de Telepizza por su defectuoso cumplimiento de las normas aplicables a sistemas de control laboral via geolocalización, transparencia en el tratamiento de datos y proporcionalidad del mismo, en relación con el fin perseguido.

Proyecto Tracker: un gran ejemplo de cómo no hacer las cosas

 

El “Proyecto Tracker” implicaba la obligación para el trabajador con categoría de repartidor, de aportar a la actividad empresarial un teléfono móvil con conexión interna de su propiedad, en el que se instalaba la aplicación informática de la empresa que permite la geo localización el dispositivo del trabajador durante su jornada laboral.

En esta pedagógica sentencia, la Audiencia Nacional describe concienzudamente cómo no se hacen las cosas:

a.- A la Empresa le reprende no sólo la deficiente implementación del control, en términos de protección de datos, sino de forma muy detallada, la forma en la que suministra la información preceptiva a la representación laboral de los trabajadores.

b.- También hay bofetadas para los asesores de los trabajadores: en un sonoro “zasca” (que a los que nos dedicamos a esto, duele leer) el Tribunal indica al abogado del sindicato por dónde tenía que haber ido, y procede a aplicar por su cuenta, la normativa de protección de datos, en virtud del principio “iura novit curia” (el juez debe conocer “y aplicar” el derecho).

La Audiencia Nacional señala que ¡¡no se ha cuestionado por las partes que los datos de localización de la persona constituyen dato de carácter personal!!

modelo politica de desconexion digital¡Ole y ole!

Nulidad con doble de queso: Importancia de la sentencia

 

Esta sentencia aplica ya las disposiciones de la nueva LOPDGDD.

En mi opinión, y con independencia de lo específico del caso, las conclusiones que aquí resumimos son aplicables en general, desde la perspectiva de la protección de datos, a la comunicación a la representación legal de los trabajadores de cualquier tratamiento de datos con finalidad de control laboral.

Es decir, la necesidad de entregar con la debida antelación a la representación legal de los trabajadores, la información suficiente para que puedan emitir su preceptivo informe, y con la antelación suficiente en relación con la fecha de implementación efectiva de las medidas informadas.

Esto es muy relevante en relación con los derechos de protección de la intimidad del trabajador en el uso de dispositivos informáticos corporativos (art 87 LOPDgdd), intimidad frente al uso de dispositivos de videovigilancia y grabación de sonidos en el ámbito laboral (art 89 LOPDgdd) y ante el uso de sistemas de geolocalización en dicho ámbito (art 90 LOPDgdd).

Me salto el derecho a la desconexión digital, al que luego me referiré específicamente, porque el art 88 LOPDgdd es el único que impone explícitamente (art 88.2 LOPDgdd) un acuerdo (convenio colectivo o acuerdo de empresa) en relación con sus modalidades de ejercicio, trascendiendo la mera obligación de información a la representación legal de los trabajadores y emisión de informe por ésta.

Enlace a la sentencia comentada

Motivos del fallo

a.- Desde el punto de vista de la protección de datos personales la empresa no proporcionó información adecuada y suficiente:

 

  • A los representantes de los trabajadores, para que emitieran su preceptivo informe (se recalca que el art. 64.5.f) del ET exige que la información debe proporcionarse “en un momento, de una manera y con contenido apropiados, que permita a los representantes de los trabajadores proceder a su examen adecuado y preparar, en su caso, la consulta y el informe”.

(…)

se omiten datos esenciales para que por la representación legal de los trabajadores pueda emitirse un informe con el necesario conocimiento” (…) ”resultaría necesario que se hubiese explicado el concreto funcionamiento de la aplicación esto es:

  1. cómo se instala en el teléfono móvil,
  2. a qué datos del terminal la misma debe acceder,
  3. qué concretos datos propios ha de aportar el trabajador para acceder a la aplicación,
  4. qué datos, en su caso, ha de archivar la misma y
  5. cómo van a ser tratados los mismos,

información esta que no es proporcionada a la representación legal de los trabajadores”.

Este checklist es muy de andar por casa pero es que, amigos, la información sobre el tratamiento tiene que suministrarse tanto a la representación legal primero, como a los trabajadores después, de modo que se entienda.

Así que los ítems informativos serán otros, o más, o menos dependiendo del caso peeeeero me sirve, señores, me sirve.

 

  • A los propios trabajadores

en los contratos no consta información alguna el trabajador del tratamiento que se hace de los datos obtenidos con la herramienta”.

 

En segundo lugar, el proyecto Tracker, tal y como se ha implantado por la empresa, vulnera el derecho a privacidad de los trabajadores por cuanto:

 

  1. La medida implantada no supera, a juicio de la sala, el fundamental y necesario juicio de proporcionalidad: la misma finalidad se podría haber obtenido con medios que suponen una menor injerencia en los derechos fundamentales de los empleados, como pudiera ser la implantación de sistemas de geolocalización de las motocicletas en las que se transporta los pedidos, con las pulseras con tales dispositivos que no implican para empleado la necesidad de aportar medios propios y lo más importante: ni datos de carácter personal, número de teléfono o la dirección de correo electrónico en la que han de recibir el código de descarga de la aplicación informática que activa el sistema.
  2. Para la implantación del sistema de localización se ha prescindido de proporcionar a los trabajadores la información a que se refieren los artículos 12 y 13 del Reglamento General de Protección de Datos.

 

En tercer lugar y desde el punto de vista estrictamente laboral:

 

Se incide en que la exigencia de la aportación de un teléfono móvil con conexión de datos para desarrollar el trabajo en los términos efectuados, supone un manifiesto abuso de derecho empresarial.

 

 

politica de desconexion digital

 

2.- CONTROL DE ACCESO POR HUELLA BIOMÉTRICA: EL DICTAMEN DE LA APDCAT

 

En otra notable resolución de hace un par de semanas, la Agencia Catalana de protección de datos, en su Dictamen 63/2018 sobre sistemas de control laboral basados en huella dactilar (pdf traducido al castellano por google: no se preocupe, se entiende ferpestamente), pone en negro sobre blanco y resume una serie de cosillas que se vienen pregonando insistentemente en este blog.

El dictamen responde a dos consultas planteadas por un colegio profesional:

  1. Se cuestiona la legalidad de la utilización de un sistema de fichaje mediante huella dactilar con finalidad de control horario de los trabajadores.
  2. Por otra parte se plantea la posibilidad de utilizar el mismo sistema para control de acceso determinadas instalaciones merecedoras de especiales medidas de seguridad.

 

La primera de las consultas adquiere especial relevancia después de la regulación del sistema obligatorio de control de cumplimiento de jornada laboral por parte del gobierno, hace escasas fechas. (Obligación introducida por el RD-L 8/2019 de 12 de marzo).

Y es especialmente relevante porque, en este país tenemos un gran número de empresas que instalaron estos sistemas de control por huella dactilar porque sí, porque parecen muy modernos, o por ahorrarse tres pesetas en esas tarjetas magnéticas que tienen la molestísima costumbre de perderse.

Bueno, pues ahora podríamos asistir (yo creo que no, si leen este post) a una oleada de nuevas instalaciones de tan esperpénticos aparatos, como respuesta a la reciente obligación legal de controlar y de forma certificable la hora de inicio y fin de la jornada laboral.

Resumamos los highlights de este Dictamen, loable por su calidad y claridad en la explicación.

1.- La regla del 69: 6+9 / interés legítimo: sí se puede

 

Para tratar datos de categoría especial, es necesario que concurran una de las bases generales de tratamiento previstas en el artículo seis del RGPD, y además una de las excepciones a la prohibición general, de las recogidas en el artículo 9.2 del Reglamento General de Protección de Datos.

Como consecuencia de esto, en el ámbito laboral, para tratar datos de categoría especial, no sólo puede uno acudir al consentimiento explícito del 9.2.a), o al contrato laboral del 9.2.b) -aunque ojo con esto, amigos, luego volveremos a este tema-, sino también y sobre todo, a mi querido amigo el interés legítimo del artículo 6.f) del Reglamento General de Protección de Datos.

No puedo por menos que insistir en que esto era bastante evidente si uno se ha leído los dictámenes del grupo de trabajo del artículo 29, pero nos ha costado bastante verlo en negro sobre blanco en resoluciones emitidas por las autoridades españolas.

En concreto, y con rango normativo, en la Circular de la AEPD sobre el tratamiento de datos ideológicos por parte de los partidos políticos.

2.- Terror en el hipermercado: rango de ley.

 

Ese interés legítimo, en el ámbito de RRHH, vendrá normalmente acompañado de la excepción recogida en el artículo 9.2.b) del Reglamento General de Protección de Datos.

Pero mucho cuidadín, porque la excepción b) bien leída, e interpretada en relación con el considerando 41, el artículo 88, ambos del Reglamento General de Protección de Datos y el artículo 53 de la Constitución Española, arrojan la conclusión de que la norma habilitante de este tratamiento RRHH tiene que tener rango de ley.

Y en la medida en que ni la nueva LOPDgdd, ni -para el caso- ninguna otra norma con rango de ley autoriza expresamente el tratamiento de datos biométricos en el ámbito laboral, la otra posibilidad de norma habilitante con rango de ley es…

¡TACHÁN!

el convenio colectivo. (Que tiene rango de ley, no se olvide).

Sí, queridos responsables del departamento de personal, agárrense a algo, tomen asiento o bébanse un chupito de alguna cosa fuerte.

O todo junto.

Aunque reconozco que muchas veces los designios del derecho laboral se me hacen inextricables, creo que aquí parece clarinete (¿no?) que estos tratamientos acabarán encima de la mesa de negociación colectiva, para horror de la parte empresarial.

3.- Interpretación restrictiva

 

Esos tratamientos, por recaer sobre datos de categoría especial deben ser objeto de interpretación restrictiva. Pero a tope.

Eso quiere decir que la justificación del tratamiento en el juicio de ponderación se tiene que cumplir de forma especialmente sólida y rotunda.

Y ello, ya sigas el sistema de la “triple vírica de la jurisprudencia española (los habituales requisitos de idoneidad, necesidad y proporcionalidad), o las seis preguntas del llamado “test Barbulescu” o las veinticinco preguntas de mi juicio de ponderación (que para chulo, mi pirulo).

En relación con este tema, la agencia catalana concreta que:

”Una vez que los datos biométricos han pasado a ser considerados como datos especialmente protegidos, no parece tan claro que la utilización de sistemas de control horario basados en este tipo de datos deben ser admitidos como medio preferente para llevar a cabo dicho control. Más bien al contrario. Dada la especial naturaleza de estos datos parece que habrá que optar en primer lugar por otros sistemas de control que, sin utilizar categorías de datos en mente protegidos, puedan permitir alcanzar el mismo fin.”

Nada que no hubiera dicho ya el grupo de trabajo del artículo 29 (o CEPD), sólo que aplicado por primera vez en España, creo, en concreto al sistema de control horario.

El dedito no es fungible

Recuerda la Agencia catalana, que una pérdida de la confidencialidad de estos datos podría permitir, en función de la cirugía utilizada, la suplantación de identidad. Pero es que, además, estos datos no son modificables. Es decir, a diferencia de una contraseña, en caso de pérdida, no se pueden cambiar.

Lo barato no son los dispositivos, son las excusas

En general, los defensores de estos sistemas (ejem, las compañías que los venden) siempre defienden que el patrón dactilar no se almacena en bruto, y sí sólo su equivalente alfanumérico. Incluso que por esa misma razón, (ejem) “no se tratan datos personales”.

Lo cierto es que esa conversión sólo supone una medida básica de seguridad, y no modifica en nada la indudable naturaleza de tratamiento dato personal que se realiza.

La Agencia catalana hace referencia por último a que las autoridades francesa e italiana también se han pronunciado en contra de estos sistemas de control basados en datos biométricos.

4.- Necesidad de evaluación de impacto

 

Por último, ( y como ya advertíamos por aquí antes de la resolución) se establece que, en cualquier caso y con carácter previo, la decisión sobre la puesta en marcha un sistema de control de este tipo, habría que llevar a cabo una evaluación de impacto en protección de datos personales, atendiendo a la concurrencia de varios de los requisitos que la hacen obligatoria:

  • las implicaciones tecnológicas de la tecnología empleada
  • la observación sistemática de los hábitos de los trabajadores
  • y el tratamiento de datos de categoría especial (biométricos, como venimos repitiendo).

politica de desconexion digital

3.- CONTROL DE ACCESO A ÁREAS ESPECIALMENTE PROTEGIDAS

La segunda de las consultas del Colegio profesional era si el mismo cacharrete se puede utilizar, no para controlar la hora de entrada y salidad de tooooodos los trabajadores, sino para garantizar que en determinada área de seguridad sólo entre quien debe entrar.

Aquí la respuesta es distinta.

1.- Todos somos iguales, pero unos somos más iguales que otros

Aunque tampoco se puede generalizar, cuando la medida se impone, no sobre la generalidad de los trabajadores, o de las instalaciones, sino sobre parte de aquéllos trabajadores o de las instalaciones en función de una necesidad específica que lo justifique, -como por ejemplo la protección de un área o espacio identificado- el sistema podría quedar justificado.

En este caso, se trata no sólo de tener constancia de quién accede estas dependencias, sino de evitar que personas no autorizadas puedan acceder a las mismas, dice el dictamen.

2.- A pesar de todo, mucho ojo con los riesgos que creas

En cualquier caso, termina diciendo el dictamen, para el supuesto en que después de realizar la pertinente preceptiva evaluación de impacto en protección de datos personales, se puede concluir que la medida resulta proporcionada, conviene tener en cuenta la aplicación de algunas medidas técnicas para minimizar riesgos:

  • Evitar el almacenamiento de los datos biométricos en bruto.
  • Conservar únicamente su equivalente alfanumérico.
  • dar preferencia sistemas de almacenamiento descentralizados evitando la creación de bases de datos centralizadas (los llamados “honeypots” por los malvados ladrones de datos).
  • Cifrar los datos custodiados.

 

 

politica de desconexion digital

 

4.- NECESIDAD DE ACORDAR UNA POLITICA DE DESCONEXIÓN DIGITAL EN EL ÁMBITO LABORAL

El nuevo artículo 89 de la LOPDgdd, ya supuso una bomba de profundidad para el mundo de la empresa, que como todas las bombas que han caído últimamente en protección de datos, no ha estallado aún.

Acostumbrados al ritmo frenético de hoy en día en el que la comunicación corporativa hacia dentro y hacia fuera con clientes y proveedores, no termina en absoluto con el fin de la jornada laboral, sea ésta cual sea, sino que se prolonga durante las horas en las que nosotros, pobres seres humanos del siglo XXI, no nos desmayamos en la cama.

Pero el efecto expansivo de esta bomba se multiplicará con la obligatoriedad de establecer un sistema de registro y diario de jornada, introducida por el Real Decreto Ley 8/2019 de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.

¿Reinventando el concepto de jornada laboral?

La jornada laboral obviamente ya tenía un principio y un fin mucho antes de introducción del 88 LOPDgdd.

Este precepto sólo es, o “sólo intenta ser”, creo, una aplicación específica del conceto a nuestra agitada, estresada, desdichada y caótica existencia laboral multitarea en la era post-smartphone.

El artículo 88 de la nueva LOPD establece como novedades interesantes las siguientes:.

  • Impone la elaboración de una política interna dirigida a trabajadores y directivos, que defina las modalidades de ejercicio del derecho la desconexión y determinadas acciones de formación sobre los de las la tecnológicas.
  • Enfatiza en particular la preservación de dicho derecho en los supuestos de realización total o parcial del trabajo a distancia así como el domicilio del empleado.
  • Y last but not least, como he adelantado anteriormente, impone al empleador la negociación colectiva o acuerdo de empresa en la determinación de las modalidades de ejercicio de este derecho.

No basta comunicación, se impone acuerdo colectivo

Este punto es el que más llama la atención y lo recalco una vez más: los otros tres derechos (protección de la intimidad del trabajador en el uso de dispositivos informáticos, frente a videovigilancia, frente al tratamiento de datos de geolocalización) “se limitan a” exigir una política informativa de empresa en la que esta “se moje” con lo que se puede o no hacer, y sus consecuencias, en su caso.

Estas políticas se imponen unilateralmente por el empleador, y están sujetas al preceptivo informe de la representación legal de los trabajadores. Aquí lo obligatorio es que el informe se emita en legal forma, pero no es obligatorio hacer caso de su contenido.

Hablando en plata, en esos tres casos, hay que tener cuidado con no hacer un Telepizza (ver más arriba).

Pero con el tema de la politica de desconexión digital, ¡ojo!: las modalidades de su ejercicio deben venir determinadas por la negociación colectiva o acuerdo de empresa.

AYÚDANOS A AYUDARTE

Los que me conocéis, ya sabéis que soy un tío rumboso y desprendido. Y mis compis secuoyers, también:

  • Explicamos cosas que considero interesantes de forma que consideramos divertida en nuestros blogs por vosotros (también por mí: aprendí que haciéndolo después no me se olvida).
  • Preparamos  recursos de inconstitucionalidad contra leyes injustas y excesivas los domingos por la mañana por vosotros. Y nos los admiten a trámite, ojo.
  • Nos complicamos la existencia constituyendo fundaciones y haciendo Listas Viernes por vosotros. Hemos enmarronado a mucha gente para esto, ojo aquí también.
  • Bueno, pues hoy comparto con vosotros un documento que preparé en diciembre y que necesitan todas las empresas de este país, creo: mi modelo de politica de desconexión digital.

Creo que es un buen trabajo y que te puede servir a ti, empresa, y también a ti, abogado o consultor, que te dedicas a lo mismo que yo.

Revísalo, adáptalo, hazlo tuyo. Si no lo haces tuyo, un modelo no vale nada.

Sólo te pido dos cosas:

  • Sé un buen Secuoyer y cumple el primer mandamiento Secuoya: mejórala y me lo dices: si ves que hay algo mal, o algo que puedas mejorar, escríbeme -mi mail está en esta mismita web-.
  • Segunda cosa: valora y colabora: valora con la mano en tu pecho palomo si este documento vale algo, (lo que quiero decir es: en cuánto lo valorarías si lo hubieras hecho tú) y colabora -a ser posible con esa cifra, y si no, con lo que puedas- en el crowdfunding de Lista Viernes.

Como ves, ya no sé qué más hacer para convenceros de que es importante que colaboréis en nuestro crowdfunding y os apuntéis en la Lista Viernes.

Enlace de descarga a la politica de desconexión digital aquí.

«Always do the right thing»

Muchas gracias anticipadas, sé que harás lo que debas.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos

 

Ilustración de Antonio del Hoyo: es mi parte favorita de su ilustración «Isla» para la Lista Viernes.