¿Es legal que una compañía controle el ordenador o el móvil de empresa de un empleado?
Fabián Valero, abogado laboralista, explica los requisitos que debe cumplir la dirección para poder examinar los dispositivos de la plantilla
El control de los dispositivos electrónicos en el ámbito de laboral es una de las materias que mayor conflictividad está creando en los últimos tiempos en el seno de las compañías. Para abordar este asunto, deben tenerse en cuenta que se produce la colisión de dos intereses: por un lado, la libertad de empresa (y, como manifestación de la misma, el derecho del empresario a adoptar medidas de vigilancia y control); y, por otro, los derechos fundamentales de los trabajadores, en especial, la intimidad, la protección de datos y el secreto de las comunicaciones.
Precisamente, sobre los límites que debe respetar toda actuación empresarial en este ámbito y las medidas que deben adoptarse para que esta sea legítima, trató la ponencia que recientemente ofreció el abogado laboralista y socio director de Zeres, Fabián Valero, durante la Jornada de compliance laboral y prospectiva de futuro de SF Formación Compliance. Estas son las pautas que debe seguir una compañía para poder llevar a cabo un control legal de los dispositivos electrónicos.
¿Puede controlarse el móvil de un trabajador?
Sí. El móvil, el ordenador o cualquier otro dispositivo electrónico o informático puesto a su disposición por parte de la compañía es propiedad de la empresa y, por ello, esta tiene derecho a vigilar, supervisar y controlar el uso que le dan los miembros de la plantilla. Eso sí, cumpliendo determinados requisitos y manteniéndose siempre dentro del "ejercicio regular de sus funciones directivas" (es decir, en aquello vinculado con el propio trabajo).
¿Es indiscriminada la capacidad de control?
No. Tal y como expuso Valero, esta debe seguir cuatro principios. En primer lugar, el de necesidad; es decir, que sea la medida más moderada dentro de las posibles. En segundo término, idoneidad: que permita alcanzar el objetivo de vigilancia y control. Tercero, proporcionalidad; o dicho de otro modo, que los beneficios para la compañía sean mayores que los perjuicios al trabajador. Y, por último, transparencia. La gran parte de los juristas se limitan a enumerar los tres primeros, pero según subrayó Valero, ya es un requisito legal inexcusable, en virtud de la nueva normativa de protección de datos. ¿Y en qué se traduce la transparencia? "Supone el deber de informar previamente al empleado de que su actividad está siendo objeto de control", afirmó.
¿Cómo se cumple con el deber de transparencia?
Contando con protocolos y códigos de conducta que establezcan unas reglas de juego claras y previamente conocidas por los empleados. En ellos debe contenerse qué está permitido y qué no en relación con el móvil, el ordenador o cualquier otro dispositivo (por ejemplo: consultar redes sociales privadas, entrar en páginas web de periódicos o de compra online, enviar mensajes de WhatsApp personales, etc.) y qué medidas de control puede adoptar el empresario como monitorizar la actividad o la posibilidad de acceder al contenido del dispositivo en caso de sospecha de acto ilícito. "Sin política de transparencia no hay posibilidad alguna de llevar a cabo ningún tipo de control", remarcó Valero.
¿Debe negociarse el protocolo con los sindicatos?
No existe tal obligación. Al tratarse de la "implantación y revisión de sistemas de organización y control", el comité de empresa tiene derecho a ser "informado y consultado" (artículo 64.5 del Estatuto de los Trabajadores). Asimismo, podrá emitir un informe con carácter previo a la ejecución del protocolo. Un criterio que ratificó el Tribunal Supremo, que especificó que el derecho a emitir un informe "no es lo mismo que abrir un proceso de negociación colectiva", apuntó el letrado, y añadió: "Hay empresas que justifican el no tener protocolo por una especie de miedo visceral a negociar con los representantes de los trabajadores. Como vemos, no es excusa". Este criterio facilita mucho la adopción de un código de conducta o un protocolo claro con relación a los medios electrónicos.
¿Cómo actuar si hay sospechas?
Si existen sospechas de una actuación irregular por parte de un empleado y la empresa se dispone a investigar, deberá actuar respetando los cuatro principios expuestos anteriormente. Si cuenta con un protocolo, habrá cumplido el principio de transparencia. Si existe una sospecha previa y lo suficientemente grave, con el de proporcionalidad. Si limita la invasión en la esfera de la intimidad del trabajador a lo mínimo imprescindible para sus averiguaciones, con el de idoneidad. Y, finalmente, si el trabajador conoce las medidas de control o vigilancia que era posible que la empresa adoptara, el de necesidad. Conclusiones que, como detalló Valero, se extraen de la sentencia del Tribunal Europeo de Derechos Humanos del caso Barbulescu II y que posteriormente ha incorporado también el Tribunal Supremo en su jurisprudencia.
¿Qué sucede si no hay protocolo?
La intimidad del trabajador se vería reforzada frente a la capacidad de control del empresario. Si no hay un protocolo que cumpla con los cuatro principios expuestos es muy difícil que la empresa pueda, legítimamente, sancionar a un empleado. "La intromisión de la empresa en los equipos informáticos empleados por los trabajadores, en principio, se consideraría ilegítima y la prueba obtenida nula de pleno derecho", manifestó el socio director de Zeres. Y no solo eso, sino que, además, el empresario podría exponerse a una sanción y a una reclamación por parte del trabajador por vulneración de derechos fundamentales. La infracción, que podría tener la consideración de muy grave, iría acompañada de una multa de entre 6.251 euros y 187.515 euros. Asimismo, el empleado podría rescindir unilateralmente su contrato, pero con derecho a indemnización (artículo 50 del Estatuto de los Trabajadores).
¿Sirve un protocolo genérico o de 'corta y pega'?
Valero incidió en la importancia de que los protocolos o los códigos de conducta se adapten a la realidad y a las necesidades concretas de la compañía. "Estos decálogos deben hacerse bien, dimensionándolos y acoplándolos a las necesidades de la empresa. Un protocolo muy genérico puede ser percibido como una excusa para despedir", advirtió.
¿Cómo efectuar el registro de un dispositivo?
Finalmente, el laboralista expuso que, una vez decidido el registro de un dispositivo (porque resulte imprescindible y no exista otra medida menos intrusiva), este debe realizarse dentro del centro de trabajo y en horario laboral. Asimismo, recomendó la intervención de un perito informático y de un notario para que no existan dudas sobre el contenido encontrado, y que se avise de la actuación a la representación de los trabajadores para que esté presente. En todo caso, en el registro deben activarse las medidas necesarias para no acceder a correos, documentos o conversaciones relativas a la vida personal y familiar del trabajador (debe llevarse a cabo una búsqueda restringida o a través de palabras clave). Finalmente, si existen sospechas penales, Valero afirmó ver necesario recabar autorización judicial previa.
Si quiere saber más sobre protección de datos en el entorno laboral, pinche aquí.