Las administraciones no pueden espiar los ordenadores de los funcionarios

Los funcionarios no están menos protegidos que los trabajadores de empresas privadas a la hora de salvaguardar su intimidad. Las administraciones públicas no pueden acceder a los documentos contenidos en los equipos informáticos con los que trabajan los empleados sin cumplir con las exigencias de la ley de protección de datos. En concreto, la justicia condena actuaciones sorpresivas, en los que no se haya informado a los trabajadores de la posibilidad del espionaje y sus límites, o desproporcionadas (como copiar toda la información del dispositivo por una leve sospecha). En definitiva, los empleados públicos pueden denunciar accesos no autorizados a sus ordenadores para controlar su trabajo si la medida no cumple con la legalidad.

Así lo ha recordado la Sala de lo Contencioso-administrativo de la Audiencia Nacional en una sentencia del pasado mes de junio que rechaza un recurso del Ayuntamiento de Algemesí (Valencia) contra una sanción de la Agencia Española de Protección de Datos (AEPD) de noviembre de 2020. El organismo había reprochado a la alcaldesa del municipio que ordenara investigar el ordenador de la tesorera del consistorio sin previo aviso y que copiara todos sus documentos en un DVD que sirvió de prueba para abrirle un expediente disciplinario.

El fallo (cuyo texto puede consultar aquí) confirma la correcta aplicación de la doctrina que considera vulnerado el derecho a la intimidad de los empleados, ya trabajen en una empresa privada o sean servidores públicos, cuando no se les informa de cuáles son los límites de uso de los equipos informáticos ni se les advierte de las posibles medidas de control o supervisión de los ordenadores. Los magistrados consideran que, si bien los funcionarios tienen una dependencia mayor hacia el organismo público en el que presta sus servicios, ello no excluye su derecho fundamental a la privacidad.

La resolución subraya que, en el caso de la tesorera del ayuntamiento expedientada, la alcaldesa había traspasado todos los límites al ordenar el espionaje del equipo informático sin una sospecha fundamentada de que estaba incumpliendo su jornada porque se dedicaba a otras actividades profesionales ni el conocimiento de la afectada. También al copiar en un DVD todos los documentos que guardaba la funcionaria para cimentar el correctivo. Fue una medida desproporcionada, afirman los magistrados, “pues se accede a todas las carpetas y archivos sin discriminar su contenido, de una forma especialmente invasiva, de tal forma que se han visto afectados documentos privados de la reclamante, documentos de salud, etc. que se han recogido de forma innecesaria y sin relación con lo que se buscaba”.

Expediente disciplinario

La Sala se basa en los hechos que aparecen relatados en la resolución de la AEPD recurrida por el ayuntamiento del municipio valenciano. En ellos se destaca que la afectada por el espionaje trabajaba como “interventor-tesorera” y que se enteró cuando le notificaron la apertura de un expediente disciplinario el 27 de marzo de 2018. El informático del consistorio había accedido a su equipo sin su conocimiento un mes antes, el 26 de febrero de ese año, para cumplir con la orden de la alcaldesa de “comprobar la existencia de documentos que evidencien actividades diferentes a las funciones que como Tesorera de este Ayuntamiento tiene encomendadas”.

El motivo de esta inspección fue la aparición de unos documentos encontrados en la impresora del consistorio. En concreto, hallaron unos escritos de la Franquicia Now You SL relacionados con las nóminas de sus empleados en el almacenamiento interno del escáner del dispositivo. Unos papeles, justificaba el comunicado del expediente, que “podrían suponer que la reclamante realiza actividades personales o profesionales dentro de la jornada de trabajo”.

El informático que llevó a cabo la inspección declaró que se lo había ordenado la alcaldesa. Según relató, “cogió las que había en ‘mis documentos’ y además, otros archivos del ordenador del escritorio, siendo dos o tres carpetas, los seleccionó y los copió en un DVD” conforme a las instrucciones que le habían dado. No encriptó el DVD, que entregó a la alcaldesa, y “no llegó a abrir ningún documento, no entró en el correo electrónico ni en los datos de navegación", aseguró. Toda la operación se hizo en remoto con las claves de administrador del sistema.

El DVD, que estuvo a disposición de los portavoces de los grupos del ayuntamiento para votar sobre la apertura del expediente disciplinario, contenía información tanto personal como profesional. La sentencia hace referencia, entre otros documentos, a una copia del contrato de seguro del vehículo, la declaración de hacienda, datos de contratos de préstamo hipotecario, claves personales, datos bancarios y de la franquicia Now Yow, por lo que parece que la tesorera era administradora de dicha sociedad. Cuando se hizo la intervención del ordenador “no se hacía ninguna advertencia a los funcionarios sobre el contenido de la información que se podía tener en los ordenadores", se afirma.

La AEPD concluyó que el ayuntamiento de Algamesí había vulnerado el derecho a la intimidad de la funcionaria por no cumplir con los requisitos legales para el control de los equipos informáticos. En concreto, el regulador afirma que el consistorio infringió los artículos 6.1 (tratar datos sin consentimiento de su titular) y 9 (no garantizar la seguridad de los ficheros) de la Ley Orgánica de Protección de Datos. El consistorio recurrió la resolución, pero, ahora, la Audiencia Nacional ha confirmado esta sanción, que, por no estar previsto en la ley, no implica una multa.

‘Test Barbulescu’

El ayuntamiento de Algamesí rebatió la sanción alegando que la AEPD había aplicado una doctrina jurisprudencial que se refiere al control laboral de los ordenadores en empresas privadas. El control de los equipos de un consistorio, se justificó, es distinto, pues son bienes de dominio público. “Sobre esta clase de bienes no existe ni puede existir esa potestad de tolerancia con ciertos usos personales”. Además, subrayó el recurso, ningún funcionario puede desconocer que las administraciones tienen la obligación de proteger estos bienes “y velar para que se destine a la finalidad pública fijada por el legislador”.

Efectivamente, la AEPD había recurrido a la conocida como doctrina Barbulescu 2, cuyo origen es una sentencia del Tribunal Europeo de Derechos Humanos (TEDH) de 5 de septiembre de 2017 sobre el control empresarial de los equipos informáticos de los trabajadores. En ella se incorporaba el llamado “test Barbulescu” que incluye una serie de indicadores para poder validar el espionaje de los equipos de los trabajadores.

En su resolución, la Sala de lo Contencioso-administrativo de la Audiencia Nacional considera adecuado el uso de esta prueba para el caso de la funcionaria de Algamesí y concluye que la medida adoptada por el consistorio no supera la prueba de legalidad.

En primer lugar, justifican los magistrados, los ayuntamientos no tienen carta blanca para saltarse los requisitos de la ley de protección de datos en el control a los empleados públicos. El hecho de que los funcionarios tengan una relación de dependencia más estrecha con la administración a la que sirven que los trabajadores de una empresa privada, no excluye su derecho a la intimidad, reconocido por el propio Estatuto Básico del Empleado Público.

En segundo lugar, los jueces tampoco compran el argumento del consistorio de que los equipos informáticos son bienes de dominio público. Son elementos patrimoniales, corrige el tribunal.

Por último, los jueces confirman que la actuación de la alcaldesa vulneró la ley de protección de datos al no pasar “test Barbulescu”. Según quedó demostrado, en el momento en que se ordenó la inspección, no existía protocolo ni instrucciones al respecto ni sobre los límites y condiciones de utilización. Al no existir reglas, los funcionarios no podían saber a qué atenerse. Aunque no sea necesario el consentimiento de los empleados para implantar un sistema de control, recuerda el tribunal, sí es preciso que estos tengan claro cuándo y cómo pueden ser investigados.

Además, agregan los magistrados, el método empleado con la tesorera del ayuntamiento, fue desproporcionado. El ayuntamiento había alegado que el hallazgo de los documentos en el escáner de la impresora fue casual, y que la intervención del equipo se ordenó también por el “incumplimiento reiterado de la jornada de trabajo y la presentación de un certificado de asistencia que no se ajustaba a la verdad”. Sin embargo, el tribunal rechaza esta justificación y señala que el “hallazgo casual” fue el único indicio que tenía el consistorio para ordenar la inspección del ordenador. “Hallazgo que difícilmente puede calificarse como casual, cuando no se trata de documentos que aparecieron o fueron dejados en el escáner o la impresora, ni a los que cualquiera pudiera acceder”. La actuación tuvo como consecuencia el volcado de todos los archivos del equipo de la tesorera, entre los que se encontraba información personal y profesional de la funcionaria, en un DVD al que podía haber accedido cualquier persona.

En consecuencia, el consistorio no estaba legitimado para acceder de esta forma al ordenador de la tesorera por lo que, concluye el tribunal, “se considera acreditada la infracción por vulneración del principio de consentimiento del artículo 6 de la Ley Orgánica de Protección de Datos”.