Control vs privacidad: ¿qué pueden hacer las empresas con los datos de sus empleados?

En 2019, el teléfono móvil es ya el arma laboral más potente, desde aquí podemos trabajar durante horas. Sin embargo, suele ser habitual que el empleado use el mismo dispositivo para el trabajo y para su vida personal. ¿Cómo conjugamos el control de la actividad laboral con la privacidad de los empleados? ¿Hasta qué punto una empresa puede monitorizar el uso digital que hacen sus trabajadores?

Son algunas de las preguntas que han respondido Raúl García, socio director del Área Laboral de EY, y Blanca Escribano, socia del Área Digital Law de EY, en un evento en que la compañía ha abordado el ámbito de actuación y las consecuencias de dos normativas que marcan el presente y el futuro de las relaciones laborales en el ámbito digital: la Ley de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y la Ley de Secretos Empresariales.

¿Cómo monitorizar a un empleado?

El uso masivo de dispositivos digitales dentro del desempeño laboral nos surmerge en una dicotomía compleja: el derecho de una empresa a monitorizar la actividad de sus empleados frente al derecho de los propios trabajadores a que este control no entre en conflicto con su intimidad y privacidad.

La propia ley es consciente de este posible choque: el artículo 88 de la LOPDGDD establece que "el empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores", aunque "a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos". Además, la ley también incide en que "los trabajadores tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador", un punto en el que insiste el nuevo artículo 20 bis del Estatuto de los Trabajadores, que recuerda el "derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización".

En este sentido, Raúl García y Blanca Escribano recuerdan que, a la hora de que una empresa recopile datos de sus empleados y el uso que hacen de los dispositivos, esta labor debe cumplir tres requisitos fundamentales:

1. Necesidad. Que el acceso y manipulación de los datos sea imprescindible para el mantenimiento de la actividad laboral.
2. Claridad y transparencia. El empleado debe saber qué datos se tratarán y con qué finalidad, aunque conviene matizar el papel de sus representantes legales: "Se deberán respetar sus derechos de información y consulta, pero no es obligatoria la negociación en un sentido estricto", recuerda García.
3. Proporcionalidad. Partiendo del principio de minimización, la recopilación de datos y monitorización de la actividad deberá ir en consonancia a las labores realizadas.

En cualquier caso, las medidas adoptadas por la empresa deben ser previamente puestas en conocimiento del trabajador: "Si el empresario niega el uso privado del dispositivo estará generando una falta de expectativa de privacidad por parte del empleado", asegura Raúl García.

Para los socios de EY, en definitiva, se trata de "una cuestión extraordinariamente controvertida en la que pugnan el derecho a la intimidad de los trabajadores y el derecho al control de la actividad empresarial, así como los problemas generados por la tensión entre estos dos derechos. El establecimiento de las reglas del juego servirá para minimizar potenciales consecuencias severas para todas las partes".

El derecho a la desconexión digital

La nueva legislación incluye también un concepto llamativo, el de fatiga informática, referido a las ocasiones en que los empleados acaban atendiendo cuestiones del trabajo fuera de su jornada merced a la actividad de su dispositivo móvil aun estando en casa. Por ello, la ley establece que "los trabajadores tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar".

En este sentido, la normativa obliga a las empresas a "elaborar una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas". En particular, "se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas".

"El empresario debe efectuar un diagnóstico de sus necesidades y ponerlas en conexión con los derechos de descanso del trabajador"

García y Escribano recuerdan que esta política interna "debe estar conectada con las necesidades empresariales", así que es recomendable "que el empresario efectúe un diagnóstico de sus necesidades y lo ponga en conexión con los derechos de descanso, conciliación de la vida familiar e intimidad. Y a partir de aquí elaborar un protocolo de actuación, que no tiene por qué suponer una desatención total del negocio".

En cualquier caso, la desconexión digital no tiene marcha atrás: "Es una realidad que se terminará imponiendo porque existe un mandato del legislador en este sentido para que los convenios colectivos definan el marco en el que se debe desenvolver. El establecimiento de la obligación a través de la negociación colectiva debería suponer una implementación paulatina y consensuada", afirman los socios de EY.

¿Cómo proteger el secreto empresarial?

Si tenemos en cuenta que cada vez los activos intangibles de las empresas tienen más valor, ¿cómo puede una empresa protegerse frente a posibles fugas de información, ya sean voluntarias o involuntarias? Si el acceso a dichos secretos ya sobrepasa los límites físicos de una oficina, ¿cómo se puede salvaguardar? A esas preguntas pretende responder la nueva Ley de Secretos Empresariales, que protege este tipo de activos con todas las garantías de la propiedad intelectual.

Conviene acotar la definición de secreto empresarial, que, como recuerda Blanca Escribano, tiene tres ingredientes fundamentales: "Debe ser secreto (o no conocido en el sector), debe tener valor empresarial (ya sea real o incluso potencial) y debe ser objeto de medidas razonables de protección". Ahora bien, los socios de EY recuerdan que "estas medidas deben ser a todas luces preventivas. La protección de los secretos empresariales requiere una aproximación multidisciplinar y acciones muy precisas por parte de los empresarios".

"Proteger los intangibles pasa por identificarlos e implementar medidas técnológicas y contractuales para mantener la información y su valor"

Estas acciones se agrupan fundamentalmente en dos tipos de medidas:

1. Acceso y control. Las empresas deben definir de manera concreta quién tiene acceso a dichos secretos empresariales, así como quién no lo tiene. Así mismo, en el contrato laboral podrá establecerse qué comportamiento debe adoptar el empleado en el acceso y uso de dicho material.
2. Medidas contractuales. Es esencial que las compañías se protejan ante cualquier potencial uso fraudulento por parte de empleados o proveedores, ya sea durante su permanencia en la empresa o incluso después. En este sentido serán esenciales las cláusulas de confidencialidad, la prestación de servicios en exclusiva y los pactos de no competencia postcontractual.

Para García y Escribano, "proteger estos activos pasa por identificarlos correctamente e implementar medidas y protocolos, tanto a nivel interno como en las relaciones con terceros, dirigidos a mantener el carácter secreto de la información y preservar su valor. Esta estrategia supone un valor añadido para los procesos de venta o licencia de los secretos, aminora el riesgo de fuga y, en caso de que esta se produzca, dota a la empresa de evidencias para su mejor defensa procesal".