El Blog de Lidia Gimeno

Blog sobre Derecho de las nuevas tecnologías y protección de datos

Análisis y reflexiones sobre la pulsera de rastreo desde el punto de vista de la Protección de Datos

El pasado 1 de febrero los medios de comunicación hicieron difusión del registro por parte de Amazon en la Oficina de patentes y marcas de EEUU de una pulsera que rastrea y ubica en tiempo real a los trabajadores con la finalidad de ayudarles en el desempeño de sus tareas (Puedes leer la noticia aquí).

Ante esta noticia se plantaban dudas de la legalidad o ilegalidad del uso de dispositivos como el patentado y si, en España, podría llegarse a implantar este dispositivo. A raíz de ello, en el presente post voy a abordar mi personal análisis del asunto desde el punto de vista de la Protección de Datos.

Existencia de un tratamiento de datos personales

Las pulseras que llevarían los trabajadores tratarían datos personales de los mismos. Debe tenerse en cuenta que, según lo indicado, las pulseras guiarían a los trabajadores dónde deben ir, por lo tanto, muy probablemente el software vincularía la pulsera del trabajador al trabajador en concreto y a la tarea que debe realizar (ej. debe recoger un paquete de una estantería en concreto). Todo ello hace presuponer que, de forma obvia, mediante este sistema se tratarían datos personales de los trabajadores.

En este sentido es importante recordar el sentido amplio del concepto “tratamiento”, definido en el art. 4.2) del Reglamento General de Protección de Datos (en adelante, RGPD) como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción“.

Determinación de la finalidad del tratamiento

En el tratamiento de los datos personales debe respetarse, en todo momento, el principio de limitación de la finalidad reconocido en el art. 5.1.b) RGPD, por el que todo tratamiento de datos debe realizarse con una finalidad determinada, explícita y legítima.

1.   Los datos personales serán:

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

A raíz de ello, en el momento del tratamiento de los datos de los trabajadores, la finalidad debería estar claramente indicada.

Según se desprende de las indicaciones realizadas por Amazon, la finalidad del tratamiento sería la mejora del trabajo realizado por los empleados, buscando ayudarles al desempeño de sus tareas.

Pero la gran pregunta que se plantea es, ¿Puede Amazon decirme que trata mis datos con esa finalidad y luego usarlos para controlar el desempeño de mi actividad?

Para ello es importante volver al principio de limitación de la finalidad en el que expresamente se indica que “no serán tratados ulteriormente de manera incompatible con dichos fines“.

Este punto se encuentra desarrollado en el art. 6.4 RGPD en el que se concretan los supuestos en los que un fin se considerará compatible y, por lo tanto, podrán utilizarse los datos recabados con un fin para otro fin.

4.   Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

Por otro lado, debe tenerse también en cuenta que, de utilizarse estos dispositivos para la finalidad de control empresarial, es importante destacar el art. 20.3 del Estatuto de los Trabajadores (en adelante, ET) que habilita a los empresarios a adoptar medidas de vigilancia y control para el cumplimiento, por parte del trabajador, de sus obligaciones y deberes laborales.

3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.

Base legitimadora del tratamiento

Todo tratamiento de datos personales debe basarse en una base legitimadora de las enumeradas en el art. 6 RGPD para que éste sea lícito. ¿Sobre qué bases podría sustentarse este tratamiento de datos personales?

Consentimiento (art. 6.1.a) RGPD)

En primer lugar, considero que el consentimiento no podría ser base legitimadora de este tratamiento. Es muy importante tener en cuenta que, como bien indica el Considerando 42 del RGPD así como los distintos documentos del Grupo de Trabajo del Artículo 29 (en adelante, WP29), el consentimiento debe ser libre para que pueda ser válido.

Por ejemplo, en la Opinion 2/2017 on data processing at work, el WP29 indicó de forma expresa que el consentimiento debe ser libre y que, por norma general, no puede considerarse libre el consentimiento otorgado por un trabajador a su empleador. Para que pueda considerarse como libre, deberá existir la posibilidad que el trabajador pueda declinar el tratamiento de esos datos personales sin que exista ningún tipo de perjuicio para él.

Consent, according to the DPD, is defined as any freely-given, specific and informed indication of a data subject’s wishes by which the he or she signifies his or her agreement to personal data relating to them being processed. For consent to be valid, it must also be revocable.
WP29 has previously outlined in Opinion 8/2001 that where an employer has to process personal data of his/her employees it is misleading to start with the supposition that the processing can be legitimised through the employees’ consent. In cases where an employer says they require consent and there is a real or potential relevant prejudice that arises from the employee not consenting (which can be highly probable in the employment context, especially when it concerns the employer tracking the behaviour of the employee over time), then the consent is not valid since it is not and cannot be freely given. Thus, for the majority of the cases of employees’ data processing, the legal basis of that processing cannot and should not be the consent of the employees, so a different legal basis is required.
Moreover, even in cases where consent could be said to constitute a valid legal basis of such a processing (i.e. if it can be undoubtedly concluded that the consent is freely given), it needs to be a specific and informed indication of the employee’s wishes. Default settings on devices and/or the installation of software that facilitate the electronic personal data processing cannot qualify as consent given from employees, since consent requires an active expression of will. A lack of action (i.e, not changing the default settings) may generally not be considered as a specific consent to allow such processing.

En el contexto que aquí nos ocupa considero que no sería posible entender como válido el consentimiento de los trabajadores.

Ejecución del contrato (art. 6.1.b) RGPD)

El art. 6.1.b) RGPD prevé la posibilidad de considerar lícito el tratamiento de los datos personales de los trabajadores cuando dicho tratamiento sea necesario para la ejecución de un contrato en el que el interesado sea parte.

Respecto esta base legitimadora debe tenerse en cuenta lo expresado por el WP29 en su Opinon 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, en la que se indicó que el concepto de “tratamiento necesario para la ejecución de un contrato” debe ser interpretado de forma restrictiva, debiendo existir un vínculo objetivo y directo entre el tratamiento de datos personales y la finalidad de la ejecución del contrato.

Personalmente no acabo de ver cómo podría encajar el tratamiento analizado en la acepción indicada. Si bien es cierto la Agencia Española de Protección de Datos (en adelante, AEPD) indicó, en su Guía sobre la protección de datos en las relaciones laborales que la legitimación para el control empresarial deriva de la existencia de una relación laboral -haciendo referencia al art. 6.2 de la Ley Orgánica 15/1999 (en adelante, LOPD)-, también es cierto que el interés legítimo -que se abordará en el siguiente apartado- fue olvidado en la transposición de la Directiva y no ha sido prácticamente utilizado en nuestra práctica diaria.

Interés legítimo del Responsable del tratamiento (Amazon) (art. 6.1.f) RGPD)

El art. 6.1.f) RGPD dispone que el tratamiento de datos personales será lícito cuando “es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales”. 

¿Pero qué es un interés legítimo? Pues es cualquier interés que pueda tener el responsable o tercero para el tratamiento de los datos personales. En la Opinion 6/2014, el WP29 indicó:

The concept of ‘interest’ is closely related to, but distinct from, the concept of ‘purpose’ mentioned in Article 6 of the Directive. In data protection discourse, ‘purpose’ is the specific reason why the data are processed: the aim or intention of the data processing. An interest, on the other hand, is the broader stake that a controller may have in the processing, or the benefit that the controller derives – or that society might derive – from the processing.

Y ¿Sería un interés legítimo de Amazon que tratara los datos personales para la finalidad de mejora del desempeño laboral y/o para control empresarial? Lo sería, pero la clave del uso de la base legitimadora del art. 6.1.f) RGPD no recae tanto en qué constituye un interés legítimo sino en que éste debe prevalecer sobre los derechos y libertades fundamentales de los interesados.

El principio de privacidad por diseño y por defecto (art. 25 RGPD)

En virtud de los principios de privacidad por diseño y por defecto, como bien indicó el WP29 en su Opinion 2/2017, el empleador debe siempre optar:

  • Por la solución que respete más la privacidad del trabajador.
  • Por la solución que recopile la menor cantidad de datos para la finalidad pretendida.

En consecuencia, a la hora de implantar un sistema como el propuesto por Amazon, el Responsable deberá plantearse si el sistema es la opción que respeta más la privacidad del trabajador y que recopile la menor cantidad de datos posible en relación con la finalidad del tratamiento de datos.

Y, en este sentido, cabe destacar que la AEPD, en su Guía sobre protección de datos en las relaciones laborales, indicó, respecto a medidas que supusieran un control empresarial, que éstas deben implantarse siempre que respeten los derechos fundamentales de los trabajadores y siempre que sean proporcionales con la finalidad pretendida.

La importancia de Informar al trabajador

En virtud del principio de transparencia del art. 5.1.a) RGPD, así como del derecho a la información del art. 12 y 13 RGPD, el trabajador deberá ser informado del tratamiento de los datos así como de la finalidad del tratamiento.

La posible necesidad de realizar una Evaluación de Impacto

El art. 35 RGPD indica que en aquellos casos en los que el tratamiento de datos entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable deberá realizar antes una evaluación de impacto.

1.   Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

La tecnología propuesta por Amazon podría requerir de esta Evaluación de Impacto en atención al riesgo que podría tener en los derechos y libertades de los trabajadores.

Conclusiones

De todo lo anterior, concluyo que:

  • En el momento de iniciar el tratamiento de datos personales, Amazon debería haber determinado la finalidad del tratamiento así como haber informado a todos sus trabajadores sobre ello. Así mismo, cabe destacar que existen limitaciones en el uso de los datos para finalidades distintas, sólo habilitándose para aquellas finalidades que sean compatibles.
  • El tratamiento podría basarse en la base legitimadora de la ejecución del contrato o en la existencia de un interés legítimo del responsable. Respecto ello cabe tener en cuenta el concepto restrictivo del término “ejecución del contrato” y que puede no encaber el tratamiento de datos para los fines pretendidos.
  • El responsable, al adoptar la medida, deberá tener en cuenta los principios de privacidad en el diseño y por defecto, por los que, para la finalidad pretendida, deberá adoptar la solución que respete mayormente el derecho a la protección de datos de los trabajadores así como la solución que menos datos personales trate.
  • El responsable no puede olvidar el principio de proporcionalidad.
  • Podría plantearse la obligatoriedad de realizar una Evaluación de Impacto. Para mitigar los riesgos en los interesados sería pertinente la adopción de medidas.

Posts relacionados