Lidia Gimeno

Abogada en Protección de Datos y Derecho de las Nuevas Tecnologías

¿Puedo tratar los datos recopilados mediante GPS de mis trabajadores? Comentario del caso planteado en la Sentencia del Tribunal Superior de Justicia de Asturias

El pasado lunes 27 de noviembre en el diario expansión se publicaba la siguiente noticia titulada “Se puede espiar el GPS del móvil para despedir a un empleado“. En la noticia se comentaba la Sentencia 2191/2017 de 3 de octubre de 2017 del Tribunal Superior de Justicia de Asturias en la que se desestimaba el recurso de suplicación interpuesto contra la Sentencia de 11 de mayo de 2017 del Juzgado de lo Social nº 1 de Oviedo que declaraba el despido disciplinario de un trabajador como procedente por incumplir el horario laboral así como por haber pasado dietas por comidas mientras se encontraba en su domicilio.

En dicha Sentencia se utiliza, como prueba, rastreos de GPS del trabajador obtenidos de las tablets que poseen los trabajadores para realizar su trabajo de comercial. No obstante, en la propia Sentencia no se habla ni se discute la legalidad o ilegalidad/afectación o no afectación de derechos fundamentales (art. 18.4 CE – derecho fundamental a la protección de datos) del Trabajador. Es más, en varias ocasiones el Juzgador hace hincapié que, en ningún caso, se ha cuestionado este punto.

Personalmente, no me pareció adecuada la afirmación indicada en el titular de la noticia y considero que debe hacerse un análisis más profundo del asunto sin dejarnos llevar por afirmaciones generales e incompletas. Por ello, en el presente post voy a intentar responder a la siguiente pregunta partiendo del caso de la Sentencia: ¿Puedo tratar los datos recopilados mediante GPS de mis trabajadores? 

HECHOS CLAVES DEL CASO

En primer lugar, voy a indicar los datos claves que he podido extraer de la Sentencia.

En ella se indica, por un lado, que a fecha 31 de agosto de 2015, la empresa remite un documento a sus trabajadores denominado “Cláusula confidencialidad y competencia desleal” en la que se les informa de lo siguiente:

  • Se les indica que la empresa adopta una serie de medidas para el control y vigilancia del cumplimiento de las obligaciones laborales de sus trabajadores. Dicho control se les indica que se llevará a cabo mediante una Tablet que les será entregada y que, entre otros sistemas, tendrá el módulo de gestión OPTIMIZA, el cual cuenta con un módulo de control de GPS.
  • Se les informa que la finalidad de este módulo radica en controlar las visitas que realizan los comerciales.
  • Se les explica que el módulo GPS almacena la localización GPS del dispositivo en el momento que “el trabajador realiza alguna acción.

TRATAMIENTO DE DATOS PERSONALES DE TRABAJADORES RELATIVOS A POSICIÓN GPS

Una vez vistos los hechos más relevantes, debemos introducirnos a valorar si el tratamiento de datos ha sido acorde a la normativa. Para ello, deberemos partir del esquema que ya plantee en el post sobre tratamiento de datos de empleados  que es el siguiente:

BASE LEGAL

Dado que, a fecha de hoy, el Interés Legítimo -como se encuentra regulado en la Directiva- no se encuentra en nuestra legislación, este no puede ser la base legal del tratamiento de los datos.

Para ello, este tratamiento podría basarse en el art. 6.2 LOPD en el que se permite el tratamiento de datos sin el consentimiento del Interesado “cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento” (esta posición puede verse adoptada por parte de la AEPD en sus Informes y Resoluciones, por ejemplo, Informe 0529/2009).

No obstante, la base legal del tratamiento que deberá utilizarse a partir del 25 de mayo de 2018 es el Interés  Legítimo (porque el consentimiento otorgado no sería libre y la opción anteriormente indicada, como tal, desaparece).

Respecto el Interés Legítimo debemos recordar que, tal y como indicó el Grupo del Artículo 29 en su Dictamen 6/2014, el Interés Legítimo debe ser lícitoclaroleal y actual para poder ser válido.

En conclusión, y atendiendo a los hechos del caso, podría indicarse que el interés legítimo de la empresa es el “control y vigilancia del cumplimiento de las obligaciones laborales de sus trabajadores“.

FINALIDAD

Para realizar el tratamiento de los datos deberá existir una finalidad determinada, explícita y legítima.

La empresa, en la comunicación a sus trabajadores, les informa de su finalidad: controlar las visitas que realizan los comerciales.

Y en este punto debe recordarse la existencia del principio de limitación de la finalidad, el cual impide que los datos recopilados con una finalidad concreta sean utilizados de forma incompatible (en la normativa actual española ello se encuentra dentro del principio de calidad del dato, art. 4.2 LOPD).

Recordemos que los datos extraídos por el GPS se han utilizado para dos elementos en el caso concreto:

  1. Para probar el incumplimiento de las obligaciones laborales del trabajador, que no realizaba las visitas previstas ni en la extensión del horario de trabajo.
  2. Para probar que parte de las dietas que se pasaban a la empresa eran de comidas solicitadas desde su casa.

Pues bien, la finalidad respecto la primera es determinada, explícita y legítima, así como se ha informado de forma clara a los trabajadores sobre ella.

Respecto la segunda, tengo mis dudas sobre si podríamos indicar que la finalidad cumple los requisitos anteriormente descritos dado que no se ha informado a los trabajadores que los datos recopilados también podían ser tratados con esta finalidad.

A pesar de lo anterior, podríamos argumentar que es una finalidad compatible con la primera, que, en realidad, seguimos en el ámbito del control y vigilancia de los trabajadores y que, de ese control y vigilancia de las visitas han surgido los datos que han demostrado el fraude llevado a cabo por el trabajador. No obstante, no estaría de más haber previsto como finalidad la posibilidad de controlar posibles fraudes por parte de los trabajadores.

PROPORCIONALIDAD Y NECESSIDAD

El tratamiento debe cumplir con dos principios clave: el principio de minimización de los datos (los datos deben ser adecuados, pertinentes y limitados a los fines para los que se recopilan) y el principio de proporcionalidad y subsidiariedad (respecto el cual siempre debe adoptarse la medida menos invasiva para los derechos fundamentales).

Estos principios, en la actual normativa española, se encaben dentro del principio de calidad de los datos.

Y en este punto me gustaría mostrar mi preocupación por la expresión indicada en la comunicación de la empresa en la que se indica que el módulo GPS almacena la localización GPS del dispositivo en el momento que “el trabajador realiza alguna acción“.

Pero, ¿Qué significa realizar alguna acción?

Creo que podría ajustarse un poco más la explicación sobre qué momentos se captura la posición GPS para que el trabajador pudiera estar totalmente informado de la recogida de datos así como para poder valorar, de una forma más correcta, el cumplimiento de los principios anteriormente indicados.

Bien es cierto que no se recopilan datos en todo momento. No obstante, si la finalidad del dispositivo es “controlar las visitas que realizan los comerciales”, ¿no podría rastrearse el GPS sólo en el momento de enviar/guardar un pedido?

Considero que debería aclararse bien por parte de la empresa el momento de recopilación de los datos para poder cumplir, de una forma más efectiva, con los principios anteriormente indicados.

INFORMACIÓN A LOS TRABAJADORES

Para cumplir con los requisitos legales, la empresa deberá informar a los trabajadores sobre el tratamiento de datos, concretamente, sobre la existencia del fichero, la finalidad de recogida de los datos y ejercicio de sus derechos.

Añadido a lo anterior, y a partir del 25 de mayo de 2018, debería informarse también sobre la posibilidad de comunicaciones de datos, el plazo de conservación de los datos o el derecho a recurrir a la autoridad de control, por ejemplo.

MEDIDAS DE SEGURIDAD

Obviamente, y como en cualquier otro tratamiento de datos, los datos deben ser asegurados con el cumplimiento de una serie de medidas de seguridad. Según la regulación actual, las medidas a adoptar serán las de nivel medio.

 

CONCLUSIONES

Si bien es cierto podría concluirse que, en el caso concreto y de una forma genérica -aunque teniendo en cuenta las valoraciones anteriormente indicadas-, se han cumplido las exigencias legales para el tratamiento de los datos, ello no implica que, de forma general, el tratamiento de los datos de rastreo GPS de los trabajadores sea lícito.

Deberán cumplirse los requisitos de la normativa que han sido tratados, de forma breve, a lo largo del presente post.


Otros links de interés:

Guía de la AEPD sobre tratamientos de datos en Relaciones Laborales


Otros posts en este blog que pueden ser de interés: