En los últimos meses, la Agencia Española de Protección de Datos ha sorprendido a la comunidad de expertos dictando dos resoluciones contradictorias en materia de uso de WhatsApp en el marco de las relaciones laborales. En la primera de ellas, la más extensa y documentada, la autoridad de protección de datos considera que infringe el reglamento general de protección de datos la imposición de la obligación de utilizar esta mensajería en el contexto de un sistema de doble validación para el acceso a una base de datos. Se trataba, en este caso de una policía local que había implementado un software de gestión para el desempeño de sus funciones y que siguiendo las directrices del CCN proponía una autenticación en dos pasos para el cumplimiento y ejecución del Esquema Nacional de Seguridad. El primero de ellos se basaba en una metodología tradicional, esto es un usuario y una contraseña (algo que se sabe), mientras que el segundo partía de la existencia de algo que se tiene, esto es un terminal móvil al que se puede enviar un código pin generado para el inicio de sesión de modo que se singularice y asegure la identidad de del usuario que accede al sistema.
En el segundo caso, el uso era más simple. Se había informado al trabajador con carácter previo del uso de WhatsApp para comunicarse con el mismo. Sorprendentemente, a diferencia de lo decidido en el primer caso, al que ahora nos referiremos, la AEPD consideró que el uso era procedente. Volviendo al primer supuesto, la AEPD es particularmente contundente en unas conclusiones que desarrolla de modo particularmente prolijo a lo largo de su resolución. En esencia, puede concluirse que la autoridad española considera que el número telefónico, y podríamos decir que, por extensión, el smartphone particular, se integran en la esfera de vida privada que la normativa protege al trabajador. Por tanto, usar este número en un espacio de comunicación presenta severos problemas desde el punto de vista de la legitimación para el tratamiento. En esencia, no es viable basar estos tratamientos en el consentimiento del trabajador en la medida en la que, como bien señalaron las Directrices sobre el consentimiento del Comité Europeo de Protección de Datos, es prácticamente imposible asegurar la existencia de una libre manifestación de voluntad en la esfera de las relaciones laborales. Sin embargo, en la segunda de las resoluciones, la autoridad no ve inconveniente alguno en este uso.
Con independencia del criterio adoptado por el regulador, creo que es conveniente desarrollar un profundo análisis de riesgos a la hora de decidir el uso de un servicio de mensajería privada como canal de comunicación con nuestros empleados y colaboradores. Debemos tener en cuenta antes de tomar una decisión de esta naturaleza una serie de cuestiones que a nuestro juicio, resultan relevantes, incluso más allá de la garantía del derecho fundamental a la protección de datos. Aunque sin duda, podríamos comenzar por este ámbito, esto es, por la atribución legal de una serie de derechos aquellas personas que despliegan una relación laboral, y me atrevería a decir también que de prestación de servicios con nuestras organizaciones. La Constitución Española reconoce en su artículo 18 un conjunto de derechos que pueden ser vulnerados consciente o inconscientemente por el uso de estos medios. Así, en nuestro Estatuto de los Trabajadores se garantiza el derecho a la esfera privada y a la dignidad de la persona del trabajador. Más allá de la protección de datos, la utilización de servicios de mensajería puede repercutir sobre los derechos del artículo 18.1 de la Constitución, singularmente sobre la intimidad personal y familiar, el honor, y quien sabe si en circunstancias excepcionales, el derecho a la inviolabilidad del domicilio. Señalamos estos riesgos en la medida en la que un terminal telefónico como en reiteradas ocasiones ha expresado nuestro Tribunal Constitucional, es un espacio de privacidad sobre el que descansan todos estos derechos. En estas mensajerías, salvo que el trabajador limite o bloquee el acceso a su perfil y/o a sus estados estaría revelando, aspectos muy personales o de otros familiares en las fotos de su perfil o su estado emocional en un momento determinado. Ninguna de estas informaciones debería ser accesible jamás para el empleador ni para ningún tercero en el ámbito laboral. De modo, que se estaría cargando sobre el trabajador no sólo el deber de soportar el uso de este tipo de medios en un terminal de su propiedad, sino que además se le impondría la tensión emocional de estar permanentemente controlando cual sea la configuración de esa concreta mensajería. Y jamás podría evitar el riesgo de que tras una actualización del software esta información personal fuera compartida. Y con ello, un riesgo de infracción del ordenamiento jurídico por parte de la empresa.
Por otra parte, las video-llamadas con estas con estos medios que no hayan sido debidamente reguladas y estandarizadas podrían suponer un visionado del interior de un domicilio. Si bien no consideramos este escenario una violación o una ruptura del derecho a la inviolabilidad de la morada, no deja de resultar ciertamente impactante desde el punto de vista de la protección de la vida privada de las personas. Decían los juristas norteamericanos, que resulta difícil definir qué cosa sea la privacidad, pero también que un juez la reconoce en cuanto se la encuentra de cara. Sirva esta expresión para subrayar que, aunque la AEPD haya parecido avalar el uso de estas mensajerías, nada impide a un juez de lo social, o de lo civil, reconocer la existencia de una afectación a los derechos del artículo 18.1 CE, con las consabidas consecuencias para la empresa.
Profesor en el Departamento de Derecho Constitucional, Ciencia Política y de la Administración y Director de la Cátedra de Privacidad y Transformación Digital. Doctor en Derecho por la Universitat de València. Miembro de la mesa de expertos en datos e Inteligencia Artificial de la Consejería de Innovación y Universidades de la Generalitat Valenciana. Miembro del grupo de expertos para la elaboración de una Carta de Derechos Digitales de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital. Ha sido Presidente de la Asociación Profesional Española de la Privacidad y responsable del Área de Estudios de la Agencia Española de Protección de Datos.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.