915 752 750
aec@aec.es
915 752 750
aec@aec.es
Hace unos días conocíamos la resolución de la Agencia Española de Protección de Datos (AEPD) que tanto revuelo ha ocasionado entre los expertos del sector. Se trata del expediente “EXP202105690” por el que la AEPD acordaba proceder al archivo de las actuaciones practicadas frente a una empresa de reparto. La trabajadora que interpuso la reclamación argumentaba que había sido incluida en dos grupos de WhatsApp sin haber dado su consentimiento para ello; manifestando la imposibilidad de salir de los mismos, por encontrarse en ellos toda la información necesaria para desarrollar su relación laboral como rutas de trabajo, ubicación de las furgonetas al finalizar la jornada laboral o turnos de trabajo.
El principal argumento de la AEPD, para proceder al archivo, es considerar que la empresa sí había informado, previamente, del uso de este canal de comunicación para asuntos relacionados con el ámbito laboral y tareas organizativas; a estos efectos, la empresa, además de salvaguardar la confidencialidad, dice que garantiza la sujeción al principio de minimización de datos, por compartirse únicamente los datos personales adecuados, pertinentes y limitados a lo necesario en relación con estos menesteres del ámbito laboral. Con esto, el tratamiento de datos personales de la persona trabajadora, de conformidad con el artículo 6.1.b) RGPD, se entiende amparado con base a la ejecución del contrato de trabajo, esto es, a las condiciones y términos reguladoras de la relación laboral entre la persona trabajadora y la empresa.
Ante esta breve resolución de la AEPD, en la que no se hacía alusión a si el teléfono móvil de la trabajadora era particular o si había sido proporcionado por la empresa, la polémica estaba servida. Así, se ha llegado a pensar que la AEPD podría haber cambiado de criterio frente a resoluciones previas, en las que defendía el consentimiento como base jurídica de licitud o legitimación para el tratamiento de los datos contacto del trabajador para estos fines.
Tras la consulta evacuada a la AEPD por un abogado experto en la materia, esta autoridad de control, en aras a la seguridad jurídica, ha podido matizar su decisión, dándonos respuesta a las siguientes cuestiones que se había suscitado en el sector:
1. ¿Se ha cambiado de criterio por parte de la autoridad de control?
No, esta resolución no supone un cambio de criterio. La AEPD nos dice que no se puede presumir como criterio, válido y general, el que ha aplicado, de manera concreta, al supuesto en cuestión. Por tanto, no es aplicable a otros supuestos, de manera generalizada, el decir que la base jurídica de legitimación del tratamiento es la ejecución del contrato de trabajo [artículo 6.1.b) RGPD].
2. ¿Qué bases de legitimación resultan de aplicación?
La AEPD recuerda que es importante diferenciar si se trata de medios propios de la persona trabajadora – donde entonces podría entrar en juego el consentimiento del trabajador, como base jurídica de licitud – y medios facilitados por la empresa. En este último caso, el tratamiento podría basarse en la relación contractual o en la aplicación de convenios, o incluso el interés legítimo. En todo caso, el análisis debe realizarse caso por caso.
3. ¿Puede conocer la empresa tu teléfono y correo electrónico personal?
El correo electrónico y teléfono particular del trabajador no tienen por qué ser conocidos por el empresario, dado que ninguna norma establece que el trabajador tenga que facilitar estos datos al mismo. Es decir, que la empresa utilizase el teléfono y correo electrónico personal de un trabajador, por el mero hecho de ser empleado suyo, excedería de los límites para poder basar el tratamiento con base a la ejecución del contrato de trabajo. Por tanto, podemos inferir que, en el supuesto de la resolución comentada, la trabajadora sí contaba con medios corporativos. En caso contrario, las actuaciones de la AEPD hubieran sido distintas.
4. ¿Qué pasa si el trabajador desempeña su trabajo fuera de su centro de trabajo?
Si la relación de servicios conlleva una disponibilidad personal del trabajador fuera de su centro u horario de trabajo “una medida moderada para conseguir la comunicación de la empresa con el trabajador sería la puesta a disposición de un instrumento de trabajo como sería un teléfono de empresa”.
En este contexto, es necesario recordar la sentencia del Tribunal Supremo (TS) N.º 163/2021, relativa al (“Proyecto tracker”) de Telepizza. Esta empresa obligaba a los trabajadores a aportar su número de teléfono personal para su geolocalización durante el reparto, considerándolo el TS abusivo, al no superar el juicio de necesidad “en el sentido de que el medio o instrumento al que ha acudido la empresa para obtener aquel objetivo no es adecuado por existir otros medios invasivos”. En palabras del Alto Tribunal “es cierto que empresa y trabajador pueden pactar las condiciones que estimen oportunas, que puedan afectar a las herramientas necesarias para el desarrollo de la actividad empresarial, pero aquí no se está analizando un pacto sino un proyecto implantado unilateralmente por la empresa”. Por tanto, lo más recomendable en estos casos será que el empresario facilite los dispositivos de comunicación (Ej. teléfonos) a las personas trabajadoras.
5. ¿Qué pasa si la empresa no ha facilitado un teléfono corporativo al empleado e incluye el teléfono particular de éste en un grupo de WhatsApp con fines laborales?
Según indica la AEPD, podría utilizarse el correo electrónico y/o teléfono particular del empleado, siempre que se hubiera facilitado, de manera voluntaria, y se hubiera obtenido el consentimiento, de manera previa, para estos fines del ámbito laboral.
Recordemos que el consentimiento debe ser libre, específico, informado e inequívoco y, por tanto, su aplicación en el ámbito laboral se antoja complicado de justificar en la mayoría de los casos, dado que podría considerarse que estamos ante un consentimiento no libre, esto es, viciado como consecuencia de la relación asimétrica entre trabajador y empresario. A tenor de lo anterior, deberá evaluarse si ese consentimiento se ha prestado de manera libre, debiendo valorar, por tanto, si este tratamiento es idóneo, necesario y proporcionado.
Conclusiones:
– Debe ponderarse caso a caso. No obstante, queda claro que la empresa no puede incluir a sus trabajadores en grupos de WhatsApp con fines laborales utilizando su teléfono y correo electrónico personal, solo por el mero hecho de mantener una relación contractual laboral. Es recomendable que las empresas pongan a disposición medios propios para facilitar la comunicación entre empresario y trabajador.
– Si se trata de medios personales de los trabajadores serán éstos quienes, voluntariamente, faciliten esos datos, debiendo la empresa contar con su consentimiento y, además, debiendo garantizar que ese consentimiento es libre y ha pasado el estricto test de proporcionalidad. En todo caso, parece complicado que actuando así se pueda cumplir con la normativa de protección de datos, al no poder garantizar la aplicación de medidas técnicas de seguridad en dispositivos personales.
Equipo Govertis
KEEP READINGSi bien podríamos nombrar el amplio elenco de ventajas que, en general, aportan las nuevas tecnologías de la información y comunicación en el desempeño de la labor profesional, en este caso, queremos hacer eco del dictamen que emitió en su día la Agencia de Protección de Datos de Cataluña (en adelante, APDCAT), en relación a la consulta de la Agrupación de Jóvenes Abogados del Ilustre Colegio de Abogados de Sabadell, en el que se ponía de manifiesto expresamente los riesgos que puede implicar el uso de las aplicaciones (apps) de mensajería instantánea “Whatsapp” y “Spotbros” en la relación abogado y cliente, y por analogía, en las comunicaciones mantenidas entre las clínicas y sus pacientes o contactos.
De este modo, a continuación, señalamos una serie de riesgos en el uso del “Whatsapp”, así como el grado de adecuación de estas aplicaciones a la legislación de protección de datos de carácter personal, según el análisis hecho por la APDCAT.
En primer lugar, cabe decir que el tratamiento de datos personales que efectúa la clínica, en la llevanza y seguimiento de las consultas y tratamientos confiados por sus pacientes o contactos, obviamente, no puede comprenderse en el ámbito de los tratamientos de datos relativos a las actividades del médico que se inscriben en el marco de su vida privada o familiar, esto es, de sus actividades personales o domésticas. Claro está, que el dispositivo de telefonía móvil puede ser utilizado para las comunicaciones con la familia y amistades, sin embargo, el uso en el ámbito profesional es en el que se ha de incidir en preservar privacidad a las comunicaciones. Así, el tratamiento de datos de carácter personal que se hiciera a través del “Whatsapp” está sujeto a las prescripciones de confidencialidad y seguridad del Reglamento 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, RGPD). Por tanto, no sería de aplicación lo establecido en el artículo 2.2.c) del RGPD.
Es por esto que, la clínica tiene un grado de responsabilidad específico respecto al tratamiento de los datos personales de sus pacientes o contactos, que incluye la elección de los canales de comunicación más apropiados con los mismos.
Desde el momento que es incluido el paciente o el posible paciente en la “lista de contactos” de la agenda telefónica, el uso de estas aplicaciones por parte de la clínica conlleva, de inicio, el tratamiento de unos datos que pueden considerarse de carácter personal. Así, se considera información de carácter personal los datos relativos al Nombre y/o Apellidos, Correo Electrónico, Teléfono Móvil, Foto de perfil, Estado del perfil, e incluso la información sobre la fecha y hora en que se conecta un usuario. Por supuesto, si a esto se añade que, en el contenido de los mensajes pueden constar datos personales del propio cliente o de otra/s persona/s física/s involucradas en el asunto confiado, se amplía el espectro de datos a proteger, conforme a la normativa.
Además, ha de tenerse en cuenta que, por la propia naturaleza de la relación entre la clínica y sus pacientes o contactos, es posible que algunas de las informaciones personales que se transmiten a través de las apps, es decir, de los contenidos de algunos mensajes, incorporen datos especialmente sensibles (entre otros, datos relativos a la salud, física o mental).
En este caso, tal y como se manifiesta en el análisis hecho por la APDCAT, estas apps no garantizan la seguridad de las comunicaciones electrónicas. Así, “Whatsapp” no puede asegurar ni garantizar la seguridad de la información que el usuario transmite, y que el usuario asume el riesgo de dicha transmisión. “Whatsapp” no recomienda el uso de redes wifi no seguras u otras redes desprotegidas ni garantiza la seguridad de la información del usuario, cuando ésta se encuentra en sus sistemas, si bien añade que informará de posibles ataques a la seguridad de dichos sistemas.
Puesta la seguridad en entredicho, se mencionan además una serie de vulnerabilidades que, desde la puesta en marcha de “Whatsapp” han sido detectadas y analizadas; si bien, como cita la APDCAT, la compañía ha ido corrigiendo vulnerabilidades, de modo que sólo se hace referencia a aquellas que no se tiene constancia que hayan sido resueltas:
Contraseñas.- Esta app dispone de un sistema de contraseñas débil, de manera que era relativamente sencillo suplantar un usuario y enviar y recibir mensajes de forma fraudulenta. Si bien se ha mejorado la seguridad de la contraseña de acceso a la plataforma, se sigue constatando como vulnerabilidad el hecho de que esta contraseña se encuentra almacenada en un archivo no cifrado del terminal.
Cifrado.- Se constata que “Whatsapp” ha introducido el cifrado de los mensajes. Por tanto, actualmente todos los mensajes que se envían a través de la app son cifrados. Con esto, podríamos decirse que atiende a la prescripción del artículo 32.1.a) RGPD, que se refiere a la opción del cifrado como medida técnica apropiada para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta factores como el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento.
Ahora bien, aunque las conversaciones se transmitan en forma segura (cifrada), quedan almacenadas en el terminal en una base de datos, incluida en la tarjeta de memoria (en el caso del sistema operativo de telefonía móvil Android). Esta base de datos, a pesar de estar cifrada, tiene una contraseña que puede ser fácilmente conocida por terceros, de modo que si se tiene acceso en la tarjeta de memoria, se podría acceder a las conversaciones o comunicaciones.
Además, “Whatsapp” afirma, en las condiciones y términos de uso, que ni se copia ni se guarda ni se archiva el contenido de los mensajes que se envían. Los mensajes de los usuarios de esta herramienta son almacenados en los servidores de “Whatsapp”, para que puedan remitirse a los destinatarios de los mismos, siempre y cuando sean usuarios de la app. Cuando el destinatario del mensaje no está conectado, dicho mensaje se almacena durante un periodo de 30 días, fecha a partir de la cual se borra en el caso de que no pueda ser entregado. De este modo, y a la vista de las debilidades del sistema, relacionadas con la ausencia de medidas de seguridad aceptables por la normativa española, la información contenida en esos mensajes puede quedar desprotegida, de manera que terceros puedan acceder inconsentidamente a esos contenidos, en los cuales pueden obrar datos de carácter personal.
Como señala la APDCAT “Que los propios responsables del tratamiento desaconsejen la comunicación de datos sensibles a través de la app, resulta especialmente relevante a la hora que el usuario -el abogado, en este caso-,valore la conveniencia de utilizarlas, desde la perspectiva de la protección de datos, ya que las comunicaciones entre abogado y clientes pueden incluir habitualmente datos sensibles, las cuales podrían quedar desprotegidas, como parecen admitir las propias empresas responsables”.
Por todo cuanto se ha expuesto y adhiriéndose a las consideraciones jurídicas del dictamen que emitió en su día la APDCAT, se desaconseja el uso del “Whatsapp”, o medio de comunicación semejante, en el contexto de la relación entre la clínica y sus contactos o pacientes, ya que al ser habitual la comunicación y tratamiento de categorías especiales de datos, la utilización de estas aplicaciones no resulta adecuada desde un punto de vista técnico, en relación con la seguridad exigida por la legislación en materia de protección de datos de carácter personal.
El Equipo Govertis
