El Informe 0417/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la adecuación a la normativa de protección de datos de un proceso de control realizado por el administrador de red de un Organismo Público. La consulta plantea diversas dudas sobre la legalidad de una auditoría en la que se listaron los ficheros de una unidad de red asignada a cada empleado, junto con sus nombres y extensiones, y que fue entregada al director del centro.
El informe comienza definiendo qué se considera un dato de carácter personal según la Ley Orgánica 15/1999 y el Reglamento de desarrollo de la LOPD. Se menciona que cualquier información concerniente a personas físicas identificadas o identificables se considera un dato personal. Además, se hace referencia a la Recomendación 1/2001 del Grupo del Artículo 29 de la UE, que amplía esta definición para incluir cualquier elemento que aumente el conocimiento sobre una persona identificada o identificable.
El informe destaca que, aunque el listado de ficheros y extensiones no necesariamente constituye datos personales, su uso para evaluar a los empleados podría convertirlo en tal. La AEPD subraya la importancia de la legitimación, finalidad y proporcionalidad en el tratamiento de datos personales, principios fundamentales de la protección de datos.
Se mencionan varios instrumentos internacionales y nacionales que abordan el tratamiento de datos en el ámbito laboral, como el documento del Grupo de Berlín y el Dictamen 8/2001 del Grupo de Trabajo del artículo 29. Estos documentos enfatizan la necesidad de que los controles sean legítimos, necesarios, adecuados y proporcionados, y que los trabajadores sean informados sobre dichos controles.
En el contexto del derecho español, el informe recuerda que el tratamiento de datos personales requiere el consentimiento inequívoco del afectado, salvo en casos específicos como el mantenimiento de una relación laboral. Se hace referencia al Real Decreto 3/2010, que regula el Esquema Nacional de Seguridad en la Administración Electrónica, y que establece las condiciones necesarias para garantizar la seguridad de los sistemas y datos.
El informe concluye que cualquier medida de control debe superar el juicio de proporcionalidad, siendo adecuada, necesaria y equilibrada. Se recomienda que los controles se realicen mediante sistemas estadísticos que generen indicadores de gestión, detectando comportamientos desviados sin recoger datos excesivos o innecesarios.
En resumen, el informe subraya la importancia de respetar los principios de protección de datos en cualquier proceso de control laboral, asegurando que los datos tratados sean adecuados, pertinentes y no excesivos, y que los trabajadores sean debidamente informados sobre dichos controles.