El Informe 0582/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la legalidad de una circular emitida por una empresa que establece medidas y obligaciones para el uso del sistema de información por parte de los empleados. La circular especifica que cada trabajador debe compartir su correo electrónico con un compañero o responsable del departamento en caso de ausencia, con el fin de adecuar los procedimientos internos a la normativa de seguridad y protección de datos.
El informe destaca que este sistema permite el tratamiento de datos personales del trabajador ausente, incluyendo información de tipo sindical y relativa a la actividad de los representantes de los trabajadores. Esto podría implicar el acceso de terceros a datos sensibles o especialmente protegidos.
Para determinar la licitud del tratamiento de datos personales, el informe se basa en el artículo 6 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), que exige el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. En este caso, la legitimidad del tratamiento deriva de la existencia de una relación laboral entre las partes, según el artículo 20 del Estatuto de los Trabajadores, que atribuye al empresario facultades de dirección y control de la actividad laboral.
El artículo 20.3 del Estatuto de los Trabajadores permite al empresario adoptar medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales, siempre que se respete la dignidad humana y la capacidad real de los trabajadores. Sin embargo, el uso de tecnologías de la información multiplica las posibilidades de control y obliga a respetar los derechos fundamentales de los trabajadores, como la intimidad personal y el secreto de las comunicaciones.
El informe subraya la importancia del deber de información a los trabajadores sobre la política de la empresa en cuanto a la utilización del correo electrónico e Internet. Esta información debe ser clara y detallada, especificando en qué medida los trabajadores pueden utilizar los sistemas de comunicación de la empresa con fines privados o personales, así como la finalidad de la vigilancia y las medidas de control adoptadas.
Además, se recomienda informar a los representantes de los trabajadores sobre las políticas adoptadas en esta materia, ya que estos controles pueden afectar a todo el conjunto de la empresa. La información previa y su prueba son esenciales, ya que estos tratamientos no requieren el consentimiento del trabajador y son una manifestación de los poderes de control del empresario.
En conclusión, el artículo 20.3 del Estatuto de los Trabajadores habilita al empresario a controlar el correo electrónico otorgado a los trabajadores para el desarrollo exclusivo de sus funciones, siempre que haya informado previamente sobre dicho extremo y cumpla con el deber de información previsto en el artículo 5.1 de la LOPD. La empresa debe establecer reglas claras de uso de los medios informáticos y comunicar a los trabajadores que existirá control y los medios que se aplicarán para verificar la corrección de los usos.