MEDIDAS DE CONTROL Y VIGILANCIA POR PARTE DE LA ENTIDAD LOCAL

2 julio, 2019 por Govertis Blog 0 comentarios

MEDIDAS DE CONTROL Y VIGILANCIA POR PARTE DE LA ENTIDAD LOCAL

Como ya adelantábamos la semana pasada en el Blog del DPD de la Asociación Española para la Calidad (@aec_es), la cuestión de si tiene o no potestad de control y vigilancia el empresario o empleador en el ámbito privado, es un tema muy trillado del que se ha hablado en numerosas ocasiones. ¿Pero qué pasa en el ámbito público, concretamente en las Entidades Locales?

 

TITULARIDAD DE LOS MEDIOS TECNOLÓGICOS

En primer lugar, partimos de la afirmación, que la titularidad de los medios tecnológicos (correo electrónico, equipos de sobremesa, etc..) es de la Administración Local siempre y cuando, dichos soportes se hayan puesto a disposición del empleado con la finalidad de desempeño de las funciones encomendadas a este. Son muchos los pronunciamientos de la Agencia Española de Protección de Datos al respecto, resaltamos entre ellos, el Informe 0464/2013, en el que la propia agencia afirma:

<< Entendemos que se refiere al correo electrónico corporativo, puesto que se reconoce la propiedad empresarial de dicho correo y que el mismo será destinado “para fines profesionales” >>

 

LEGITIMACIÓN EN LA ADOPCIÓN DE LAS MEDIDAS DE CONTROL

Asentado lo anterior, debemos analizar la base de legitimación para poder llevar a cabo la adopción de medidas de control por parte, en este caso, de la Entidad local.

En el ámbito privado, como sabemos, el control y vigilancia del uso de las herramientas informáticas puestas a disposición de los empleados está amparado por el artículo 20.3 del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 1/1995, de 24 de marzo:

<< 3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad. >>

En el ámbito público, a su vez, debemos diferenciar:

  1. Personal laboral: ya sea, fijo por tiempo indefinido o temporal,
  2. Funcionarios de carrera o interinos.

Por lo que se debe diferenciar la normativa aplicable a ambos supuestos:

  1. Para el personal laboral, sería de aplicación el artículo 20.3 del Estatuto de Trabajadores.
  2. En cuanto a los funcionarios de carrera, dicho control estaría legitimado, puesto que la Administración como Responsable de Tratamiento, tal y como indica el artículo 32.1 RGPD debe, por un lado, implementar medidas de seguridad en el tratamiento:

<< Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (…)>>

Y por otro, medidas de seguridad de forma integral, tal y como recoge el artículo 5 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica:

<< La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. La aplicación del Esquema Nacional de Seguridad estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural. >>

En consecuencia, las medidas de seguridad se aplicarán en el sistema de información de forma integral, almacene o no datos personales.

Asimismo, el artículo 41.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece;

<<2. En caso de actuación administrativa automatizada deberá establecerse previamente el órgano u órganos competentes, según los casos, para la definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad y, en su caso, auditoría del sistema de información y de su código fuente. Asimismo, se indicará el órgano que debe ser considerado responsable a efectos de impugnación. >>

Es por ello, que una de las medidas de seguridad que está obligado a adoptar el Responsable, son aquellas medidas de control concretas para poder preservar la seguridad de los sistemas de información.

Como bien sabemos, la información, en general, y la información que contiene datos personales, se sustenta y almacena en soportes tecnológicos, cuya utilización es cada vez mayor, y en particular en el ámbito laboral. Ello conlleva, entre otras consecuencias, la posibilidad de contar con herramientas informáticas por parte de los empleados, dichas herramientas son de la administración, puestas a su disposición.

 

LEY ORGÁNICA DE PROTECCIÓN DE DATOS Y GARANTÍA DE DERECHOS DIGITALES

La reciente Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, ha introducido como su principal novedad el Título X “Garantía de los derechos digitales”, donde en su artículo 87 ha establecido el Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral:

      1. Los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.
      2. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
      3. Los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. En su elaboración deberán participar los representantes de los trabajadores.

El acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados.

Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado.

Si analizamos este artículo 87, la primera cuestión a destacar es la referencia tanto a los trabajadores como o a los empleados públicos. En este punto, la Agencia Catalana de Protección de Datos ya puntualizó, en su Dictamen 49/2009, en relación con la consulta planteada por la instructora de un expediente disciplinario incoado a una funcionaria de un Ayuntamiento relativo al uso privado del correo electrónico del puesto de trabajo, que el Ayuntamiento, en su condición de “empresario”, también podía ejercer un control cuando tuviera como finalidad verificar el cumplimiento por parte de los trabajadores de sus obligaciones laborales, y lo hace en base al artículo 54 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP), que establece como principio de conducta de los empleados públicos, entre otros, el deber de no utilizar los recursos y bienes públicos en provecho propio, por lo que, los Ayuntamientos, y otros entes públicos, podrían realizar actuaciones de control del ordenador de sus trabajadores con el fin de verificar el cumplimiento de este deber.

 

JUICIO DE PROPORCIONALIDAD, IDEONIDAD Y NECESIDAD DE LAS MEDIDAS DE CONTROL

El Tribunal Constitucional (TC) considera que el ejercicio de cualquier derecho fundamental consagrado en nuestra Constitución no es de carácter absoluto, sino que se debe contraponer con el ejercicio de otros derechos o bienes jurídicos protegidos, siendo la función de los órganos jurisdiccionales y, en concreto del TC, preservar el equilibrio necesario ante una posible colisión de intereses contrapuestos.

Es por ello, que para que una actividad de control sea conforme a la legislación y se justifique, deben respetarse los principios de Necesidad, Legitimidad, Proporcionalidad y Seguridad.

 

CONCLUSIONES

DEBER DE INFORMAR: La entidad pública, debe transmitir a su personal una declaración clara, precisa y fácilmente accesible de su política relativa a la vigilancia del correo electrónico y la utilización de Internet.

Los trabajadores deben ser informados de manera completa sobre las circunstancias particulares que pueden justificar esta medida excepcional; así como del alcance y el ámbito de aplicación de este control, se muestra por ejemplo el Informe 582/2009 de la AEPD.

Esta información debería incluir necesariamente:

  • La política de la entidad en cuanto a utilización del correo electrónico e Internet, describiendo de forma pormenorizada en qué medida los trabajadores pueden utilizar los sistemas de comunicación de la entidad con fines privados o personales (por ejemplo, períodos y duración de utilización).
  • Los motivos y finalidad de la vigilancia, en su caso. Cuando la entidad autorice a los trabajadores a utilizar los sistemas de comunicación de la entidad pública con fines personales, las comunicaciones privadas podrán supervisarse en circunstancias muy limitadas, por ejemplo, para garantizar la seguridad del sistema informático (detección de virus).
  • Información detallada sobre las medidas de vigilancia adoptadas, por ejemplo, quién ha adoptado las medidas, qué medidas se han adoptado y cuándo.
  • Información detallada sobre los procedimientos de aplicación, precisando cómo y cuándo se informará a los trabajadores en caso de infracción de las directrices internas y de los medios de que disponen para reaccionar en estos casos.

Adicionalmente, es conveniente que se informe inmediatamente al trabajador de cualquier abuso de las comunicaciones electrónicas detectado, salvo que haya razones imperiosas que justifiquen la continuación de la vigilancia, lo que normalmente no es el caso.

Ello se puede hacer de diversas formas:

  • Transmitir información rápida fácilmente mediante un programa informático, por ejemplo, a través de ventanas de advertencia que avisen al trabajador de que el sistema ha detectado una utilización ilícita de la red. Un gran número de malentendidos podrían así evitarse.
  • Otro ejemplo, atendiendo a un principio de transparencia, sería la práctica de las entidades locales, consistente en informar y/o consultar a los representantes de los trabajadores antes de introducir políticas que les conciernan.
  • Además, es posible que los convenios colectivos no sólo obliguen a la entidad a informar y consultar a los representantes de los trabajadores antes de instalar sistemas de vigilancia, sino también, en los convenios colectivos se pueden establecer límites a la utilización de Internet y del correo electrónico por los trabajadores, así como proporcionar información detallada sobre el control de esta utilización.

En definitiva, podemos decir que lo determinante para que las entidades locales puedan legalmente controlar el correo de sus empleados, es que previamente les hayan advertido de dicha circunstancia y que la medida esté orientada a mejorar las tareas laborales.

 

Vanessa Barceló

Lead Advisor Sector Privado en @govertis

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

FACTORES CLAVE DE ÉXITO PARA UN CERTIFICADO DE UTILIDADEntrada anterior:
AJUSTES A LA CATEGORIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN PARA SELECCIONAR LAS MEDIDAS DE SEGURIDAD DEL ANEXO II DEL ENSSiguiente entrada