#JudiciDeProporcionalitat

El juicio de proporcionalidad en relación con los recursos corporativos que pueden contener información personal de los trabajadores continúa siendo un foco habitual de conflicto cuando una entidad necesita acceder a ellos por motivos operativos o de seguridad.

En este contexto, resulta especialmente oportuna la nueva resolución de archivo de la información previa núm. IP 73/2024 de la Autoridad Catalana de Protección de Datos (APDCAT), en la que se vuelve a delimitar con claridad los principios y criterios de justificación que permiten determinar cuándo un acceso a medios corporativos puede considerarse debido o, por el contrario, indebido o ilegítimo, especialmente cuando estos contienen datos personales de los trabajadores.

El caso analizado tiene como sujeto afectado a un Instituto del Departamento de Educación y Formación Profesional. Un docente del centro presentó una reclamación alegando que el acceso, por parte del responsable del tratamiento, a un ordenador corporativo de la entidad podía haber vulnerado sus derechos a la intimidad y a la protección de su información y datos personales. El origen de la actuación radica en las sospechas de la entidad sobre un posible acceso indebido a la plataforma iEduca, identificado con el perfil de un profesor que no se encontraba físicamente en el centro en ese momento.

La entidad responsable justificó el acceso al historial del ordenador corporativo con dos finalidades concretas: aclarar una posible suplantación de identidad y garantizar la seguridad del sistema informático del centro.

Asimismo, sostuvo que el acceso se limitó exclusivamente a estas finalidades y puso de manifiesto la existencia de normativa sectorial aplicable y de directrices internas debidamente documentadas, como guías de uso, manual de bienvenida, normas de organización y funcionamiento, entre otras, que se facilitan a los docentes del centro y que regulan los criterios de utilización de las tecnologías de la información y de los dispositivos digitales corporativos.

Por su parte, la persona denunciante consideró que el acceso había sido indebido, dado que no se había solicitado su consentimiento para acceder a un ordenador que, si bien no era de carácter personal, se encontraba en el aula donde impartía clase. En este sentido, señaló que los datos afectados eran los generados por las navegaciones a internet realizadas desde una dirección IP concreta, los cuales tienen la consideración de datos personales.

La APDCAT inicia su análisis descartando el consentimiento como base jurídica adecuada y considera más fundamentadas otras bases de legitimación previstas en el artículo 6.1.b), c) y e) del Reglamento General de Protección de Datos (RGPD), tales como la relación contractual, el interés legítimo o el interés público.

La valoración del acceso y el correspondiente juicio de proporcionalidad se fundamentan en varios elementos clave:

En primer lugar, la entidad puede acceder a los contenidos de los medios digitales facilitados a los trabajadores de acuerdo con el artículo 87 de la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LOPDGDD). A ello se añade la Recomendación CM/Rec(2015)5 del Comité de Ministros del Consejo de Europa, de 1 de abril de 2015, relativa al tratamiento de datos en el ámbito laboral, que establece, entre otros principios, la posibilidad de acceder a las comunicaciones electrónicas de los empleados cuando estos han sido debidamente informados.

No obstante, la Autoridad recuerda que el principio de licitud debe ir necesariamente vinculado al principio de minimización. En consecuencia, cualquier control debe constituir una respuesta proporcional frente a riesgos potenciales, ponderando adecuadamente el derecho a la vida privada y los demás intereses legítimos de los trabajadores. Esto implica que los datos tratados con finalidades de revisión deben ser adecuados, pertinentes y no excesivos en relación con la necesidad que justifica su recogida.

En términos generales, cualquier medida de monitorización debe aplicarse bajo estos criterios. Si existe una alternativa que permita alcanzar el objetivo perseguido con una menor intromisión en la vida privada de los trabajadores, el empleador está obligado a valorar y, en su caso, aplicar dicha opción.

En definitiva, el acceso a los medios corporativos debe llevarse a cabo de la forma menos invasiva posible y, en todo caso, habiendo informado previamente a las personas trabajadoras afectadas. El responsable del tratamiento debe ofrecer una respuesta proporcional a los riesgos que gestiona, tomando siempre en consideración la privacidad legítima y los demás intereses de los trabajadores.