#Intimitat

El judici de proporcionalitat en relació amb els recursos corporatius que poden contenir informació personal dels treballadors continua sent un focus habitual de conflicte quan una entitat necessita accedir-hi per motius operatius o de seguretat.

En aquest context, resulta especialment oportuna la nova resolució d’arxivament de la informació prèvia núm. IP 73/2024 de l’Autoritat Catalana de Protecció de Dades (APDCAT), on es torna a delimitar amb claredat els principis i criteris de justificació que permeten determinar quan un accés a mitjans corporatius pot considerar-se degut o, per contra, indegut o il·legítim, especialment quan aquests contenen dades personals dels treballadors.

El cas analitzat té com a subjecte afectat un Institut del Departament d’Educació i Formació Professional. Un docent del centre va presentar una reclamació al·legant que l’accés, per part del responsable del tractament, a un ordinador corporatiu de l’entitat havia pogut vulnerar els seus drets a la intimitat i a la protecció de la seva informació i dades personals. L’origen de l’actuació rau en les sospites de l’entitat sobre un possible accés indegut a la plataforma iEduca, identificat amb el perfil d’un professor que no es trobava físicament al centre en aquell moment.

L’entitat responsable va justificar l’accés a l’historial de l’ordinador corporatiu en dues finalitats concretes: aclarir una possible suplantació d’identitat, i garantir la seguretat del sistema informàtic del centre.

Així mateix, va sostenir que l’accés es va limitar exclusivament a aquestes finalitats i va posar de manifest l’existència de normativa sectorial aplicable i de directrius internes degudament documentades, com ara guies d’ús, manual de benvinguda, normes d’organització i funcionament, entre d’altres que es faciliten als docents del centre i que regulen els criteris d’utilització de les tecnologies de la informació i dels dispositius digitals corporatius.

Per la seva banda, la persona denunciant va considerar que l’accés havia estat indegut, atès que no s’havia sol·licitat el seu consentiment per accedir a un ordinador que, si bé no era de caràcter personal, es trobava a l’aula on impartia classe. En aquest sentit, va assenyalar que les dades afectades eren les generades per les navegacions a internet realitzades des d’una adreça IP concreta, les quals tenen la consideració de dades personals.

L’APDCAT inicia la seva anàlisi descartant el consentiment com a base jurídica adequada i considera més fonamentades altres bases de legitimació previstes a l’article 6.1.b), c) i e) del Reglament General de Protecció de Dades (RGPD), com ara la relació contractual, l’interès legítim o l’interès públic.

La valoració de l’accés i el corresponent judici de proporcionalitat es fonamenten en diversos elements clau:

En primer lloc, l’entitat pot accedir als continguts dels mitjans digitals facilitats als treballadors d’acord amb l’article 87 de la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals (LOPDGDD). A això s’afegeix la Recomanació CM/Rec(2015)5 del Comitè de Ministres del Consell d’Europa, d’1 d’abril de 2015, relativa al tractament de dades en l’àmbit laboral, que estableix, entre d’altres principis, la possibilitat d’accedir a les comunicacions electròniques dels empleats quan aquests han estat degudament informats.

No obstant això, l’Autoritat recorda que el principi de licitud ha d’anar necessàriament vinculat al principi de minimització. En conseqüència, qualsevol control ha de constituir una resposta proporcional davant riscos potencials, ponderant adequadament el dret a la vida privada i els altres interessos legítims dels treballadors. Això implica que les dades tractades amb finalitats de revisió han de ser adequades, pertinents i no excessives en relació amb la necessitat que justifica la seva recollida.

En termes generals, qualsevol mesura de monitorització ha d’aplicar-se sota aquests criteris. Si existeix una alternativa que permeti assolir l’objectiu perseguit amb una menor intromissió en la vida privada dels treballadors, l’ocupador està obligat a valorar i, si escau, aplicar aquesta opció.

En definitiva, l’accés als mitjans corporatius s’ha de dur a terme de la manera menys invasiva possible i, en tot cas, havent informat prèviament les persones treballadores afectades. El responsable del tractament ha d’oferir una resposta proporcional als riscos que gestiona, tenint sempre en consideració la privadesa legítima i els altres interessos dels treballadors.