El pasado 13 de octubre de 2020 entró en vigor el Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia, que introdujo en el ordenamiento jurídico la disciplina completa de una modalidad laboral, que, hasta entonces, sólo se había regulado en nuestro país de modo fragmentario.
La norma tiene una indiscutible incidencia en el ámbito de la protección de datos personales. Por ello, sorprende que, en su fase de Anteproyecto, el Gobierno obligase a la Agencia Española de Protección de Datos (AEPD) a emitir su preceptivo Informe con una urgencia inusitada, teniendo en cuenta que la petición de Informe tuvo entrada en la autoridad de control el 11 de septiembre (viernes) y que el Real Decreto-Ley fue aprobado en Consejo de Ministros el día 22 de septiembre. Tal premura convirtió este trámite consultivo en un mero formalismo, que no ha tenido reflejo apreciable en la Ley aprobada, pero cuya utilidad orientativa para su aplicación es indiscutible.
Entrando en el análisis normativo, el RDL 28/2020 recoge el deber de que empleador y empleado firmen, preceptivamente, un acuerdo escrito, en el que se regulen las condiciones en las que el trabajo a distancia habrá de desempeñarse (art. 6). La obligada entrega a los representantes legales de los trabajadores de la copia básica de este acuerdo debe efectuarse respetando la intimidad del trabajador y el principio de minimización (art. 6.2), quedando el tratamiento de esa información sujeto a los principios y garantías de la normativa de protección de datos.
Precisa la AEPD, a este respecto, que sólo deben facilitarse a los representantes de los trabajadores aquellos datos que sean estrictamente necesarios para el desempeño de las funciones de vigilancia y control que les corresponden, debiendo quedar excluidos el DNI del empleado, su domicilio, su estado civil o cualquier otro no imprescindible para dicho fin.
Debe recoger el acuerdo de trabajo a distancia
Entre los aspectos que, imperativamente, debe recoger el acuerdo de trabajo a distancia, se encuentran las instrucciones que la empresa haya establecido en materia de protección de datos y seguridad de la información para dicha modalidad de trabajo (art. 7, letras j y k). Quedarán, así, reflejadas por escrito las obligaciones del trabajador en este ámbito, lo cual tiene no poca relevancia, dada la responsabilidad que se derivaría para el empresario de un eventual incumplimiento de dichas obligaciones y los específicos riesgos para los datos personales y la seguridad de la información que son inherentes al trabajo a distancia; especialmente, al teletrabajo (conexión en remoto a los sistemas de la empresa, tratamiento de datos en el domicilio del empleado, etc.).
En relación con el uso por el empresario de medios y aplicaciones informáticas para mitigar dichos riesgos, la AEPD reconoce el interés legítimo empresarial (art. 6.1.f) RGPD), pero precisa que tales riesgos deben abordarse de manera proporcionada y no excesiva, especialmente cuando los límites entre el trabajo profesional y el uso privado de los medios de trabajo sea difuso. En cualquier caso, los empleados que desarrollen sus tareas a distancia tienen el deber de cumplir las instrucciones de la empresa en materia de protección de datos y seguridad de la información (art. 20 RDL 28/2020).
Destaca la AEPD en su Informe que el empresario puede ejercer las facultades de dirección y control de la actividad laboral también en el trabajo a distancia, conforme al art. 20.3 del Estatuto de los Trabajadores. No obstante, dicho control no permite cualquier tratamiento de datos personales del empleado. Sólo son admisibles aquellas medidas de fiscalización que se ajusten al principio de proporcionalidad (conforme a los criterios sentados por el Tribunal Constitucional en su STC 207/1996) y que, además, cumplan los requerimientos generales del artículo 5 RGPD.
Considera la AEPD que la monitorización continua del trabajador durante su jornada de trabajo sin que concurran riesgos potenciales concretos, podría ser una medida en exceso intrusiva y desproporcionada. La incidencia de tales actividades sobre los derechos fundamentales podría ser especialmente grave, teniendo en cuenta el uso generalizado de tecnologías que permitirían dicho control y que podría extenderse incluso a ámbitos privados. Así lo recoge también el Grupo de Trabajo del art. 29 en su Dictamen 2/2017, sobre el tratamiento de datos en el trabajo.
En este sentido, no parecen medios proporcionados los que permiten registrar pulsaciones en el teclado, movimientos del ratón, capturas de pantalla o habilitar cámaras web que vigilen al empleado en remoto. En relación con esto último, la AEPD ya se había pronunciado anteriormente, oponiéndose al uso de técnicas de reconocimiento facial en esferas como la seguridad privada (Informe 31/2019) o los exámenes en las universidades a distancia (Informe 36/2020). Esas mismas conclusiones serían de aplicación al ámbito del trabajo a distancia.
Precisamente, el art. 17 del RDL 28/2020 concreta la necesidad de que la utilización de medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos garantice el derecho a la intimidad y a la protección de datos del trabajador, de acuerdo con los principios de idoneidad, necesidad y proporcionalidad de los medios utilizados. Manifestación de ello es la prohibición de exigir al empleado la instalación de programas o aplicaciones en dispositivos de su propiedad u obligarle a la utilización de esos dispositivos en el desarrollo del trabajo a distancia. El art. 18 de la norma completa este conjunto de garantías reconociendo al trabajador a distancia el derecho a la desconexión digital, en los términos del artículo 88 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
De todo lo expuesto, puede concluirse que, pese al escaso reflejo que el Informe de la AEPD ha tenido en el texto del RDL 28/2020, supone una útil herramienta interpretativa, que ofrece orientación sobre el modo en que la autoridad de control, previsiblemente, aplicará el RGPD y la Ley Orgánica 3/2018 en relación con el trabajo a distancia, por lo que debería ser tenido en cuenta por los sujetos obligados.
