La prensa nacional e internacional de los últimos días se ha hecho eco de la Sentencia de 12 de enero de 2016 dictada por el Tribunal Europeo de Derechos Humanos ("TEDH") en el caso Barbulescu contra Rumania (asunto nº 61496/08) en el que el TEDH, por seis votos contra uno, considera que no existe violación del artículo 8 del Convenio para la protección de los derechos humanos y las libertades fundamentales ("Derecho al respeto a la vida privada y familiar: Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia"), en el caso del Sr. Barbulescu, quién fue despedido por su empleadora, una compañía privada, por haber usado la línea de Internet de la empresa y los ordenadores propiedad de ésta para su uso personal, utilizando programas de mensajería instantánea (en ese caso, Yahoo! Messenger) durante su jornada de trabajo, infringiendo así la normativa interna de la Compañía.
Nos dice esta Sentencia que el empleado no podía tener una expectativa razonable de privacidad cuando se comunicaba a través de Yahoo! Messenger desde las herramientas informáticas facilitadas por su empleadora. Y ello, por cuanto que resulta incontrovertido que la normativa empresarial interna aplicable al Sr. Barbulescu establecía expresamente la prohibición de utilizar los ordenadores y recursos de la empresa para fines personales.
Ciertamente, la que ya podemos denominar "doctrina Barbulescu" es la que vienen siguiendo los Tribunales españoles desde que, ya en la antigua Sentencia de 26 de septiembre de 2007, el Tribunal Supremo dejó clara la prevalencia del poder de dirección y control del empresario sobre la actividad laboral, al afirmar que en el ámbito de control de las herramientas informáticas puestas a disposición de los empleados para desarrollar su actividad laboral resultaba de aplicación lo dispuesto en el artículo 20.3 del Estatuto de los Trabajadores ("El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales"), desterrando de este ámbito el artículo 18 del Estatuto de los Trabajadores, que venía tratando las herramientas informáticas (correo electrónico, ordenadores, etc.), como si de las taquillas del empleado se trataran, lo que exigía que el registro se realizara con "la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa […]".
Nos decía la STS de 26 de septiembre de 2007, con meridiana claridad, que "lo que debe hacer la empresa […] es establecer previamente las reglas de uso de esos medios – con aplicación de prohibiciones absolutas o parciales – e informar a los trabajadores de que va existir control y de los medios que han de aplicarse […]. De esta manera, si el medio se utiliza para usos privados en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado «una expectativa razonable de intimidad»".
Con más rotundidad se pronunció, si cabe, la también conocida Sentencia del TS de 6 de octubre de 2011, reconociendo la validez de una política empresarial basada en la prohibición absoluta del uso personal de las herramientas informáticas, con esta tajante afirmación: "si no hay derecho a utilizar el ordenador para usos personales, no habrá tampoco derecho para hacerlo en unas condiciones que impongan un respeto a la intimidad o al secreto de las comunicaciones, porque, al no existir una situación de tolerancia del uso personal, tampoco existe ya una expectativa razonable de intimidad".
Esta doctrina ha sido avalada, además, por el propio Tribunal Constitucional, entre otras, en su Sentencia de 7 de octubre de 2013.
Por lo tanto, podemos concluir que, desde un punto de vista estrictamente jurídico-laboral, la empresa puede controlar y monitorizar el uso que sus empleados hagan de las herramientas informáticas que les han sido facilitadas (esto incluye, cuentas de correo electrónico personal, mensajería instantánea y similares), siempre y cuando tenga establecida previamente una normativa interna o política de utilización de tales herramientas, con prohibiciones absolutas o parciales, advirtiendo a sus empleados del posible control o monitorización.
Rompiendo así la expectativa de un derecho fundamental a la intimidad y al secreto de las comunicaciones (art. 18 de la Constitución) cuando los empleados utilizan estos medios, propiedad de la Compañía, la empresa podrá sancionar disciplinariamente el uso personal e inadecuado, pudiendo incluso llegar al máximo reproche laboral consistente en el despido disciplinario.
Ahora bien, existen determinados escenarios donde el control del empresario podría ser arriesgado, como es el caso de la monitorización de las conversaciones de WhatsApp de un trabajador.
En primer lugar, debemos afirmar que la aplicación WhatsApp es generalmente instalada en los teléfonos personales de los trabajadores. Atendiendo a lo comentado anteriormente, el control empresarial puede efectuarse sólo sobre herramientas de la empresa y por ello todas aquellas conversaciones que mantenga el trabajador desde su teléfono personal no podrían ser controladas por el empresario sin que ello comportara una vulneración de la intimidad del trabajador.
Así pues, el control del uso de WhatsApp no podría llevarse a cabo sobre el terminal propio del trabajador (aunque realizara cierto uso profesional) sino únicamente sobre terminales que la empresa pone a disposición del trabajador.
En estos casos, si la empresa informara debidamente al trabajador sobre la monitorización del tráfico de datos efectuado en el teléfono, podría en principio controlar las conversaciones mantenidas a través de WhatsApp. No obstante, es preciso mencionar que aunque la empresa encontraría amparo legal para monitorizar las conversaciones (el art. 20.3 del Estatuto de los Trabajadores), ésta podría ser sorprendida con una sanción económica por alguna de las siguientes razones:
1.- Contraviene los Términos de servicio de WhatsApp: En primer lugar, la aplicación permite sólo el uso personal: "WhatsApp hereby grants you permission to use the Service, provided that: (i) your use of the Service as permitted is solely for your personal use". La empresa por tanto no podría utilizar esta aplicación, ya que ésta no permite el uso profesional. Por otro lado, tampoco está permitido el acceso de datos por parte de terceros (en este caso, la propia empresa): "you will not duplicate, transfer, give access to, copy or distribute any part of the Service in any medium without WhatsApp's prior written authorization;". Finalmente, WhatsApp también prohíbe expresamente recoger cualquier información de la aplicación: " You agree not to collect or harvest any personally identifiable information, including phone number, from the Service".
Por tanto, contravenir los Términos de servicio no sólo habilitaría a WhatsApp a cerrar la cuenta de los trabajadores, sino que el propio empresario vulneraría el art. 1091 del Código Civil al utilizar esta aplicación en su empresa. Este artículo establece que "las obligaciones que nacen de los contratos tienen fuerza de ley entre las partes contratantes, y deben cumplirse al tenor de los mismos".
2.- El empresario infringe diversos preceptos la normativa de Protección de Datos: Por un lado, los usuarios que utilizan WhatsApp deben presar su consentimiento para el tratamiento de sus datos. Una de las características del consentimiento para que sea entendido como válido es que éste debe ser informado (art. 6 LOPD). Sin embargo, WhatsApp establece los Términos de servicio en inglés y ello podría suponer que el consentimiento facilitado al aceptar dichos términos no fuera válidamente otorgado.
Por otro lado, en lo que respecta a la seguridad, es bien sabido que WhastApp contempla numerosos fallos y no todos ellos han sido correctamente subsanados. Además de ello, algunas profesiones tratan datos sensibles y ello podría requerir unas medidas de seguridad que WhatsApp no incorpora a fecha de hoy, comportando ello una vulneración del principio de seguridad (art.9 LOPD).
A parte de ello, la empresa debería contar con un contrato de encargado del tratamiento con WhastApp (art. 12 LOPD). En este sentido, la aplicación accede periódicamente a la agenda de contactos para cotejar los números de la agenda de contactos del usuario con los usuarios del servicio que contempla en sus servidores, con el fin de mostrar qué números de la agenda de contactos resultan a su vez usuarios del servicio de mensajería WhatsApp: "(…) You expressly acknowledge and agree that in order to provide the Service, WhatsApp may periodically access your contact list and/or address book on your mobile device to find and keep track of mobile phone numbers of other users of the Service." En este caso, el acceso a la totalidad de la agenda de contactos de los teléfonos móviles convierte necesariamente a WhatsApp en encargado del tratamiento de los números de los contactos de la agenda que no son usuarios de la aplicación.
Finalmente, considerando que los datos personales de los usuarios son almacenados en servidores ubicados en Virgina y Washinghton D.C., cabe indicar que WhatsApp efectúa una transferencia internacional de datos a un país con un nivel no adecuado de protección, EE.UU. De acuerdo con lo que establece la normativa, si la empresa utiliza WhastApp, la transferencia internacional de datos efectuada por dicha aplicación debería ser autorizada por la directora de la Agencia Española de Protección de Datos (art. 33 LOPD).
Con todo ello, podemos concluir que difícilmente puede llevarse a cabo la monitorización del WhastApp por parte del empresario. Si bien el empresario podría ejercer cierto control sobre las comunicaciones llevadas a cabo por un trabajador con el teléfono de la empresa, en caso de hacerlo podría ser sancionado. Atendiendo pues a los diversos riesgos que presenta la aplicación, el control de las conversaciones de WhatsApp de los trabajadores parece no ser una opción recomendable para las empresas.