Con motivo de la “revolución legislativa” en materia de protección de datos personales a la que hemos asistido en los últimos años, los tribunales europeos se han visto obligados a actualizar sus pronunciamientos en cuanto a la interpretación de las normas. La jurisprudencia que hasta hace apenas dos o tres años resultaba de plenamente aplicable, actualmente podría no serlo y, por ello, conviene estar al tanto de las últimas novedades jurisprudenciales.
Por este motivo, es especialmente relevante la Sentencia 817/2021 de la Sala de lo Social del Tribunal Supremo, donde se ponen de relieve algunos de los asuntos más sonados en cuanto a la protección de datos personales en el ámbito laboral, como son los asuntos “López Ribalda I (2018”)” y “López Ribalda II (2019)”. En ambos casos, se contrapone el deber del empleador para ejercer sus facultades de control frente al derecho a la privacidad de los trabajadores y, en algunos sectores, además entran en juego múltiples factores a tener en cuenta a la hora de determinar si las medidas de control son eficaces, necesarias y proporcionales para lograr este fin.
Esta Sentencia gira en torno a los hechos ocurridos en febrero de 2017, cuando se tuvo constancia por parte del Director de Seguridad y Autoprotección de IFEMA de que no se estaban siguiendo las instrucciones impartidas al personal de Securitas que tenía asignada el servicio de vigilancia y seguridad exterior del Recinto ferial con motivo del incremento del Nivel de alerta de amenaza terrorista. En concreto, se pedía expresamente que los vigilantes realizaran controles aleatorios de seguridad en vehículos y, posteriormente, documentasen estos registros en partes diarios incluyendo datos tales como fecha, hora, puesto, matrícula, marca y modelo del vehículo objeto de control.
Así, el 01 de febrero de 2017 se detectó la posibilidad de que no se estuviera cumpliendo con la instrucción impartida al respecto de los controles de seguridad aleatorios en vehículos, por lo que el Director de Seguridad de IFEMA procedió al visionado de las imágenes de las cámaras instaladas en los aparcamientos y entradas de vehículos al recinto ferial, donde se comprobó que un total de quince vigilantes de seguridad, registraban como ejecutados controles de vehículos que no constaba acreditado en las imágenes que hubieran realizado.
El demandante, D. Eloy, quien se encontraba entre el grupo de vigilantes afectado por el visionado de imágenes, recibió el 21 de abril de 2017 por parte de Securitas (empresa para la que trabajaba) la notificación de su despido disciplinario como consecuencia de los hechos relatados anteriormente. Resulta llamativo que, el 14 de marzo el demandante firmó una autorización en la que consentía, por un lado, que la entidad “Recinto Ferial Juan Carlos I” cediera sus datos personales almacenados en el fichero de su responsabilidad relativo a la videovigilancia, a la entidad Securitas Seguridad España, S.A.U., con el fin de que esta última pudiera valorar y verificar el correcto cumplimiento de sus tareas. Por otro lado, en dicho documento se autorizaba a Securitas a incorporar las imágenes en su fichero de recursos humanos con idéntico fin. Con ello, (recordemos que en aquel entonces el RGPD ya se encontraba en vigor, aunque no fuese obligatoria su aplicación hasta el 25 de mayo de 2018), se cumplía con el deber de información al interesado para la comunicación de sus datos personales.
Ocurrido lo anterior, el 25 de noviembre de 2017, el demandante envía un burofax a Securitas, con el objeto de ejercitar sus derechos de cancelación y oposición (en aquel entonces, la LOPDGDD no estaba en vigor) en relación con los datos personales e imágenes que la compañía tuviera en su poder y, especialmente, aquellos datos e imágenes relacionados con la autorización firmada el 14 de marzo.
Posteriormente, el asunto del despido de D. Eloy derivó en un procedimiento judicial donde el trabajador interpuso demanda por despido, solicitando su nulidad y, subsidiariamente, su improcedencia. El Juzgado número 40 de Madrid, en su Sentencia de 12 de diciembre de 2017, estimó la improcedencia del despido, aplicando para ello la doctrina sentada en la Sentencia del Tribunal Europeo de Derechos Humanos, de 5 septiembre de 2017, conocida como Barbulescu II, entendiendo que la prueba utilizada para considerar el despido del trabajador fue obtenida vulnerando sus derechos fundamentales (por medio de esta sentencia, el TEDH ofreció una guía de actuación en cuanto a la información que se debe facilitar a los empleados por parte de los empleadores en el marco del ejercicio de sus potestades de supervisión y vigilancia de las comunicaciones).
No obstante, la empresa interpuso recurso de suplicación contra esta sentencia, lo que derivó en la aplicación por parte del Tribunal Superior de Justicia de Madrid a través de la Sentencia 828/2018, de 28 de septiembre de 2018, de la Sentencia del TEDH llamada “López Ribalda I”, donde se dan “las claves para la resolución de la presente controversia, dado que a partir de los hechos probados es posible afirmar que el sistema de videovigilancia era conocido por el trabajador por evidente y notorio”. Sin perjuicio de lo anterior, el TSJ estima que la finalidad de este sistema de videovigilancia “no era la de control de la actividad laboral de la contratista, sino la de control de acceso general al recinto de IFEMA, y que el trabajador no fue “informado de forma expresa, precisa e inequívoca de la finalidad de la recogida de sus datos personales”.
Por otro lado, el TSJ de Madrid a través de la Sentencia 77/2017, de 31 de enero de 2017 (utilizada como sentencia de contraste en este recurso), consideró válida la prueba obtenida de las imágenes del sistema de videovigilancia al estimar que el trabajador que prestaba servicios era conocedor de la existencia de este sistema, aun cuando no fue informado del destino que pudiera darse a las imágenes o que pudieran ser utilizadas en su contra, tesis que fue validada por el Tribunal Supremo.
Llegados a este punto, nos encontramos con dos postulados diferentes para hechos similares, lo que consecuentemente evoca a una contradicción judicial. Por un lado, se estima la licitud de la prueba en la sentencia de contraste, mientras que en la sentencia recurrida el TSJ de Madrid se inclina por declarar ilícita la prueba aportada por la empresa.
Para resolver esta controversia, el TS se apoya en la doctrina sentada por el TEDH en la Sentencia de 17 de octubre de 2019 en el asunto “López Ribalda II”, la cual debió aplicarse para resolver el procedimiento instado por D. Eloy, exponiendo postulados muy clarificadores. En primer lugar, afirma que “el sistema de videovigilancia era conocido por el trabajador por evidente y notorio”, siendo la base jurídica del tratamiento de datos “la ejecución y cumplimiento del contrato de trabajo, conforme a las facultades legales de control del empleador”, no siendo válida la legitimación basada en el consentimiento del trabajador, lo que provocó un desequilibrio entre los derechos del interesado (D. Eloy) y el responsable del tratamiento (Securitas). No obstante, lo relevante a efectos de esta sentencia es que el trabajador conocía de la existencia del sistema de videovigilancia. Con ello, la Sentencia del Tribunal Constitucional número 39/2016, de 3 de marzo de 2016, establece que “cuando el trabajador conoce que se ha instalado un sistema de videovigilancia, no es obligatorio especificar la finalidad exacta que se le ha asignado a ese control”. Esta sentencia reduce claramente las exigencias informativas que se deben facilitar al trabajador, limitándose esencialmente a que éste conozca de la existencia de la videovigilancia.
Además, el TS considera que Securitas “tenía un interés legítimo amparado en sus facultades empresariales de control y en la carga de la prueba que sobre ella recaía a la hora de probar la veracidad de los hechos reprochados al trabajador”. Igualmente, en estos hechos concurrían intereses públicos derivados del incremento de la amenaza terrorista, los cuales podían verse comprometidos por un deficiente control de seguridad en el acceso al recinto ferial. Así pues, la finalidad de las cámaras de videovigilancia coincide plenamente con el objeto de la prestación de servicios del trabajador, controlar la seguridad en el acceso a IFEMA.
Finalmente, el hecho de que el sistema de videovigilancia perteneciera a IFEMA y no a Securitas podría ser relevante desde el punto de vista de protección de datos personales (que, como hemos visto, la cesión de imágenes entre estas entidades basado en el consentimiento del trabajador supone un desequilibrio entre los derechos de éste y las facultades del responsable del tratamiento), pero el TS no considera que exista una vulneración de derechos del trabajador debido a que si Securitas hubiera instalado otro sistema de videovigilancia para sus trabajadores, este sistema hubiese sido desproporcionado desde el prisma de los derechos de los trabajadores y la protección de sus datos personales.
Por todo lo anterior, el TS estimó el Recurso de casación para la unificación de doctrina y afirma que la prueba de videovigilancia debió admitirse al estar alineada con la doctrina del Tribunal Constitucional. Pero igualmente, el TS recuerda que lo anterior no impide que “la empresa pueda ser responsable en el ámbito de la legislación de protección de datos”, mientras que la parte demandante decidió no explorar esta vía contra la empresa.
A modo de conclusión, extraemos de esta sentencia que: (i) la instalación de un sistema de videovigilancia en el lugar de trabajo confiere al empleador un interés legítimo para la utilización de dicho sistema en el ejercicio de sus potestades de control; y (ii) el hecho de que la utilización de pruebas obtenidas por medio de sistemas de videovigilancia sea válido en el ámbito judicial, esto no significa que la empresa pueda ser responsable de cometer una infracción en materia de protección de datos personales.
.svg){kind=icon}
.svg){kind=icon}
