¿LA EMPRESA PUEDE OBLIGAR A QUE EL TRABAJADOR FACILITE SU Nº DE TELÉFONO MÓVIL Y SU CORREO ELECTRÓNICO EN EL CONTRATO DE TRABAJO?

La sentencia del Tribunal Supremo, de 21 de septiembre de 2015, desestima el recurso de casación presentado por una empresa ante un conflicto con CCOO, que denunciaba que la empresa incorporaba en sus contratos de trabajo la siguiente cláusula:

– “Ambas partes convienen expresamente que cualquier tipo de comunicación relativa a este contrato, a la relación laboral o al puesto de trabajo, podrá ser enviada al trabajador vía SMS o vía correo electrónico, mediante mensaje de texto o documento adjunto al mismo, según los datos facilitados por el trabajador a efectos de contacto. Cualquier cambio o incidencia con respecto a los mismos, deberá ser comunicada a la empresa de forma fehaciente y a la mayor brevedad posible”

En esta sentencia el Tribunal Supremo admite que, voluntariamente, el trabajador facilite a la empresa el teléfono móvil y el correo electrónico; incluso indica que sería lo deseable, ya que en la actualidad nos comunicamos a través de estos medios.

Pero dicha sentencia se opone a que en el contrato de trabajo se incluya una cláusula en la que el trabajador consiente “voluntariamente” a aportar los referidos datos de carácter personal. Y esto, porque el trabajador se sitúa como la parte débil del contrato y, por tanto, puede considerarse que tal consentimiento no es libre y voluntario, habida cuenta que, en el momento de contratar un trabajo, el futuro empleado se ve obligado a aceptar la aportación de esos datos privados para obtener el puesto de trabajo. Por tanto, no consiente voluntariamente, sino obligado. La consecuencia es que la mencionada cláusula es nula por atentar contra un derecho fundamental y “debe excluirse de los contratos de trabajo”.

El Tribunal Supremo considera que la incorporación del teléfono móvil y el correo electrónico al contrato de trabajo requiere el consentimiento del empleado, ya que no se incluye dentro de las excepciones del artículo 6.2 de la LOPD, puesto que no son necesarios para el mantenimiento o cumplimiento del contrato de trabajo, y esto es así porque -hasta hoy- no son necesarios dichos ni el e-mail ni el teléfono móvil para el desarrollo de la relación contractual.

El Tribunal Supremo tampoco considera que dichos datos puedan considerarse profesionales y por tanto, acogerse a la excepción del artículo 2.2 del RLOPD, en cuyo caso no sería aplicable a su tratamiento la normativa de protección de datos de carácter personal.

DERECHO AL OLVIDO: SÍ, PERO…

En los años ochenta, dos personas estuvieron implicadas en el tráfico y consumo de drogas y posteriormente rehicieron su vida personal, familiar y profesional. Su caso aparecía en los motores de búsqueda de Internet y solicitaron la retirada de la noticia de la hemeroteca digital del diario nacional que la publicó. El medio lo rechazó, por lo que interpusieron una demanda en protección de su honor, intimidad y de sus datos personales.

Ahora, y por considerar que supone “una restricción excesiva de la libertad de información”, el pleno de la Sala de lo Civil del Tribunal Supremo ha rechazado el que los medios de comunicación tengan que suprimir –de sus hemerotecas digitales– nombres y apellidos de condenados en el pasado. Pero ha aprobado una sentencia que, por primera vez, reconoce el “DERECHO AL OLVIDO DIGITAL” que obliga a los medios a impedir que las informaciones desfasadas sobre personas particulares aparezcan en los buscadores de Internet; considera justificado que los medios tomen medidas para que esas noticias no aparezcan en los buscadores de Internet, pero no que deban suprimirlos de sus hemerotecas digitales.

El Tribunal Supremo recalca que el llamado derecho al olvido digital no ampara “el que cada uno construya un pasado a su medida”, impidiendo la difusión de informaciones sobre hechos que no se consideren positivos”. Y que “es necesario ponderar el potencial ofensivo que para los derechos de la personalidad tiene la información publicada y el interés público en que esa información aparezca vinculada a los datos personales del afectado”.

El Tribunal Supremo cree que el interés informativo puede justificar que se mantengan en la hemeroteca y en los motores de búsqueda datos personales cuando se trata de personas de relevancia pública o existe un interés histórico. Pero matiza que esta vinculación a los datos personales de la información lesiva para el honor y la intimidad en una consulta por Internet va perdiendo su justificación a medida que transcurre el tiempo si las personas carecen de relevancia pública y los hechos, vinculados a esas personas, carecen de interés histórico”. Aunque el tratamiento de los datos pueda considerarse veraz, “ya no resulta adecuado para la finalidad con la que inicialmente fueron recogidos y tratados, y distorsiona gravemente la percepción que los demás ciudadanos tienen de la persona afectada, provocando un efecto estigmatizador e impidiendo su plena inserción en la sociedad”.

Sí considera justificado que, a petición de los afectados, los responsables de las hemerotecas digitales deban adoptar medidas tecnológicas, como la utilización de códigos robots.txt o instrucciones noindex… para que la página web de la hemeroteca digital en que aparezca la información obsoleta y gravemente perjudicial no pueda ser indexada por los buscadores de Internet. Sin embargo, rechaza la procedencia de eliminar los nombres y apellidos de la información recogida en la hemeroteca, o que los datos personales contenidos en la información no puedan ser indexados por el motor de búsqueda interno de la hemeroteca, pues considera que estas medidas suponen una restricción excesiva de la libertad de información vinculada a la existencia de las hemerotecas digitales.

UBER filtra por error información privada de casi 700 conductores en EEUU

Un conductor avisó a la empresa de que, desde su cuenta, tenía acceso a la información de otros conductores, ya que Uber filtró, por error, información privada de 674 conductores de Estados Unidos (fotos de permisos de conducir y formularios de impuestos).

La situación quedó resuelta en unos 30 minutos y Uber pidió disculpas a los conductores que hubieran podido verse afectados.

¿QUÉ PROTEGER?

Los virus cada vez son más sofisticados y el coste de los ataques sobrepasa los 350.000 millones de euros. Ante la ausencia de fronteras digitales, los expertos recomiendan la creación de un organismo internacional y más colaboración entre países para reforzar la ciberseguridad y hacer frente a estas amenazas.

Las empresas cada vez son mayores, y ninguna puede protegerse completamente ante todos los ataques (los costes serían demasiado altos). ¿Qué pueden hacer? Pues, sin descuidar la protección de la otra, seleccionar la información más sensible, la más valiosa, y blindarla               

  • “…seleccionar qué es lo que más les interesa proteger y centrar sus esfuerzos en ello” (Dominik Bark, director de líneas financieras de Zurich Global Corporate).
  • “…los costes para una empresa serían tan elevados que no podría asumirlos. Su única opción es seleccionar aquella información que es vital proteger y ocultarla” (Martin Borrett, ingeniero de IBM).

En Internet no hay fronteras. Eso supone una gran oportunidad para la gente que quiere lucrarse. Es necesario crear un organismo supranacional porque en el ciberespacio los límites son más difusos que en los mapas políticos. La fragmentación del mundo físico dificulta que los Gobiernos colaboren y compartan información sobre sus amenazas y los ataques que sufren.

Los hackers ya no solo atacan dispositivos. A principios de año, Alemania reconoció que un virus paralizó y dañó gravemente unos altos hornos en la región del Ruhr. Así pues, la creciente digitalización también afecta a la vida industrial. Es el deterioro de algo material causado por un virus. La ciberseguridad empieza a ser tenida en cuenta para calcular el nivel de riesgo financiero de las empresas; la ciberseguridad no es un fenómeno aislado. Los drones, o la impresión 3D, están ampliando el riesgo en Internet y las normativas vigentes resultan insuficientes para garantizar la seguridad de la estructura cibernética del mundo.

Se recomienda la creación de un consejo de ciberestabilidad para fortalecer las instituciones globales y la creación de un sistema de alerta cibernética basado en el sistema de trabajo de la Organización Mundial de la Salud (OMS) para mejorar la gestión de la crisis y se alienta al sector privado a participar en el intercambio de información.

(Foro “Los retos de la gobernanza de la ciberseguridad”, organizado por el Center for Global Economy and Geopolitics (EsadeGeo), de la escuela de negocios ESADE, en colaboración con EL PAÍS).

SENTENCIA CASO SCHREMS: EL “SAFE HARBOR” Y LAS TRANSFERENCIAS INTERNACIONALES DE DATOS A EEUU

A tenor de las muchas informaciones publicadas al respecto de las transferencias internacionales de datos a EEUU, queremos hacerle algunas consideraciones:

  • Europa NO ha creado una prohibición para enviar datos hacia EEUU: ha declarado nula una decisión de la Comisión Europea que, básicamente, permitía la transferencia de datos personales desde Europa hacia EEUU sin necesidad de recurrir a autorizaciones especiales para llevarlas a cabo (adhiriéndose las empresas americanas al denominado “Safe Harbor”).
  • El resultado de la sentencia viene dado porque EEUU no protege adecuadamente los datos de ciudadanos europeos (como ha quedado demostrado cuando, autoridades como la NSA, acceden a estos datos sin que nadie pueda hacer nada al respecto). Y sí, es cierto que también las autoridades europeas lo hacen, pero en la mayoría de los casos se basan en órdenes judiciales para hacerlo.
  • ¿Es pues “legal” que empresas de EEUU sigan teniendo los datos de los europeos?. Es pronto para decirlo. Lo que es seguro es que harían bien en empezar a identificar -a nivel de las empresas que puedan tener subcontratadas y que tengan acceso a estos datos por el servicio que les prestan- los contratos que tienen suscritos con ellas, su vigencia y su posible revisión para adaptarlos al nuevo escenario.

Así pues, no había nada “ilegal” hasta la sentencia. Las idas y venidas de datos Europa-EEUU se iniciaron con el paraguas legal perfectamente válido; la nulidad del “Safe Harbor” es sobrevenida.

¿Qué convendría hacer si su empresa pertenece a Grupo Empresarial cuya matriz está en EEUU, o tiene proveedores encargados del tratamiento ubicados en EEUU?

  • Si en la actualidad está cediendo datos de sus empleados y/o clientes a la empresa matriz en EEUU, debería informar a aquéllos del cambio que se ha producido, solicitando su consentimiento para continuar tratando sus datos en EEUU.
  • Revisar los contratos con proveedores encargados del tratamiento ubicados en EEUU que tienen acceso a los datos de empleados y/o clientes, y adoptar unas “Cláusulas Tipo”, como las ya aprobadas por Europa para la transferencia de datos hacia países a los que la Comisión Europea no reconocía un nivel adecuado de protección. Y es que, desde ahora, Europa considera que EEUU es un país que no lo ofrece.
  • Solicitar información detallada a la matriz, o proveedores americanos, sobre sus sistemas y las medidas de seguridad que tiene implementadas, y probar que son sistemas son seguros, tener listos todos los procedimientos y políticas, y adoptar -en el Grupo de empresas- unas Normas Corporativas Vinculantes.

 Resumiendo: lo que se hacía hasta ahora tenía el amparo legal del “Safe Harbor”. Pero ahora la Unión Europea ha dictado sentencia, y las empresas en EEUU deberán adaptarse.

No obstante, la Unión Europea y  EEUU deben forjar un nuevo acuerdo de transferencia de datos transatlántico para ayudar a preservar los datos entre dos de los mayores socios comerciales del mundo.

La sentencia del Tribunal de Justicia de la Unión Europea crea nuevos riesgos legales para las empresas y dificulta crear un mercado único digital, ya que crea situaciones en las que el regulador en un país podría bloquear las transferencias de una empresa a los EEUU, mientras que el regulador en otro podría permitirlo.

La Comisión Europea ha dicho que está trabajando con las autoridades nacionales de protección de datos para asegurarse directrices claras para las empresas y para tratar de evitar un mosaico de contradecir las decisiones de los diferentes reguladores nacionales.

CASO SCHREMS: EUROPA HA DICTADO SENTENCIA.

Por su importancia y posible repercusión, ya nos hacíamos eco del “Caso Schrems” desde tiempo atrás (http://goo.gl/JifbDG  y  http://goo.gl/h7VqFr).

El Tribunal de Justicia de la Unión Europea ha dado la razón a Schrems, cuestionando la vigilancia de las instituciones europeas a las empresas estadounidenses y anula, en la práctica, el acuerdo Safe Harbour o “puerto seguro” que, desde el 2000 servía como marco para regular la transferencia de datos personales entre Europa y EEUU.

La sentencia abre la puerta a que las agencias de protección de datos nacionales (de los distintos países de la UE) puedan investigar si las empresas estadounidense ofrecen suficientes garantías. Habrá que ver las repercusiones inmediatas que tendrá esta sentencia en la práctica.