CISS LABORAL. - El trabajo a distancia, como modalidad de prestación laboral, ha superado su concepción clásica de trabajo a domicilio: en la actualidad, lo que existe es un trabajo remoto y flexible, que permite que el trabajo se realice en nuevos entornos que no requieren la presencia de la persona trabajadora en el centro de trabajo.
La Ley 10/2021, de 9 de julio, de trabajo a distancia, recuerda los derechos asociados al uso de dispositivos en el ámbito laboral como son, entre otros, el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral y el derecho a la desconexión digital. La propia Exposición de Motivos recuerda que la virtualización de las relaciones laborales desvincula o deslocaliza a la persona trabajadora de un lugar y un tiempo concretos, lo que sin duda trae consigo notables ventajas, entre otras, mayor flexibilidad en la gestión de los tiempos de trabajo y los descansos; mayores posibilidades, en algunos casos, de una autoorganización, con consecuencias positivas, en estos supuestos, para la conciliación de la vida personal, familiar y laboral; reducción de costes en las oficinas y ahorro de costes en los desplazamientos; productividad y racionalización de horarios; fijación de población en el territorio, especialmente en las áreas rurales; compromiso y experiencia de la persona empleada; atracción y retención de talento o reducción del absentismo.
Por el contrario, también se ejemplifican posibles inconvenientes derivados de esta forma de trabajo: problemas vinculados a la protección de datos, brechas de seguridad, tecnoestrés, horario continuo, fatiga informática, conectividad digital permanente, mayor aislamiento laboral, pérdida de la identidad corporativa, deficiencias en el intercambio de información entre las personas que trabajan presencialmente y aquellas que lo hacen de manera exclusiva a distancia, dificultades asociadas a la falta de servicios básicos en el territorio, como la conectividad digital o servicios para la conciliación laboral y familiar, o traslado a la persona trabajadora de costes de la actividad productiva sin compensación alguna, entre otros.
1. Recomendaciones a empresas y trabajadores en materia de protección de datos
Teniendo en cuenta las obligaciones en materia de protección de datos de carácter personal que impone la normativa específica, recordemos que la empresa, como responsable del tratamiento de los datos, puede ser duramente sancionada por una mala praxis en esta materia; por su parte, los trabajadores también adquieren obligaciones, definidas en sus acuerdos de trabajo a distancia y vinculadas a sus tareas específicas.
Antes de la Ley de trabajo a distancia (y de su RDL antecedente), la Agencia Española de Protección de Datos (AEPD) difundió una serie de recomendaciones, basándose especialmente en la proliferación del uso del trabajo a distancia y en el riesgo de la exposición de datos personales en situaciones de movilidad. Veamos algunas:
A los responsables del tratamiento
- Definir una política de protección de la información para situaciones de movilidad. Esta política determinará qué formas de acceso remoto se admiten, los dispositivos válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos. Se plasmará en el acuerdo de trabajo a distancia.
- Elegir soluciones y proveedores de servicio confiables y con garantías. Se evitarán aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y puedan dar lugar a la exposición de datos de su personal.
- Restringir el acceso a la información. Se configurarán los perfiles o niveles de acceso a los recursos y a la información según los roles de cada empleado.
- Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad. Se actualizarán a nivel de aplicación y sistema operativo, y se deshabilitarán los servicios innecesarios.
- Monitorizar los accesos realizados a la red corporativa desde el exterior. Se establecerán sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en acceso remoto y movilidad, y se comunicarán a la autoridad de control y/o a los interesados las brechas de seguridad que afecten a datos personales.
- Gestionar racionalmente la protección de datos y la seguridad. Se establecerán las medidas y garantías en las políticas a partir de un análisis de riesgos que evalúe la proporcionalidad entre los beneficios a obtener del trabajo a distancia y el impacto potencial de ver comprometido el acceso a información de carácter personal.
A los trabajadores a distancia
- Respetar la política de protección de la información en movilidad definida por el responsable. Han de observarse las políticas y recomendaciones recogidas en las guías y política de protección de datos y seguridad de la información, y se respetará el deber de confidencialidad de los datos personales a los que se tuviera acceso en el desempeño de las funciones laborales.
- Proteger el dispositivo utilizado en movilidad y el acceso al mismo. Se evitará la conexión en lugares públicos y redes Wifi abiertas no seguras; se protegerán los mecanismos de autentificación mediante certificados, contraseñas, tokens, sistemas de doble factor, etc.
- Garantizar la protección de la información que se está manejando. Se minimizará la entrada y salida de documentación en soporte papel; se destruirá la documentación desechada; no se dejará a la vista ningún soporte de información en el lugar donde desarrolle el teletrabajo; etc.
- Guardar la información en los espacios de red habilitados. Se evitará almacenar la información generada durante la situación de movilidad en el propio dispositivo utilizado, siendo preferible el uso de recursos de almacenamiento compartido o en la nube proporcionados por la empresa.
- Si hay sospecha de que la información ha podido verse comprometida, comunicar con carácter inmediato la brecha de seguridad. Se notificarán estas anomalías al responsable, sin dilación y a la mayor brevedad posible, a través de los canales definidos al efecto.
Puedes acceder a todas las guías de recomendaciones de la AEPD aquí.
2. Protección de datos en la Ley de trabajo a distancia
Veamos las principales manifestaciones de la protección de datos personales en esta norma, y su clara vinculación con la normativa más reciente, en particular la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Obligaciones formales del acuerdo de trabajo a distancia (art. 6.2 de la nueva Ley)
La empresa deberá entregar a la representación legal de las personas trabajadoras una copia de todos los acuerdos de personas trabajadoras a distancia que se realicen y de sus actualizaciones, que excluirá aquellos datos que, de acuerdo con la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, pudiera afectar a la intimidad personal. El tratamiento de la información facilitada estará sometido a los principios y garantías previstos en la normativa aplicable en materia de protección de datos.
Contenido del acuerdo del trabajo a distancia (art. 7)
Según el citado precepto, forman parte del contenido mínimo obligatorio del acuerdo de trabajo a distancia, sin perjuicio de la regulación recogida al respecto en los convenios o acuerdos colectivos, las instrucciones dictadas por la empresa, con la participación de la representación legal de las personas trabajadoras, en materia de protección de datos, específicamente aplicables en el trabajo a distancia (letra j) y las instrucciones, también dictadas por la empresa, previa información a la representación legal de las personas trabajadoras, sobre seguridad de la información, específicamente aplicables en el trabajo a distancia (letra k).
Obsérvese que, en el caso de las instrucciones sobre protección de datos se requiere la participación activa de los representantes legales de los trabajadores en su determinación, mientras que en materia de seguridad de la información únicamente es preceptiva la previa comunicación a los mismos, dando amplio margen al empleador.
Derecho a la intimidad y a la protección de datos (art. 17)
El capítulo vinculado al uso de medios digitales comienza con la garantía de este derecho, tomando como referencia, casi literal, el art. 87 LOPDGDD. La utilización de los medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos garantizará adecuadamente el derecho a la intimidad y a la protección de datos, en los términos previstos en la Ley Orgánica de 2018, y de acuerdo con los principios de idoneidad, necesidad y proporcionalidad de los medios utilizados.
La empresa no podrá exigir la instalación de programas o aplicaciones en dispositivos propiedad de la persona trabajadora, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia. Además, la Ley obliga a las empresas a establecer criterios de utilización de los dispositivos digitales, respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos legal y constitucionalmente. En su elaboración deberá participar la representación legal de las personas trabajadoras.
Se cierra esta regulación previendo que los convenios o acuerdos colectivos puedan especificar los términos en los que los trabajadores especifiquen hacer uso de los equipos informáticos de la empresa por motivos personales.
Derecho a la desconexión digital (art. 18)
Las personas que trabajan a distancia, particularmente en teletrabajo, tienen derecho a la desconexión digital fuera de su horario de trabajo en los términos establecidos en el artículo 88 LOPDGDD.
La Ley desarrolla en otros términos los principios de la Ley Orgánica, de modo que el deber empresarial de garantizar la desconexión conlleva una limitación del uso de los medios tecnológicos de comunicación empresarial y de trabajo durante los periodos de descanso, así como el respeto a la duración máxima de la jornada y a cualesquiera límites y precauciones en materia de jornada que dispongan la normativa legal o convencional aplicables.
De modo idéntico a la LOPDGDD, la Ley indica que la empresa, previa audiencia de la representación de las personas trabajadoras, elaborará una política interna dirigida a personas trabajadoras, incluidas los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio de la persona empleada vinculado al uso con fines laborales de herramientas tecnológicas.
Como novedad, el art. 18.2 in fine de la Ley añade que los convenios o acuerdos colectivos de trabajo podrán establecer los medios y medidas adecuadas para garantizar el ejercicio efectivo del derecho a la desconexión en el trabajo a distancia y la organización adecuada de la jornada, de forma que sea compatible con la garantía de tiempos de descanso.
Debe completarse lo anterior con lo estipulado en la disp. adic. 1ª de la misma Ley, al establecer que los convenios o acuerdos colectivos podrán regular posibles circunstancias extraordinarias de modulación del derecho a la desconexión.
Derechos colectivos de las personas que trabajan a distancia (art. 19)
Entre los derechos de naturaleza colectiva previstos en el art. 19 de la Ley de trabajo a distancia, cabe destacar la obligación del empleador de suministrar, a la representación legal de los trabajadores, de los elementos precisos para el desarrollo de su actividad representativa, y entre ellos el acceso a las comunicaciones y direcciones electrónicas de uso en la empresa y la implantación del tablón virtual, cuando sea compatible con la forma de prestación del trabajo a distancia. Aunque no conste expresamente, se entiende implícita la garantía de la intimidad y de la protección de datos personales en este proceso.
Facultades de organización, dirección y control empresarial en el trabajo a distancia (arts. 20 a 22)
De forma paralela a la garantía de los derechos del trabajador, el capítulo IV de la Ley se ocupa de estas facultades, sin olvidar la protección de datos, en obediencia a la LOPDGDD y a la jurisprudencia del Tribunal Supremo.
Así, el art. 20 expresa que las personas trabajadoras, en el desarrollo del trabajo a distancia, deberán cumplir las instrucciones que haya establecido la empresa en el marco de la legislación sobre protección de datos, previa participación de la representación legal de las personas trabajadoras.
Añade, en consonancia con el art. 7 de la Ley 10/2021, que estos trabajadores deberán cumplir las instrucciones sobre seguridad de la información específicamente fijadas por la empresa, previa información a su representación legal, en el ámbito del trabajo a distancia.
El art. 21, sobre condiciones e instrucciones de uso y conservación de equipos o útiles informáticos, remite a la negociación colectiva; y el art. 22 cierra este capítulo, ordenando las facultades de control empresarial: la empresa podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, incluida la utilización de medios telemáticos, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.
3. Marco normativo en materia de protección de datos
Constitución Española. Art. 18: garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen, además de la inviolabilidad del domicilio y el secreto de las comunicaciones. |
Estatuto de los Trabajadores. Art. 8.4: garantiza la aplicación de la normativa sobre protección de datos en el tratamiento del contenido de los contratos; y art. 20 bis: proclama el derecho de los trabajadores a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales. |
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales: la primera norma que estableció expresamente, recogiendo la jurisprudencia nacional, comunitaria e internacional, un conjunto de derechos relacionados con el uso de dispositivos en el ámbito laboral, como el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral y el derecho a la desconexión digital. |
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos y a la libre circulación de estos datos. |
Acuerdo Marco Europeo sobre Teletrabajo de 16 de julio de 2002: definió esta modalidad como “una forma de organización y/o de realización del trabajo, con el uso de las tecnologías de la información, en el marco de un contrato o de una relación de trabajo, en la que un trabajo, que hubiera podido ser realizado igualmente en los locales del empleador, se efectúa fuera de estos locales de manera regular”. |