La resolución del procedimiento AI-00050-2022 ha desatado un enorme interés en medios de información generalistas, afirmándose en muchos de ellos que a partir de ahora las empresas podrán incluir a sus trabajadores en grupos de Whatsapp a conveniencia. Sin embargo, un análisis pausado de la cuestión invita a llegar a la conclusión contraria.
La resolución del procedimiento AI-00050-2022
Dicha resolución resuelve la reclamación de un trabajador que había sido incluido sin su consentimiento en dos grupos de Whatsapp por parte de su empresa, dedicada al reparto de paquetería. En dichos grupos se publicaba información imprescindible para el desempeño de sus funciones, como las rutas de reparto, las ubicaciones de los vehículos, etc.
Contradiciendo la versión del trabajador, la empresa alega, con el fin de evitar conflictos, sí recaba la autorización de sus trabajadores para la inclusión en dichos grupos. Asimismo, razona los motivos por los cuales dicha forma de comunicación resulta imprescindible para el desempeño de su actividad.
La Agencia focaliza su razonamiento en la necesidad de dicha práctica para la organización de la actividad de la empresa. Aunque no afirma expresamente en ningún punto de la resolución cuál es la base de legitimación aplicable al caso, señala que “en el ámbito de las relaciones laborales, el tratamiento de los datos personales se basa jurídicamente, de forma principal, en la ejecución del contrato de trabajo”.
Centrándose en el asunto a resolver, concluye que “los datos objeto de tratamiento son los mínimos necesarios para la organización del trabajo particular” y que la empresa “ha informado a los trabajadores de la finalidad del tratamiento”. Entendiendo que concurre base de legitimación y se ha cumplido con el deber de información, archiva el procedimiento por no apreciar la existencia de infracción alguna.
Lo cierto es que, si tenemos en cuenta únicamente dicha resolución, parece lógico concluir que la inclusión en grupos de Whatsapp de empresa para coordinar la actividad de la plantilla es una práctica legítima. Sin embargo, es necesario detenerse en una serie de elementos que la Agencia no ha analizado en su resolución, y que llevan a matizar enormemente la posibilidad de tal inclusión.
La doctrina de la AEPD en supuestos similares
La primera cuestión que llama la atención es la ausencia de aclaración en la resolución sobre la titularidad de la línea y el dispositivo. Esto es, no se aclara en ningún momento si la línea telefónica y el dispositivo utilizado por el trabajador son de su propiedad (teléfono personal) o si se trata de un teléfono corporativo.
Esta distinción sí ha sido tenida en cuenta en otras resoluciones por la propia AEPD a la hora de determinar si el tratamiento de datos personales realizado se encontraba amparado o no por la normativa aplicable.
Entre las resoluciones de la propia Agencia, como ha señalado CAMPANILLAS (1), deben destacarse los PS-00480-2021 y PS-00270-2022:
En la primera, se apercibe al Ayuntamiento de Madrid por requerir a los agentes de la Policía Municipal la instalación en sus dispositivos personales de un sistema de doble autenticación para el acceso a su correo electrónico, al entender que el tratamiento “no se amparaba en ninguna de las bases jurídicas del artículo 6.1 RGPD” (FJ III).
En la segunda, la AEPD sanciona al empleador de una trabajadora contratada para prestar sus servicios en una comunidad de propietarios, por haber incluido a esta en un grupo de Whatsapp integrado por miembros de dicha comunidad. De nuevo, la AEPD manifiesta que “no consta acreditada base de legitimación alguna para el tratamiento de los datos de la reclamante” (FJ IV).
Exceptuando ambas, lo cierto es que resultan escasas las resoluciones en las que la AEPD analiza el uso del teléfono personal del trabajador por parte de la empresa, y más escasas aún aquellas que versan sobre el uso de grupos de Whatsapp. Además, han de ser tomadas en consideración con enormes cautelas, pues todas son anteriores a la entrada en vigor del Reglamento General de Protección de Datos, y en ninguna de ellas se abordó la inclusión involuntaria de un trabajador:
- Procedimiento AP-00050-2017: sancionó con apercibimiento a un organismo autónomo por crear un grupo de Whatsapp con 30 becarios para enviarles comunicaciones, ya que dicho tratamiento “no constaba en la convocatoria de las plazas”.
- Procedimiento E-02180-2018: la AEPD determinó que el uso de un grupo de Whatsapp para que los trabajadores de una empresa de ambulancias compartan determinados documentos, incluyendo información médica de los pacientes, no cumple con las medidas de seguridad necesarias. Sin embargo, no se planteó si la inclusión de los trabajadores en dicho grupo resultaba acorde a la LOPD.
- Procedimiento AI-00408-2017: la reclamante denuncia que la encargada de la tienda en la que prestaba servicios ha enviado información confidencial referente a su baja médica por un grupo de Whatsapp integrado por todas las empleadas de la tienda, grupo que había creado la propia encargada. La AEPD acepta que dicho grupo ha sido creado voluntariamente, sin solicitar ninguna prueba de que el consentimiento ha sido válidamente prestado, y exime a la empresa de la infracción por incumplimiento del art. 10 LOPD pues “al tratarse de la actuación concreta y puntual de una persona empleada de una tienda, no se halla sujeta al régimen sancionador de la LOPD” (postura que choca frontalmente con el criterio mostrado por la propia Agencia en decenas de resoluciones en las que ha sancionado con hasta 9.000€ por el envío de un correo electrónico sin copia oculta, donde el carácter puntual y aislado de la actuación de un empleado no ha sido óbice para la exigencia de responsabilidades a su empleadora).
- Procedimiento TD-00161-2020: la reclamante denuncia que ha ejercido su derecho de supresión sobre su teléfono y correo personales, instando a la empresa a comunicarse con ella únicamente por correo postal, habiendo sido totalmente desatendida su solicitud hasta el punto de seguir recibiendo mensajes de Whatsapp de la empresa. La AEPD señala que “las partes deben ponerse de acuerdo para buscar canales ágiles de comunicación”, y resuelve únicamente exigiendo a la empresa que conteste a su derecho de supresión en 10 días, sea para ejecutarlo o para denegarlo motivadamente.
A dichas resoluciones resulta necesario añadir la Guía “La protección de datos en las relaciones laborales”. En la misma, la AEPD establece como criterio general la necesidad de contar con alguna forma de contacto entre empleado y empleador, sin que ello legitime a la empresa para solicitar a la persona trabajadora todos los datos de contacto. Señala que “la necesidad del tratamiento habrá de ponderarse caso a caso”.
Asimismo, la AEPD considera que podrán operar como bases de legitimación la ejecución del contrato, el consentimiento o el interés legítimo del empleador, siempre teniendo en cuenta la finalidad pretendida y los datos tratados.
La AEPD aborda expresamente la puesta a disposición de un teléfono corporativo, calificándola como “una medida más moderada e igual de eficaz para conseguir la comunicación de la empresa con la persona trabajadora” para aquellos supuestos en los que sea necesario contactar con el trabajador fuera de su centro de trabajo.
Como se desprende de las resoluciones estudiadas y de la propia Guía, la AEPD no ha mostrado una excesiva preocupación por el tratamiento de los datos personales de contacto de los trabajadores, y por ende de los dispositivos asociados a estos (principalmente, el teléfono móvil). Si bien los documentos con argumentaciones más densas y elaboradas, como son el PS-00480-2021 y la Guía “La protección de datos en las relaciones laborales”, se inclinan en mayor medida por la prohibición del uso del teléfono particular para el desempeño de las funciones propias de la relación laboral, encontramos numerosos ejemplos en los que la Agencia “flexibiliza” enormemente este criterio.
Esta postura choca frontalmente con la posición adoptada por las Salas de lo Social de la Audiencia Nacional y el Tribunal Supremo.
La postura de la Audiencia Nacional y el Tribunal Supremo frente a la obligación del uso del teléfono particular en la relación laboral
Tanto la Audiencia Nacional como el Tribunal Supremo han mantenido un criterio absolutamente claro en contra de la exigencia de aportación del teléfono y correo electrónico personales en el ámbito de las relaciones laborales, hasta el punto de afirmarse por parte de la Sala IV del TS que “resulta innecesaria la obtención de datos personales tales como el teléfono o el correo electrónico personal del trabajador” (SSTS 21 de septiembre de 2015, rec. 259/2014, y 111/2018, rec. 78/2017).
Si bien esta oposición se ha fundamentado en la propia normativa de protección de datos, a dicha fundamentación hay que añadir otra específica, propia del iuslaboralismo: la obligación de la empresa de aportar los medios necesarios para el desenvolvimiento de la relación laboral.
Entre los últimos casos, cabe destacar el conflicto colectivo originado por la decisión de una cadena de pizzerías de requerir el uso del teléfono personal de los repartidores para el desempeño de la relación laboral.
En instancia, la Audiencia Nacional (SAN 13/2019, de 6 de febrero) dictamina que tal práctica vulnera el derecho a la privacidad de los trabajadores, al existir medidas alternativas que no implican para la persona trabajadora la necesidad de ceder sus datos personales (FJ 6).
En cuanto al uso del teléfono en tanto que utensilio de trabajo, la Sala afirma que dicha práctica, si no conlleva una compensación justa del coste del dispositivo y la línea, quiebra con la necesaria ajenidad en los medios que caracteriza la nota de ajenidad del contrato de trabajo recogida en el art. 1.1 ET (FJ 7).
Dicha resolución fue confirmada por el Tribunal Supremo en su sentencia 163/2021, de 8 de febrero (rec. 84/2019). El Alto Tribunal reconoce la posibilidad de establecer mediante pacto las condiciones que “empresa y trabajador estimen oportunas”, incluyendo aquellas que afectan a las herramientas necesarias para el desarrollo de la actividad, pero distingue claramente dicho supuesto de aquellos casos (como el enjuiciado) en el que las medidas son impuestas de forma unilateral por la empresa (FJ 2).
Es importante resaltar que el Tribunal advierte de la insuficiencia de la existencia de compensación económica para dar por superado el juicio de proporcionalidad, especialmente cuando las partes afectadas discrepan razonablemente de la cantidad asignada (FJ 2).
Puede extraerse por tanto la necesidad de dos elementos para que la aportación del teléfono personal (entendido a la vez como número de teléfono y como dispositivo) resulte acorde a la normativa laboral y de protección de datos: existencia de un verdadero pacto, y compensación económica adecuada.
Con mayor contundencia si cabe, la SAN 99/2022, de 27 de junio (proc. 128/2022), reitera la “doble vulneración de normas” que supone exigir el uso de los datos personales de la persona trabajadora, si bien en este caso por la obligación de uso del correo electrónico personal.
Sobre la quiebra del principio de ajenidad, afirma: “la ajenidad propia del contrato de trabajo (ex art. 1.1 E.T) implica, entre otras cosas, la ajenidad en los medios, lo que implica que es el empleador el que tiene que proporcionar al trabajador los medios necesarios para el desenvolvimiento de su relación laboral” (FJ 3).
En cuanto al derecho fundamental a la protección de datos: “ya la STS de 21-9-2015 consideró contrario a la entonces vigente normativa nacional y europea en materia de protección de datos que el trabajador se viese obligado a proporcionar su correo y su número de teléfono personal a la empresa, razonando que si los mismos resultasen esenciales para el desenvolvimiento del contrato tanto uno como otro debían ser proporcionados por la empresa al trabajador”.
Concluye la sentencia afirmando que, en caso de que sea necesario que el trabajador disponga de una cuenta de correo electrónico, es el empleador el que está obligado a proporcionarlo, sin que sea excusa a tal fin el coste del mismo, pues recae en el empresario la obligación de asumir los riesgos de su actividad empresarial proporcionando a la plantilla los medios necesarios para su desarrollo (en el mismo sentido, Vid. SAN 104/2021, de 10 de mayo, FJ 3).
La específica regulación del teletrabajo
Los razonamientos y criterios interpretativos analizados en el apartado anterior sobre la normativa en materia de protección de datos y el Estatuto de los Trabajadores resultan de aplicación a cualquier clase de relación laboral. No obstante, conviene detenerse brevemente en la regulación específica de esta modalidad de desempeño de funciones. Y es que debe señalarse como un enorme acierto del legislador la clarísima redacción de los artículos dedicados a los derechos de las personas trabajadoras, en aras de despejar cualquier halo de duda sobre la aplicación del criterio de la ajenidad en los medios al trabajo a distancia o teletrabajo, así como sobre la imposibilidad de imponer a los trabajadores el uso de sus propios dispositivos y los datos personales de contacto asociados a los mismos.
De este modo, la Ley 10/2021, de 9 de julio, de Trabajo a Distancia, “codifica” el principio de ajenidad en los medios al reconocer el derecho a la dotación y mantenimiento adecuado por parte de la empresa de todos los medios, equipos y herramientas necesarios para la actividad (artículo 11.1). Para despejar cualquier clase de dudas, se añade a continuación que el desarrollo del trabajo deberá ser sufragado o compensado por la empresa, y no podrá suponer la asunción por parte del empleado de ninguna clase de coste (artículo 12.1).
Por su parte, en lo referente al uso de dispositivos personales, el artículo 17.2 prohíbe la exigencia tanto de instalación de programas o aplicaciones en los dispositivos propiedad de la persona trabajadora, como de utilización de estos dispositivos en el desarrollo del trabajo a distancia. Cabe apreciar que el precepto no prohíbe “el uso”, sino “la exigencia de uso”. Es perfectamente válido por tanto, en consonancia con los razonamientos de la STS 163/2021, el pacto por el cual la persona trabajadora se compromete a utilizar su teléfono personal en el desempeño de sus funciones a cambio de una compensación adecuada.
El que estos derechos solo se encuentren expresamente recogidos en la normativa aplicable al trabajo a distancia, estando ausentes en el Estatuto de los Trabajadores, podría llevar a pensar que únicamente se aplica a los casos en los que resulte aplicable la Ley 10/2021. No obstante, la lectura de las resoluciones estudiadas en el apartado anterior lleva a la conclusión contraria. Las dudas sobre una forma de trabajo poco practicada previamente a la pandemia de COVID-19 han llevado al legislador, acertadamente, a suprimir cualquier debate sobre la asunción de los costes, incluyendo una serie de artículos que, si bien no hubiesen resultado necesarios teniendo en cuenta el contenido del Estatuto de los Trabajadores y su interpretación jurisprudencial, sí poseen un enorme carácter aclaratorio.
Supuestos que habilitan la creación de un grupo de Whatsapp
Huelga apuntar que, cuando la empresa ha facilitado a la persona trabajadora un móvil corporativo, esta puede incluir a su empleada en aquellos grupos que considere oportunos, exactamente igual que a través de cualquier otra herramienta corporativa. Para tal práctica no es necesario siquiera alcanzar ninguna clase pacto.
Para el caso del teléfono personal, todo lo señalado hasta ahora lleva a identificar tres elementos imprescindibles para que el uso del teléfono personal en la ejecución de la relación laboral (y por ende, la inclusión en “grupos de Whatsapp de empresa”) resulte acorde a la legislación vigente:
En primer lugar, que verdaderamente resulte necesario para la ejecución del contrato.
En segundo, la existencia de un pacto entre empresa y persona trabajadora.
En tercero, la asunción de los costes del dispositivo por el empresario.
En síntesis, para utilizar el teléfono personal de la persona trabajadora con fines de ejecución de la relación laboral, es necesario “corporativizar” o “despersonalizar” dicho teléfono, a través de la asunción de los costes del mismo por parte de la empresa (además por supuesto de cumplir las dos primeras condiciones). De este modo, tanto el teléfono (entendido tanto como aparato como número) pierden su carácter estrictamente personal para convertirse en medios de producción que, si bien no han sido facilitados como tal por el empleador, sí encajan en el principio de ajenidad en los medios.
La “trampa del consentimiento” en el ámbito laboral
Quizás quien se encuentre leyendo este artículo se pregunte por qué no se ha hecho referencia a la posibilidad de crear grupos de Whatsapp corporativos amparándose en el consentimiento de la persona trabajadora. Se trata de una omisión plenamente consciente, basada en la postura del Comité Europeo de Protección de Datos (en adelante, “CEPD”) y de su “antecesor”, el Grupo de Trabajo del Artículo 29 (en adelante, “GT29”), así como de nuestro propio Tribunal Supremo, sobre las enormes dificultades existentes en el ámbito laboral para que se produzca la concesión de un consentimiento verdaderamente libre.
Y es que ya en el año 2001 el GT29 publicó su “Dictamen sobre tratamiento de datos personales en el contexto del empleo” (Dictamen 8/2001), en el que tachaba de “engañosa” la posibilidad de acudir al consentimiento en el ámbito laboral, al calificar de muy probable la existencia de perjuicios reales o potenciales en caso de no consentir los tratamientos solicitados por el empleador. Dicha postura fue refrendada en los Dictámenes 15/2011, sobre la definición de consentimiento, y 2/2017, sobre el tratamiento de datos en el trabajo.
Aunque los tres informes son anteriores al Reglamento General de Protección de Datos, ninguna duda cabe que este planteamiento no solo se mantiene, sino que se ha visto reforzado con su entrada en vigor. Específicamente, el Considerando 43 y el artículo 7.4 califican de inválido el consentimiento prestado cuando existe un claro desequilibrio entre las partes o la ejecución de un contrato se puede ver alterada en caso de no consentir. El propio CEPD, en sus “Directrices 5/2020 sobre el consentimiento en el sentido del RGPD”, afirma que “con el artículo 7, apartado 4, en vigor, será más difícil que el responsable del tratamiento demuestre que el interesado ha dado su consentimiento libremente”, mencionando expresamente de nuevo las relaciones laborales como ámbito sospechoso de producir consentimientos viciados (Vid. Parágrafos 21 y 22).
Aunque la AEPD ha tomado cierta distancia en sus resoluciones con esta postura, sí la ha recogido en varios documentos de orientación, como el Informe 184/2013 (el cual cita el Dictamen 8/2001), o en la ya citada Guía “La protección de datos en las relaciones laborales”, en la que afirma que “en el ámbito de las relaciones laborales, la base jurídica principal es la ejecución del contrato de trabajo, porque el consentimiento del afectado no es válido cuando se proporciona en un contexto de «desequilibro claro entre el interesado y el responsable del tratamiento»”.
En una línea de razonamiento similar, nuestro propio Tribunal Supremo desechó la validez del consentimiento manifestado a través de una cláusula/tipo por la cual el trabajador manifestaba comunicar voluntariamente a la empresa su número de teléfono y correo electrónico personales. En dicha resolución, el Alto Tribunal declaró: “siendo así que el trabajador es la parte más débil del contrato y ha de excluirse la posibilidad de que esa debilidad contractual pueda viciar su consentimiento a una previsión negocial referida a un derecho fundamental, y que dadas las circunstancias -se trata del momento de acceso a un bien escaso como es el empleo- bien puede entenderse que el consentimiento sobre tal extremo no es por completo libre y voluntario” (STS -Sala IV- de 21 de septiembre de 2015, rec. 259/2014).
La jurisdicción social, una vía más garantista para las personas trabajadoras
El análisis de las resoluciones, informes y Guías de la Agencia Española de Protección de Datos nos muestran indicios de una tendencia a la laxitud en el tratamiento de los datos personales de contacto en el ámbito laboral.
Por otra parte, varias de las resoluciones estudiadas adolecen de una excesiva parquedad en sus razonamientos jurídicos, con apenas un par de párrafos dedicados al análisis de la cuestión. Al no contar con criterios claros y explicaciones detalladas, resulta difícil pronosticar si este criterio se verá reproducido en futuras resoluciones.
Por el contrario, la jurisprudencia laboral ha establecido claramente la imposibilidad de utilizar los datos personales de contacto y los dispositivos personales de las personas trabajadoras, si no es en las condiciones que se han estudiado anteriormente.
Las vías de reclamación son además múltiples, pues podrían presentarse a través del procedimiento de conflicto colectivo, de la modificación sustancial de las condiciones de trabajo o de la vulneración de derechos fundamentales, dependiendo de las circunstancias concretas.
Esta última modalidad cuenta además con la ventaja de permitir la obtención de una indemnización para la persona trabajadora, a diferencia del procedimiento administrativo sancionador ante la AEPD, que lógicamente solo puede finalizar con una sanción para la empresa infractora.
Además, en caso de un fallo desfavorable, cabría la posibilidad de presentar recurso ante la instancia competente (siempre que concurran las circunstancias establecidas en cada caso en la Ley Reguladora de la Jurisdicción Social). Sin embargo, la Agencia Española de Protección de Datos aplica por norma general el criterio de que el denunciante en un procedimiento administrativo sancionador no tiene la condición de interesado y por tanto no puede presentar recurso ante sus resoluciones.
Por tanto, ha de concluirse que, a pesar de la resolución del procedimiento AI-00050-2022, la inclusión de trabajadores en grupos de Whatsapp ni mucho menos es una decisión que quede a la libre elección de la empresa según le convenga, sino que está sujeta a los estrictos criterios establecidos por la Sala de lo Social del Tribunal Supremo y la jurisprudencia menor.
