Si bien el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) afronta la cuestión del control de los medios puestos a disposición de los empleados, se planteo directamente ante la sala contencioso-administrativa del Tribunal Supremo si a la Administración pública le son de aplicación los principios de la Sentencia del Tribunal Europeo de Derechos Humanos «Barbulescu 2» de 5 de septiembre de 2017, que incorporó el llamado «Test Barbulescu» (relativo al uso del control del ordenador), que impone que la vigilancia del uso de ordenadores por los empleados se someta a varios criterios:
- Principio de información previa del control a efectuar, y medidas que se adoptarán
- Principio de necesidad
- Principio de justificación
- Principio de idoneidad
- Principio de proporcionalidad
- Principio de transparencia
Las consecuencias son relevantes, pues si tales principios son aplicables a las Administraciones públicas, si el empleador examina los ordenadores de sus empleados saltándose esos criterios, se producirá la vulneración del derecho fundamental a la intimidad, al secreto de las comunicaciones y a la protección de datos personales establecidos en el art. 18 de nuestra Constitución. El test Barbulescu ha sido aplicado con naturalidad por la sala penal del Tribunal Supremo (STS de 24 de enero de 2022,rec. 134/2020), o por la Sala Social del mismo (STS de 8 de febrero de 2018, rec.1121/2015).
La cuestión ha saltado a la palestra casacional en relación con su aplicación en las Administraciones públicas, de la mano de la reciente sentencia de la sala tercera de 7 de octubre de 2024 (rec. 6949/2022). Veamos el novedoso criterio de la sentencia.
Los antecedentes del caso son llamativos para la administración local. La Alcaldía promovió la incoación de expediente disciplinario a la interventora-tesorera, tras haber solicitado la intervención de un responsable informático como administrador del sistema para acceder al ordenador de la funcionaria, y según resume la sentencia “al haber aparecido documentos en el escáner y la impresora que podrían suponer que la reclamante realiza actividades personales o profesionales dentro de la jornada de trabajo que nada tienen que ver con sus funciones de tesorera y que incluso podrían resultar incompatibles, mediante providencia de 26/02/2018, se ordenó al departamento de informática que investigue los documentos del ordenador personal de trabajo para aclarar esos hechos. De la inspección efectuada se obtuvieron varias carpetas de documentos personales sobre actividades privadas que se grabaron en un DVD».
Es importante señalar que «No consta que el Ayuntamiento tuviera al momento del acceso al ordenador usado por la reclamante, el 26/2/18, una política y protocolo de uso del equipo informático de los empleados, prohibiciones o tipos de acceso permitidos, con advertencia sobre medios de control y consecuencias del mismo».
La Agencia de Protección de Datos dictó resolución declarando la vulneración de la protección de datos por el Ayuntamiento, frente a la que recurrió, y tras la desestimación del recurso municipal por la sala contencioso-administrativa de la Audiencia Nacional, el caso llegó a la Sala tercera del Supremo que en la citada sentencia afrontó la cuestión casacional, consistente en “determinar, desde la perspectiva de los derechos fundamentales, si el acceso a los contenidos de los ordenadores u otros medios informáticos, en el presente caso, vulnera el artículo 18.4 de la Constitución «.
Pues bien, para el Ayuntamiento, la sentencia Barbulescu que interpreta el art.8 de la Carta Europea de Derechos Humanos, se refiere a un conflicto laboral en el seno de empresa privada, pero no se aplicará al Ayuntamiento que podría acceder a los ordenadores pues se tata de bienes públicos que no toleran usos personales. Sin embargo, el Tribunal Supremo no comparte este criterio y deja claro que el derecho fundamental del funcionario a la protección de datos subsiste en el ámbito de la Administración pública a la que presta servicios
"En definitiva, compartimos el parecer de la Sala de la Audiencia Nacional cuando, después de señalar la especificidad contenida en el artículo 46 LOPD , que supone la no imposición de sanción al Ayuntamiento por las vulneraciones de los artículos 6.1 y 9.1 de la LOPD que se le reprochan, viene a aclarar en su sentencia que «(…) el hecho de que el sujeto infractor sea una Administración Pública no lleva, en lo que aquí atañe, a la desaparición del derecho fundamental del artículo 18 CE o del artículo 8 de la Carta Europea de Derechos Humanos".
La sentencia rechaza que el señorío municipal sobre los bienes públicos comporte un derecho de investigación o requisa de datos, puesto que
"el Ayuntamiento disponga de la posibilidad que tiene el empresario para la autoorganización y fijación de las condiciones de uso de los medios informáticos. Sin embargo, tal alegación no puede ser acogida pues una cosa es el régimen de uso de los bienes públicos derivado de las normas que regulan el patrimonio de las Administraciones Públicas y otra distinta es que, so pretexto de controlar o fiscalizar el uso del material informático, el Ayuntamiento pueda incurrir en vulneración de los derechos de sus empleados y su expectativa razonable de privacidad”.
Y deja claro que en la relación estatutaria la Administración debe advertir a los empleados de los usos permitidos y prohibidos de los equipos:
"En relación con lo anterior, el hecho de que la relación estatutaria sitúe al funcionario en una posición de sujeción especial, delimitada y regida por su específica regulación, no excluye ni impide que se dicten instrucciones dirigidas a los empleados públicos en las que se concrete en qué consiste el uso adecuado de los medios informáticos, así como el alcance del control que puede efectuarse sobre ellos (véase ahora -aunque no es norma aplicable al caso ratione temporis – la previsión contenida en el artículo 87.3 de la Ley Orgánica 3/2018). Es cierto que la enervación de la expectativa de privacidad no está vinculada a una fórmula documental concreta; pero deben cumplirse los requisitos o principios enunciados por la jurisprudencia en orden a informar de manera suficiente sobre el uso de los medios informáticos y el alcance del control o monitorización”.
Y así desciende al caso concreto en que el Ayuntamiento por la vía de hecho, sin advertir previamente a los empleados de las medidas de control, vulneró el derecho fundamental de la funcionaria:
"(…) en el caso de autos no se informó a los empleados de la utilización de los equipos informáticos, con la advertencia de la existencia de medidas de control o supervisión del ordenador sobre las comunicaciones de los empleados, que es uno de los factores tomados en consideración por la sentencia Barbulescu 2». (F.J. 4 de la sentencia). Y más adelante, en el mismo F.J. 4, la sentencia insiste: << (…) para el tratamiento consistente en el acceso al equipo informático asignado a la reclamante puede obedecer a la comprobación del cumplimiento de sus funciones dentro de la relación que mantiene con el Ayuntamiento, y se puede arbitrar este tipo de accesos cuando se haya informado previamente del uso de los datos para dichos fines y en supuestos en que resulten proporcionales dichos accesos. Sin embargo, en el caso de autos no existía información previa sobre dicho uso o fines…".
En consecuencia declara con alcance general:
"1/ Resulta razonable la proyección de la doctrina contenida en la STEDH Barbulescu 2 , de 5 de septiembre de 2017, al ámbito del empleo público, sin perjuicio de que deban ser tomadas en consideración las especificidades del régimen estatutario.
2/ Cuando se impute a una Administración Pública la infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (actual artículo 6 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), por haber realizado el tratamiento de datos de carácter personal sin el consentimiento del interesado, para apreciar que no ha existido infracción no basta con que la Administración actuante invoque alguno de los supuestos de excepción a la exigencia de consentimiento que contempla el artículo 6.1 del Reglamento (UE) 2016/679, de 27 de abril de 2016 , sino que debe justificar la efectiva concurrencia del supuesto de excepción alegado."
Por la fuerza orientativa de este criterio de inexcusable aplicación recordaré que la citada Sentencia del Tribunal Europeo de Derechos Humanos, Gran Sala, caso Barbulescu c. Rumanía, de 5 de septiembre de 2017, analizó el conflicto desde la perspectiva de las obligaciones positivas del Estado, y fijó como punto de partida «la obligación de los tribunales nacionales de garantizar que la adopción por parte de un empresario de medidas de control de la correspondencia y otras comunicaciones, cualquiera que sea su alcance y duración, vaya acompañada de garantías adecuadas y suficientes contra los abusos». Para, a continuación, precisar los ya enumerados ítems que permiten evaluar si la injerencia empresarial ha respetado el derecho a la vida privada del trabajador afectado.
Primero, ¿se ha informado al trabajador de la posibilidad de que el empresario adopte medidas para controlar su correspondencia y otras comunicaciones, así como de la introducción de dichas medidas? Aunque en la práctica esta información puede ser comunicada al personal de diversas maneras, dependiendo de las circunstancias fácticas de cada caso, el Tribunal considera que, para que las medidas se consideren conformes con los requisitos del artículo 8 del Convenio, la advertencia debe ser clara en cuanto a la naturaleza de la vigilancia y antes de su puesta en marcha.
Segundo, ¿Cuál fue el alcance de la vigilancia del empresario y el grado de intromisión en la vida privada del trabajador? A este respecto, hay que distinguir entre el control del flujo de las comunicaciones y el control de su contenido. También hay que tener en cuenta las cuestiones de si el control de las comunicaciones abarcaba la totalidad o solo una parte de las mismas y si estaba limitado en el tiempo o no, así como el número de personas que tenían acceso a sus resultados.
Tercero, ¿Instituyó el empleador razones legítimas para vigilar estas comunicaciones y para acceder a su contenido? Dado que el control del contenido de las comunicaciones es, por su naturaleza, un método mucho más invasivo, requiere una justificación más seria.
Cuarto, ¿Habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de las comunicaciones del empleado? Al hilo de ello, debe valorarse, a la luz de las circunstancias particulares de cada caso, si la finalidad perseguida por el empresario podría alcanzarse sin un acceso directo y completo al contenido de las comunicaciones del trabajador.
Quinto, ¿Cuáles fueron las consecuencias de la vigilancia para el trabajador sometida a la misma?¿Cómo utilizó el empresario los resultados de la medida de vigilancia, en particular si estos resultados se utilizaron para lograr el objetivo declarado de la medida?
Sexto, ¿Se ofrecieron al empleado las garantías adecuadas, en particular cuando las medidas de vigilancia del empresario eran intrusivas?
Estas salvaguardias deben impedir que el empresario tenga acceso al contenido real de las comunicaciones en cuestión sin que el trabajador haya sido avisado previamente de tal eventualidad, siendo relevante la también, STEDH, caso Libert c. Francia, de 22 de febrero de 2018, en la que se enjuicia el acceso por la empresa pública de ferrocarriles de los datos almacenados en la unidad interna del ordenador de un empleado. En el caso, el Tribunal concluye que el trabajador, afirmando el alto tribunal, que al no etiquetar los datos almacenados como privados, renunció a su expectativa de privacidad, dadas las precisas previsiones reglamentarias sobre las condiciones que habilitan a los responsables designados a acceder al contenido almacenado en ordenadores utilizados por los empleados, propiedad de la empresa-.
En fin, no sé a qué esperan algunos de los más de 8.000 Ayuntamientos de España y centenares de entes locales menores o instrumentales, para realizar rápidamente expresas políticas de instrucción a sus funcionarios de lo que pueden hacer y no con sus equipos, y de la eventualidad de control de los mismos para verificarlos y en qué condiciones. Y quien dice «entes locales», dice «universidades públicas» o incluso «administraciones autonómicas» y algún que otro «Departamento estatal», pues como dice Sancho en «El Quijote», con su gracejo popular:«No hay camino tan llano —replicó Sancho—, que no tenga algún tropezón o barranco; en otras casas cuecen habas, y en la mía, a calderadas»
La presente cuestión no es teórica o accesoria, sino de gran importancia. Las consecuencias de la vulneración del régimen de protección de datos personales no se detienen en la mera amonestación al Ayuntamiento por parte de la Agencia de Protección de Datos, ya que cabe que el sujeto que sufra esa intromisión ilegítima, ejercite acciones de responsabilidad patrimonial frente a su propia administración, o que los datos ilegítimamente obtenidos sean pruebas contaminadas por haber lesionado un derecho fundamental, o que denuncie a su administración por acoso a la intimidad o lesión de derechos fundamentales conexos. Todo es posible. Pero sobre todo, hay que aplicar la protección de derechos fundamentales a los funcionarios en paridad con el personal laboral, porque los derechos fundamentales son eso:”fundamentales” y la Administración debe aplicar el principio de legalidad. Bien está que el miedo guarde la viña, pero mejor que todos, autoridades y empleados públicos, respetemos las reglas esenciales del juego de vivir en sociedad.
Con esta sentencia se despeja toda duda, o anclaje en viejas inercias. La Administración es un «padre» sobre sus funcionarios, pero un «padre responsable» que debe actuar con prudencia y respeto a sus «hijos».
José Ramón Chaves