¿Puede el empresario "espiar" lo que el trabajador hace con el ordenador de la empresa?



Da igual que hablemos de autónomos con trabajadores contratados, microempresas, pymes o grandes empresas. Seguramente todos ellos (o la gran mayoría) tienen dispositivos electrónicos puestos a disposición de sus trabajadores para el desarrollo de las funciones que se les han encomendado.


Es normal que el empresario no quiera que sus trabajadores utilicen el ordenador que ha puesto a su servicio para fines personales:

  • porque está pagando porque ese trabajador realice su trabajo y no para que haga sus cosas o pase el rato;

  • porque según dónde acceda a través del dispositivo o lo que se descargue, puede comportar problemas de ciberseguridad a la empresa, ya que puede infectar el dispositivo con algún software malicioso que haga que el rendimiento del ordenador disminuya considerablemente, o que ponga a disposición de terceros malintencionados información confidencial de la empresa o que encripte el dispositivo y pida un rescate para desencriptarlo (éste es el caso del ransomware, ¿os acordáis?), por ejemplo;

  • porque, a través del ordenador, el trabajador puede cometer un delito y recuérdese que, en virtud del artículo 31 bis del Código Penal, puede exigirse responsabilidad penal a la empresa por delitos cometidos por los trabajadores.

Pero claro, todos estos inconvenientes existentes en el hecho de que el trabajador utilice el ordenador para fines personales no da carta blanca al empresario para hacer lo que quiera, ya que el trabajador tiene sus derechos. Además, hay que recordar que existe un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores, lo que genera en éstos una expectativa de confidencialidad en su uso.


¿En virtud de qué base normativa puede un empresario controlar lo que el trabajador hace con el ordenador de la empresa?



Al margen de lo que pueda contemplar el Convenio Colectivo que resulte aplicable, hay que tener en cuenta que los medios tecnológicos titularidad de la empresa que ésta pone a disposición del trabajador para la realización de la actividad laboral, son un instrumento de trabajo, titularidad de la empresa y, por eso, la legitimidad del control deriva de la facultad atribuida al empresario de vigilar y controlar el cumplimiento de las obligaciones laborales asumidas por el trabajador (artículo 20.3 del Estatuto de los Trabajadores).


Así, es el artículo 20.3 del Estatuto de los Trabajadores el que legitima al empresario tanto a vigilar el cumplimiento de la prestación laboral realizada por el trabajador a través del uso profesional del ordenador, como a fiscalizar que el dispositivo no se utiliza para fines personales o privados.


Sin embargo, el citado artículo no se refiere expresamente a los medios tecnológicos, no existe una regulación específica sobre el control del uso que los trabajadores hacen de los dispositivos o medios tecnológicos titularidad de la empresa, por ese motivo, han sido los tribunales los que han ido marcando las reglas del juego.


¿Existen límites a esta facultad de control empresarial?



Sí, existen límites a la facultad del empresario de controlar lo que los trabajadores hacen con el ordenador de la empresa.


El propio artículo 20.3 del Estatuto de los Trabajadores incluye una limitación, ya que esta vigilancia y control se puede realizar, pero guardando la consideración debida a la dignidad del trabajador. 


Además, se tienen que respetar los derechos fundamentales de los trabajadores (especialmente, en este ámbito, los derechos a la intimidad personal y al secreto de las comunicaciones), que no desaparecen por el hecho de firmar un contrato de trabajo. No obstante, pasar a formar parte de una organización, matiza estos derechos; de hecho, tal y como ha declarado el Tribunal Constitucional, hay manifestaciones del ejercicio de estos derechos que en otro contexto serían legítimas, pero que no lo son cuando su ejercicio se valora en el marco de la relación laboral.


Por otro lado, hay que recordar que, en virtud del artículo 20.2 del Estatuto de los Trabajadores, el trabajador y el empresario se someten en sus prestaciones recíprocas a las exigencias de la buena fe


Entonces... 


¿Qué es lo que dicen los Tribunales acerca del control por el empresario del uso que los trabajadores hacen del ordenador de la empresa?



Teniendo en cuenta que existe un sentimiento generalizado de tolerancia en relación con el uso privado de los medios tecnológicos de la empresa y, que, por lo tanto, los trabajadores tienen una expectativa razonable de intimidad o confidencialidad, según Sentencias del Tribunal Supremo de 26 de septiembre de 2007 y 8 de marzo de 2011, a los efectos de que no se vean vulnerados los derechos a la intimidad y el secreto de las comunicaciones de los trabajadores, el empresario tiene un deber de informar:

a) sobre las reglas de uso de los medios tecnológicos, con aplicación de prohibiciones absolutas o parciales para usos privados; 
b) sobre la existencia del control o los controles
c) sobre los medios a aplicar para comprobar el correcto uso
d) sobre las medidas para garantizar la efectiva utilización laboral del medio informático, sin perjuicio de adoptar otras medidas preventivas, como la exclusión de determinadas conexiones. 

Así, si el medio tecnológico se utiliza para uso privado en contra de las prohibiciones y con conocimiento de los controles y medidas aplicables, no puede entenderse que, al realizarse el control, se haya vulnerado la expectativa razonable de intimidad del trabajador.


Posteriormente, en Sentencia del Tribunal Supremo de 6 de octubre de 2011, para el caso en que exista una prohibición absoluta de uso de los medios de la empresa para fines privados o personales, el Tribunal entiende que la prohibición absoluta es suficiente para destruir la expectativa de privacidad, legitimando, de este modo, la práctica de cualquier control, incluso el llevado a cabo de forma oculta o clandestina, mediante la utilización de programas espía. Considera que la prohibición absoluta que impone el empresario sobre el uso de medios de la empresa (ordenadores, móviles, Internet…) para fines propios, lleva implícita la advertencia sobre la posible instalación de sistemas de control del uso del ordenador. 


El Tribunal Supremo entiende que si no hay derecho a utilizar el ordenador para usos personales, no habrá tampoco derecho para hacerlo en unas condiciones que impongan un respeto a la intimidad o al secreto de las comunicaciones, porque al no existir una situación de tolerancia del uso personal, tampoco existe ya una expectativa razonable de intimidad, y porque si el uso personal es ilícito, no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo.


Hay que tener en cuenta, no obstante, que esta Sentencia cuenta con un voto particular que defiende una posición más garantista para el trabajador, considerando que debe seguirse la línea de la Sentencia de 26 de septiembre de 2007, de manera que, para que el empresario pueda controlar el uso del ordenador facilitado al trabajador, tenga que informar al trabajador acerca de las reglas de uso de los medios tecnológicos, de la existencia del control o los controles, de los medios a aplicar para comprobar el correcto uso y de las medidas para garantizar la efectiva utilización laboral del medio informático.


Por su parte, el Tribunal Constitucional, en Sentencia 241/2012, viene a establecer que las facultades de vigilancia y control del empresario dependen del uso individualizado o común de los medios y de las instrucciones de uso que aquél haya dado, de modo que existiendo una prohibición expresa y siendo el medio tecnológico de uso común, no puede existir una expectativa razonable de confidencialidad para el trabajador


La posibilidad de uso común del ordenador por todos los empleados permite considerar que la información archivada en el disco duro es accesible a todos los trabajadores, sin necesidad de clave de acceso alguna. Este uso común del ordenador es incompatible con un uso personal o individualizado y, en consecuencia, cualquier pretensión de secreto carece de cobertura constitucional, al faltar las condiciones necesarias de su preservación.


En Sentencia 170/2013, el Tribunal Constitucional va más allá, entendiendo que, aún no existiendo prohibición expresa del empresario, si esta prohibición resulta del Convenio colectivo aplicable en la empresa, no existe expectativa razonable de privacidad del trabajador y, en consecuencia, resulta legítimo el control de los dispositivos electrónicos de la empresa puestos a su disposición para el desarrollo de la actividad laboral. 


En cualquier caso, el Tribunal Constitucional contempla que, para comprobar si el control empresarial es restrictivo de derechos fundamentales, este control ha de superar el juicio de proporcionalidad, por lo que la medida ha de estar justificada; ha de ser susceptible de conseguir el objetivo propuesto (juicio de idoneidad); no ha de existir otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y de la medida se han de derivar más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).


Además, hay que tener en cuenta que la prohibición de uso personal de los dispositivos de la empresa tiene que ser válida. En este sentido, no sería válida, por ejemplo, una prohibición de uso para fines personales o privados si el Convenio colectivo aplicable reconoce un uso personal. 


A nivel europeo, el Tribunal Europeo de Derechos Humanos, en la Sentencia de 12 de enero de 2016 (sección 3ª), caso Barbulescu vs Rumanía, entiende que el trabajador no puede alegar una expectativa razonable de privacidad cuando exista una política interna en la empresa que prohíba estrictamente la utilización de los ordenadores y otros recursos de la empresa con fines personales y que, por tanto, es legítimo que el empresario supervise las comunicaciones que se realizan con estos medios, siendo la monitorización una conducta razonable por parte del empresario, dentro de su poder de dirección, y el único medio para comprobar si efectivamente se está realizando un mal uso; así, entiende que la monitorización limitada en el tiempo y proporcionada no constituye una violación del artículo 8 del Convenio Europeo de Derechos Humanos.


Ahora bien, la cosa no se ha quedado así, porque el propio Tribunal Europeo de Derechos Humanos, en la Sentencia del Pleno de 5 de septiembre de 2017 ha matizado su sentencia anterior. Sin entrar en el estudio del caso concreto ni en los pormenores, sí decir que se añade un requisito más y muy importante:

se tiene que informar a los trabajadores, de forma clara y transparente, de la posibilidad de control de sus comunicaciones electrónicas y, ello, con carácter previo al inicio del control


Por otro lado, y aunque no se trate de un juzgado ni un tribunal, también hay que tener en cuenta que la Agencia Española de Protección de Datos entiende que los controles basados en el uso de las tecnologías de la información constituyen un tratamiento de datos que requiere el cumplimiento de los principios de protección de datos y que, por lo tanto, la prohibición del uso personal de los medios tecnológicos, junto con la justificación de la medida y la superación del test de proporcionalidad, puede que sea suficiente para proteger la intimidad y el secreto de las comunicaciones, pero no es suficiente a los efectos del derecho constitucional a la autodeterminación informativa del artículo 18.4 de la Constitución Española, motivo por el que los trabajadores han de conocer en qué medida pueden utilizar los sistemas de comunicación de la empresa con fines privados o personales, pero también la finalidad del control y las medidas de vigilancia adoptadas.


Publicado el 12/02/2017
Actualizado el 23/09/2017

Si tienes dudas acerca del control de los dispositivos que utilizan los trabajadores por parte del empresario, Digital Crime Abogados puede ayudarte.


Si quieres más información o concertar una cita, envía un correo electrónico a info@digitalcrimeabogados.com o llama al 935704148.