En su reciente sentencia en el caso Bărbulescu vs Rumanía, la Gran Sala del Tribunal Europeo de Derechos Humanos (TEDH) decidió que Rumanía había violado el artículo 8 del Convenio Europeo de Derechos Humanos al no mantener un equilibrio entre el derecho del trabajador a la privacidad y el derecho del empleador a vigilar su empresa.

Datos del caso

Bogdan Bărbulescu trabajó en una empresa de ventas en Bucarest. Una de sus tareas era crear y administrar una cuenta de Yahoo Messenger para servicios al cliente.

Él era el que administraba la cuenta. Tenía la contraseña, y pensaba que era el único que la conocía y que entraba en la cuenta. Según los datos citados en la sentencia de la Gran Sala, Bărbulescu descubrió que la empresa vigilaba la correspondencia de sus empleados en 2007, cuando despidieron a una empleada tras exponerla a la humillación pública porque utilizaba el teléfono y la impresora de la empresa también para asuntos personales.

Un tiempo después, los supervisores de Bărbulescu le llamaron la atención y regañaron por utilizar internet más que sus compañeros. Él contestó que lo utilizaba para trabajar.

Sus supervisores le respondieron mostrándole 40 páginas de transcripciones de conversaciones de su cuenta privada de Yahoo, donde hablaba con su novia y su hermano. Bărbulescu acusó a la compañía de violar su derecho a la privacidad. Luego fue despedido.

Procedimientos nacionales

Bogdan Bărbulescu buscó el amparo de los tribunales rumanos, denunciando la violación de sus derechos. Pero el sistema de justicia rumano estimó que ´se trataba de un despido procedente y que su empleador había cumplido con el código laboral y con toda la legislación vigente, informándole que le estaban supervisando, cosa que podían hacer pues el empleado estaba utilizando el ordenador e internet de la empresa. Estimaban que dicha supervisión era una de las herramientas de la compañía para protegerse de ataques cibernéticos o posibles fraudes de los empleados.

En 2008, tras haber agotado todas las vías legales disponibles en Rumanía, Bărbulescu presentó su denuncia al TEDH, que en su primera decisión de 2016 confirmó en cierta medida las decisiones de los tribunales rumanos. Sin embargo, el juicio se trasladó a la Gran Sala el 5 de septiembre de 2017, donde se decidió que para tener derecho a tales acciones, las empresas deben cumplir ciertas condiciones. Además, los Estados deben tomar ciertas medidas para asegurar que los derechos de los empleados sean respetados incluso en estas situaciones.

En un artículo publicado por hotnews.com, los abogados que representaron a Bărbulescu en el TEDH, Emeric Domokos-Hancu y Ovidiu Juverdeanu, enumeran las distintas cuestiones que los empleadores deben cuidar a ela hora d vigilar a sus empleados:

• No basta con tener una política general (como un reglamento interno)que imponga a los empleados una prohibición general de utilizar los recursos de la empresa y que les notifique de manera general sobre la supervisión de su correspondencia y/o de otras comunicaciones.
• La política de la empresa sobre este tema debe ser trasladada a los empleados de forma personal y clara, el tipo y naturaleza de la supervisión debe ser detallada e incluir al menos lo siguiente:
  • Si se está supervisando solo el flujo de correspondencia, o también el contenido de la misma;
  • Si están supervisando todo tipo de comunicaciones o solo una parte;
  • Si la vigilancia está acotada a un tiempo y quiénes son las personas que tienen acceso a estas comunicaciones;
  • Las consecuencias de la supervisión para los empleados;
  • El uso de la información por parte del empleador.
• El empresario debe justificar y expresar una razón/interés legítimo para el monitoreo de los datos. Debido a la naturaleza delicada de la correspondencia, el Tribunal subrayó que la supervisión del contenido de la correspondencia requiere una justificación detallada por parte del empleador.
  • Un motivo o interés teórico, como la necesidad general de evitar daños a los sistemas informáticos o la posible responsabilidad de la empresa por actos ilícitos, no puede, a juicio del Tribunal, ser una motivo/interés real o de facto.
  • Los empleadores deben saber que una notificación general previa acerca del monitoreo, o su inclusión en el reglamento interno, no necesariamente cumplen la condición de tener un motivo/interés real y concreto. Por eso, los empleadores pueden estar obligados a demostrar el motivo/interés real además de cumplir con el requisito de notificación previa antes de poder iniciar el monitoreo de las comunicaciones de sus empleados.
• El empresario debe evaluar, teniendo en cuenta las particularidades de cada caso, si el objetivo perseguido se puede lograr sin acceder realmente al contenido íntegro de las comunicaciones de los trabajadores.

Bogdan Manolea, un abogado especializado en tecnología de la información y derechos digitales, comentó en su blog personal la decisión de la Gran Sala subrayando el papel del Estado en estos casos:

• En primer lugar, los Estados (incluido Rumanía) tienen la obligación de garantizar que un empresario no pueda vigilar a sus empleados solo porque quiera hacerlo y sin proporcionar las garantías adecuadas contra el abuso. Al mismo tiempo, existe un amplio margen de apreciación para que los Estados expliquen cómo pueden cumplirse dichas obligaciones -desde un marco normativo específico o una jurisprudencia apropiada de los tribunales (incluidos los que se refieren al derecho laboral - véase párrafos 113-120 de la sentencia para más información).
• En segundo lugar, el TEDH proporciona en el párrafo 121 seis criterios que establecen un núcleo mínimo como base que debe considerarse a la hora de establecer la proporcionalidad y las garantías en la supervisión de los empleados:
  1. Notificación previa al empleado, que describa la naturaleza de la supervisión y los tiempos de aplicación de las medidas;
  2. Proporción del monitoreo y nivel de intrusión en la privacidad del empleado, que incluya la información específica sobre el tráfico de datos, contenido o coordenadas de ubicación;
  3. Si es necesario acceder al contenido de las comunicaciones, es preciso indentificar las razones legítimas por las que es necesaria tal medida;
  4. La posibilidad de implementar un sistema de vigilancia menos intrusivo;
  5. Consecuencias de la vigilancia y si los resultados han sido utilizados para cualquier otro fin;
  6. Garantías suficientes para el empleado, especialmente relacionadas con el acceso al contenido de las comunicaciones.

Bogdan Manolea señala que será fundamental que los tribunales apliquen la sentencia correctamente: "Dado que en el mercado abundan las posibilidades de vigilancia electrónica (no solo de los empleados) y la mayoría de los involucrados (productores, vendedores o expertos) se "olvidan" de mencionar que estas posibilidades solo pueden utilizarse bajo determinadas condiciones jurídicas, será crucial que los tribunales apliquen correctamente la sentencia del TEDH y que las autoridades competentes cumplan su función de aplicar la Ley sobre Protección de Datos Personales de la UE (GDPR) para que el sistema jurídico sea funcional y no solo existe sobre el papel".