Desde la entrada en vigor del Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que en su artículo 10 modifica el Estatuto de los Trabajadores, haciendo efectiva la obligación de las empresas de garantizar el registro diario de jornada de sus trabajadores, han sido muchas las empresas que han optado por utilizar sistemas basados en el tratamiento de datos biométricos. En concreto, la huella dactilar es uno de los datos biométricos más utilizados dado que tiene un elevado índice de precisión y, además, ofrece importantes ventajas como su bajo coste de implantación y su sencilla adaptación.

Recientemente, la Agencia Española de Protección de Datos (en adelante, AEPD) ha publicado una resolución en la que impone una multa de 20.000€ a una empresa por instalar un sistema basado en la huella dactilar sin haber realizado una Evaluación de Impacto previa. De esta sanción podemos extraer una serie de criterios y requisitos que deberemos tener muy en cuenta para la implantación de estos sistemas.

EN primer lugar, el Reglamento General de Protección de Datos (en adelante, RGPD), define los datos biométricos, en su artículo 4.12) como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. Además, son considerados datos de categoría especial. El artículo 9 del RGPD contempla el tratamiento de este tipo de datos en un número limitado de circunstancias dado que por su propia naturaleza son particularmente sensibles en relación con los derechos y las libertades fundamentales.

Teniendo en cuenta lo anterior, el criterio de la AEPD es que únicamente se tratarían como dato de categoría especial, aquellos en los que se sometan a tratamiento técnico dirigido a la identificación biométrica “uno a varios”, y no en el caso de verificación/autentificación biométrica “uno a uno”. Esta distinción se convierte en una pieza primordial a la hora de valorar la viabilidad de estos sistemas. Manifiesta la AEPD en su resolución que en el registro de jornada laboral a priori siempre se va a producir una identificación de huella “uno a varios”, en consecuencia, se lleva a cabo un tratamiento de un dato de categoría especial y es necesario llevar a cabo una evaluación de impacto.

Por otra parte, recuerda la AEPD la necesidad de contar con una base de legitimación para proceder al tratamiento de los datos y contempla como única opción viable -caso de cumplir los requisitos previos- el cumplimiento de una obligación legal. No obstante, insiste en la necesidad de la previa superación de la prohibición del tratamiento por las causas tasadas en el artículo 9 del RGPD.

Finalmente, resulta imprescindible llevar a cabo un análisis de la proporcionalidad del tratamiento, considerando si el sistema es necesario para responder a la necesidad identificada, es decir, si es esencial para satisfacer esa necesidad, y no solo el más adecuado o rentable. Antes de implantar un sistema de reconocimiento de huella dactilar, el responsable debe de valorar si hay otro sistema menos intrusivo con el que se obtenga idéntica finalidad

Con esta sanción, recuerda la AEPD la necesidad de llevar a cabo una Evaluación de Impacto para valorar tanto la legitimad del tratamiento y su proporcionalidad, como la determinación de los riesgos existentes y las medidas para mitigarlos. Como hemos visto en esta resolución, el incumplimiento de esta obligación puede derivar en una multa de 20.000€.

Artículo de Andrea Camps.

A la hora de abordar la utilización en el proceso laboral de imágenes tomadas por cámaras de videovigilancia instaladas por la empresa al objeto de acreditar un incumplimiento de las obligaciones del trabajador, es preciso partir de lo dispuesto en el artículo 90.2 de la Ley 36/2011, reguladora de la jurisdicción social.

El mencionado artículo dispone que no se admitirán pruebas que tuvieran su origen o que se hubieran obtenido, directa o indirectamente, mediante procedimientos que supongan violación de derechos fundamentales o libertades públicas.

Asimismo, el artículo 55.5 del Real Decreto Legislativo 2/2015, de 23 de octubre establece que será nulo el despido que tenga por móvil alguna de las causas de discriminación prohibidas en la Constitución o en la Ley, o bien se produzca con violación de derechos fundamentales y libertades públicas del trabajador.

También es preciso ponderar los derechos y bienes constitucionales en conflicto como son el derecho a la protección de datos del trabajador y el poder de dirección empresarial.

A su vez, el artículo 89 de la Ley orgánica3/2018 de 5 de diciembre de Protección de datos personales y garantía de los derechos digitales dispone que los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo. Los empleadores habrán de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.

Así como que en el supuesto de que se haya captado la comisión flagrante de un acto ilícito por los trabajadores o los empleados públicos se entenderá cumplido el deber de informar cuando existiese al menos el dispositivo al que se refiere el artículo 22.4 de esta ley orgánica.

Por tanto, el empresario puede obtener imágenes, sin necesidad del consentimiento expreso del trabajador, el cual se entiende implícito en la propia aceptación del contrato que implica reconocimiento del poder de dirección del empresario.

Sin embargo, sí resulta necesario el deber de información al trabajador, pues este deber permite a dicho trabajador ejercer sus derechos en materia de protección de datos personales.

El debate sobre la validez de las pruebas obtenidas por la empresa mediante un sistema de videovigilancia de cuya ubicación e instalación los trabajadores están informados expresamente, aunque no sobre el destino que se les podría dar a las grabaciones, ni que se podrían utilizar en su contra por motivos de seguridad.

En consecuencia, cabe plantearse, si la expresión “por motivos de seguridad” incluye la vigilancia de actos ilícitos de los empleados y de terceros y en definitiva de la seguridad del centro de trabajo, pero excluye otro tipo de control laboral que sea ajeno a la seguridad

La doctrina establecida en la sentencia del Tribunal Europeo de Derechos Humanos de fecha 9 de enero de 2018, demandas 1874/2013 y 8567/2013, (López Ribalda I), era un supuesto de videovigilancia encubierta en la que el trabajador no era informado de forma expresa, precisa e inequívoca de la finalidad de la recogida de sus datos personales.

Posteriormente la sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos de 17 de octubre de 2019, (López Ribalda II), rectificó la citada doctrina y consideró que grabar a empleados con cámara oculta no vulnera la intimidad cuando se trata de una medida proporcionada y legítima.

La STC 39/2016, 3 de marzo de 2016, sienta la doctrina de que, cuando el trabajador conoce que se ha instalado un sistema de control por videovigilancia, como era aquí el caso, no es obligado especificar "la finalidad exacta que se le ha asignado a ese control". Ya hemos dicho que la sentencia de contraste, la STS 77/2017, 31 de enero de 2017 (Pleno, rcud 3331/2015), que cita ampliamente la STC 39/2016, 3 de marzo de 2016, señala que esta sentencia constitucional reduce las exigencias informativas que se deben facilitar al trabajador y que consisten, en esencia, en que conozca de la existencia de la videovigilancia

En la sentencia de la sala de lo social del Tribunal Supremo 3115/2021 Recurso de casación para unificación de doctrina 4877/2018 de 21 de julio de 2021, la prueba de videovigilancia debió de admitirse porque se adecuaba a la doctrina de la STC 39/2016, 3 de marzo de 2016, y de la STS 77/2017, 31 de enero de 2017 (Pleno, rcud 3331/2015), respetaba las exigencias jurisprudenciales de proporcionalidad y era necesaria para poder acreditar la veracidad de los hechos imputados al trabajador.

En la reciente sentencia de la Sala de lo Social del Tribunal Supremo 3789/2021 Recurso de casación para unificación de doctrina 3715/2018 de 13 de octubre de 2021, dispone de nuevo que la prueba de la reproducción de lo grabado por las cámaras de videovigilancia era una medida justificada, idónea, necesaria y proporcionada al fin perseguido, y que satisfacía las exigencias de proporcionalidad.

Si bien es cierto que la sentencia del Tribunal Supremo 77/2017, 31 de enero de 2017 y la del tribunal Constitucional 39/2016, 3 de marzo de 2016, reducen las exigencias informativas que se deben facilitar al trabajador estableciendo que es suficiente con que conozca de la existencia de la videovigilancia y una lectura aislada de las sentencias en unificación de doctrina pudiera llevar a concluir que estas cámaras podrían utilizarse para sancionar toda clase incumplimientos laborales, entendemos que no es del todo real ya que para ello debería concurrir un interés legítimo del empleador como es garantizar la seguridad del centro de trabajo.

Un examen más detenido de ambas sentencias arroja que en la de julio de 2021, la finalidad de las cámaras de videovigilancia es controlar la seguridad en el acceso al recinto ferial, y en la de octubre la instalación de esas cámaras de vigilancia en el autobús era una medida justificada por razones de seguridad en sentido amplio, en ambas tiene directamente como objeto garantizar la seguridad, cuestión distinta puede ser otros supuestos de videovigilancia en que la prestación de servicios del trabajador no tenga como objeto garantizar la seguridad.

Mª Rosa Gonzalo

Con fecha 20 de mayo de 2016, se procede a la extracción de unas prótesis texturizadas ya implantadas de fecha 20 de diciembre de 2008 en la demandante, a consecuencia de la existencia de un Seroma, y se sustituyen por unas nuevas prótesis texturizadas marca Allergan.

El Seroma producido a causa de la implantación de las prótesis mamarias implantadas en 2008, conllevó a un aumento del volumen y existencia de líquido periprotésico, que sometido a un estudio histológico, no reveló malignidad alguna.

Con las nuevas prótesis mamarias texturizadas Allergan, se detecta en agosto de 2020 líquido periprotésico en la mama derecha, sin embargo esta vez en la retirada de las prótesis, se diagnostica en la cápsula linfoma anaplástico de células grandes.

Un factor importante que acontece en la sentencia, es la retirada del mercado de las prótesis por parte de Allergan, en diciembre de 2018, debido a la posible aparición de linfoma anaplástico de células grandes con las prótesis texturizadas Allergan.

A este respecto, el tribunal establece que la retirada del producto evidencia que en el momento de puesta en circulación del mismo, este no cumplía con las expectativas legítimas de seguridad, debido a que según el estado de la ciencia del momento en el que se implantaron las prótesis, no se informó sobre el riesgo de linfoma inherente a las mismas.

De acuerdo a lo anteriormente acontecido, el tribunal justifica que la retirada voluntaria de las prótesis; La falta de demostración de que la etiología del linfoma descanse únicamente en las prótesis; Que exista una baja incidencia y que las prótesis por lo general funcionen sin problemas; Y que en la mayoría de ocasiones sea una enfermedad de comportamiento indolente y buen pronóstico, no son razones suficientes para contrarrestar la realidad de que la retirada se debió a su aparición.

Artículo de Eduardo Alonso

La cuestión jurídica planteada es si, la cobertura adicional de defensa jurídica incluida en una póliza de un seguro de automóvil, cubría los gastos de la reclamación judicial del tomador contra la propia aseguradora, ante las discrepancias surgidas entre las partes del contrato de seguro acerca de la cuantía que debía abonar la aseguradora por los daños al propio vehículo en un caso de siniestro total cubierto por la póliza.

A este respecto, La Sala de lo Civil del Tribunal Supremo ha declarado que la compañía aseguradora no tiene por objeto cubrir los gastos de los profesionales a los que recurra el asegurado con el fin de exigir el cumplimiento de las prestaciones pactadas por las partes en el contrato de seguro.

Concluye el Alto Tribunal que, la exclusión del seguro de defensa jurídica de los gastos por las reclamaciones contra la misma aseguradora, no restringe los derechos del asegurado ni desnaturaliza la cobertura esperable, sino que acota y define el riesgo de manera coherente con el objeto propio de este seguro, que se refiere a la protección jurídica o la cobertura de los gastos por reclamaciones frente a terceros.

Afirma igualmente que, la interpretación contraria llevaría al absurdo de que la aseguradora debería reintegrar al asegurado los gastos incluso cuando, por desestimación íntegra de la demanda, hubiera sido condenado en costas.

Sentencia Tribunal Supremo (Sala de lo Civil) núm. 636/2021 de 27 de septiembre de 2021.

Artículo de Cristina Ramírez.

Dentro de los procedimientos de protección de derechos fundamentales, es habitual que nuestros Tribunales tengan que resolver sobre el conflicto existente entre el derecho al honor y los derechos de libertad de expresion e información.

Este es el supuesto que ha tenido que resolver un Juzgado de Primera Instancia de Guadalajara al tener que analizar si el identificar a unos profesionales sanitarios, en este caso enfermeras, como seguidores de terapias alternativas a la medicina tradicional implica o no per una infracción del Derecho al honor.

A la hora de analizar si existe o no infracción del derecho al honor, entiende el Juzgador que no es objeto de análisis en un procedimiento de protección del derecho al honor si las terapias alternativas son o no adecuadas, sino si identificar individualmente a un seguidor infringe o no el derecho al honor.

Teniendo en cuenta lo anterior, la Sentencia establece que no debe considerarse intromision ilegítima en el honor cualquier comentario despectivo relativo a las modalidades de terapias alternativas.

En concreto, la Sentencia establece que: “Dirigir una crítica o censura, por despiadada o implacable que sea, frente a ideas, corrientes de pensamiento o prácticas, en sus más diversas modalidades, no puede convertirse en una intromisión ilegítima en el derecho al honor, que por esencia se predica de personas concretas e individualizadas”.

En consecuencia, el Juzgado de Primera Instancia de Guadalajara entiende que criticar las terapias alternativas, ya sea de manera general o específica, no implica per se un ataque al honor de las personas que practican o sean seguidiras de la misma.

Entiende que únicamente se atacaría al honor para el caso que se concrete e individualice en personas concretas e identificadas.

Tal es así que el Juzgador establece que nadie puede presentarse como representante, defensor o valedor de cualquiera de las terapias alternativas ni de sus diversas técnicas o métodos como para personalizar como propio cualquier ataque dirigido frente a las técnicas o métodos.

Finalmente, analiza los límites del derecho a la libertad de información, concluyendo que: “En todo caso, la libertad de información como derecho fundamental ampararía las expresiones utilizadas porque además de tratarse de un tema de proyección general, como es la difusión de las terapias naturales o alternativas, ni en lo que se refiere a la libertad de expresión en la que deben de englobarse los comentarios y calificativos que utiliza el autor. Los expresados términos “curanderos” y “charlatanes” no se entiende que en este caso puedan considerarse injuriosos o insultantes con entidad como para suponer un ataque al honor de las demandantes cuando se pretende sostener que se trata de personas que practican o difunden métodos curativos carentes absolutamente de rigor científico”.

En resumen, la Sentencia que admite los argumentos esgrimidos entre otras defensas por De Lorenzo Abogados, establece que: “el honor se predica de la personalidad del sujeto pero no alcanza a sus ideas”.

Artículo de Pablo Montalvo

La Agencia Española de Protección de Datos (en adelante, AEPD) ha impuesto una multa de 10.000€ a una empresa de juegos online por no nombrar a un Delegado de Protección de Datos (en adelante, DPD) siendo, en este caso, su designación obligatoria. La cuantía de la sanción nos revela la importancia de contar con un DPD en la organización, sobre todo si su designación es obligatoria.

¿Qué es un Delegado de Protección de Datos?

En primer lugar, es importante aclarar que se trata de una figura novedosa en el ordenamiento jurídico español, introducida por el Reglamento Europeo de Protección de Datos (en adelante, RGPD) en 2016. No obstante, para el legislador comunitario no se trata de una figura desconocida. El DPD aparece por primera vez en Alemania con la aprobación de la Ley Federal de Protección de Datos de 1977. Después, se incluyó dicha figura en la Directiva 95/46/CE, que la recogía bajo el nombre de “encargado de la protección de datos personales” en su Considerando 49. En varios Estados miembros se ha desarrollado a lo largo de los años la práctica de tal designación, sin embargo, al no exigir la Directiva su nombramiento a ninguna organización, la Ley Orgánica de Protección de Datos española de 1999 no la tuvo en cuenta.

Con carácter previo a la entrada en vigor del RGPD, el Grupo de Trabajo del Artículo 29 argumentaba que el DPD es la piedra angular de la rendición de cuentas y que el nombramiento de un DPD puede facilitar el cumplimiento y, además, convertirse en una ventaja competitiva para las empresas.

Pero no fue hasta la llegada del RGPD que la figura del DPD adquiere una destacada importancia. Éste se configura como uno de los ejes principales del principio de responsabilidad proactiva que contempla la normativa. Se trata de una pieza cardinal en el nuevo modelo europeo de privacidad. Además de facilitar el cumplimiento mediante la aplicación de instrumentos de rendición de cuentas, los DPDs se encargan de asesorar al responsable o encargado del tratamiento sobre sus obligaciones en materia de privacidad y de supervisar su cumplimiento.

También actúan como intermediarios entre todos los sujetos involucrados, incluyendo a los interesados, los diferentes departamentos dentro de una organización y la propia Autoridad de Control.

Se exige a los responsables y encargados que comuniquen a la AEPD o Agencias autonómicas competentes, las designaciones, nombramientos y ceses de los DPDs en el plazo de 10 días, con independencia de que sea designación obligatoria o voluntaria.

Así, conforme a lo establecido en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) se considera como infracción grave el incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento.

En este caso, la AEPD recibió una reclamación de un particular, denunciando que la empresa no disponía de un DPD y decidió iniciar un procedimiento sancionador. La reclamada no presentó alegaciones ni pruebas que contradigan los hechos denunciados en el plazo establecido para ello. A continuación, la AEPD constató que la empresa no figuraba en la lista de DPDs comunicados a la misma y concluyó que la conducta de la reclamada no era acorde a la normativa de protección de datos ya que la falta de designación de DPD, al dedicarse a los juegos online, da lugar a la vulneración del artículo 37.1.b) del RGPD en relación con el artículo 34.1.n) de la LOPDGDD - "Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego"-.

Esta no es la primera sanción que emite la AEPD al respecto, ya en 2020 impuso una multa de 25.000€ a otra empresa por el mismo motivo, agravado por tratarse de un tratamiento de datos personales a gran escala por el número de clientes que tenía.

Con estas medidas, tanto el legislador como la Autoridad de control pretenden incentivar el nombramiento y notificación formal del DPD, con carácter previo, a su interlocución con la AEPD.

¿A quién puedo nombrar en mi empresa como DPD?

Tanto el RGPD como la LOPDGDD exigen que el DPD sea nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la normativa y la práctica en lo referente a protección de datos. Muchas organizaciones se encuentran con la problemática de que no disponen de ninguna persona en su plantilla que disponga de las cualidades profesionales que requiere esta figura. Además, la LOPDGDD apunta expresamente a que debe evitarse cualquier conflicto de intereses en la actuación de un DPD. Este riesgo de conflicto pudiera aparecer si el mismo se sitúa en determinados departamentos o áreas de una organización. En estos casos, la normativa permite que el DPD no forme parte de la plantilla del responsable, sino que puede desempeñar sus funciones en el marco de un contrato de servicios.

La elección de un DPD interno o externo queda a la voluntad de cada organización, que dependerá del tamaño y las actividades que lleve a cabo. Sin embargo, deberá garantizarse en todo momento que esta figura cumple con los requisitos establecidos legalmente y su independencia.

Artículo de Andrea Camps