Instrumentos digitales de control empresarial y tutela de la privacidad del trabajador E-Book

Federico Navarro Nieto

Instrumentos digitales de control empresarial y tutela de la privacidad del trabajador

El editor no se hace responsable de las opiniones recogidas, comentarios y manifestaciones vertidas por los autores. La presente obra recoge exclusivamente la opinión de su autor como manifestación de su derecho de libertad de expresión.

La Editorial se opone expresamente a que cualquiera de las páginas de esta obra o partes de ella sean utilizadas para la realización de resúmenes de prensa.

Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 45).

Por tanto, este libro no podrá ser reproducido total o parcialmente, ni transmitirse por procedimientos electrónicos, mecánicos, magnéticos o por sistemas de almacenamiento y recuperación informáticos o cualquier otro medio, quedando prohibidos su préstamo, alquiler o cualquier otra forma de cesión de uso del ejemplar, sin el permiso previo, por escrito, del titular o titulares del copyright.

I Introducción general

1. Nuevas técnicas de control empresarial y tutela de la privacidad del trabajador

Las innovaciones informáticas y digitales en el mundo empresarial conllevan nuevas formas de organización del trabajo en la empresa y nuevas formas de vigilancia y control de la actividad laboral. Como observa la OIT, «rara vez se manejan tantos datos personales, y a lo largo de tanto tiempo, como en la relación laboral. Los empleadores recolectan datos personales acerca de los trabajadores y de los candidatos a un puesto de trabajo por diversas razones: dar cumplimiento a la legislación; servir de ayuda en la selección para el empleo, la formación y la promoción; preservar la seguridad personal; asegurar el control de la calidad, los servicios a los clientes y la protección de la propiedad, y organizar el trabajo» (1) .

Las nuevas tecnologías y los medios digitales no sólo facilitan el control de la actividad laboral, también refuerzan exponencialmente la capacidad de vigilancia y control de la persona del trabajador, de su imagen e intimidad, de sus comunicaciones, y de sus datos personales (2) . Las nuevas formas de control conllevan un plus de peligrosidad también por realizarse dicho control desde los instrumentos de trabajo que acompañan al trabajador en su prestación laboral. El Grupo de Trabajo 29 de la UE recuerda que, con las actuales tecnologías, «(s)i el tratamiento no tiene límites y no es transparente, existe un alto riesgo de que el interés legítimo de los empresarios en la mejora de la eficiencia y protección de los activos de la empresa se convierta en un control injustificado e intrusivo» (3) .

El poder de control empresarial podemos decir que es «ineliminable» de la organización del trabajo en la empresa (4) , se ejerce como facultad empresarial derivada del contrato de trabajo, a efecto de verificar el cumplimiento regular de la prestación debida por el trabajador; pero igualmente el poder de control empresarial es la consecuencia del desarrollo de la prestación en el seno de la organización empresarial, donde se despliegan medios de control para salvaguardar la seguridad de personas, bienes, instalaciones, en suma, la integridad del patrimonio empresarial (5) , que puede también indirectamente incidir en el control de la actividad laboral.

Este conjunto de controles se relaciona con la prestación laboral y otorgan, excepcionalmente desde la óptica de derecho privado, un poder unilateral de injerencia en la esfera jurídica del otro contratante, que el ordenamiento jurídico ha considerado legítimo (6) . Pero aquí convienen matices relevantes. En la dogmática sobre derechos fundamentales y relación laboral se parte del axioma de la interpenetración entre los derechos fundamentales y la lógica contractual, que tiene como efecto el que la libertad de empresa, y su concreción en las facultades empresariales de organización del trabajo, deja de ser el único factor de legitimación de las decisiones empresariales (7) , sobre todo teniendo en cuenta que se ven afectados derechos fundamentales que forman parte del núcleo duro de la dignidad humana. Y este dato incrementa su importancia, porque lo que en principio se ha estimado un poder empresarial legítimo, ahora cobra perfiles más preocupantes a partir de la innovación en las técnicas de control, que posibilitan, a diferencia del pasado, una diversificación de los canales de control (videovigilancia, correo electrónico, medios de trabajo, geolocalización, controles biométricos) (8) , la continuidad y profundidad del control, incluyendo potencialmente controles indirectos u ocultos, y el tratamiento de datos extraídos de dichos controles, con afectación de la dignidad del trabajador y de una pluralidad de derechos fundamentales, todo ello, conviene remarcarlo, en el marco de una relación contractual asimétrica.

El impacto de los supuestos de control tecnológico en los derechos fundamentales del trabajador lo podemos constatar en nuestro sistema jurídico con el incremento de la jurisprudencia referida al conflicto de dichos tipos de control en el art. 18 CE, donde al margen de esta problemática se ha vivido una «relativa tranquilidad interpretativa» de la norma (9) .

La perspectiva iuslaboralista también debe afirmarse aquí desde la lógica de una disciplina jurídica racionalizadora frente al imperativo tecnológico, situando en el centro de la regulación la exigencia de salvaguardia de la persona que trabaja. Debemos partir de la premisa de que el conflicto de intereses es inevitable, como hemos dicho, en la contraposición de poderes empresariales de control y derechos fundamentales del trabajador. Entonces la cuestión es de límites entre derechos constitucionales en juego, como inicialmente se ha producido en relación con el derecho a la intimidad y ahora se plantea con el de la protección de datos (10) . En un escenario normativo tradicionalmente deficitario en la regulación de los derechos inespecíficos en el ámbito laboral (11) , nuestra temática es un ejemplo donde el conflicto entre los poderes organizativos empresariales y los derechos fundamentales del trabajador se decanta en un principio hacia la primacía de una «lógica contractual» y una «lógica organizativa», salvo en las formas más arbitrarias de ejercicio del poder empresarial, como se refleja en el art. 20 ET de 1980 (12) . Pero no puede ignorarse que, en términos generales, respecto de los derechos fundamentales inespecíficos, la jurisprudencia del TEDH y constitucional desde hace años ha sentado las bases para asegurar la operatividad de tales derechos en el lugar de trabajo (13) ; ni se puede ignorar tampoco específicamente en relación con la protección de la privacy del trabajador, donde en los últimos años se avanza desde una cultura jurídica contractualista a otra constitucionalista (14) .

En las últimas décadas, el ordenamiento jurídico va a reaccionar tratando de encontrar un equilibrio entre la tutela de la persona y el ejercicio de los poderes empresariales, y lo va hacer de forma acelerada, en lo que se conoce como tercera (años 90) y cuarta generación (a partir del Reglamento (UE) 2016/679 —en adelante, RGPD—) de normativa de protección de datos (15) , con nuevos planteamientos normativos en la tutela de la persona del trabajador y sometiendo a un marco de límites el poder de control empresarial (en cuanto a las modalidades de ejercicio, en cuanto a su intensidad), a partir de la expansión del concepto de privacy, en primer lugar, y, en segundo lugar, dando un tratamiento autónomo a la protección de datos.

En primer lugar, respecto a la expansión del concepto de privacy, será fundamental la doctrina del TEDH en relación con la delimitación del supuesto tutelado por el art. 8 CEDH. También lo será la doctrina del TC que desde antiguo estima que el derecho a la intimidad, tradicionalmente reducido al ámbito personal y familiar, debe ser protegido igualmente en el ámbito de la relación laboral, ya que «esta no puede implicar en modo alguno la privación de tales derechos para quienes prestan servicio en las organizaciones productivas, que no son ajenas a los principios y derechos constitucionales que informan el sistema de relaciones de trabajo» (16) .

El TEDH favorece una interpretación ampliatoria del derecho a la vida privada (17) , que «no se presta a una definición exhaustiva» (18) . Este enfoque viene favorecido por la ausencia de una definición precisa del derecho al respeto de la vida privada, con la virtualidad expansiva de tutela que exige la creciente capacidad tecnológica de control social en la vida de los Estados contemporáneos (19) .

El Tribunal reconoce que toda persona tiene derecho a una vida privada, lejos de la injerencia no deseada de otros y considera que sería demasiado restrictivo limitar la noción de «vida privada» a un «círculo íntimo». Así, el artículo 8 CEDH garantiza un derecho a la «vida privada» en sentido amplio, que incluye el derecho a realizar una «vida privada social», es decir, la posibilidad de que el individuo desarrolle su identidad social (20) . Esta identidad social puede incluir actividades de naturaleza comercial, profesional o laboral. Es firme la consideración de que el concepto de «vida privada» puede incluir actividades profesionales; de hecho, se subraya que «es en el marco de la vida laboral donde la mayoría de la gente tiene muchas, si no la mayoría, de las oportunidades para fortalecer sus lazos con el mundo exterior» (21) . De forma que la vida laboral puede entenderse implícita en este concepto amplio de vida privada, y por tanto puede incluirse en el artículo 8 CEDH, porque repercute en la forma en que el trabajador forja su identidad social a través del desarrollo de relaciones con otros con motivo de su prestación laboral. Además, el Tribunal admite que, en el ámbito de las relaciones laborales y en determinadas circunstancias, sean considerados como contenido de «su vida privada» los datos no profesionales del trabajador, es decir, datos claramente identificados como privados y archivados por un empleado en un equipo puesto a su disposición por su empleador para el desempeño de sus funciones (22) .

En segundo lugar, respecto al tratamiento autónomo del derecho a la protección de datos (23) , partimos de la consideración de que el derecho a la protección de la vida privada, al secreto de las comunicaciones, a la protección de datos constituyen bienes jurídicos de primer orden en el constitucionalismo moderno y en los instrumentos internacionales sobre derechos, que, como derechos de libertad, aparecen vinculados a la dignidad de la persona. No en vano, la CDFUE agrupa estos derechos en el Capítulo II, sobre «Libertades». Aquellos bienes jurídicos protegidos confluyen en un bien jurídico más amplio, la llamada privacy, esto es, el derecho a la privacidad, que se configura como una macrocategoría que expresa «la voluntad de excluir a una generalidad de personas del conocimiento de determinadas informaciones», abarcando una constelación de derechos (24) .

Pero estas consideraciones sobre la interrelación de derechos no permiten la indiferenciación entre ellos; de hecho, la mención normativa expresa de aspectos parciales inherentes a la privacy en el art. 8 CEDH subraya la relevancia de cada uno de esos bienes jurídicos particulares para una garantía efectiva y cualitativa de la vida privada (25) . Nuestra doctrina constitucional señala que el derecho a la intimidad (art. 18.1 CE), el del secreto de las comunicaciones (art. 18.3 CE) y el de protección de datos personales (art. 18.4 CE) tienen regímenes de protecciones constitucional diferentes y autónomos (26) . De forma que el nivel de protección y los requisitos para una injerencia legítima varían según cuál sea el derecho afectado (27) . El ámbito de la protección de datos es en parte diverso del referido a la privacidad, incluyendo el tratamiento de datos personales al margen de que estos se refieran a la intimidad personal, familiar o social; y además, y este es el dato que nos importa, cuenta con una regulación propia en lo referente a garantías y reglas de protección (28) .

Nuestra doctrina constitucional se refiere a un «derecho fundamental a la protección de datos» que deriva del art. 18.4 CE, que posee un carácter autónomo. Destacamos dos aspectos en la doctrina del TC. Por un lado, el derecho faculta a su titular a controlar el flujo de informaciones que conciernen a cada persona, que no se limitan a los datos íntimos, sino que su objeto es más amplio, refiriéndose a cualquier tipo de dato personal (29) . De otro lado, «los elementos que definen el derecho a la protección de datos son el consentimiento y la información para, en su caso, ejercer el derecho de oposición» (30) ; el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos (31) . Hay que matizar que el consentimiento del afectado en el ámbito laboral «pasa como regla general a un segundo plano pues el consentimiento se entiende implícito en la relación negocial, siempre que el tratamiento de datos de carácter personal sea necesario para el mantenimiento y el cumplimiento del contrato firmado por las partes. Por el contrario, el consentimiento de los trabajadores afectados sí será necesario cuando el tratamiento de datos se utilice con finalidad ajena al cumplimiento del contrato» (32) . De forma que el consentimiento del trabajador se entiende implícito en la relación negocial; sin embargo, «el deber de información sigue existiendo, [ya que] forma parte del contenido esencial del derecho a la protección de datos» (33) . De esta manera, el principio de transparencia se considera una condición esencial para la licitud del tratamiento de datos. Y, como veremos, se sitúa en el centro del debate sobre la legitimidad del control empresarial de la actividad del trabajador.

Con tales premisas, expansión del concepto de privacy y tratamiento autónomo a la protección de datos, la construcción jurídica de la tutela de la privacidad del trabajador frente a los controles empresariales se eleva sobre el equilibrio en la tutela de intereses y derechos, sobre la base del respeto del contenido mínimo del derecho a la privacidad y a la protección de datos. Esa composición de intereses en el ámbito europeo y en los ordenamientos y jurisprudencias nacionales ha cristalizado en el test de legitimidad y de proporcionalidad (34) , referido ahora a las relaciones entre particulares y no a su versión clásica de mecanismo de control de la intervención de los poderes públicos en el ámbito de los derechos fundamentales (35) . Se constata esta evolución con el estudio de la jurisprudencia del TEDH referida al art. 8 CEDH, donde el Tribunal aborda las injerencias en las relaciones interprivadas trasladando los parámetros de su doctrina al contexto de las relaciones laborales. Pero la lógica de la técnica de control judicial sería semejante, una técnica para hacer posible que la consecución de los intereses (públicos en su versión clásica, o privados en su alcance más reciente) no se haga a costa de otros derechos e intereses de los particulares relevantes constitucionalmente (36) . El test de legitimidad y el principio de proporcionalidad se conectan a la postre a una técnica de ponderación que busca el equilibrio en la satisfacción de derechos e intereses (37) . Podemos decir, en suma, que estamos ante nuevos escenarios en la contraposición de intereses en las relaciones laborales y también ante parámetros de racionalidad jurídica con larga tradición en la cultura iuslaboralista.

Conforme a dicho test de legitimidad debe existir una correspondencia entre los fines pretendidos con la actividad de control, el alcance de las medidas de control adoptada, y las características concretas del control efectuado, que debe regirse por el principio de proporcionalidad (limitada a lo necesario para el fin pretendido), lo que debe ir acompañado de un principio de trasparencia. Como vemos a continuación, existe una coincidencia en los instrumentos internacionales y de la UE sobre los parámetros que deben aplicarse.

2. El marco normativo de protección de la privacy y de los datos personales

El marco jurídico internacional y europeo se asienta sobre dos premisas jurídicas. En primer lugar, el dato relevante de partida es que, conforme a este marco jurídico, especialmente el art. 8 CEDH, la persona se sitúa en el centro de la regulación, y por tanto en la relación entre poderes empresariales y tutela de la persona del trabajador se impone una «razonable expectativa de privacidad» del trabajador frente a aquellos poderes. Esta premisa se acentúa en el caso del trabajador cuyos derechos fundamentales se despliegan en el ámbito de relaciones privadas apoyadas en una situación de poder asimétrico entre las partes.

En segundo lugar, se trata de una expectativa «razonable», lo que supone, de un lado, la exclusión de una expectativa «subjetiva» y, de otro, la relatividad del derecho a la privacidad por darse su ejercicio en una situación específica, la relación laboral, y se concreta mediante una técnica de ponderación en el contexto de la interpenetración de derechos fundamentales del trabajador y la lógica contractual en el seno de una organización empresarial. La privacy, pues, no es un derecho absoluto y debe ser garantizada en el marco de una ponderación que tiene en cuenta otros intereses y derechos. Así, «los derechos y libertades de los demás» (exart. 8.2 CEDH, art. 52.1 CDFUE) puede incluir el interés en la protección de la libertad de empresa y el patrimonio empresarial (así, art. 1 primer Protocolo Adicional de la CEDH; arts. 16 y 17 CDFUE). Como se ha observado (38) , estos textos internacionales, al igual que la CE, no establecen una ordenación jerarquizada de derechos fundamentales, porque representan un componente inalienable de la dignidad humana; de forma que no hay jerarquía entre ellos, sino la ponderación de bienes e intereses en una situación de conflicto. De manera que el interés empresarial puede justificar una limitación de la privacy en el lugar de trabajo, y ello requiere que venga amparado legalmente y sea necesario conforme a un fin legítimo y un principio de proporcionalidad. Por tanto, el sistema normativo supranacional viene a afirmarse sobre la lógica de un equilibrio justo de intereses, que, como veremos, tiene su concreción práctica, en el ámbito jurisprudencial, en el conocido como test Barbulescu (39) .

Sobre estas dos premisas jurídicas se construye un complejo normativo multinivel (40) , que integra normas hard y soft, y una elaboración doctrinal a cargo de las Autoridades de control de la protección de datos (dictámenes del Grupo de Trabajo del Artículo 29 —GT29—, posteriormente Comité Europeo para la Protección de Datos —CEPD—, y la Agencia Española de Protección de Datos —AEPD—), en cuya racionalización y coherencia, como veremos después, es esencial la jurisprudencia (41) .

2.1. La centralidad de la elaboración jurídica en el Consejo de Europa. El art. 8 CEDH

En relación con el marco normativo, cabe afirmar que el art. 8 CEDH y la jurisprudencia del TEDH generada en torno a la norma se sitúan en el centro del análisis jurídico de la relación entre libertad de empresa y tutela de la persona del trabajador (42) . Desde luego ello es predicable del ámbito de la UE, porque conforme al art. 52.3 CDFUE, «en la medida en que la presente Carta contenga derechos que correspondan a derechos garantizados por el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, su sentido y alcance serán iguales a los que les confiere dicho Convenio». Se puede estimar, en términos más amplios, que la elaboración jurídica en el Consejo de Europa va a constituir el sustrato jurídico-cultural que actúa como núcleo dogmático donde va a germinar y desarrollarse el marco europeo de protección de la privacy y la protección de datos (43) .

Pues bien, debemos partir del art. 8 CEDH, que en su apartado 1.º sitúa la privacidad de la persona en el centro de la regulación. Y esta premisa debe contextualizar la relación entre poderes empresariales y tutela de la persona del trabajador, garantizando de partida la prevalencia de una «razonable expectativa de privacidad» del trabajador frente a aquellos poderes (44) . Es significativo que la protección del interés empresarial (su patrimonio) venga reconocido fuera del texto del convenio, concretamente, como ya se ha indicado, en el art. 1 del primer Protocolo Adicional del CEDH (45) .

Dicho esto, el mismo art. 8 recuerda en su apartado 2.º que toda injerencia de la autoridad pública en el ejercicio de este derecho debe ser una medida «necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás». Este «inventario de indeterminaciones jurídicas», donde «no falta casi nada» (46) , debe ser objeto de una interpretación estricta en tanto supone una excepción al derecho garantizado por el Convenio. Lo cierto es que la norma prevé la posibilidad de una injerencia siempre que esté prevista por la ley y constituya una medida que «sea necesaria para (...) la protección de los derechos y las libertades de los demás». En este sentido, el interés en la protección de la libertad de empresa y el patrimonio empresarial viene amparado también por la CEDH (art. 1 del primer Protocolo Adicional).

Desde la sentencia STEDH 3-4-2007, asunto Copland contra Reino Unido, se considera que el interés empresarial en el uso adecuado de los medios para garantizar el buen funcionamiento de la empresa puede considerarse un objetivo legítimo que justifique la injerencia empresarial en la privacidad del trabajador exart. 8.2 CEDH. La garantía de la protección de «los derechos y las libertades de los demás» pueden referirse a los del empleador, «que legítimamente puede querer asegurarse de que sus empleados utilizan los equipos informáticos puestos a su disposición para el desempeño de sus funciones, conforme a sus obligaciones contractuales y a la reglamentación aplicable» (47) . Por tanto, garantizar el buen funcionamiento de la empresa y el cumplimiento por el trabajador de sus compromisos contractuales son motivos suficientes para justificar el interés legítimo de la empresa exart. 8.2 CEDH.

Por otro lado, hay que añadir que en la lógica del equilibrio de intereses se mueve la prohibición del abuso de derecho en el ejercicio de los derechos y libertades, contenido en el art. 17 CEDH, que indica que «(n)inguna de las disposiciones del presente Convenio podrá ser interpretada en el sentido de implicar para un Estado, grupo o individuo, un derecho cualquiera a dedicarse a una actividad o realizar un acto tendente a la destrucción de los derechos o libertades reconocidos en el presente Convenio o a limitaciones más amplias de estos derechos o libertades que las previstas en el mismo». No obstante, el TEDH ha hecho una interpretación muy restrictiva de esta cláusula por cumplir el reconocimiento de los derechos fundamentales una función de protección frente al poder (48) , y aquí cabe incluir la asimetría de poder contractual propia de las relaciones laborales.

En la órbita del CEDH se desarrollan otros instrumentos jurídicos de gran trascendencia. El Convenio núm. 108 del Consejo de Europa, de 1981, actualmente Convenio núm. 108+, de 2018 (49) , que se puede considerar (en 1981) una norma pionera en la protección de datos, que ha servido al TEDH de instrumento interpretativo que facilita la expansión de la tutela de la privacy en el CEDH (50) . En este convenio ya aparecen fijados los principios que limitan el poder de injerencia empresarial en la privacy del trabajador: finalidad legítima y proporcionalidad (art. 5). También será relevante la Recomendación CM/Rec(2015)5 del Comité de Ministros de los Estados miembros del Consejo de Europa, sobre el tratamiento de datos personales en el contexto del empleo. Esta norma parte del reconocimiento del derecho a la privacidad del trabajador en el lugar de trabajo (principio núm. 3), admitiendo el control tecnológico del trabajador si existe un fin legítimo (principios núm. 14 y 15), en particular, exigencias productivo-organizativas (principio núm. 11.7).

2.2. La protección de los datos personales de los trabajadores en el ámbito de la OIT

En el ámbito de la OIT contamos con el documento Protección de los datos personales de los trabajadores. Repertorio de recomendaciones prácticas de la OIT (1997), que establece que el tratamiento de datos personales de los trabajadores debería limitarse exclusivamente a asuntos directamente pertinentes para la relación de empleo del trabajador (5.1) y deberían utilizarse únicamente con el fin para el cual hayan sido obtenidos (5.2). El «principio de la finalidad» excluye, en particular, todo intento de aprovechar las oportunidades que ofrece la informática para una utilización plurifuncional de los datos. En concreto no se considerará lícito que las medidas adoptadas con miras a garantizar el funcionamiento seguro y adecuado de los centros informáticos y de los sistemas automatizados se utilicen para vigilar y juzgar el comportamiento y el rendimiento de los trabajadores (5.4). Aunque se matiza que el descubrimiento accidental de infracciones no relacionadas con el objetivo de las medidas no estaría en general sometido a esta restricción. El repertorio admite, además, que los datos personales se exploten con fines distintos de aquéllos para los que fueron recabados, con la condición de que esa nueva finalidad sea compatible con la inicial.

De hecho, el repertorio no prohíbe la vigilancia de los trabajadores, pero fija límites muy claros. En primer lugar, se ha de respetar un principio de trasparencia, conforme al cual, cuando los trabajadores sean objeto de medidas de vigilancia, éstos deberían ser informados de antemano de las razones que las motivan, de las horas en que se aplican, de los métodos y técnicas utilizados y de los datos que serán acopiados, y el empleador deberá reducir al mínimo su injerencia en la vida privada de aquéllos (6.14.1). No obstante, se recoge la posibilidad del secreto en materia de vigilancia (6.14.2), cuando a) se realice de conformidad con la legislación nacional; o b) existan sospechas suficientes de actividad delictiva u otras infracciones graves. No obstante, el repertorio subraya que no basta con sospechar tales actividades o infracciones. El empleador está autorizado al uso de la vigilancia secreta únicamente cuando existan sospechas razonablemente justificadas de actividades delictivas u otras infracciones graves. Como ejemplo de infracción grave se menciona el acoso sexual, que puede no ser calificado necesariamente como actividad delictiva.

En segundo lugar, los empleadores no tienen la libertad de elegir el método y los medios de vigilancia que ellos consideren como los mejor adaptados a sus objetivos. Por el contrario, deben tener en cuenta las consecuencias que puede tener la vigilancia respecto de la vida privada de los trabajadores y deben dar preferencia a los medios que tengan los menores efectos en ese plano. Por otra parte, la vigilancia continua debería permitirse solamente si lo requieren la salud, la seguridad y la protección de los bienes (6.14.3).

2.3. Reconocimiento constitucional y desarrollo normativo de la privacy y la protección de datos en el ámbito de la UE

En el ámbito de la UE, la CDFUE reconoce diferenciadamente el derecho de privacidad (art. 7) y el derecho a la protección de datos (art. 8). Cristaliza de esta manera el reconocimiento constitucional del tratamiento diferenciado de tales derechos fundamentales (51) . Respecto del derecho a la protección de datos, y siguiendo el esquema del art. 8 CEDH referido, fija los parámetros normativos esenciales, indicando que el tratamiento de datos personales deberá serlo «de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legitimo previsto por la ley» (art. 8.2 CDFUE). Pero los artículos 7 y 8 de la carta no son absolutos, como indica el TJUE, admitiendo limitaciones, siempre que estén previstas por la ley, respeten el contenido esencial de esos derechos y siempre con observancia del principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás (52) .

Con esa lógica de ponderación, el art. 52.1 CDFUE prevé que «cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades». Añade que dichas limitaciones pueden introducirse «cuando sean necesarias» y respondan efectivamente «a la necesidad de protección de los derechos y libertades de los demás»; siendo imprescindible que los límites respeten en todo caso «el principio de proporcionalidad». A partir del art. 52.1 CDFUE, la jurisprudencia del TJUE viene afirmando que los derechos fundamentales (y se refiere concretamente al derecho a la vida privada y a la protección de datos) no son absolutos y pueden ser objeto de restricciones a partir de un criterio de ponderación de derechos (53) . En la misma lógica de ponderación de derechos, el art. 54 CDFUE establece la prohibición del abuso de derecho en el ejercicio de los derechos y libertades, indicando que «(n)inguna de las disposiciones de la presente Carta podrá ser interpretada en el sentido de que implique un derecho cualquiera a dedicarse a una actividad o a realizar un acto tendente a la destrucción de los derechos o libertades reconocidos en la presente Carta o a limitaciones más amplias de estos derechos y libertades que las previstas en la presente Carta».

Una norma central de referencia es, sin duda, el RGPD, calificado como un «Golden estándar» global en la materia (54) , y desde luego centro de referencia obligada en nuestro estudio. Este Reglamento también procede a la búsqueda del equilibrio de derechos a partir de los art. 5 (principios) y 6 (intereses legítimos). El RGPD reconoce que «el derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad» (Considerando 4). De hecho, el RGPD establece una regulación que mira al mismo tiempo a la protección de datos personales y a la tutela de libre circulación de datos en el contexto de un mercado único «digital» (55) . En esta línea de ponderación subraya el Comité Europeo para la Protección de Datos (CEPD) que «equilibrar los intereses es obligatorio. Los derechos y libertades fundamentales por un lado, y el interés legítimo del responsable por otro, deben evaluarse y equilibrarse minuciosamente» (56) .

El RGPD trata de encontrar un equilibrio de derechos a partir de los principios recogidos en el art. 5 RGPD. Destacamos por su relevancia el principio de transparencia (art. 5.1 a), que se concreta en la información precisa sobre la finalidad del tratamiento de datos (y en su caso su posible uso con fines disciplinarios) y su base jurídica (arts. 13 y 14); de limitación de la finalidad (b), amparada en una base jurídica exart. 6 RGPD; de minimización de datos (c), es decir, adecuados, pertinentes y limitados a lo preciso conforme a la finalidad legítima, es decir, un control acorde con un principio de proporcionalidad (57) . Son, pues, los ejes del tratamiento de datos en el RGPD la transparencia de la información, la finalidad legítima, y el principio de proporcionalidad.

El punto de partida tiene que situarse en la existencia de una finalidad legítima. En este sentido, el tratamiento requiere su respaldo en una de las bases jurídica legitimadoras del tratamiento contenidas en el artículo 6.1 del RGPD; en nuestro caso los apartados b) (necesario para la ejecución del contrato), c) (necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento —por ejemplo, el registro de la jornada laboral—), f) (legitimo interés empresarial, «siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado»).

El Considerando núm. 47 RGPD aclara que tal interés legítimo podría darse, por ejemplo, «cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado.... está al servicio del responsable»; igualmente, el tratamiento de datos de carácter personal «estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate». No obstante, puntualiza que el interés legítimo de un responsable del tratamiento «puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable». El Considerando núm. 49 también indica que «(c)onstituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos...».

En todo caso, puntualiza el CEPD que la existencia de un interés legítimo necesita una evaluación detenida y debe confrontarse con el concepto de expectativa razonable de privacidad, no subjetiva —se subraya—, en una situación específica, en nuestro caso, del trabajador en su puesto de trabajo. Por ejemplo, añade el CEPD, un empleado en su lugar de trabajo en la mayoría de los casos probablemente no espera ser vigilado por su empleador (58) .

Además, el Reglamento preceptúa que los datos deben ser recogidos «con fines determinados, explícitos y legítimos», lo que resulta contrario a prácticas de monitorización indiscriminadas o permanentes; y añade que dicho tratamiento debe ser proporcional, es decir, debe ser necesario, lo que no equivale a la mera utilidad del sistema de control de datos, y requerirá la prueba de que no existe otra opción menos invasiva, y serán «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados», lo que condicionará el tipo, alcance, duración del control empresarial.

En el ámbito de la UE, los dictámenes del Grupo de Trabajo del Artículo 29 (GT29), referidos a la Directiva 95/46/CE y el RGPD (59) , concluyen que es legítimo el interés empresarial como fundamento del control (la necesidad de proteger la red y los datos personales de los trabajadores y clientes que allí se guardan contra el acceso no autorizado o la fuga de datos, de controlar los correos electrónicos salientes con el fin de prevenir la transmisión no autorizada de datos protegidos), pero también se hace referencia a principios como el de garantía de que los datos se tratan con fines específicos y legítimos, que sean proporcionados y necesarios; la limitación de la finalidad y un tratamiento de los datos que sea adecuado, pertinente y no excesivo para la finalidad legítima; y el principio de trasparencia con los trabajadores sobre el uso y la finalidad de las tecnologías de control.

Estas garantías se ven reforzadas en el contexto de la protección de datos dentro de la UE, con la previsión del RGPD del principio de rendición de cuentas (art. 5.2), que viene a significar que el responsable de la protección de datos asume la obligación de adoptar una actuación diligente y proactiva para garantizar un tratamiento de datos conforme a los principios de tratamiento de datos exart. 5.1 RGPD, lo que exige una previsión de qué datos van a ser objeto de tratamiento, con qué finalidad, con qué tipo de operaciones (60) . También se complementa con la previsión de la protección de datos por defecto (art. 25), que reclama del responsable del tratamiento la adopción de las medidas técnicas y organizativas para garantizar que, por defecto, sólo serán objeto de tratamiento los datos necesarios para los fines específicos del tratamiento (61) .

Junto a la finalidad legítima y el principio de proporcionalidad, el RGPD sitúa como concepto clave del tratamiento de datos la trasparencia de la información para asegurar la expectativa razonable de privacidad del afectado (62) . De manera que sólo el conocimiento anticipado por parte del trabajador de que puede ser objeto de fiscalización por el empresario legitimará la actividad de control empresarial con afectación del derecho a la privacidad (63) . En este sentido, el art. 5.1 a) indica que los datos personales serán tratados «de manera lícita, leal y transparente en relación con el interesado». Por ello, la exigencia de una información previa es inherente a una garantía de trasparencia, como se subraya en diversos documentos relevantes en este terreno (64) .

El alcance del derecho de información debería incluir algunos aspectos de la información básica del art 11 LOPD, en relación con los arts. 13 y 14 RGPD, en concreto la finalidad del tratamiento y su base jurídica, las categorías de datos y la posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 RGPD, previéndose en este marco normativo la información que debe suministrarse al trabajador (65) . Estas reglas deben completarse con la previsión sobre un deber de trasparencia del art. 12.1 RGPD, que dispone que «la información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos»; la comunicación de forma verbal sólo se admite «cuando lo solicite el interesado» (66) . Es importante subrayar que el art. 14.4 RGPD prevé la posibilidad de que el responsable del tratamiento proyecte «el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron»; en ese caso, «proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin» (14.4). En cuanto a las exigencias de licitud del tratamiento, el art. 6 RGPD no incluye reglas sobre una información previa al afectado.

Se ha subrayado que el RGPD adopta una formulación soft por la dificultad de cerrar normativamente una regulación hard estandarizada, dada la diversidad de situaciones jurídico-subjetivas, como la libertad de iniciativa económica privada o el derecho a la tutela judicial vinculada al ejercicio del derecho de defensa (67) . En esta lógica se mueve el RGPD al estimar que «el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito» (Considerando 10).

El RGPD no establece una regulación específica de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral. Se limita en este sentido a introducir una cláusula de apertura que faculta a los Estados miembros, a través de disposiciones legislativas o de convenios colectivos, para establecer «normas más específicas» (art. 88), que la norma refiere a tres elementos en particular, que incluyen «la transparencia del tratamiento» y «los sistemas de supervisión en el lugar de trabajo». Además, la norma subraya que el objetivo debe ser «garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral» (art. 88.2). El TJUE ha aclarado que para poder ser calificada de «norma más específica» en el sentido del artículo 88, apartado 1, del RGPD, una norma jurídica nacional debe de tener «un contenido normativo propio del ámbito regulado y distinto de las normas generales» del Reglamento europeo, es decir, del tenor del artículo 88 del RGPD se desprende que las normas nacionales «no pueden limitarse a reiterar las disposiciones del referido Reglamento, sino que deben tener por objeto la protección de los derechos y libertades de los trabajadores en relación con el tratamiento de sus datos personales en el ámbito laboral e incluir medidas adecuadas y específicas», y que debe prestarse especial atención a los elementos mencionados en la norma (en lo que nos interesa ahora, la transparencia del tratamiento y los sistemas de supervisión en el lugar de trabajo) (68) .

Lo relevante ahora es poner de manifiesto que el art. 88 RGPD recoge implícitamente la necesidad de un equilibrio de intereses en su ap. 1.º, que incluye la protección de bienes del empresario (69) , y recoge al efecto el principio de proporcionalidad en su ap. 2.º, que se refiere a los «intereses legítimos y sus derechos fundamentales» de los interesados (70) .

3. Ponderación de intereses y test de legitimidad en la elaboración jurisprudencial

Como se ha descrito, el sistema normativo supranacional trata de elevarse sobre la lógica de un equilibrio de intereses. La jurisprudencia va a contribuir con un proceso de racionalización jurídica sustentada en la idea de composición de intereses y en el test de legitimidad y el juicio de proporcionalidad, que tienen una clara elaboración en la jurisprudencia del TEDH y en nuestra jurisprudencia constitucional. Podemos estimar que, después de ciertas vacilaciones, contamos con una jurisprudencia más o menos perfilada del TEDH, y en nuestro ámbito interno del TC y del TS, aunque es importante resaltar que estamos ante una doctrina jurisprudencial con matices muy ligados a la casuística abordada.

Se puede decir que la jurisprudencia del TEDH y del TC muestran una tendencia hacia la convergencia de la tutela de la privacidad del trabajador, que abarca la protección de datos, de la intimidad y del secreto de las comunicaciones. Un avance sustancial se produce con la ampliación de la tutela laboral a través del derecho a la protección de datos, donde cobra particular relevancia la doctrina del TEDH, que pone el acento en la imbricación entre el derecho a la intimidad y a la protección de datos, favoreciendo una interpretación ampliatoria del derecho a la vida privada (71) . En el caso español contamos con una doctrina constitucional de primer orden a este respecto a partir de la STC 29/2013.

La jurisprudencia del TEDH y nuestra jurisprudencia interna legitiman el poder empresarial de control y efectúan el enjuiciamiento de la injerencia empresarial a partir de dos criterios interpretativos, la expectativa de privacidad y el principio de legitimidad y de proporcionalidad. Estos parámetros se despliegan a partir de la premisa de que nos estamos refiriendo a derechos fundamentales estrechamente ligados a la dignidad humana, que reclaman por tanto una tutela reforzada en un juicio de proporcionalidad en la contraposición de derechos y de su sacrificio (72) . Como observa nuestra doctrina constitucional, «aunque un efecto típico de la relación laboral es supeditar ciertas actividades a los poderes empresariales, no basta con la sola afirmación del interés empresarial para restringir los derechos fundamentales del trabajador, dada la posición prevalente que éstos alcanzan en nuestro ordenamiento» (73) . El mayor rigor en la ponderación de derechos se impone si tenemos en cuenta que estos derechos fundamentales del trabajador se desarrollan en el ámbito de relaciones privadas con relaciones de poder asimétricas, donde, por consiguiente, una interpretación restrictiva de los derechos del trabajador debilita la defensa del mismo frente a la posición de poder empresarial (74) .

Desde este enfoque, la jurisprudencia del TEDH y de nuestros tribunales coinciden en una evolución hacia la clarificación de los parámetros que justifican el sacrificio de la privacidad del trabajador. Por un lado, se impone el respeto de una razonable expectativa de privacidad del trabajador. En este sentido conviene recordar la rotunda afirmación de la STEDH 5-9-2017, asunto Barbulescu, de que «las instrucciones de una empresa no pueden anular el ejercicio de la privacidad social en el puesto de trabajo» (75) . Por otro lado, se afirma un test de legitimidad que abarca la existencia de un fin legítimo, trasparencia informativa y un juicio de proporcionalidad y minimización del control. La STEDH (Gran Sala) 5-9-2017, asunto Barbulescu, configura un canon de garantías referido al derecho a la privacidad del trabajador en su actividad laboral (art. 8 CEDH) (76) . Aunque la sentencia referirá dicho canon en concreto al control de las comunicaciones electrónicas del trabajador, el test de legitimidad diseñado por el TEDH va a tener un alcance general, siendo aplicado expresamente por el mismo TEDH es asuntos referidos a los medios de vigilancia empresarial (77) o la geolocalización (78) .

El primer criterio, la existencia de una razonable expectativa de privacidad del trabajador, ha sido considerado central para valorar el conflicto de intereses y derechos, y a él se ha vinculado el principio de trasparencia informativa sobre los dispositivos de control. Pero ello no ha privado de valor al criterio clásico del juicio de proporcionalidad, hasta el punto de venir a ocupar actualmente el centro de gravedad del tratamiento jurisprudencial. Ilustra claramente esta evolución la STEDH (Gran Sala) 17-10-2019, Asunto López Ribalda, que observa que «la exigencia de trasparencia y el derecho a la información que se deriva del mismo reviste un carácter fundamental», aunque el canon de razonamiento a seguir implica que «la información ofrecida a la persona sometida a la vigilancia y su amplitud no es sino uno de los criterios a tener en cuenta para apreciar la proporcionalidad de tal medida» (79) .

La intensidad en el juicio de proporcionalidad va a depender del tipo de medida de control empresarial, pudiendo distinguirse, por el mayor impacto en los derechos fundamentales del trabajador, la audio o la videovigilancia (en este caso pudiendo graduarse por el ámbito al que se dirige la misma) y la interceptación de comunicaciones, supuestos que se diferencian del control de medios digitales de trabajo, que cuentan con la consideración de instrumentos de trabajo de propiedad empresarial. Igualmente ha de tomarse en consideración las características del control empresarial (por ejemplo, las características de la monitorización de los ordenadores, la información que se extrae de la navegación del trabajador por internet, el alcance del control de la mensajería electrónica).

Así lo constatamos en la doctrina del TEDH sobre la aplicación del test de legitimidad del control empresarial, conocida como test Barbulescu (80) , a partir de los siguientes parámetros esenciales: i) existencia de información previa sobre la videovigilancia; ii) la existencia de motivos legítimos; iii) características de las medidas empresariales y el grado de injerencia en la vida privada del trabajador; iv) si era posible o no medidas menos intrusivas para alcanzar dicho fin; v) la coherencia del uso que el empresario ha hecho del uso de los medios de control respecto de la finalidad que los justificó.

El TEDH ha proyectado la doctrina expuesta, en aplicación del art. 8 CEDH, en los siguientes supuestos: videovigilancia (STEDH 5-10-2010, asunto Köpke c. Alemania; STEDH (Gran Sala) 17-10-2019, asunto López Ribalda) (81) , comunicaciones telefónicas (STEDH 25-6-1997, asunto Halford contra Reino Unido), usos de internet y mensajería electrónica (STEDH 3-4-2007, asunto Copland contra Reino Unido, STEDH 5-9-2017, asunto Barbulescu) (82) , archivos informáticos (STEDH 22-2-2018, asunto Libert contra Francia) (83) , y geolocalización (STEDH 13-12-2022, asunto Florindo de Almeida c. Portugal) (84) .

Se puede decir que el TEDH a partir del 2000 consagra un verdadero derecho del trabajador a la protección de su privacidad en el trabajo, sobre los parámetros expuestos (85) . La relevancia de la doctrina del TEDH debe ser comprendida en el marco de un constitucionalismo multinivel y del papel del juez nacional en la aplicación del CEDH. El TEDH recuerda que corresponde a la jurisdicción nacional verificar que las medidas de vigilancia empresarial que pueden incidir en el derecho de privacidad del trabajador son proporcionadas y se acompañan de garantías adecuadas y suficientes contra los abusos, en coherencia con las disposiciones del Convenio, y «deben motivar sus decisiones de manera suficientemente circunstanciada, a fin de permitirle [al TEDH] cumplir con el control europeo que le ha sido confiado» (86) .

Por tanto, el test de legitimidad elaborado por el TEDH (test Barbulescu) «juega un papel fundamental como instrumento concreto de armonización europea a través de la intervención del juez nacional» (87) . En este sentido la jurisprudencia nacional ha permitido fijar un canon de enjuiciamiento acorde a la doctrina del TEDH (88) . Como el mismo TEDH reconoce, los criterios de proporcionalidad establecidos por la jurisprudencia del TC «son próximos a los que él [el TEDH] ha mantenido en su jurisprudencia» (89) .

Por su parte, nuestro TC se refiere en su doctrina a «los equilibrios y limitaciones recíprocos que se derivan para ambas partes del contrato de trabajo», tanto para las facultades organizativas empresariales como para los derechos fundamentales del trabajador. La STC 99/1994 sintetizó tempranamente los parámetros sobre los que se elevan los equilibrios y limitaciones recíprocos. Se observa que «el contrato de trabajo no puede considerarse como un título legitimador de recortes en el ejercicio de los derechos fundamentales que incumben al trabajador como ciudadano, que no pierde su condición de tal por insertarse en el ámbito de una organización privada (STC 88/1985)». Pero se puntualiza a continuación que «no puede desconocerse tampoco que la inserción en la organización ajena modula aquellos derechos, en la medida estrictamente imprescindible para el correcto y ordenado desenvolvimiento de la actividad productiva, reflejo, a su vez, de derechos que han recibido consagración en el texto de nuestra norma fundamental (arts. 38 y 33 C.E.)» (90) . De manera que «(l)a relación laboral, en cuanto tiene como efecto típico la sumisión de ciertos aspectos de la actividad humana a los poderes empresariales, es un marco que ha de tomarse en forzosa consideración a la hora de valorar hasta qué punto ha de producirse la coordinación entre el interés del trabajador y el de la empresa que pueda colisionar con él» (91) . Se matiza que «no bastaría con la sola afirmación del interés empresarial, dada la posición prevalente que alcanzan los derechos fundamentales en nuestro ordenamiento», de forma que los requerimientos organizativos de la empresa que pudieran llegar a ser aptos para restringir el ejercicio de los derechos fundamentales del trabajador «deben venir especialmente cualificados por razones de necesidad, de tal suerte que se hace preciso acreditar —por parte de quien pretende aquel efecto— que no es posible de otra forma alcanzar el legítimo objetivo perseguido, porque no existe medio razonable para lograr una adecuación entre el interés del trabajador y el de la organización en que se integra» (92) .

Por tanto, para el TC «el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes» (93) . De la misma manera, el derecho a la protección de datos «no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución» (94) . La doctrina constitucional reitera que la empresa pueda imponer sistemas de control a los trabajadores con amparo en el legítimo ejercicio de los derechos constitucionales a la propiedad privada (art. 33 CE) y la libertad de empresa (art. 38 CE), deduciéndose la habilitación legal a tal fin de lo dispuesto en el apartado 3 del art. 20 ET. Pero igualmente se subraya que el empresario no queda apoderado para llevar a cabo, so pretexto de las facultades de vigilancia y control que le confiere el art. 20.3 ET, intromisiones ilegítimas en la intimidad de sus empleados en los centros de trabajo. La jurisprudencia constitucional mantiene desde antiguo la tesis de que el ejercicio de las facultades organizativas y disciplinarias del empleador no puede servir en ningún caso a la producción de resultados inconstitucionales, lesivos de los derechos fundamentales del trabajador (95) .

De forma que el control empresarial mediante medios tecnológicos no es una cuestión de oportunidad («la utilidad o mera conveniencia» de la empresa, en expresión de la STC 98/2000). En este sentido indicará que el poder de control empresarial tiene que someterse a un marco jurídico, con relevancia constitucional, apoyado en los principios de legitimidad de fines, transparencia en la información y proporcionalidad en los métodos de control, y, en todo caso, respetuoso con el contenido esencial del derecho (96) .

En conclusión, la constitucionalidad de cualquier medida restrictiva de derechos fundamentales en cuestión viene determinada por la estricta observancia del principio de proporcionalidad (97) , que como canon de razonamiento ya es asentado con la STC 98/2000. Así, por ejemplo, se observa respecto al derecho a la protección de datos, que «la relevancia constitucional de la ausencia o deficiencia de información.....exige la consiguiente ponderación en cada caso de los derechos y bienes constitucionales en conflicto; a saber, por un lado, el derecho a la protección de datos del trabajador y, por otro, el poder de dirección empresarial imprescindible para la buena marcha de la organización productiva, que es reflejo de los derechos constitucionales reconocidos en los arts. 33 y 38 CE» (98) . Ese juicio de proporcionalidad clásico se enriquece ahora en el marco del test de legitimidad elaborado por el TEDH.

4. Un contexto jurídico general para los controles empresariales defensivos y ocultos de la actividad laboral

Después de todo lo expuesto en apartados anteriores, es evidente que, con el actual marco jurídico, y particularmente la jurisprudencia del TEDH, se va a estimar la admisibilidad de controles empresariales de la actividad laboral con sometimiento estricto a exigencias de licitud, legitimación de fines, trasparencia y proporcionalidad. Con este marco se van a admitir controles singulares dirigidos a verificar el cumplimiento de la prestación laboral, al mismo tiempo que se estiman excluidos los controles indiscriminados y permanentes de la actividad laboral (99) .

Por otro lado, se admiten, en determinadas condiciones, los «controles defensivos», bien como controles indirectos derivados de medios de control plurifuncionales (a los que se vincula la doctrina del «hallazgo casual», con reconocimiento legal en el art. 89 LOPD), o bien como los controles ocultos ad hoc, que se entienden legítimos en atención a la protección del patrimonio empresarial (100) . Estos tipos de controles deberán respetar en todo caso el principio de licitud y proporcionalidad, y en el primer supuesto (controles indirectos) además una información previa sobre la existencia de medios de control plurifuncionales.

Los controles ocultos se consideran admisibles siempre que se justifiquen por indicios fundados de conductas ilícitas del trabajador y siempre que se respete el principio de proporcionalidad y minimización en la actividad de control. En este sentido no existen fisuras en la doctrina del TEDH (101) . Se puede decir que, conforme a la doctrina Köpke/López Ribalda del TEDH, se impone un canon de control apoyado en los siguientes parámetros. En primer lugar, toda atenuación del principio de trasparencia debe tener un fundamento en intereses legítimos concretos y relevantes. En este sentido es posible justificar la ausencia de información previa cuando exista «un imperativo preponderante relativo a la protección de intereses públicos o privados importantes» (por ejemplo, identificar a los responsables de las importantes pérdidas detectadas y sancionarles). En segundo lugar, tiene que existir una motivación: sospechas fundadas de grave irregularidad con relevancia en los intereses de la empresa (importantes pérdidas en caja, por ejemplo). No obstante, entraría en contradicción con esta doctrina los controles ocultos preventivos, ex ante, para vigilar la actividad del trabajador. En tercer lugar, nos recuerda dicha doctrina que «si la información falta, las garantías derivadas de otros criterios serán más relevantes», lo que nos remite a un juicio de proporcionalidad más estricto (102) .

La cuestión central al respecto radica en la exigencia de un principio de transparencia en la protección de datos por el RGPD (103) . No me parece que deba establecerse una separación formal del principio de trasparencia y de proporcionalidad y minimización (104) . La inexistencia de una separación formal del principio de trasparencia y de proporcionalidad lo confirma la jurisprudencia del TEDH y del TC. Según hemos visto, el TEDH sienta como doctrina que, en el caso de que no se hayan respetado esos principios referentes al derecho de información previa, habrá que realizar una tarea de ponderación o juicio de proporcionalidad a fin de valorar la justificación o no de la medida adoptada. Esta doctrina es acogida por nuestro TC que observa que, desde la perspectiva del derecho a la protección de datos, el canon de control de constitucionalidad «exige, en primer lugar, un análisis sobre el cumplimiento de la normativa vigente en la materia y, muy singularmente, sobre el respeto a los principios de información y consentimiento que se configuran como elementos esenciales del contenido de este derecho fundamental; y, en segundo lugar, para el caso de que no se hayan respetado esos principios, habrá que realizar una tarea de ponderación o juicio de proporcionalidad a fin de valorar la justificación o no de la medida adoptada» (105) .

Y en lo que respecta al RGPD, en principio, el art. 6.4 a) y b) RGPD admite la posibilidad del uso de los datos obtenidos de controles indirectos de seguridad de donde puedan deducirse ilícitos laborales, sin cuestionar la licitud del tratamiento (106) . Por otra parte, el RGPD matiza la exigencia de información previa sobre la finalidad del tratamiento de datos. El