Leer desde el principio.

El fallo.

El Tribunal Constitucional aborda la cuestión desde el punto de vista del derecho fundamental a la protección de datos considerando tanto la STC 292/2000, como la Ley Orgánica, su Reglamento y la Instrucción 1/2006. El debate se centra en cómo opera en este caso la excepción al consentimiento del artículo 6.2 LOPD y las condiciones en las que se desplegó el deber de información del artículo 5 LOPD.

Para estudiar la materia el Tribunal Constitucional desarrolla un argumentario aparentemente clásico en esta materia pero a la vez muy confuso. Así en el Fundamento Jurídico Tercero admite que el tratamiento de datos personales no requiere de consentimiento en el marco de una relación laboral para los fines propios de ésta «lo que abarca, sin duda, las obligaciones derivadas del contrato de trabajo» y con ello los tratamientos dirigidos al control de la relación laboral. Por otra parte se señala, cómo la relación entre los principios de finalidad, y proporcionalidad, -que dan vida al principio de calidad del artículo 4 LOPD-, resultan relevantes. Sin embargo tras esta afirmación de principio el Tribunal realiza una afirmación muy interesante:

«En todo caso, el incumplimiento del deber de requerir el consentimiento del afectado para el tratamiento de datos o del deber de información previa sólo supondrá una vulneración del derecho fundamental a la protección de datos tras una ponderación de la proporcionalidad de la medida adoptada».

Se pone en el mismo plano la excepción del artículo 6.2 LOPD con lo que podríamos definir como un “incumplimiento justificado” del deber de información. Al margen de subrayar que una excepción legalmente establecida nunca debería ser calificada de “incumplimiento”, lo relevante reside en el hecho de que el Tribunal Constitucional se plantee excepcionar de algún modo el derecho a la información en la recogida de datos, no existiendo una excepción expresa al deber de informar en materia laboral ni en el artículo 5 ni en el 24 LOPD. Si bien no es esta una operación desconocida sino más bien practicada por la Agencia Española de Protección de Datos, su relevancia deriva de que se plantea por primera vez y de modo expreso en un caso de videovigilancia y con la posibilidad de apartarse del criterio de la propia Agencia y de la STC 29/2013.

Para abordar el conflicto de derechos se invoca como valor constitucional a ponderar la facultad de control empresarial reconocida en el art. 20.3 TRLET, en conexión con los arts. 33 y 38 CE. En el Fundamento Jurídico Cuarto el nuestra Corte Constitucional legitima algo ciertamente sorprendente cuál es la validez de un cartel genérico:

«en cumplimiento de esta obligación, la empresa colocó el correspondiente distintivo en el escaparate de la tienda donde prestaba sus servicios la recurrente en amparo, por lo que ésta podía conocer la existencia de las cámaras y la finalidad para la que habían sido instaladas. Se ha cumplido en este caso con la obligación de información previa pues basta a estos efectos con el cumplimiento de los requisitos específicos de información a través del distintivo, de acuerdo con la Instrucción 1/2006. El trabajador conocía que en la empresa se había instalado un sistema de control por videovigilancia, sin que haya que especificar, más allá de la mera vigilancia, la finalidad exacta que se le ha asignado a ese control. Lo importante será determinar si el dato obtenido se ha utilizado para la finalidad de control de la relación laboral o para una finalidad ajena al cumplimiento del contrato, porque sólo si la finalidad del tratamiento de datos no guarda relación directa con el mantenimiento, desarrollo o control de la relación contractual el empresario estaría obligado a solicitar el consentimiento de los trabajadores afectados».

Dicho de otra manera, ¿es posible que para el Tribunal Constitucional un cartel amarillo con la identificación de la compañía responsable del tratamiento sea suficiente? Sólo el respeto que tan alta institución merece impide sucumbir a la tentación de desarrollar una tesis sobre el concepto “sonría le estamos vigilando”. La Instrucción a la que se refiere el Tribunal prevé dos estrategias de información una primera genérica, pero reforzada con un impreso que deberá reunir “todos los requerimientos del artículo 5 LOPD”.

Que sepamos, nunca un Tribunal había considerado que “la mera vigilancia” sea por sí misma una finalidad. Y ya que el Tribunal abre ese camino, sería conveniente recordarle que ese consentimiento que liga con el derecho de información en la recogida es por definición libre, específico, inequívoco e informado y que entre la información requerida está “la finalidad”, no la finalidad genérica. La importancia del concepto de finalidad es tal que en opinión del Grupo de Trabajo del Artículo 29, – Dictamen 4/2007 sobre el concepto de datos personales-, debe ser considerada para integrar el concepto de dato personal:

«También la presencia de un elemento «finalidad» puede ser lo que determine que la información verse «sobre» determinada persona. Se puede considerar que ese elemento «finalidad» existe cuando los datos se utilizan o es probable que se utilicen, teniendo en cuenta todas las circunstancias que rodean el caso concreto, con la finalidad de evaluar, tratar de determinada manera o influir en la situación o el comportamiento de una persona».

Pero más allá de esta consideración tangencial el Grupo ha dedicado un considerable esfuerzo a abordar esta cuestión en su Opinion 03/2013 on purpose limitation. La primera y nada sorprendente afirmación se refiere a que finalidad e información se encuentran estrechamente ligados, hasta el punto de que operan como una garantía fundamental:

«When the specified purpose is visible and shared with stakeholders such as data protection authorities and data subjects, safeguards can be fully effective. Transparency ensures predictability and enables user control (…)

User control is only possible when the purpose of data processing is sufficiently clear and predictable. If data subjects fully understand the purposes of the processing, they can exercise their rights in the most effective way. For instance, they can object to the processing or request the correction or deletion of their data».

Por otra parte el Grupo de Trabajo es muy contundente en cuanto al carácter fundamental del principio de finalidad:

«Purpose specification lies at the core of the legal framework established for the protection of personal data. In order to determine whether data processing complies with the law, and to establish what data protection safeguards should be applied, it is a necessary precondition to identify the specific purpose(s) for which the collection of personal data is required. Purpose specification thus sets limits on the purposes for which controllers may use the personal data collected, and also helps establish the necessary data protection safeguards.

Purpose specification requires an internal assessment carried out by the data controller and is a necessary condition for accountability. It is a key first step that a controller should follow to ensure compliance with applicable data protection law. The controller must identify what the purposes are, and must also document, and be able to demonstrate, that it has carried out this internal assessment».

En cualquier caso, la Directiva es clara, los datos deben ser recogidos con fines determinados, explícitos y legítimos. Pero ¿cómo de preciso debería ser el responsable al informar?

«The purpose of the collection must be clearly and specifically identified: it must be detailed enough to determine what kind of processing is and is not included within the specified purpose, and to allow that compliance with the law can be assessed and data protection safeguards applied.

For these reasons, a purpose that is vague or general, such as for instance ‘improving users’ experience’, ‘marketing purposes’, ‘IT-security purposes’ or ‘future research’ will – without more detail – usually not meet the criteria of being ‘specific’. That said, the degree of detail in which a purpose should be specified depends on the particular context in which the data are collected and the personal data involved. In some clear cases, simple language will be sufficient to provide appropriate specification, while in other cases more detail may be required».

No parece que este planteamiento se corresponda con el del Tribunal al que basta un cartel como prueba del cumplimiento de un deber normativo. Ni siquiera se aprovecha para explorar elementos significativos derivados de una interpretación sistemática del Ordenamiento. El Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores atribuye ciertos derechos de información y consulta a los delegados de personal y a los comités de empresa. Así que cabe plantearse por qué el Tribunal Constitucional, que maneja con soltura el artículo 20.3 ET, no dedica ni una línea a su artículo 64. La videovigilancia empresarial, ¿es tal vez una cuestión que pueda afectar a los trabajadores?, ¿constituye una adopción de eventuales medidas preventivas?, ¿es un sistema para el control del trabajo?, o finalmente ¿podría tener repercusión en las relaciones laborales?

Así pues, no cabe sino concluir que la argumentación del Tribunal Constitucional sobre esta materia posee una extraordinaria debilidad complicando si cabe más el estado normativo de la videovigilancia en nuestro país. Así, ante la oportunidad de dar respuesta a un aspecto crucial se apuesta por una solución extraordinariamente sencilla que se suma a un estado de cosas poco amigable para el derecho fundamental a la protección de datos, a saber:

• Cualquiera puede instalar una cámara.

• Cualquiera puede utilizar una videocámara, el bedel, el presidente de la comunidad de vecinos o la persona encargada de una tienda de ropa.

• Cualquiera puede instalar una cámara para cualquier fin, por genérico que este sea.

• Basta con un cartelito informativo más o menos visible como garantía de los derechos de los afectados.

El Tribunal Constitucional ha perdido la oportunidad de dar respuesta, siquiera de manera indirecta a un interrogante fundamental. La doctrina de la STC 29/2013, y su traslación por el Tribunal Supremo adolece de dos problemas conexos. El primero, consiste en que incapacita al empresario para abordar y en su caso atajar los problemas que se puedan producir en el entorno de trabajo. Dicho de otro modo, si no lo previó con antelación y un empleado le está robando da la impresión de que debería “avisarle” de que se van a instalar videocámaras y rogarle que en el futuro sea bueno. Esto evidentemente no tiene ni pies ni cabeza, y su consecuencia no es otra que favorecer el crecimiento de instalaciones de videovigilancia meramente preventivas. Así que la consecuencia material de una posición hipergarantista del derecho fundamental a la protección de datos en un caso concreto obliga a soportar la videovigilancia a colectivos enteros de trabajadores. Y es más que discutible si esto mejora en algo la garantía del derecho fundamental.

Esta postura nos conduce a un callejón sin aparente salida. ¿Acaso no existe ninguna posibilidad de instalar videocámaras sin informar a los trabajadores cuando concurran circunstancias que por su gravedad lo hagan necesario? Y no pensemos en pequeños hurtos, hay situaciones de acosos en la empresa que también lo justificarían en interés del propio trabajador. Pues bien, se da una circunstancia en el caso Bershka que el Tribunal Constitucional desaprovecha. En la descripción de los hechos se nos dice que la instalación de la videocámara fue realizada por una empresa de seguridad. Precisamente el ámbito acotado por la Ley 5/2014, de 4 de abril, de Seguridad Privada es el de «regular la realización y la prestación por personas privadas, físicas o jurídicas, de actividades y servicios de seguridad privada» para una finalidad muy concreta «la protección de personas y bienes».

Parece que identificar a un trabajador que hurta dinero de la caja se ordene a la protección del bien mayor al que aspira una empresa, el ingreso de lo que factura. Llegados a este punto, la pregunta a plantearse es si la contratación de una empresa de seguridad, y de modo más preciso de un detective, podría justificar la omisión del deber de información cuando de lo que se trata es de registrar y probar una infracción grave. Puede discutirse si en tal caso existe obligación de notificar al comité de empresa o los delegados y si estos deben guardar secreto. Pero lo cierto es que la finalidad del tratamiento tendría un amparo legal, la actividad se desarrollaría por una persona o empresa autorizada por el Ministerio del Interior que actuaría bajo los principios de profesionalidad y de ejercicio legítimo de funciones definidas por la Ley.

 

Sobre el voto particular.

Artículos relacionados

• El caso de la doctrina de las frutas del árbol envenenadito
• Videovigilancia y wearables.
• Los principios de protección de datos personales aplicables al uso de drones.
• «Perplejidad». Algunas reflexiones sobre videovigilancia privada.
• La belleza de un voto particular.