Cuatro de cinco.
En el caso que nos ocupa una vigilante de seguridad es sancionada laboralmente por incumplir sus deberes laborales. En concreto es grabada usando su teléfono móvil en un pasillo descuidando sus funciones en el control de accesos de una determinada zona de un hospital público. Según consta en los hechos, la institución ha creado e inscrito un fichero cuya finalidad en esencia consiste en garantizar el control de personas en tránsito hacía una zona de acceso restringido. La empresa de seguridad puede acceder al sistema y, curiosamente, no atiende el requerimiento de información de la inspección de la Agencia Española de Protección de Datos.
La resolución de la Agencia (E/03557/2014), tras la habitual exposición de la consideración de la imagen de las personas identificables como dato personal y de la aplicación de la Instrucción 1/2006, aborda la cuestión en los siguientes términos.
En primer lugar, se establece una relación entre la finalidad del sistema de videovigilancia y la naturaleza de la prestación del vigilante:
«La existencia de cámaras de seguridad en el complejo hospitalario responde a su necesidad e idoneidad para garantizar la seguridad y protección de las instalaciones, bienes y personas, siendo fundamental tanto las cámaras como el servicio que prestan las personas encargadas de visionar las mismas. El tratamiento de las imágenes tanto activo (grabando todo lo que ocurre en las instalaciones) como pasivo (siendo grabado dentro de las instalaciones) de las imágenes, es un elemento inherente a la condición de vigilante de seguridad.
La finalidad del tratamiento de las imágenes, como se ya se ha recogido, es la de garantizar el control de acceso de las personas y la seguridad, pero parte esencial de esta seguridad es el cumplimento de las obligaciones del personal a cargo de la empresa de seguridad contratada al respecto».
Puesto esta consideración se realiza con invocación del artículo 6 de la LOPD del cual subraya la Agencia dos incisos: 1) el principio del consentimiento “salvo que la Ley disponga otra cosa” y; 2) la excepción a esta regla “cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”. De ello derivaría un razonamiento obvio, y que de hecho se viene aplicando, puesto que el artículo 20.3 del Estatuto de los Trabajadores, lo que debería hacer pivotar la cuestión hacía la determinación de la información como un elemento ineludible.
Y justo aquí se produce un primer cambio de criterio respecto del precedente lejano. Es razonable pensar que idéntica situación se daba en el caso del museo, PS/00109/2004, en el que sin embargo se sancionó por omisión del deber de informar. Por otra parte, podemos pensar que en cambio no es un supuesto comparable a la cajera “que roba”. Y sin embargo, desde el punto de vista del sentido común más elemental no es menos cierto que tanto el vigilante como la cajera con su acción traicionan el cumplimiento de sus deberes laborales.
Se da en el caso un elemento particularmente significativo. La AEPD no duda en ningún momento que la mercantil que despide es un encargado del tratamiento y de esta condición deduce precisamente la legitimidad del tratamiento.
«Por lo tanto, a través del contrato suscrito entre el responsable SERVICIO GALLEGO DE SALUD y el encargado SEGUR IBÉRICA, éste trata los datos conforme a las instrucciones del responsable, entre cuyas faenas encomendadas se encuentra la seguridad del centro hospitalario garantizando que solo las personas expresamente autorizadas puedan acceder a las áreas restringidas y gestionar posibles incidentes de seguridad. De tal forma que el incumplimiento de la normativa de seguridad establecida, podría dar lugar a una penalización contractual a SEGUR IBÉRICA como encargada de su cumplimiento. Así la citada empresa actuaría por cuenta del responsable del fichero, no entendiéndose la existencia de una cesión de datos ilegítima, siendo el acceso a los datos por parte de SEGUR IBÉRICA necesarios para la prestación de un servicio al responsable del tratamiento».
Traduzcamos a un lenguaje coloquial el planteamiento del regulador. Es lógico pensar que el encargado del tratamiento vinculado por un contrato del artículo 12 LOPD habrá asumido una obligación de tratar únicamente «los datos conforme a las instrucciones del responsable del tratamiento», y de no aplicarlo con fin distinto al que figure en dicho contrato. Si hemos entendido bien, cuando una empresa encargada sanciona a un trabajador propio utilizando datos para una finalidad también propia, y en esencia distinta por razón de la titularidad, no vulnera la LOPD. Pero no sólo esto, como se recordará la empresa potencialmente infractora según consta en la descripción de hechos no atendió los requerimientos de la Agencia Española de Protección de Datos. El regulador, sencillamente se limita a presumir que las cosas son de este modo. Es más, no resulta clara la alusión a la seguridad a la que se refiere la AEPD. Desde luego no debe referirse a la relativa a la seguridad informática, puesto tampoco consta que se haya realizado diligencia alguna para verificar el registro de incidentes de seguridad a fin de constatar para remediar tal cuestión.
En esencia, el argumento viene a ser el siguiente, cuando una empresa de seguridad actúa cómo encargado en el marco de la legislación sobre seguridad privada, usa legítimamente las imágenes para sancionar a un empleado que pone en riesgo la integridad de su prestación.
Pero el regulador va más allá, admite como válido el uso para una finalidad distinta.
«Por otro lado, respecto a que las cámaras se han utilizado por parte de SEGUR IBÉRICA para una finalidad distinta a la que le es propia, cabe decir que la finalidad del sistema de videovigilancia denunciado no tiene como finalidad controlar la prestación de servicios de los trabajadores (vigilantes de seguridad) de SEGUR IBÉRICA sino como ya se ha dicho la finalidad del sistema de videovigilancia es la seguridad del centro hospitalario, verificando el acceso de las personas.
Por lo tanto, no se considera que la utilización de las cámaras para la finalidad denunciada incumpla lo establecido en el artículo 12.4 de la LOPD que establece: “En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”».
En conclusión aunque el sistema de videovigilancia “no tiene como finalidad controlar la prestación de servicios de los trabajadores” y el uso de las imágenes captadas con fines disciplinarios no constituye un uso para finalidad distinta. Dicho de otro modo, si Vd. es un responsable de un fichero de videovigilancia y no presta servicios de seguridad privada, como la Universidad de Sevilla o el supermercado de nuestra cajera, tiene completamente vedado el uso de las imágenes con fines control laboral si no informó de esta finalidad. Pero si es una empresa de seguridad que presta este tipo de servicios puede hacerlo incluso sin que conste permiso expreso de su encargado. De hecho, la denunciante, según consta en los antecedentes de hecho denunció por razones de orden laboral:
«El pasado 5 de noviembre de 2013 SEGUR IBÉRICA, S.A. sancionó a la denunciante por falta laboral grave aduciendo que “(.) usted había sido vista utilizando el teléfono móvil cuando se encontraba en el pasillo (…) descuidando por completo sus funciones”, adjunto escrito de comunicación de sanción al trabajador. (Documento nº2)»
Pareciera pues, que el derecho fundamental a la protección de datos de los trabajadores de las empresas de seguridad es distinto, y de valor inferior al del resto de los trabajadores de nuestra democracia constitucional. Para ser exacto es un derecho que en el caso sufre una mayor restricción que en el año 2004 en el museo de Alicante.
Y si esto es así ¿por qué no se invoca la comisión de alguna infracción de las previstas por el artículo 23 de la Ley 23/1992, de 30 de julio, de Seguridad Privada? Probablemente porque no tipifica ni una sola infracción del personal de esta naturaleza que seguramente se diferirán al Orden Laboral Común. Así pues nuestra vigilante ha sido laboralmente sancionada mediante el uso de una imagen, que no se ha tomado para fines laborales, pero tiene que ver con la seguridad. ¿Lo que se nos propone es validar el uso legítimo de un “hallazgo casual” que además es aportado en juicio? Si es así, para ello se despliega una amplia argumentación ordenada a excluir que el caso que se plantea guarde relación alguna con un control laboral:
«Debe tenerse en cuenta que, en el presente caso lo que procede examinar no es la utilización del sistema de videovigilancia del centro hospitalario para el control laboral del denunciante, sino el hecho de que la imagen del denunciante, como trabajador de la empresa de seguridad que presta su servicios para el citado centro, fuera objeto de captación, grabación y tratamiento en el marco del sistema de videovigilancia implantado por el mismo con fines de seguridad.
(…)
Debe recordarse que el sistema de videovigilancia instalado en el centro hospitalario no ha quedado acreditado que tenga como objeto realizar el control laboral de los trabajadores sino garantizar que solo las personas expresamente autorizadas puedan acceder a las áreas restringidas, verificando su identidad de forma automatizada; así como gestionar posibles incidentes de seguridad.
El seguimiento y utilización de las imágenes de las videocámaras se produjo en consecuencia para fines de seguridad, detectando a través de las mismas un problema de seguridad provocado por la denunciante en su desempeño laboral.
Ello no obsta para que, según se pone de manifiesto en las actuaciones, las imágenes obtenidas, fueran aportadas por la empresa de seguridad, para la que presta sus servicios la denunciante, para demostrar los hechos de los que se le acusaba en el ámbito laboral derivado del problema de seguridad creado».
Es decir, el uso de imágenes obtenidas casualmente para fines de seguridad, cuando lo que ponen de manifiesto es una infracción laboral pueden aportarse a un juicio laboral. Deberíamos entender, esto sí, que se trata de imágenes de seguridad “sobre trabajadores del sector de la seguridad”. No obstante desde un punto de vista de análisis racional no parece que exista una conexión lógica tan sencilla como la que aquí se plantea. Parece razonable pensar, que si las imágenes se aportaron a un proceso ello se debía a que previamente se sancionó al empleado y este recurrió la sanción. Por ello, y aunque el papel, como suele ser habitual lo soporte todo, materialmente y atendiendo a los hechos es imposible considerar que en la tramitación e imposición de una sanción disciplinaria en el trabajo no exista un uso de datos personales con fines de control laboral.
Y concluye este bloque argumental la Agencia:
«De este modo, junto con la finalidad propia de las videocámaras instaladas, vinculadas a la seguridad, no puede desconocerse que, en determinados supuestos -como el que es objeto de las presentes actuaciones-, de la captación legítima de las imágenes por parte del responsable del fichero puedan derivar consecuencias de índole diversa, tanto en el ámbito penal, como administrativo, o incluso laboral, circunstancia que se produce con más habitualidad en el colectivo de vigilantes de seguridad por la índole del trabajo desempeñado».
Lo cual sin duda, contribuye a una cierta ceremonia de la confusión ya que si bien no procede examinar la utilización del sistema de videovigilancia del centro hospitalario para el control laboral del denunciante, resulta que pueden derivar consecuencias de índole diversa en el ámbito laboral. Así pues, la afirmación reproducida confirma una impresión señalada más arriba, un vigilante de seguridad es titular de un derecho fundamental a la protección de datos de menor calidad que si se desempeña otra profesión.
Pero no es esta la cuestión. Lo realmente relevante es que lo que se presenta ante el estudioso del Derecho no es otra cosa que argumentos de orden material, de sentido común si se prefiere, pero sin entrar en el fondo del asunto desde el punto de vista de una verdadera argumentación jurídica. En todo este revolotear entorno al artículo 4 de la LOPD en ningún momento se entra en la verdadera cuestión. Y esta no es otra que la interpretación del párrafo segundo del artículo 4 LOPD.
«2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos».
Y es te es sin duda uno de los nudos gordianos de la cuestión, que hay más de uno, que la AEPD no desata, sino que a la manera de Alejandro Magno se limita a cortar con su espada por simple fuerza bruta. La Directiva se refería en su exposición de motivos que «los objetivos de los tratamientos posteriores a la obtención no pueden ser incompatibles con los objetivos originalmente especificados». Por ello, y por mucho que argumentativamente se quiera desvincular la finalidad original por la cual se captaron los datos, la seguridad, de las que motivó la reutilización, -tramitar un expediente disciplinario laboral-, la realidad es tozuda y está presente para cualquier lector mínimamente avezado.
Y ello afecta sensiblemente a la calidad jurídica de la resolución por una doble razón. Primero, porque rehúye la motivación, porque usa un expediente indirecto que hurta el motivo fundamental del tratamiento. En segundo lugar, porque de nuevo el regulador rehúye explorar una argumento que sin duda puede derrumbar por completo el edificio de la finalidad incompatible entendida como finalidad distinta y abrir el campo semántico de los usos similares no incompatibles. (Veáse la SAN de 29/03/2006)
Pero es que además, se da una circunstancia adicional, no se trata únicamente justificar el uso no incompatible. Es que dicho uso lo realiza un “encargado del tratamiento”. Y a la Agencia Española de Protección de Datos, no le tiembla el pulso por ejemplo en la resolución dictada en el Recurso de Reposición Nº RR/00018/2015 interpuesto en el marco del Procedimiento nº: PS/00285/2014 que examina el tratamiento de datos personales de un encargado para fines distintos, para invocar la jurisprudencia de la Audiencia Nacional en relación con la responsabilidad del encargado:
«Y en sentencia de 17/05/2013, recurso 25/2010, señala “A mayor abundamiento, además, y como igualmente hemos sostenido en la Sentencia de 13 de abril de 2005 (recurso nº. 241/2003) lo que determina la Ley Orgánica 15/1999 en el art. 12.4 que invoca la parte demandante, es que en caso de que el encargado del tratamiento destine los datos a una finalidad distinta a la indicada, los comunique o los utilice incumpliendo las estipulaciones del contrato «…será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente». El término «también» que utiliza el precepto deja claro que no se establece allí un mecanismo de sustitución ni de derivación de responsabilidades sino de agregación, pues el responsable del fichero no pierde su condición de tal ni queda exonerado de responsabilidad por el hecho de que al encargado del tratamiento que incumpla lo estipulado se le atribuya «también» la consideración de responsable del tratamiento”>>»
En nuestro caso, la vigilante es sancionada por “un encargado” usando las imágenes de un responsable. Así pues, si en materia de seguridad privada el trabajador ve disminuidos su derecho fundamental a la protección de datos, y en cambio el encargado es un sujeto ciertamente privilegiado.
Sin embargo, volviendo a la cuestión de la finalidad distinta resulta significativo el inciso final del considerando 29 de la Exposición de Motivos de la Directiva ya que indica que el fin último de la limitación que impone el principio de finalidad no es otro que impedir que dichos datos sean utilizados para tomar medidas o decisiones contra cualquier persona:
«(29) Considerando que el tratamiento ulterior de datos personales, con fines históricos, estadísticos o científicos no debe por lo general considerarse incompatible con los objetivos para los que se recogieron los datos, siempre y cuando los Estados miembros establezcan las garantías adecuadas; que dichas garantías deberán impedir que dichos datos sean utilizados para tomar medidas o decisiones contra cualquier persona;»
Cómo último argumento, en el fundamento jurídico sexto de la resolución se invoca como justificación adicional del tratamiento el derecho a la tutela judicial efectiva. El derecho fundamental a la protección de datos cede en presencia de «motivos razonados y fundados que justifiquen la necesidad del tratamiento de los datos», siendo estos en el caso que nos ocupa la previsión del artículo 11.2.d LOPD relativa a la cesión de datos personales a jueces y tribunales, y la aportación de pruebas en los términos del artículo 299 de la LEC. Y así, se concluye:
«Por lo tanto, en cuanto a lo aportado en un juicio, dicho cuerpo legal admite la aportación como medio de prueba de los medios de reproducción de la palabra, el sonido y la imagen, lo cual implica la posibilidad de tratamiento de datos dentro de dichas propuestas de prueba, debiendo ser el correspondiente órgano jurisdiccional quien se manifestara sobre la legitimidad de lo presentado. Además, hemos de tener en cuenta que, la Audiencia Nacional en sentencia de 22 de octubre de 2010 (rec.409/2009) nos dice, en cuanto a la obtención de medios probatorios y su validez en el procedimiento, pese a no ser solicitadas ni obtenidas por vía judicial, lo siguiente:
“De un lado ha de tenerse en cuenta que una de las causas que excluye la necesidad de consentimiento para la cesión de datos personales es que la comunicación que deba efectuarse tenga por destinatarios a los Jueces o Tribunales (Art. 11.2.d ) LOPD).
Excepción en la que no es descabellado incluir aquellos supuestos en que se trata de pruebas que, si bien inicialmente no han sido solicitadas por el Juez o Tribunal, sino aportadas por las partes, con posterioridad no consta que las mismas hayan sido rechazadas, sino incorporada por el Juez a las actuaciones, tal y como, parecer ser, y así se desprende del acta de juicio, ocurrió en el presente supuesto”».
A pesar de la cita jurisprudencial, lo que no resulta tan pacífico es la fundamentación de la cesión en el artículo 11.2.f. de la LOPD. Y, a mi juicio es en la expresión “Cuando la comunicación que deba efectuarse” en la que radica el problema. “Deber” es un término con un significado muy preciso en lengua castellana e implica en su primera acepción del diccionario de la RAE «estar obligado a algo por la ley divina, natural o positiva». Interpretada según el sentido propio de las palabras la norma piensa más en un requerimiento judicial como fundamento de esta cesión. Ello enmarcaría el 11.2.d, en el apartado 7.c de la Directiva, -tratamiento necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable-, o bien en el 7.e, esto es «necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos». La aportación voluntaria en un proceso civil en tanto derecho constituiría un supuesto en todo caso de interés legítimo del justiciable.
Lo cierto es que en la sentencia citada de la Audiencia Nacional se desmarca respecto de lo que consideró en su día sobre las cesiones a jueces y tribunales. Estas debían ser a requerimiento expreso de los órganos jurisdiccionales y en ningún caso de modo directo a aquél demandante que quería utilizar esos datos (SAN 6880/2000, de 10 de noviembre de 2000, de la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, confirmada por STS núm. 2210/2005, de 12 de abril de 2005, de la Sección Sexta de la Sala Tercera de lo Contencioso-Administrativo del Tribunal Supremo). La argumentación de la Audiencia resulta sin duda relevante:
«la entidad recurrente, sostiene que es de aplicación la excepción contenida en el art 11.2.d) de la LO 5/1992, y ello porque el destinatario era un Juez, como lo demuestra el hecho de que los certificados fuesen aportados a un Juzgado de Primera Instancia. Por el contrario la Agencia de Protección de Datos, entiende que sin perjuicio de que los certificados obrasen en el Juzgado, lo cierto es que la persona a quien se entregaron las certificaciones fue un particular, sin perjuicio del posterior uso que hiciese de las mismas. La Sala entiende que la interpretación de la Agencia de Protección de Datos es la adecuada por las siguientes razones:
1.- En primer lugar, porque entendemos que es la más acorde con la finalidad de la Ley y la única que garantiza la privacidad de los afectados. Y ello porque, en caso contrario bastaría alegar por cualquier persona que el destinatario último de la certificación es cualquiera de los sujetos indicados en el art 11.2.d) para obtener el dato. Interpretación que resulta absurda, y conforme a nuestra tradición jurídica, más clásica, «no es lícito al juzgador ni a nadie entender las leyes de modo que conduzcan a la contradicción y al absurdo» – STS de 12 de julio de 1873 y 20 de enero de 1908-.
2.- Porque tal es la interpretación que se infiere de la literalidad de la norma, y que además coincide con su sentido o fin. En efecto, la norma habla de que el «destinatario» sea el Juez o Tribunal «en el ejercicio de las funciones que tienen atribuidas». Solo es, por lo tanto, posible la cesión cuando el dato vaya dirigido o destinado al Juez o Tribunal, y este lo exija o solicite en el ejercicio de sus funciones. Funciones que solo pueden tener su origen en la oportuna habilitación legal.
De este, modo la conclusión de la Agencia de Protección de Datos de que el Ayuntamiento ha infringido el art 11.1 de la LO 5/1992, y por lo tanto ha incurrido en el tipo del art 43.4.b) conforme al cual son infracciones muy graves «la comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas», es correcta y no puede ser sino confirmada».
Yendo un poco más allá de la Audiencia Nacional, el Tribunal Constitucional en la STC 96/2012 analiza precisamente un supuesto de cesión a requerimiento de un juez y obliga a éste a un juicio previo de proporcionalidad y a una interpretación favorable en su caso al derecho fundamental:
«el Juez, en todo caso y con independencia de la naturaleza de la medida solicitada, habrá de someter su decisión a una suerte de ponderación en la que deberá motivar la adecuación de la medida a la finalidad, justa causa e interés legítimo concurrentes. Justificación de la medida, y posterior sometimiento a un juicio de ponderación que, en el caso que nos ocupa, se torna aún más exigente toda vez que limita el contenido del derecho fundamental protegido por el art. 18.4 CE (…)».
En conclusión, no es admisible fundamentar la legitimidad de un tratamiento en su aportación voluntaria a un proceso sino en la existencia de una acción positiva, de un ejercicio de potestad jurisdiccional. Y probablemente, este sea uno de los argumentos sólidos de la resolución, que sin embargo no resuelve el problema original. ¿Se vulneró la LOPD? ¿Es posible que en el marco de un recurso otro Tribunal aplique el criterio del Tribunal Supremo en el caso de la cajera o del Tribunal Constitucional en el caso de la universidad?
Dicho esto, que la argumentación resulte admisible, no significa que no esté exenta de objeciones. La primera de ellas, desborda ampliamente las competencias de la agencia, aunque no por ello no deba dejar de ser contemplada en este trabajo. Como es bien sabido, el Tribunal Constitucional en su STC 292/2000 enumera entre las facultades que integran el contenido esencial del derecho fundamental a la protección de datos “el derecho a la información en la recogida”. Es por ello que declara la inconstitucionalidad de su exclusión cuando en el caso del ejercicio de las funciones de verificación y control por las administraciones públicas. Por ello, en el plano teórico no parece razonable integrar en el derecho a la tutela judicial efectiva una prueba potencialmente obtenida con vulneración de derechos fundamentales. El regulador, disciplinadamente acata de algún modo la decisión judicial y le atribuye un valor de presunción casi iuris et de iure.
A la vista de las sentencias del Tribunal Supremo y del Tribunal Constitucional la posición que mantiene la Agencia Española de Protección de Datos en la resolución aquí comentada vendría a decir que la garantía del derecho a la tutela judicial efectiva del presunto infractor de la LOPD le legitima para utilizar como prueba una imagen captada para una finalidad distinta. Dicho de otro modo, la finalidad de justicia perseguida dota de validez a una prueba obtenida de un derecho fundamental de modo que un juicio moral, -el disvalor de la conducta de la vigilante que dedicada a su teléfono móvil descuida sus obligaciones-, se impone respecto de un juicio estrictamente jurídico, de honda raigambre constitucional cuál es el de la doctrina sobre los frutos del árbol envenenado.
En conclusión, el planteamiento del expediente E/03357/2014, se enfrenta a serios problemas de sustentación jurídica. Pero, ¿existía otro camino? La respuesta es afirmativa, y se encuentra en un precedente de la propia Agencia.
Ir a cinco de cinco.
Artículos relacionados
Videovigilancia, encargado del tratamiento y justicia material. ¿Cambio de rumbo? http://t.co/61K7aMr7ET vía @ricardmm