1. Es objeto de
anotación en esta entrada del blog la sentencia dictada por la Sala Contencioso-Administrativa
del tribunal Supremo el 7 de octubre, de la que fue ponente el magistrado
Eduardo Calvo.
La resolución
judicial desestima el recurso de casación interpuesto por la parte condenada en
instancia, Ayuntamiento de Algemesí, contra la sentencia dictada por la sección 1ª de la Sala C-A
de la Audiencia Nacional el 10 de junio de 2022, de la que fue ponente la
magistrada María Luz Lourdes Sanz.
La Sala había
desestimado el recurso c-a interpuesto frente a la Resolución de la Directora de la Agencia Española
de Protección de Datos de fecha 27 de noviembre de 2020 (PS/00062/2019), en la
que se declaró que el Ayuntamiento citado había infringido “-el artículo 6.1 de
la LOPD, tipificada como grave en el artículo 44.3.b) de la LOPD, y -el
artículo 9 de la LOPD, en relación con los artículos del RLOPOD: 92, 97.1 y .2
y 101, tipificada como grave en el artículo 44.3,.h) de la LOPD”.
Dado que el debate
se polarizará alrededor del art. 6.1, conviene recordar su contenido: versa
sobre el tratamiento basado en el consentimiento del afectado, y dispone que “...
De conformidad con lo dispuesto en el
artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del
afectado toda manifestación de voluntad libre, específica, informada e
inequívoca por la que este acepta, ya sea mediante una declaración o una clara
acción afirmativa, el tratamiento de datos personales que le conciernen
La importancia de
la sentencia del TS es innegable, pues tal como se expone el auto por el que se
admitió a trámite el recurso contra la sentencia de la AN y al que me referiré
más adelante, es la primera ocasión en que el alto tribunal se pronuncia sobre
la aplicación de la denominada doctrina Barbulescu cuando se trata del registro
del ordenador de un empleado público, a y fin y efecto de determinar si son de
aplicación las mismas reglas en orden a garantizar la protección del derecho de
la persona trabajadora a la intimidad, y sin que ello sea incompatible con el
poder de dirección, organización y sancionador de la parte empleadora.
No se trata ahora
de explicar ampliamente la doctrina Barbulescu, ya que lo he realizado en
anteriores entradas del blog y a ello me permito remitir a todas las personas interesadas.
Solo reproduzco algunos fragmentos de la entrada “De Barbulescu I a Barbulescu
II. La Gran Sala del TEDH refuerza la protección del trabajador frente al
control y vigilancia de las comunicaciones electrónicas en el ámbito laboral
por parte empresarial. Notas a la importante sentencia de 5 de septiembre de
2017, y amplio recordatorio de la sentencia de la Sala Cuarta de 12 de enero de
2016” para mejor situar el análisis posterior del caso conocido por la Sala C-A del
TS
“... Desde el
plano teórico doctrinal, con indudable importancia práctica en cuanto que los
principios o reglas generales enunciadas son aplicadas después a la resolución
del caso concreto, es de mucho interés la aportación efectuada por la sentencia
sobre cuáles deben ser tales principios o reglas a respetar en el ámbito de la
relación de trabajo a fin y efecto de garantizar la protección y respeto de la
vida privada y de la correspondencia. El tribunal parte de la especificidad del
Derecho del Trabajo, con un régimen jurídico propio consecuencia de la relación
de subordinación existente entre los sujetos contratantes, que lo diferencia
del régimen general de las relaciones aplicables entre individuos, por lo que
cobra sentido, tanto en el marco normativo legal como convencional, que los
Estados, y los agentes sociales, dispongan de un amplio margen de apreciación
para fijar las “reglas del juego”, es decir la regulación de un marco de
actuación en el que deberá desenvolverse la vida laboral del trabajador en el ámbito
de la empresa con respeto a las reglas sobre utilización de comunicaciones
electrónicas. Regulación legal o pactada, y amplio margen de apreciación, que
en cualquier caso no puede ser ilimitada, debiendo adoptarse las medidas
adecuadas para proteger a los trabajadores contra actuaciones abusivas,
regulando “garantías adecuadas y suficientes”, que son la “hoja de ruta” que
todo tribunal de los Estados miembros deberá seguir para comprobar que no se ha
vulnerado el derecho a la vida privada, incluida la privacidad de la
correspondencia, del trabajador en el ámbito de su relación de trabajo.
¿Se ha informado
al empleado de la posibilidad de que el empleador tome medidas para controlar
su correspondencia y otras comunicaciones, así como de la aplicación de esas
medidas? Regla general de indudable relevancia: para respetar el art. 8 del
CEDH, la información “debe en principio ser clara en cuanto a la naturaleza d
ela vigilancia y anterior a su puesta en práctica”.
¿Cuál fue el
alcance de la vigilancia llevada a cabo por el empleador y el grado de
intromisión en la vida privada del trabajador? No es lo mismo que el control se
haga del número de las comunicaciones o también de sus contenidos, y que se
hayan controlado todos o sólo una parte de ellos, así como durante cuánto
tiempo se ha llevado a cabo la vigilancia y cuántas personas han podido acceder
al contenido de tales informaciones.
¿Han existido
motivos legítimos, debidamente acreditados por el empleador, para justificar la
vigilancia y el acceso a los contenidos de las comunicaciones? Nueva afirmación
protectora del TEDH: en cuanto que tal vigilancia es un método “netamente más
invasivo” que otros que pudieran utilizarse para alcanzar el objetivo
perseguido, “requiere justificaciones más fundamentadas”. Y en estrecha
relación con lo anterior, cabe plantearse si hubieran podido utilizarse otros
métodos menos invasivos, en particular si el objetivo hubiera podido ser
alcanzado sin necesidad de acceder al contenido de las comunicaciones
electrónicas.
¿Qué consecuencias
ha tenido para el trabajador la vigilancia llevada a cabo por el empleador? es
decir, cómo ha sido utilizada por este la información obtenida y si ha sido
útil para alcanzar el objetivo perseguido.
¿Cuáles son las
garantías de que ha dispuesto el trabajador en casos, como el ahora enjuiciado,
en que la vigilancia tiene un carácter claro y evidente de intromisión?
Nuevamente la doctrina general de la Gran Sala es muy clara al respecto, al
objeto de proteger la privacidad del trabajador: las garantías deben ser de tal
extensión y alcance que impidan que el empleador pueda tener acceso al
contenido de las comunicaciones cuya litigiosidad está en juego antes de que el
trabajador haya sido advertido con anterioridad de tal posibilidad. Y en
estrecha relación con el punto anterior, deberá garantizarse que el trabajador
“vigilado” pueda accionar en sede judicial para que este se pronuncie sobre el
respeto de los principios generales aquí enunciados y sobre la licitud de las
medidas adoptadas por el empleador y que han sido impugnadas”.
El resumen oficial
de la sentencia del TS permite tener un buen conocimiento del conflicto
suscitado, y es el siguiente: “Agencia Española de Protección de Datos. Tratamiento
de datos personales sin consentimiento del interesado. La sentencia aborda la
cuestión de si se vulnera la normativa de protección de datos por el hecho de
que el sujeto infractor sea una Administración Pública o, por el contrario, se
puede considerar fundado el tratamiento de datos personales en cumplimiento de
obligación legal, interés público o ejercicio de poderes públicos; y si resulta
razonable la proyección de la doctrina contenida en la STEDH Barbulescu 2, de 5
de septiembre de 2017, al ámbito del empleo público y las garantías del
procedimiento sancionador en el régimen disciplinario de los empleados públicos”
2. En la
Resolución de la AEPD disponemos de una completa información sobre la actuación
de la Administración demandada. A los efectos que ahora interesa para mi
exposición, reproduzco un fragmento del escrito de la Corporación Local a la
reclamante ante la citada Agencia:
“... Resulta
evidente que a la vista de la existencia de documentación conteniendo datos de
carácter personal susceptibles de protección, recorriendo las dependencias del
Ayuntamiento sin control alguno, e identificándose el uso de los mismos por
Usted y por la documentación presentada aparentemente falseada, no quedaba otro
remedio que comprobar el uso adecuado y legítimo de dichos datos, y otros que
usted posiblemente estaba tratando, así como las posibles brechas de seguridad
y, de existir, si las mismas afectaban directamente (datos en poder del propio
Ayuntamiento) o indirectamente (por aplicación de la responsabilidad derivada
por los actos del personal a cargo del
Ayuntamiento) al
Ayuntamiento de Algemesí.
Para dichos fines
y siempre dentro del respeto a la intimidad y a los derechos que a Usted le
asisten, el Ayuntamiento se vio en la necesidad de recabar datos suficientes
para la defensa de los interesados, valoración del impacto que pudiera haberse
producido y para la adecuada instrucción del expediente sancionador.”
En el punto sexto
le informa que “El Ayuntamiento no ha tenido acceso ni ha utilizado publicado
los datos de carácter personal relativos a usted salvo los necesarios a fin de
cumplir con las obligaciones de carácter laboral que le unen al mismo y cuya
legitimación resulta implícita a la propia relación existente entre ambos.”
Indica también en
este punto séptimo que “en la adopción del acuerdo de solicitar la Incoación
del expediente disciplinario adoptado por el pleno del 22 de marzo del 2018,
dado el carácter público de esa sesión, se omitió citar nombres de funcionarios
relatando solo hechos para objetivar las medidas a adoptar y para preservar la
privacidad del funcionario”.
En el punto octavo
del comunicado le indica que “En el CD donde se recopiló información, solo
constan datos profesionales, algunos procedentes de trabajos al servicio del Ayuntamiento
y otros de sus trabajos personales, no datos de carácter personal suyos o de sus
familiares.”
Para la AEPD, y su
tesis será refrendada primero por la AN y después por el TS, “Sobre la no
aplicación de la doctrina señalada al ámbito de la Administración pública, cualquier
responsable del tratamiento ha de adoptar medidas en desarrollo de la normativa
vigente, ahora el RGPD, antes de esta la LOPD. Estas medidas proactivas suponen
una actitud diligente y previsora de los tratamientos que se llevan a cabo, la
valoración en cada actuación del cumplimiento de los principios básicos en
protección de Datos. La normativa básica aplicable a todas las entidades, tanto
públicas como privadas parte del RGPD, antes la LOPD. Solo el ámbito público
puede verse afectado en cuanto a que se introducen algunas especialidades
propias en la base jurídica del tratamiento. Los principios generales del
derecho de protección de datos son aplicables en ambos supuestos, aunque en
algunos supuestos la normativa púbica pueda influir en el tratamiento llevado a
cabo. Dado que hasta la entrada en vigor del RGPD no existe una norma
específica que se refiera al control de los medios puestos a disposición de los
empleados, es razonable la extensión de los principios de la sentencia
Barbulescu al ámbito que se examina, pues se trata de un principio general
aplicable al tratamiento de datos, el de estar informado de los datos propios que
se van a tratar, de su uso y su finalidad y alcance, y de que se puede
ejercitar frente a esa recogida y uso de datos los derechos que establece la
normativa” (la negrita es mía) .
También es
relevante destacar de la Resolución, como datos fácticos que han quedado
acreditados en la tramitación del expediente, que
“En el presente
supuesto, no se indica que la reclamante experimentase una reducción sostenida
o permanente de su rendimiento o que existían sospechas fundadas, o de alguna
otra forma se diera a entender que podría estar dedicando parte de la jornada a
sus asuntos particulares, siendo el motivo los documentos almacenados en el
escáner.
... En el presente
supuesto en la empresa no existía protocolo ni instrucciones sobre los límites
y condiciones de utilización de los ordenadores, ni del escáner, ni tampoco
sobre los procedimientos de control de su contenido, ni a nivel profesional
laboral, ni a nivel de datos que guardan conexión. En este caso, en cuanto al
control del ordenador usado por la reclamante y el sistema de copia escaneada
de documentos disponible para los empleados no se dan esos elementos
específicos, al no haber sido informada, y se accede de una forma especialmente
invasiva escogiendo documentación sin discriminar su contenido, un volcado de
carpetas y archivos, razones por las que cabe considerar que las circunstancias
en que se llevó a cabo vulneran la normativa de protección de datos.
... No se conoce
si estas supuestas labores realizadas por la reclamante para o en las empresas
que aparecen en los documentos hallados, se realizaban dentro o fuera del puesto
de trabajo, y cabe indicar que la suposición o sospecha podría ser de la mera
guarda de los documentos en el ordenador, no cabiendo interpretar que, por el
mero hecho de ser hallados en el escáner, luego en el ordenador, conduzcan por
sí mismas, a deducir que las supuestas actividades tenían lugar en el horario y
desempeño del puesto de trabajo, utilizando dichos medios o era un simple
guardado de documentación. La carga de la prueba corresponde a quien afirma, y
en tal sentido la mera copia de los documentos al DVD para acreditar los hechos
es un mero inicio, quedando claro que se pueden y se podían haber establecido
medios para verificar que en el puesto de trabajo solo se desarrollen funciones
y labores del mismo, no particulares, por lo que la medida de acceso al
ordenador es discutible.
Concluye la AEPD,
tras un exhaustivo repaso de la jurisprudencia internacional y estatal
aplicable al caso, que
“...La cuestión es
que para controlar ese aspecto, el alcance intrusivo sobre la intimidad de la empleada
ha superado la razonabilidad de la intromisión, ya que, contando el reclamado con
los medios suficientes para realizar la investigación ajustada a los objetivos,
podría haber usado una técnica menos agresiva. Así, se han visto alcanzados
archivos, documentos personales privados que nada tienen que ver con los,
asuntos de salud, de cursos y titulaciones, que se han recogido globalmente sin
descarte alguno, con afectación de su intimidad de forma no necesaria. Los
medios para acreditar la realización de trabajos no relacionados con la
actividad encomendada no pasan en principio directamente por la intervención
del ordenador, conocer si la reclamante es administradora de una sociedad puede
consultarse en el Registro Mercantil, existiendo otros medios menos intrusivos
para evaluar si se desempeñan trabajos particulares. Los métodos técnicos para aplicar
el control de la prestación deberán ser acordes a las comprobaciones que se
quieren realizar, y en este caso se ha usado un medio desproporcionado,
exhaustivo e intrusivo globalizado sin relación con lo que se buscaba”.
3. Contra la
Resolución de la AEPD se interpuso, como ya he indicado recurso ante la Sala
C-A de la AN. Dada la complejidad del asunto, centraré solo mi atención en el
debate sobre la aplicación o no de la doctrina Barbulescu al presente litigio,
remitiendo a todas las personas interesadas a la lectura íntegra de ambas
sentencias.
La tesis de la
Corporación Local (ver fundamento de derecho tercero) se centra fundamentalmente
en estos dos aspectos:
“...Respecto a la
infracción del artículo 6.1 de la LOPD... aduce el Ayuntamiento que no se puede
compartir la interpretación de la AEPD sustentada en la aplicación de la
Sentencia Barbulescu, porque dicha doctrina se refiere a un conflicto
laboral en el seno de una empresa privada y aquí nos encontramos ante una
Administración Pública, y con hechos totalmente diferentes a los presentes, ya
que no se reúnen los requisitos para entender vulnerada la esfera de intimidad
que alega la reclamante. Cuestión que, según dicha parte, ya ha sido
refrendada por la Audiencia Provincial de Valencia, Sec. 3ª, mediante Auto de
23 de diciembre de 2019.
Añade que, por la
propia naturaleza de los bienes, tanto ordenador como escáneres o impresoras
del Ayuntamiento, sobre los que se pretende situar la expectativa de
privacidad, sometidos al régimen del artículo132 de la Constitución, y sobre
esta clase de bienes no existe ni puede existir esa potestad de tolerancia
conciertos usos personales. El Ayuntamiento tiene la obligación de proteger el
patrimonio público y velar paraque se destine a la finalidad pública fijada por
el legislador, sin que pueda elegir el grado de mayor o menor severidad en la
observancia de dicho requisito, estableciéndose dicha limitación en una norma
con rango de ley, el artículo 54.5 de la Ley del Estatuto Básico del Empleado
Público (EBEP)” (la negrita es mía).
En la oposición al
recurso, la Abogacía del Estado sostuvo, y su tesis será acogida prácticamente
en su integridad tanto por la AN como posteriormente por el TS, por lo que la
reproduzco en su integridad que
“aun cuando en
el presente caso el sujeto infractor sea una Administración pública, resulta de
aplicación la doctrina contenida en la sentencia "Barbulescu" que
interpreta el artículo 8 de la Carta Europea de Derechos Humanos, por cuanto el
derecho fundamental del artículo 18 CE y el artículo 8 de la Carta Europea no
desaparece por encontrarnos en el ámbito estatutario.
Señala que el
Ayuntamiento yerra al calificar la naturaleza del bien, pues los ordenadores e
impresoras son bienes patrimoniales, que habrán de inscribirse en el inventario
de Bienes de las Corporaciones Locales, según el artículo 27 del Real Decreto
1372/1986, de 13 de junio, y esa naturaleza patrimonial del bien no excluye que
opere la expectativa de privacidad".
Añade que el
artículo 54.5 del EBEP no tiene el alcance que pretende el recurrente,
encontrándonos en el contexto indicado en la sentencia Barbulescu y en este
caso no se indicó por el Ayuntamiento en ningún momento que fuera a aplicarse
ningún control sobre el ordenador, escáner y archivos almacenados en ellos, no
existía protocolo ni instrucciones al respecto ni sobre los límites y
condiciones de utilización.
Considera que, por
ende, es clara la infracción del artículo 6 LOPD. La finalidad del control
laboral en la modalidad de control de equipos informáticos sin establecer las
reglas previas supone que este concreto tratamiento llevado a cabo carecía de
la información preceptiva del uso o la finalidad del tratamiento especificado.
Si bien, de
acuerdo con el artículo 6.2 de la LOPD no se requiere del consentimiento de los
empleados para instaurar dicha medida, no existía información previa ni
expectativas del uso de los datos para dichos fines. Y no existió
proporcionalidad, ni necesidad de la medida adoptada, con vulneración de los
derechos fundamentales de la denunciante.
No nos encontramos
ante ninguno de los supuestos habilitantes previstos en los incisos c) y e) del
RGPD, invocados por la actora, bastando una lectura del artículo 8 de la Ley
Orgánica 3/2018, sin necesidad de mayores esfuerzos argumentales” (la negrita
es mía).
4. Rechaza la Sala
los argumentos de la parte recurrente y acoge casi completamente los de la Abogacía
del Estado:
“... esa relación
de sujeción especial que implica una situación de dependencia mayor que la que
se produce en las relaciones de sujeción general, efectivamente, tiene
manifestaciones propias, como puede serla modulación del principio non bis in
ídem, pero no llega a la exclusión de un derecho fundamental que no encuentra
fundamento legal por la naturaleza jurídica pública del Ayuntamiento actuante,
pues los principios generales del derecho de protección de datos son aplicables
tanto a entidades públicas como privadas aunque en algunos supuestos la
normativa pública pueda influir en el tratamiento llevado a cabo.
Las
particularidades de ser una Administración Pública, que las hay, son
fundamentalmente, en lo que aquí se refiere, las contenidas en el artículo 46
LOPD, que suponen la no imposición de sanción al Ayuntamiento por las
vulneraciones de los artículos 6.1 y 9.1 de la LOPD, pero el hecho de que el
sujeto infractor sea una Administración Pública no lleva, en lo que aquí atañe,
a la desaparición del derecho fundamental del artículo18 CE o del artículo 8 de
la Carta Europea de Derechos Humanos. Al respecto y aunque no resulte
aplicable por razones temporales, resulta ilustrativo el artículo 87 del RGPD
transcrito por la resolución impugnada, por lo que parece razonable la
proyección de la doctrina contenida en la STEDH Barbulescu 2, de 5 de
septiembre de 2017, al ámbito del empleo público.
En este sentido,
el Real Decreto Legislativo 5/2015, por el que se aprueba el Estatuto Básico
del Empleado Público ( EBEP), establece dentro del Capítulo I del Título III
"derechos de los empleados públicos" en el artículo14, que los
empleados públicos tienen los siguientes derechos de naturaleza individual en
correspondencia con la naturaleza jurídica de su relación de servicio: " j
bis) A la intimidad en el uso de dispositivos digitales puestos a su
disposición y frente al uso de dispositivos de videovigilancia y
geolocalización (...) en los términos establecidos en la legislación vigente en
materia de protección de datos personales y garantía de los derechos digitales".
Apartado añadido por la Disposición final 14 de la Ley Orgánica 3/2018, de 5 de
diciembre y si bien no resulta aquí aplicable por razones temporales, se estima
de interés citar al venir a reforzar el criterio sostenido.
El hecho de que el
artículo 54 del EBEP sobre "Principios de conducta", establezca en el
apartado 5, citado por la actora, que " Administraran los recursos y
bienes públicos con austeridad, y no utilizaran los mismos en provecho propio o
de personas allegadas. Tendrán así mismo el deber de velar por su
conservación", no tiene el alcance que pretende otorgarle la actora, por
cuanto, además de lo ya expuesto, debe tenerse en cuenta que el artículo 20.2
del mismo EBEP dispone que " Los sistemas evaluación del desempeño (...)
se aplicarán sin menoscabo de los derechos de los empleados públicos" y el
artículo 14.h) contempla entre dichos derechos, a la fecha de los hechos, el
derecho al respeto de su intimidad y dignidad en el trabajo.
Por ello, y en
orden a establecer una ponderación o justo equilibrio de los intereses en
juego, resultan esenciales, en este caso en que no resulta aplicable ratione
temporis el artículo 87 del RGPD, las pautas o criterios establecidos en la
STEDH Barlubescu 2, de la Gran Sala, que anula la STEDH de 12 de enero de
2016(Barlubescu 1)” (la
negrita es mía)
Y ello lleva a la
Sala a concluir que “...
se considera acreditada la infracción por vulneración del principio del
consentimiento del artículo 6LOPD, sin que nos hallemos ante ninguno de los
supuestos habilitantes previstos en los incisos c) y e) del RGPD,invocados por
la actora, pues no concurren ninguno de los presupuestos establecidos en el
artículo 8 de la LOPDGD para entender que se pueda considerar fundado el
tratamiento de datos personales en cumplimiento de obligación legal, interés
público o ejercicio de poderes públicos”
5. El recurso de
casación del Ayuntamiento condenado en instancia fue admitido, por apreciarse
por el TS contenido casacional, por auto de 19 de enero de 2023, del que fue ponente el
magistrado José Manuel Bandrés. En dicho auto se expone que
“la cuestión
suscitada en el recurso de casación no carece a priori de interés casacional
para la formación de jurisprudencia; esto es , sensu contrario, no se aprecia
una carencia manifiesta de interés casacional en el recurso pues, ciertamente,
no existen pronunciamientos de esta Sala Tercera sobre si se vulnera la
normativa de protección de datos por el hecho de que el sujeto infractor sea
una Administración Pública, y si resulta razonable la proyección de la doctrina
contenida en la STEDH Barbulescu 2, de 5 de septiembre de 2017, al ámbito del
empleo público y las garantías del procedimiento sancionador en el régimen disciplinario
de los empleados públicos”, por lo que se admite a trámite y se declara que
“... que la
cuestión planteada en el recurso que presenta interés casacional objetivo para
la formación de la jurisprudencia consiste en determinar si, en aplicación del
artículo 6.1 de la Ley Orgánica de Protección de Datos 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal -actual artículo 6 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales se vulnera la normativa de protección de
datos por el hecho de que el sujeto infractor sea una Administración Pública o,
por el contrario, se puede considerar fundado el tratamiento de datos
personales en cumplimiento de obligación legal, interés público o ejercicio de
poderes públicos, y si resulta razonable la proyección de la doctrina contenida
en la STEDH Barbulescu 2, de 5 de septiembre de 2017, al ámbito del empleo
público y las garantías del procedimiento sancionador en el régimen
disciplinario de los empleados públicos.
En el auto, se identifican
como normas jurídicas que, “en principio, serán objeto de interpretación: el
artículo 6.1 de la Ley Orgánica de Protección de Datos 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal, actual artículo 6 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales, así como el artículo 8 de la Ley Orgánica
3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales. Así como el artículo 18 de la Constitución Española”, sin
perjuicio de que la sentencia “... haya de extenderse a otras cuestiones o
normas si así lo exigiere el debate finalmente trabado en el recurso”.
Tras transcribir
el relato de hechos probados recogidos en la sentencia de instancia, que a su
vez los había incorporado de los publicados en la Resolución de la AEPD, y de
reproducir muy ampliamente toda la fundamentación jurídica de la sentencia de
la AN, y tras mencionar la admisión a trámite del recurso y la cuestión a la
que debe dar repuesta por tener indudable interés y contenido casacional, y el
contenido del recurso de Ayuntamiento, la Sala aporta su fundamentación que le llevará a desestimar el recurso, que
será sustancialmente semejante a la recogida en la exposición de la Abogacía
del Estado.
6. Antes de entrar
en el examen de tal fundamentación, reproduzco algunos contenidos del recurso
que complementa las tesis del Ayuntamiento anteriormente expuestas sobre la no
aplicación de la doctrina Barbulescu al presente litigio:
“... Tampoco se
comparte la interpretación de la Audiencia Nacional y la AEPD, basada en la
asimilación de administración pública y empresa privada. La doctrina Barbulescu
se refiere a un conflicto laboral en el seno de una empresa privada y no
resulta de aplicación a la presente litis al encontrarnos en otro supuesto de
hecho, yante otro tipo de relación (de índole pública), y que además no se
reúne los requisitos para entender vulnerada la esfera de intimidad que alega
la reclamante...
No discute este
Ayuntamiento, la capacidad del empresario de gestionar como propietario de sus
medios de producción, en consonancia con el artículo 33 y 38 de la
Constitución. Sin embargo, el Ayuntamiento, en tanto que Administración
Pública, no tiene esa posibilidad del empresario de "(...)
autoorganización, dirección y control fijar las condiciones de uso de los
medios informáticos asignados a cada trabajador (...)". No obstante, el
Ayuntamiento tiene la obligación de proteger el patrimonio público y velar para
que su uso se destine a la finalidad pública fijada por el legislador, para el
cual está destinado, y a ninguna otra, no pudiendo elegir el grado de mayor o
menor severidad en la observancia de dicho requisito, puesto que de lo
contrario, no solo iría en contra de las anteriores disposiciones legales
anteriormente citadas, la propia naturaleza que fundamenta los bienes públicos...
De admitir que
existe una tolerancia en el uso para finalidades particulares de medios de la
Administración, se dejaría sin efecto, no solo los principios del artículo 103
y 132 de la Constitución, sino también toda la normativa reguladora del uso de
dichos bienes por la administración que ha sido oportunamente citada en estas
alegaciones. E intentar modular dichas obligaciones, a través de protocolos,
documentos de seguridad o códigos de conducta internos, por parte de entidades
locales, sin capacidad legislativa, implicaría que se están vulnerando los
principios más básicos de jerarquía normativa, ya que, en la práctica, un
protocolo interno de un Ayuntamiento, que admitiera que se permite el uso del
ordenador de trabajo, aunque fuera para muy puntuales y tasadas tareas de tipo
personal, sería contrario al propio EBEP y a la normativa disciplinaria, normas
con rango de ley y con un rango evidentemente superior a protocolos o
documentos internos de un Ayuntamiento. Por tanto, la afirmación de la
sentencia de que "no existía información previa ni expectativas del uso de
los datos para dichos fines..." pierde su sentido cuando nos encontramos
ante una Tesorera municipal, funcionaria de carrera, que sabe perfectamente que
el uso de los equipos tecnológicos en horario de su jornada laboral parar sus
fines propios no está permitido...
Este Ayuntamiento
no puede admitir que, desde un enfoque meramente formalista, que además
confunde empresa con administración pública, se vincule la expectativa de
privacidad, en el presente caso, a la faltade un documento interno. Máxime
cuando en sentencias del TC y del TS se han admitido instrumentos tales como
convenios colectivos o documentos de seguridad internos y, por tanto, no se
establece una exigencia concreta de forma sobre el documento que debe
contribuir a la enervación de la expectativa de privacidad. Es más, aplicando
precisamente dicha jurisprudencia, cabe limitar o anular la expectativa de
privacidad por otras vías tales como la vía convencional (convenio colectivo),
por lo que a fortiori, dicha limitación puede provenir y proviene de normas con
rango de ley, que deben considerarse una modulación necesaria en la traslación
dela jurisprudencia constitucional de los derechos fundamentales del ámbito
privado, al ámbito de la relación entre funcionario y Administración pública,
precisamente por los principios y normas que rigen el Derecho Administrativo...
En su oposición al
recurso, la Abogacía del Estado sostuvo que
“- La parte
recurrente discrepa de la interpretación la AEPD y la Audiencia Nacional porque
se fundamenta en la asimilación entre Administración pública y empresa privada,
alegando que la sentencia Barbulescu se refiere a un conflicto laboral en el
seno de una empresa privada. Sin embargo, no cabe esa interpretación restrictiva
propuesta por la recurrente porque la sentencia Barbulescu examina la cuestión
desde la perspectiva del derecho fundamental a la protección de datos
personales y ese derecho fundamental también corresponde a los funcionarios,
aunque pueda presentar matices propios.
A esos efectos, el
Estatuto Básico del Empleado Público (EBEP) ya reconocía a los mismos, en su
redacción inicial, el derecho al respeto a su intimidad, a la propia imagen y a
la dignidad en el trabajo (artículo 14.h) EBEP), precisando ahora el apartado
j) del artículo 14 EBEP, redactado por la Ley Orgánica 3/2018, que ese derecho
a la intimidad se proyecta también sobre el uso de los medios digitales puestos
a su disposición. A lo que cabe añadir que la ya citada STS, Sala 3ª, de 26 de
abril de 2021 (casación 4645/2019), aplica a los funcionarios los parámetros
establecidos en sentencias referidas a la relación laboral en empresas
privadas. Por lo demás, esa equiparación es reconocida expresamente por el
artículo 87.1 de la Ley Orgánica 3/2018("1. Los trabajadores y los
empleados públicos tendrán derecho a la protección de su intimidad en el uso de
los dispositivos digitales puestos a su disposición por su empleador"); y
si bien es cierto que los hechos que aquí se enjuician acaecieron a principios
de 2018, antes de la entrada en vigor del artículo 87.1 de la Ley
Orgánica3/2018, ello no impide admitir que el precepto tiene un elevado valor
interpretativo, pues expresa la voluntad del legislador en cuanto al alcance
que debe darse a la protección de un derecho fundamental.
... aunque la
relación estatutaria sitúa al funcionario en una posición de sujeción especial,
definida por el ordenamiento jurídico, ello no constituye un obstáculo para que
se otorgue, o se admita de hecho, un margen de tolerancia en la utilización de
los medios informáticos, ni impide que se dicten instrucciones dirigidas a los
empleados públicos en las que se concrete en qué consiste el uso adecuado de
los medios informáticos, así como el alcance del control que puede efectuarse
sobre ellos (una previsión en ese sentido se incorpora a los apartados 2 y
siguientes del artículo 87 LO 3/2018).
- El enfoque
adoptado por la AEPD y por la Sala de la Audiencia Nacional no puede tacharse
de formalista, pues atiende y examina, a la luz del principio de
proporcionalidad, las circunstancias "materiales" que concurren en el
caso. No se está exigiendo, ni imponiendo, un contenido concreto al documento
que plasma la política de uso de los medios informáticos de la Corporación,
incluso hablamos de documento por llamarlo de alguna forma, pues podría
limitarse, por ejemplo, a un mensaje descriptivo que se genera cuando se abre
el ordenador, habitualmente utilizado tanto en la empresa como en las
Administraciones públicas.
... - A modo de
conclusión: el acceso al ordenador de un empleado público puede obedecer a la
necesidad de comprobar el cumplimiento de sus funciones en el seno de la
relación estatutaria pero debe cumplirse con el derecho a la información, en
los términos fijados por la jurisprudencia, y superar el juicio de
proporcionalidad (idoneidad, necesidad y proporcionalidad en sentido estricto) ...
En relación con la
cuestión planteada en el auto de admisión la Abogacía del Estado propugna la
siguiente doctrina:
En aplicación del
artículo 6.1 de la Ley Orgánica de Protección de Datos 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal -actual artículo 6 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales- se puede considerar fundado de
datos personales en cumplimiento de obligación legal, interés público o
ejercicio de poderes públicos en el ámbito del empleo público y de las
garantías del procedimiento sancionador en el régimen sancionador, siempre que
se observen los factores establecidos en la STEDH Barbulescu 2, de 5 de
septiembre de 2017 y la medida adoptada supere el juicio de proporcionalidad.
7. En el
fundamento de derecho primero, la Sala expone el objeto del recurso, en el
segundo el ámbito de enjuiciamiento en casación (sólo el art. 6.1 LOPD), en el
tercero efectúa un amplio repaso de la jurisprudencia del Tribunal Europeo de
Derechos Humanos y del Tribunal Constitucional, y así llega al cuarto en el que
aborda el examen “de las cuestiones que plantea el auto de admisión del recurso”.
Y ya de entrada
nos da su respuesta, desestimatoria del recurso, al afirmar con total claridad
que “desde ahora queda anticipado que el planteamiento del Ayuntamiento
recurrente no puede ser acogido y que el recurso de casación habrá de ser
desestimado; y ello por razones sustancialmente coincidentes con las expuestas
por la Abogacía del Estado en su escrito de oposición, que consideramos acertadas”.
Para no reiterar
en exceso los argumentos ya expuestos con anterioridad de la abogacía del
Estado, resumo las tesis del TS respecto a la aplicación de la doctrina Barbulescu
a un supuesto como el enjuiciado en el que se debate qué requisitos debe
cumplir la Administración, empleadora, para poder acceder al ordenador de un
funcionario, es decir de un trabajador empleado público.
A)“...carecen de consistencia
las razones que esgrime el Ayuntamiento de Algemesí cuando sostiene que la
sentencia recurrida no toma en consideración las excepciones a la exigencia del
consentimiento del titular de los datos de carácter personal que se enuncian en
el artículo 6.2 LOPD; que la doctrina Barbulescu no resulta de aplicación pues
la STEDH se refiere a un conflicto laboral entre una empresa y un trabajador
mientras que aquí se trata de un supuesto de hecho distinto y de otro tipo de
relación, de índole pública; y que, además, no concurren los requisitos para
entender vulnerada la esfera de intimidad que alega la empleada reclamante.
B/ En cuanto a la
aplicación de la doctrina Barbulescu al caso que nos ocupa, tiene razón la
Abogacía del Estado cuando señala que no cabe hacer de ella la interpretación
restrictiva que propugna la parte recurrente porque la STEDH examina la
cuestión desde la perspectiva del derecho fundamental a la protección de datos
personales y ese derecho fundamental también corresponde a los funcionarios,
aunque pueda presentar matices propios. A tal efecto se indica que el Estatuto
Básico del Empleado Público (EBEP), en su redacción inicial, ya reconocía a los
el derecho al respeto a su intimidad, a la propia imagen y a la dignidad en el
trabajo ( artículo 14.h/ EBEP),precisando ahora el apartado j/ del artículo 14
EBEP, redactado por la Ley Orgánica 3/2018, que ese derechoa la intimidad se
proyecta también sobre el uso de los medios digitales puestos a su disposición.
En cuanto a la utilización de sistemas de videovigilancia en el ámbito de la
Administración Pública y las limitaciones a que está sujeta tal utilización
(derecho a la información, principio de proporcionalidad...), puede verse la
STS Sala 3ª, de 26 de abril de 2021 (casación 4645/2019). En fin, aunque no es
aquí de aplicación, por ser norma posterior a las fechas en que ocurrieron los
hechos a los que se refiere la presente controversia (principios de 2018), es
oportuno señalar que esa equiparación a la que nos estamos refiriendo quedó
plasmada con claridad en el artículo 87.1 de la Ley Orgánica 3/2018 ("1.
Los trabajadores y los empleados públicos tendrán derecho a la protección de su
intimidad en el uso de los dispositivos digitales puestos a su disposición por su
empleador").
.. el hecho de que
la relación estatutaria sitúe al funcionario en una posición de sujeción
especial, delimitada y regida por su específica regulación, no excluye ni
impide que se dicten instrucciones dirigidas a los empleados públicos en las
que se concrete en qué consiste el uso adecuado de los medios informáticos, así
como el alcance del control que puede efectuarse sobre ellos (véase
ahora-aunque no es norma aplicable al caso ratione temporis- la previsión
contenida en el artículo 87.3 de la Ley Orgánica 3/2018). Es cierto que la
enervación de la expectativa de privacidad no está vinculada a una fórmula documental
concreta; pero deben cumplirse los requisitos o principios enunciados por la
jurisprudencia en orden a informar de manera suficiente sobre el uso de los
medios informáticos y el alcance del control o monitorización...”
En definitiva,
cuando se plantee un nuevo caso como el ahora analizado, ya existirá doctrina
jurisprudencial del TS, que al resolver el recurso de casación interpuesto por
la parte empresarial, declara que es la siguiente:
“1/ Resulta
razonable la proyección de la doctrina contenida en la STEDH Barbulescu 2, de 5
de septiembre de 2017, al ámbito del empleo público, sin perjuicio de que deban
ser tomadas en consideración las especificidades del régimen estatutario.
2/ Cuando se
impute a una Administración Pública la infracción del artículo 6.1 de la Ley
Orgánica 15/1999, de13 de diciembre, de Protección de Datos de Carácter
Personal (actual artículo 6 de la Ley Orgánica 3/2018, de5 de diciembre, de
Protección de Datos Personales y garantía de los derechos digitales), por haber
realizado el tratamiento de datos de carácter personal sin el consentimiento
del interesado, para apreciar que no ha existido infracción no basta con que la
Administración actuante invoque alguno de los supuestos de excepción a la
exigencia de consentimiento que contempla el artículo 6.1 del Reglamento (UE)
2016/679, de 27 de abril de 2016, sino que debe justificar la efectiva
concurrencia del supuesto de excepción alegado”.
8. No está de más
recordar, una vez más, y con ello concluyo este comentario, que los derechos fundamentales
laborales no son “exclusivos” de quienes trabajan en el sector privado, y que
la jurisprudencia del TEDH y TC es perfectamente aplicable a todas las personas
trabajadoras, con independencia de los matices que pueda haber cuando se trata
de personal empleado público. Parece sorprendente que haya que recordarlo
¿verdad?
Buena lectura.