La reciente jurisprudencia del tribunal constitucional sobre el derecho fundamental a la protección de datos
Cecilia Álvarez Rigaudias
Vicepresidenta Junta Directiva APEP
Abogada Uría Menéndez
Buena prueba del alcance social del derecho fundamental a la protección de datos la constituye el hecho de que a las ya tradicionales sentencias 254/1993, 11/1998 y 292/2000 que definieron de modo preciso el contenido, objeto y alcance de este derecho se van sumando nuevas aportaciones del Alto Tribunal que abordan aspectos muy concretos de este derecho.
La primera de ellas, la STC 96/2012, posee una enorme trascendencia, más allá del debate procesal del cual trae su causa, por dos razones esenciales.
• Supone una interpretación del art. 11.2.d) que va mucho más allá de un entendimiento literal de lo que el precepto dispone y obliga a una actuación judicial particularmente diligente en la cual ponderación y motivación adquieren un relevancia esencial.
• A falta de una mayor claridad, la sentencia en la práctica sitúa al responsable del fichero/tratamiento prácticamente en una posición de garante.
El origen de este recurso se encuentra en agosto de 2010, fecha en la que la Asociación de Usuarios de Bancos, Cajas de Ahorros y Seguros de España (“ADICAE”), con la finalidad de interponer contra una entidad bancaria una demanda colectiva en ejercicio de la acción de cesación, presentó escrito de petición de diligencias preliminares a través del cual se solicitaba que el Juzgado requiriese a la entidad bancaria para la entrega a ADICAE de listados con los datos personales (nombre y apellidos, DNI, dirección postal actualizada, y números de teléfono, fax y correo electrónico, si estuvieren disponibles) de los clientes personas físicas que, en toda España, desde 2007 hasta 2010, hubieran contratado con dicha entidad bancaria determinados productos financieros. Asimismo, ADICAE solicitó que, en caso de negativa por parte de la entidad bancaria, el Juzgado ordenase la entrada y registro en la sede de la entidad bancaria para encontrar los datos precisos. El Juzgado estimó estas diligencias requiriendo a la entidad bancaria para que entregase los listados ampliando la entrega de datos a otros productos financieros no contemplados en las diligencias.
El Tribunal Constitucional confirma que los datos solicitados por ADICAE son datos personales protegidos por la Constitución como derecho fundamental. Asimismo, reconoce a la entidad bancaria, como responsable de los datos personales de aquellos de sus clientes que hubieran suscrito determinados productos financieros sobre los que tiene una obligación jurídica de custodia, el “interés legítimo” necesario para interponer el recurso de amparo toda vez que su círculo jurídico puede resultar afectado por la violación de un derecho fundamental, aunque no se produzca directamente en su contra (sino de sus clientes personas físicas).
Por ello, el Tribunal afirma que ordenar la cesión a un tercero de datos protegidos mediante derechos fundamentales para una finalidad distinta de aquella que motivó su recogida y tenencia (por la entidad bancaria) requería (i) no sólo una cobertura legal formal, que residiría en el art. 256.1.6 LEC (ii) sino también una resolución judicial especialmente motivada donde se justificara que su idoneidad, necesidad y proporcionalidad en relación con un fin constitucionalmente legítimo:
“(…) una diligencia preliminar consistente en requerir a una entidad bancaria la entrega de datos personales de sus clientes, sin el previo consentimiento de éstos, para su posterior entrega a una asociación de consumidores que pretende iniciar un proceso para la defensa de los intereses colectivos de consumidores y usuarios, implica un claro límite en el derecho fundamental a la protección de datos de carácter personal (art. 18.4 CE) y, en consecuencia, no es suficiente la existencia de una genérica habilitación legal (ex art. 256.1.6 LEC), sino que dicha medida ha de adoptarse mediante resolución especialmente motivada, exteriorizando los elementos de juicio en los que se basa la resolución, de forma que las razones fácticas y jurídicas queden perfectamente expuestas y, además, debe someterse a un estricto juicio de proporcionalidad, como principio inherente del Estado de Derecho, cuya condición de canon de constitucionalidad tiene especial aplicación cuando se trata de proteger derechos fundamentales frente a limitaciones o constricciones que procedan de normas o resoluciones singulares (STC 85/1992, de 8 de junio, FJ 4). Sin embargo, nada de esto se ha hecho en las resoluciones jurídicas impugnadas.” (subrayado nuestro)
El Tribunal Constitucional confirma por tanto que la vulneración material del art. 18.4 CE implica la lesión del derecho a la tutela judicial efectiva (art. 24.1 CE) de la entidad bancaria demandante de amparo al no haber obtenido del juez una respuesta fundada y proporcionada y declara la nulidad de los autos. Pero además debe subrayarse, que de la sentencia, subyace en cierta medida un principio jurídico de origen anglosajón, el principio de accountability, del que se deriva un especial deber de diligencia del responsable del fichero/tratamiento.
La segunda sentencia, la STC 241/2012, deniega el amparo constitucional solicitado por una trabajadora respecto de sus derechos fundamentales a la intimidad personal y al secreto de las comunicaciones que estima vulnerados por el acceso, por parte del empresario, a conversaciones mantenidas con otra empleada a través de un programa informático de mensajería que había sido descargado por estas en un ordenador de uso común en la empresa.
En estas conversaciones, que quedaron grabadas en el mencionado ordenador de uso común, se contenían, entre otros, comentarios despectivos o insultantes respecto de otros compañeros de trabajo, superiores y clientes. Fueron descubiertas, según un “hallazgo casual” por otro trabajador que accedió al mencionado ordenador. El empresario convocó a las empleadas a una reunión en la que, en presencia de responsables de la empresa y mandos intermedios, se leyeron (y otras se resumieron) algunas de estas conversaciones. Las empleadas fueron amonestadas verbalmente.
Aunque en esta sentencia no se examina el eventual impacto en el derecho fundamental a la protección de datos personales, en todos los casos de acceso por el empresario a datos personales grabados en los ordenadores que utilizan los trabajadores para sus funciones, la concurrencia o no de la causa de legitimación de conformidad con el artículo 6 de la Ley Orgánica 15/1999, de protección de datos de carácter personal pasa por examinar si el acceso está cubierto por la ley (i.e., las facultades del empresario reconocidas en el artículo 20.3 del Estatuto de los Trabajadores) y/o por el control del cumplimiento de la relación laboral.
Este examen requiere siempre la aplicación, al contexto concreto, de la doctrina constitucional sobre la colisión de las facultades reconocidas en artículo mencionado y los derechos fundamentales a la intimidad personal y al secreto de las comunicaciones. Las limitaciones legítimas a estos derechos en el ámbito laboral han venido acompañadas de tres elementos: (i) la necesidad, idoneidad y proporcionalidad de la medida de control del empresario, (ii) la propiedad de la empresa del recurso objeto de control y (iii) la expectativa de intimidad que el trabajador puede razonablemente esperar a la luz de las políticas de uso y auditoría de uso que hubiera establecido previamente el empresario, en su caso.
Algunos de estos elementos (pero n
o todos) están también presentes en esta sentencia (y en su voto particular), jugando en este caso un papel particularmente relevante los actos propios de la demandante y la política previa del empresario sobre el uso del ordenador donde se graban las conversaciones de la demandante a las que accede, acceso cuya legitimidad se cuestiona.
Así, el Tribunal Constitucional considera que no se produce vulneración de los derechos fundamentales mencionados fundamentalmente por los siguientes motivos:
(i) el ordenador era de uso común para todos los trabajadores de la empresa y se accedía sin clave; y
(ii) la empresa había prohibido expresamente a los trabajadores instalar programas en el ordenador, prohibición que se enmarca en el ámbito de las facultades organizativas del empresario de conformidad con el art. 20.3 del Estatuto de los Trabajadores. En cuanto a esta prohibición, destaca que el debido respeto a los derechos fundamentales no impide “que se proceda a dotar de una regulación al uso de las herramientas informáticas en la empresa y, en particular, al uso profesional de las mismas, por medio de diferentes instrumentos como órdenes, instrucciones, protocolos o códigos de buenas prácticas, de manera que la empresa no quede privada de sus poderes directivos ni condenada a permitir cualesquiera usos de los instrumentos informáticos sin capacidad alguna de control sobre la utilización efectivamente realizada por el trabajador”.
En particular, considera que la esfera de la intimidad personal debe examinarse de conformidad con los actos propios de sus titulares y, en el presente caso, fueron precisamente las propias autoras de las conversaciones las que permitieron su conocimiento por terceros al utilizar el programa antes descrito en el tipo de ordenador mencionado (y no borrarlas posteriormente como podían haber hecho). Por otra parte, a la vista de prohibición previa y expresa por el empresario de la instalación de programas en el ordenador tampoco “podía existir una expectativa razonable de confidencialidad derivada de la utilización del programa instalado, que era de acceso totalmente abierto”. Por tanto, el Tribunal defiende que las comunicaciones entre la demandante y la otra empleada quedan fuera de la protección constitucional del secreto de las comunicaciones “por tratarse de formas de envío que se configuran legalmente como comunicación abierta, esto es, no secreta”.
Debe hacerse notar que esta sentencia cuenta con un voto particular (al que se adhiere otro magistrado) donde se afirma contundentemente que los actos empresariales enjuiciados sí lesionan el derecho al secreto de las telecomunicaciones, estimando que “la protección que ofrece el art. 18.3 CE “ha de incluir los supuestos en los que exista, como en el del presente amparo, la trasgresión de una orden empresarial de prohibición de instalación de sistemas de mensajería electrónica o de empleo de los existentes para un fin ajeno a la actividad laboral, pues el incumplimiento de lo ordenado no habilita en modo alguno interferencias en el proceso o en el contenido de la comunicación, sin perjuicio de que pueda acarrear algún tipo de sanción. En otros términos, la infracción de las ordenes empresariales tolera la imposición de las sanciones previstas en el ordenamiento jurídico, pero ni consiente la vulneración directa de derechos fundamentales al amparo del incumplimiento de la orden empresarial, ni tampoco las intromisiones empresariales enderezada a verificar o comprobar la existencia de las comunicaciones, incluso cuando ex post, cometida la vulneración y gracias a esa ilegítima práctica, quede acreditado que aquellas sanciones eran ajustadas a Derecho. La Sentencia confunde gravemente ese doble plano; soslaya que la desatención de las ordenes empresariales, incluso la que tenga naturaleza disciplinaria, no puede justificar lesiones de derechos fundamentales (por todas, STC 41/2006, de 13 de febrero, FJ 5), y que ese criterio no varía en los terrenos del derecho al secreto de las comunicaciones del art. 18.3 CE (…)”.
Cabría pues concluir de esta sentencia (y otras que la preceden en sede del Tribunal Supremo) que existe una expectativa de intimidad en el uso del ordenador en el ámbito laboral, cuya eliminación requiere una prohibición del empresario del uso privado de los recursos propiedad de la empresa que especifique los medios (proporcionales) mediante los cuales se supervisará el cumplimiento de tal prohibición.