Una reciente sentencia de la Audiencia Nacional reconoce que las comunicaciones sindicales no suponen una vulneración de la aplicación efectiva del Reglamento Europeo de Protección de Datos (RGPD).
Desde mayo del año pasado, la aplicación efectiva del Reglamento Europeo de Protección de Datos (RGPD) en España ha generado un cierto desasosiego tanto en el ámbito privado como en los organismos públicos dispuestos a adecuar sus procedimientos internos y evitar las posibles sanciones por parte del TJUE. La rigurosa intención de la Agencia Española de Protección de Datos de promulgar un nuevo modelo de privacidad proactivo y diferente del anterior, parece ser clave a la hora de evitar sanciones de la justicia europea. Para facilitar la implantación del reglamento, la Agencia Española de Protección de Datos ha publicado una Guía de obligaciones del responsable, una Guía sobre obligación de informar y una Guía sobre modelos de contratos entre responsables y encargados, además de realizar trabajos en colaboración con la Unión Profesional, convenios de asesoramiento o implementar herramientas como Facilita.
Sin embargo, las ayudas de la agencia son necesarias pero no suficientes. Una conclusión que se desprende de la sentencia de la Audiencia Nacional sobre la demanda presentada por una empresa privada especializada en ofrecer soluciones personalizadas de servicio al cliente que conectan la marca con los diferentes públicos. En dicha empresa, el comité sindical había distribuido comunicados e información sindical a los empleados en formato papel; una actividad dentro del derecho de libertad sindical que la dirección de la empresa consideraba en su denuncia como posible vulneración de directrices en el Reglamento General de Protección de Datos. Para evitar posibles sanciones, se denunció al comité de empresa rechazando sus comunicaciones sindicales en papel, así como el uso de teléfono móviles particulares en horario laboral. La denuncia se completa con la prohibición a los trabajadores de acudir al trabajo con medicamentos y productos de higiene distribuidos en un neceser.
Análisis de riesgos y evaluación del impacto. En su sentencia, la Audiencia es tajante afirmando que "la empresa está legitimada para organizar el trabajo y establecer sistemas de control y seguridad, pero dichas potestades no son absolutas y no pueden invadir indiscriminadamente derechos legítimos de los representantes de los trabajadores salvo que se acredite que dichas mediadas son idóneas, razonadas y proporcionadas al fin propuesto". En opinión de María Flora Egea Torrón, BBVA Data Protection Officer, este tipo de empresas, al redactar su código de conducta, "deberían poner en una balanza la posibilidad de incluir este tipo de limitaciones frente a su posible corrección". Para evitar esta corrección, la experta aclara que "dicho código de conducta debería especificar, de forma detallada, las razones de la imposición de cada medida, y deberían descartarse por la empresa aquellas medidas que, de acuerdo con lo indicado por la sentencia, no se pueda probar que, efectivamente, suponen un riesgo patente y actual para la seguridad de los datos personales".
En esta misma línea se expresa Natalia Martos, CEO & fundadora de Legal Army, quien considera que "toda empresa que haga tratamiento de datos ya sea responsable o encargada del tratamiento, debe hacer un análisis de riesgos de cualquier situación que pueda suponer una amenaza". Con este análisis, "se hubiera detectado un riesgo y la empresa habría establecido medidas de seguridad y organizativas oportunas sin necesidad de formular una prohibición innecesaria", concluye Martos.
Política de seguridad. La política de escritorios limpios de esta empresa no es aceptada por la Audiencia Nacional quien considera que esta prohibición vulnera el artículo 28 de la constitución y el artículo 2 de la Ley de Libertad Sindical. De esta manera, los empleados seguirán recibiendo la información sindical en papel, aunque nunca en momentos de auditoría y de visitas de clientes externos. La AN concluye que "no se acredita ni la idoneidad, ni la razonabilidad ni la proporcionalidad de una medida que es una clara violación del derecho de libertad sindical, del que la difusión de información constituye un valor esencial".
En cuanto a la prohibición de introducir los medicamentos y objetos de higiene personal para cumplir el objetivo de la empresa de evitar la entrada de algún dispositivo de almacenaje externo, la decisión judicial aclara que los trabajadores pueden acudir a su puesto de trabajo con neceseres opacos evitando incluir bolígrafos o memorias USB. Además, se aclara que los casos excepcionales para incluir medicamentos deberán ser supervisados por una persona responsable de la empresa. Asimismo, la empresa pondrá a disposición de los trabajadores taquillas ajenas a las plataformas de trabajo.
Las "medidas de seguridad oportunas sin que exista una prohibición innecesaria y sin que se mermen los derechos fundamentales de los trabajadores" que subraya Natalia Martos, CEO & fundadora de Legal Army, sumadas al "sentido común" en las políticas de seguridad que remarca en su decisión la Audiencia Nacional y la posibilidad de que "las empresas ofrezcan alternativas desde el principio" como aconseja María Flora Egea, BBVA Data Protection Officer son directrices fundamentales a la hora de que las empresas puedan adecuarse correctamente a la aplicación efectiva del RGPD.
No hay comentarios:
Publicar un comentario