Legitimació per utilitzar dades de geolocalització a l'empresa


05/03/2020 | Maite Morera Fontanet

A l'article 64.b del Reial Decret 424/2005, de 15 d'abril, pel qual s'aprova el Reglament sobre les condicions per a la prestació de serveis de comunicacions electròniques, el servei universal i la protecció dels usuaris, es defineixen les dades de localització com "qualsevol dada tractada en una xarxa de comunicacions electròniques que indiqui la posició geogràfica de l'equip terminal d'un usuari d'un servei de comunicacions electròniques disponible per al públic".

Els sistemes de geolocalització constitueixen un recurs cada vegada més utilitzat per les organitzacions, ja que permeten determinar la posició geogràfica del seu personal en un determinat moment o de forma permanent mitjançant la localització de dispositius que porten (targetes, telèfons mòbils, etc.) o que utilitzen (vehicles) i, per tant, realitzar una gestió en temps real dels mitjans humans i materials.

El problema que plantegen aquests sistemes de localizació a l'àmbit laboral és (com passa en general amb qualsevol mitjà tècnic de control) el de la possible col·lisió amb els drets fonamentals del treballador.

D'entrada, constitueixen una amenaça per a la intimitat, ja que, en cas de sistemes instal·lats en vehicles, cal exercir el control, juntament amb la verificació de la situació de el vehicle, la velocitat, les pauses, els temps de funcionament, en definitiva, un control directe de l'activitat del treballador; i en el cas de telèfons mòbils amb sistema de geolocalització, es pot arribar a saber pràcticament tots els llocs que freqüenta el portador d'aquest telèfon mòbil i en quin moment entra i surt de cada un d'aquests llocs. Per qualsevol dels dos sistemes, el treballador es pot veure sotmès fàcilment a un control constant tant de la seva vida professional com privada.

Aquests sistemes capturen, emmagatzemen i analitzen la informació geogràfica referenciada de la persona, el que constitueix un tractament de dades personals (art. 4 GDPR). En aquest sentit, ens trobem amb la necessitat de determinar la fi admissible des de la perspectiva dels principis de protecció de dades.

Pel que resulta imprescindible valorar els següents punts:

  • Legitimació. Quan el sistema de geolocalització s'instal·li en un dispositiu responsabilitat de l'organització es podrà legitimar per interès legítim del responsable (art. 6.1.f GDPR) basat en l'art. 20.3 ET i l'art. 90 LOPDGDD. Quan el dispositiu sigui propietat del treballador, caldrà obtenir el consentiment de l'interessat (art. 6.1.a GDPR).

L'art. 20.3 de l'Estatut dels Treballadors permet "adoptar les mesures que consideri més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals". Aquestes mesures, han de, sempre, respectar el dret a l'honor, a la intimitat personal i familiar i a la pròpia imatge reconegut en l'art. 18 de la Constitució Espanyola.

  • Interès legítim que justifiqui la instal·lació de sistema. Resulta legítim només quan serveix per garantir la seguretat de l'empelado, de les mercaderies o dels vehicles, o per oferir una millor prestació dels mitjans en vehicles o per fer un seguiment i facturació de les prestacions de transport, llevat que no es pugui fer d'una altra manera. En conseqüència, no sembla legítima la geolocalització quan es concedeix als empleats llibertat per organitzar els seus desplaçaments.
  • Proporcionalitat. L'adopció del sistema de geolocalizació s'ha de sotmetre a un judici de proporcionalitat. Ha de ser una mesura necessària, pertinent i, a més, el menys lesiva possible, és a dir que no es pugui aconseguir el mateix propòsit amb una mesura menys intrusiva respecte a la intimitat de treballador.
  • Deure d'informar. És obligatori informar els treballadors implicats (art. 13 i 14 GDPR), de la instal·lació d'aquests mecanismes de geolocalització en el vehicle, telèfon mòbil, etc. així com de la finalitat del tractament de les dades obtingudes i la forma de desactivar el sistema de localització fora de l'horari laboral.
  • Respetar la finalitat. Es prohibeix l'ús de les dades obtingudes per a finalitats diferents de les declarades en l'adopció de la mesura. La noció de "fins" de l'art. 5.1.c GDPR, relatiu a el principi de minimització, exclou tot intent d'aprofitar-se de les dades de caràcter personal recollides per obtenir noves dades personals o per a un ús divergent de la finalitat originària per a la qual van ser recollides. De la mateixa manera s'expressa l'art. 6 LOPDGDD, corresponent al consentiment de l'interessat per a diverses finalitats.
  • Conservació. Les dades de localització s'han de conservar exclusivament durant el temps oportú en funció de la finalitat que justifiqui el seu tractament.
  • Mesures de seguretat. L'accés a les dades de localització haurà restringir-se a aquelles persones que, en l'exercici de les seves obligacions, puguin consultar-les de forma legítima en funció de les seves finalitats. Per tant, els empresaris han d'adoptar totes les cauteles necessàries perquè aquestes dades es mantinguin segurs i impedir l'accés no autoritzat a ells, especialment mitjançant la introducció de mesures de verificació i identificació.

A més de tot això, cal tenir en compte que els responsables del tractament que utilitzin sistemes de geolocalització estaran subjectes a les següents obligacions del GDPR:

  • El registre d'activitats de tractament. Cada responsable del tractament i, si escau, el seu representant, hauran de portar un registre de les activitats de tractament que efectuen sota la seva responsabilitat (art. 30 GDPR).
  • L'anàlisi de riscos amb la finalitat d'establir les concretes mesures de seguretat i control per garantir els drets i llibertats de les persones. (Art.32 GDPR)..
  • Mesures de seguretat. En aquest document es van a recollir les mesures tècniques i organitzatives de seguretat que garanteixin la protecció de les dades personals, i que demostrin l'adequació amb el GDPR, tenint en consideració els drets i interessos legítims de les persones físiques propietàries de les dades personals i de qualsevol altra persona afectada.
  • L'avaluació d'impacte (DPIA) en el cas el tractament es faci a gran escala i impliqui l'observació, monitorització, supervisió, geolocalització o control de l'interessat de forma sistemàtica i exhaustiva, inclosa la recollida de dades i metadades a través de xarxes, aplicacions o en zones d'accés públic (art. 35.4 GDPR).

Normativa relacionada

ARticle 90 LOPDGDD. Dret a la intimitat davant la utilització de sistemes de geolocalització en l'àmbit laboral.

1. Els ocupadors podran tractar les dades obtingudes a través de sistemes de geolocalització per a l'exercici de les funcions de control dels treballadors o els empleats públics previstes, respectivament, en l'article 20.3 de l'Estatut dels Treballadors i en la legislació de funció pública, sempre que aquestes funcions s'exerceixin dins del seu marc legal i amb els límits inherents a la mateixa.

2. Amb caràcter previ, els empresaris hauran d'informar de forma expressa, clara i inequívoca als treballadors o els empleats públics i, si s'escau, als seus representants, sobre l'existència i característiques d'aquests dispositius. Igualment hauran informar-los sobre el possible exercici dels drets d'accés, rectificació, limitació de l'tractament i supressió.


Referències bibliogràficques

GT29, Dictamen 13/2011 sobre els serveis de geolocalització en els dispositius mòbils intel·ligents, WP 185, 16 maig de 2011, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp185_es.pd

GT29, Dictamen 5/2005 sobre l'ús de les dades de localització amb vistes a prestar serveis amb valor afegit, WP 115, 25 novembre de 2005, http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/files/2005/wp115_es.pdf

AEPD. Llistes de tipus de tractaments de dades que requereixen avaluació d'impacte relativa a protecció de dades (art 35.4) https://www.aepd.es/sites/default/files/2019-09/listas-dpia-es-35-4.pdf