Legitimación para usar datos de geolocalización en la empresa


05/03/2020 | Maite Morera Fontanet

En el artículo 64.b del Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, se definen los datos de localización como "cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público".

Los sistemas de geolocalización constituyen un recurso cada vez más utilizado por las organizaciones por cuanto permiten determinar la posición geográfica de su personal en un determinado momento o de forma permanente mediante la localización de dispositivos que portan (tarjetas, teléfonos móviles, etc.) o que utilizan (vehículos) y, por tanto, realizar una gestión en tiempo real de los medios humanos y materiales.

El problema que plantean estos sistemas de localización en el ámbito laboral es (como ocurre en general con cualquier medio técnico de control) el de la posible colisión con los derechos fundamentales del trabajador.

Por de pronto, constituyen una amenaza para la intimidad, pues, en caso de sistemas instalados en vehículos, cabe ejercer el control, junto a la verificación de la situación del vehículo, la velocidad, las pausas, los tiempos de funcionamiento, en definitiva, un control directo de la actividad del trabajador; y en el caso de teléfonos móviles con sistema de geolocalización, se puede llegar a saber prácticamente todos los lugares que frecuenta el portador de ese teléfono móvil y en qué momento entra y sale de cada uno de esos lugares. Por cualquiera de los dos sistemas, el trabajador puede verse sometido fácilmente a un control constante tanto en su vida profesional como privada.

Estos sistemas capturan, almacenan y analizan la información geográfica referenciada de la persona, lo que constituye un tratamiento de datos personales (art. 4 GDPR). En este sentido, nos encontramos con la necesidad de determinar el fin admisible desde la perspectiva de los principios de protección de datos.

Por lo que resulta imprescindible valorar los siguientes puntos:

  • Legitimación. Cuando el sistema de geolocalización se instale en un dispositivo responsabilidad de la organización se podrá legitimar por interés legítimo del responsable (art. 6.1.f GDPR) basado en el art. 20.3 ET y el art. 90 LOPDGDD. Cuando el dispositivo sea propiedad del trabajador, será necesario obtener el consentimiento del interesado (art. 6.1.a GDPR).

El art. 20.3 del Estatuto de los Trabajadores permite "adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales". Estas medidas, deberán, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el art. 18 de la Constitución Española.

  • Interés legítimo que justifique la instalación del sistema. Resulta legítimo solo cuando sirve para garantizar la seguridad del empelado, de las mercancías o de los vehículos, o para ofrecer una mejor prestación de los medios en vehículos o para hacer un seguimiento y facturación de las prestaciones de transporte, salvo que no se pueda hacer de otro modo. En consecuencia, no parece legítima la geolocalización cuando se concede a los empleados libertad para organizar sus desplazamientos.
  • Proporcionalidad. La adopción del sistema de geolocalización se debe someter a un juicio de proporcionalidad. Tiene que ser una medida necesaria, pertinente y además, lo menos lesiva posible, es decir que no se pueda conseguir el mismo propósito con una medida menos intrusiva respecto a la intimidad del trabajador.
  • Deber de informar. Es obligatorio informar a los trabajadores implicados (art. 13 y 14 GDPR), de la instalación de estos mecanismos de geolocalización en el vehículo, teléfono móvil, etc. así como de la finalidad del tratamiento de los datos obtenidos y la forma de desactivar el sistema de localización fuera del horario laboral.
  • Respetar la finalidad. Se prohíbe el uso de los datos obtenidos para finalidades distintas de las declaradas en la adopción de la medida. La noción de “fines” del art. 5.1.c GDPR, relativo al principio de minimización, excluye todo intento de aprovecharse de los datos de carácter personal recogidos para obtener nuevos datos personales o para un uso divergente de la finalidad originaria para la que fueron recabados. De igual manera se expresa el art. 6 LOPDGDD, correspondiente al consentimiento del interesado para diversas finalidades.
  • Conservación. Los datos de localización se deben conservar exclusivamente durante el tiempo oportuno en función de la finalidad que justifique su tratamiento.
  • Medidas de seguridad. El acceso a los datos de localización deberá restringirse a aquellas personas que, en el ejercicio de sus obligaciones, puedan consultarlas de forma legítima en función de sus finalidades. Por consiguiente, los empresarios deberán adoptar todas las cautelas necesarias para que tales datos se mantengan seguros e impedir el acceso no autorizado a ellos, especialmente mediante la introducción de medidas de verificación e identificación.

Además de todo esto, hay que tener en cuenta que los responsables del tratamiento que utilicen sistemas de geolocalización estarán sujetos a las siguientes obligaciones del GDPR:

  • El registro de actividades de tratamiento. Cada responsable del tratamiento y, en su caso, su representante, habrán de llevar un registro de las actividades de tratamiento que efectúen bajo su responsabilidad (art. 30 GDPR).
  • El análisis de riesgos con el fin de establecer las concretas medidas de seguridad y control para garantizar los derechos y libertades de las personas. (art.32 GDPR).
  • Medidas de seguridad. En este documento se van a recoger las medidas técnicas y organizativas de seguridad que garanticen la protección de los datos personales, y que demuestren la adecuación con el GDPR, teniendo en consideración los derechos e intereses legítimos de las personas físicas propietarias de los datos personales y de cualquier otra persona afectada.
  • La evaluación de impacto (DPIA) en el caso el tratamiento se realice a gran escala e implique la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público (art. 35.4 GDPR).

Normativa relacionada

Artículo 90 LOPDGDD. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

1. Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo.

2. Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.


Referencias bibliográficas

GT29, Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes, WP 185, 16 de mayo de 2011, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp185_es.pd

GT29, Dictamen 5/2005 sobre el uso de los datos de localización con vistas a prestar servicios con valor añadido, WP 115, 25 de noviembre de 2005, http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/files/2005/wp115_es.pdf

AEPD. Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (art 35.4) https://www.aepd.es/sites/default/files/2019-09/listas-dpia-es-35-4.pdf