El 19 de desembre de 2024, l’autoritat de protecció de dades francesa (CNIL) va imposar una sanció de 40.000€ a una empresa del sector immobiliari per controlar els seus empleats sense informar, sense adoptar mesures de seguretat adequades i sense haver realitzat una EIPD.
Fets
Arran de diverses denúncies, la CNIL va realitzar una inspecció en la qual va observar que l’empresa filmava constantment els seus empleats i captava la imatge i el so, a més de mesurar el seu temps de treball i avaluar el seu rendiment de forma molt precisa gràcies al programa informàtic instal·lat als seus ordinadors.
El sistema de videovigilància captava constantment imatges i sons dels empleats del local, tant en els seus llocs de treball com en els espais de descans. A més, aquestes imatges podien ser visualitzades pels supervisors mitjançant una aplicació mòbil. Aquesta mesura no va ser justificada de cap manera, la qual cosa suposa una clara vulneració excessiva dels drets dels treballadors, així com del principi de minimització de dades (art. 5.1.c) RGPD).
D’altra banda, pel que fa al programari instal·lat als ordinadors dels empleats per monitorar la seva activitat, la CNIL va considerar que aquesta mesura era totalment desproporcionada i una vigilància especialment intrusiva. Aquest programari permetia, a més de comptar les hores de treball, saber si l’empleat no escrivia al teclat ni movia el ratolí en un període d’entre 3 i 15 minuts, en el qual també podien prendre’s captures de pantalla periòdiques. En cas de detectar aquests períodes d’ inactivitat, si no es justificaven o compensaven, s’ aplicava una deducció de salari.
La CNIL va indicar que aquest programa no era fiable, atès que els períodes d’aparent inactivitat podien correspondre a temps de treball efectiu en el marc de les seves funcions (com reunions o trucades telefòniques), per la qual cosa no hi havia una garantia que el programari complís amb la seva finalitat de forma correcta.
A més, el sistema, en permetre la captura de dades potencialment privades (com correus electrònics personals, converses de missatgeria instantània o contrasenyes confidencials), constituïa una vulneració desproporcionada de la privacitat, interessos i drets fonamentals dels treballadors, i el tractament de les dades mancava de fonamentació legal (art. 6 RGPD).
Així mateix, l’ empresa tampoc va proporcionar informació escrita suficient sobre el tractament que realitzava el programari de monitoratge, ni en documents d’ informació interns de l’ empresa ni en els contractes de treball i d’ estudi dels empleats, la qual cosa constitueix una infracció de l’ article 13 del RGPD.
En últim lloc, l’empresa tampoc va realitzar una avaluació d’impacte sobre la protecció de dades (EIPD) per al tractament que va realitzar en implementar el programa de monitoratge, la qual era necessària en haver-hi un alt risc per als drets i llibertats dels empleats.
Conclusió
El monitoratge excessiu i el control laboral sense prendre les mesures tècniques i organitzatives necessàries transgredeixen els drets dels empleats a nivells excessius. Cal recordar que sempre que es realitza un tractament de dades que afecta drets sensibles, s’ ha de realitzar amb cautela i actuant en el marc de la normativa de protecció de dades.
Com sempre, cuideu les dades i ¡cuideu-vos!
Per llegir la resolució, faci clic aquí.
