Derecho y empresa en entornos digitales

3.1. Corporate Governance, IT Governance: principios, normas y funcionamiento de las empresas orientadas a tecnología.
3.2. Nuevos modelos de empresa y la calidad de la gestión TIC.
3.3. Aspectos jurídicos de la economía colaborativa.
3.4. El asesoramiento jurídico de emprendedores y start-ups digitales.
3.5. Outsourcing: contratación a terceros de bienes y servicios.
3.6. Las nuevas relaciones laborales en las empresas digitales: teletrabajo, control empresarial y derecho a la intimidad.

Arriba el canal europeu de denúncies sobre IA: què suposa per a les empreses i com preparar-se

per

La governança de la intel·ligència artificial a Europa fa un pas decisiu amb el llançament de l’AI Act Whistleblower Tool, el nou canal europeu per a denunciar infraccions relacionades amb l’ús i desenvolupament de sistemes de IA. L’eina, impulsada per l’Oficina Europea d’Intel·ligència Artificial, introdueix una capa addicional de vigilància en un moment clau: el Reglament d’Intel·ligència Artificial (RIA o AI Act) avança cap a la seva plena aplicació, i les empreses tecnològiques hauran de reforçar la seva cultura de compliment normatiu.

Encara que moltes obligacions del RIA encara no són exigibles, Brussel·les vol anticipar-se a possibles incompliments i converteix a empleats, col·laboradors i socis comercials en aliats estratègics per a detectar riscos. Aquest enfocament se suma al marc ja existent a Espanya, compost per l’Autoritat Independent de Protecció de l’Informant (AIPI), l’Agència Espanyola de Supervisió d’Intel·ligència Artificial (AESIA) i els sistemes interns d’informació obligatoris sota la Llei 2/2023.

En què consisteix l’AI Act Whistleblower Tool?

Es tracta d’un canal de denúncia extern, segur, confidencial i totalment independent dels sistemes interns de les companyies. Permet comunicar presumptes infraccions del RIA, tant en obligacions ja actives com en àmbits connexos afectats pel desplegament de IA:

  • Seguretat de productes.
  • Protecció del consumidor.
  • Privacitat i seguretat de les dades.
  • Pràctiques internes que puguin posar en risc drets fonamentals o la confiança pública.

No obstant això, els experts adverteixen que el seu abast encara és limitat: algunes obligacions—com la transparència sobre les dades d’entrenament—no seran exigibles fins a fases posteriors, i la protecció plena dels denunciants no serà aplicable fins al 2 d’agost de 2026.

Un ecosistema de canals que conviurà i se solaparà

El nou canal europeu no substitueix als mecanismes nacionals. Les denúncies podran presentar-se tant per via interna com externa, sense necessitat d’esgotar cap via prèviament. Això obre la porta a investigacions paral·leles i, potencialment, a un solapament de sancions si concorren diferents supervisors.

Davant aquesta falta de claredat pràctica, els especialistes en compliance recomanen reforçar els sistemes interns per a millorar la seva eficàcia i capacitat de resposta. La Llei 2/2023 exigeix que el sistema intern sigui accessible, garanteixi l’anonimat i la confidencialitat, protegeixi enfront de represàlies i compti amb una gestió independent, encara que l’operació pugui externalitzar-se.

A més, les empreses han d’informar no sols del seu canal intern, sinó també dels canals externs disponibles, inclosos els europeus.

Què han de fer ara les tecnològiques?

Amb la posada en marxa del canal europeu, les organitzacions que desenvolupen o integren IA deurien:

  1. Revisar i actualitzar els seus programes de compliance, incorporant obligacions del RIA i protocols específics de IA.
  2. Auditar els seus sistemes interns d’informació per a garantir la seva eficiència, accessibilitat i alineació amb la Llei 2/2023.
  3. Capacitar als equips sobre obligacions de l’AI Act, riscos legals i funcionament dels diferents canals.
  4. Avaluar l’impacte de possibles recerques simultànies i preparar plans de resposta coordinats.

En un entorn regulador cada vegada més complex, la prevenció i la transparència seran claus per a evitar riscos sancionadors i reputacionals. El missatge és clar: l’era de la supervisió reforçada de la IA ja ha començat, i les empreses han d’estar preparades.

Com sempre, cuideu les dades i cuideu-vos!

 

 

Seguretat o privacitat: el pols judicial pel fitxatge amb empremta digital

per

La recent Sentència núm. 370/2025 del Jutjat social núm. 3 de la Corunya ha reobert el debat sobre la legalitat del registre de jornada mitjançant sistemes biomètrics en l’entorn laboral. En un context marcat per la cautela de l’Agència Espanyola de Protecció de Dades (AEPD) i la tendència empresarial a abandonar aquests sistemes, la fallada avala la utilització de l’empremta digital com a mecanisme de control horari en un hospital públic, qualificant-la de «poc invasiva» i «proporcionada».

Un cas amb implicacions més enllà de l’hospital

El conflicte enfrontava al comitè d’empresa i a la Confederació Intersindical Galega enfront de l’Institut Policlínic Santa Teresa S.A. Els representants sindicals al·legaven vulneració dels drets fonamentals a la intimitat, la salut i la llibertat sindical per l’ús obligatori d’un sistema de fitxatge mitjançant empremta dactilar.

El tribunal, no obstant això, va desestimar íntegrament la demanda i va considerar que el sistema biomètric empleat—basat en plantilles no identificatives i amb mesures de seguretat avançades—respectava els principis del RGPD i la LOPDGDD, resultant idoni per a garantir el registre horari exigit per l’article 34.9 de l’Estatut dels Treballadors.

Un argument jurídic polèmic

El punt més controvertit radica en la base jurídica triada pel jutjat per a legitimar el tractament de dades biomètriques: l’excepció de l’article 9.2.i) del RGPD, relativa al tractament necessari per raons d’interès públic en l’àmbit de la salut pública.

Aplicar aquesta excepció—concebuda per a amenaces sanitàries o seguretat assistencial—al simple registre de jornada laboral resulta, com menys, discutible. El tribunal justifica la seva decisió en considerar l’hospital una infraestructura crítica (Llei 8/2011), on la verificació biomètrica contribuiria a la seguretat de pacients, medicaments i personal. No obstant això, aquest raonament confon dos tractaments distints: el control d’accés (més defensable des de la perspectiva de la seguretat) i el registre horari, la finalitat del qual és purament laboral.

Falta de doctrina unificada

El cas reflecteix l’absència d’una doctrina consolidada entorn del fitxatge biomètric.

Mentre que l’AEPD, en la seva Guia sobre ús de dades biomètriques (novembre de 2023), insisteix que aquests sistemes són altament intrusius i d’ús excepcional, alguns tribunals i organismes tècnics—com el CNPIC o el Consell Espanyol per al Registre de Jornada—mantenen posicions més permissives, especialment en contextos de seguretat reforçada.

El resultat és un panorama fragmentat en el que la mateixa pràctica pot considerar-se il·lícita o proporcional segons que la valori.

Una sentència que convida a la reflexió

El Jutjat de la Corunya ha anat més enllà de la postura majoritària en qualificar l’empremta digital com menys intrusiva que alternatives com les apps amb geolocalització o els lectors de targetes NFC.

Aquesta valoració, no obstant això, sembla minimitzar la naturalesa sensible de les dades biomètriques i el risc inherent al seu tractament. Més que un pas cap a la modernització tecnològica, la fallada pot interpretar-se com un retrocés en la cultura de protecció de dades laborals.

En definitiva, aquesta sentència ens convida a una reflexió urgent: Estem davant un canvi de tendència judicial o davant un excés d’interpretació que desdibuixa els límits del RGPD? La veritat és que, avui dia, la seguretat jurídica en matèria de fitxatge biomètric segueix tan difusa com les empremtes que pretén registrar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

El dret a desconnectar: una obligació ignorada? 

per

El recent focus mediàtic sobre l’incompliment empresarial en matèria de desconnexió digital posa l’accent en la necessitat urgent que les companyies passin de les bones intencions a l’acció rigorosa. Igual que amb la protecció de dades biomètriques, el principi de “complir i poder demostrar-ho” marca la diferència entre un risc reputacional i una empresa alineada amb el nou estàndard de benestar digital.  

Fets 

Després de l’entrada en vigor de la Llei Orgànica 3/2018 i la Llei 10/2021, totes les empreses tenen l’obligació de comptar amb un protocol de desconnexió digital negociat i eficaç, no només formal. No obstant això, la Inspecció de Treball ha detectat que en molts casos aquest protocol és simbòlic, manca de mesures reals i no contempla la deguda informació i formació als empleats.  

L’increment de controls el 2025 ha fet aflorar pràctiques com l’enviament freqüent de comunicacions fora de jornada, especialment en el teletreball, i l’absència de vies clares per exercir aquest dret sense patir represàlies. El 27% dels empleats espanyols declara treballar extres digitals sense contraprestació ni justificació.  

Protocols efectius: del paper a la pràctica 

Tenir un protocol no és suficient: s’ha d’adaptar a la realitat interna, abastar la flexibilitat horària, preveure situacions urgents, i formar els equips sobre el dret a desconnectar. L’ experiència europea ho confirma: la desconnexió s’ integra en la cultura corporativa i en la presa de decisions del lideratge, no com una mera clàusula legal.  

El correcte compliment requereix aspectes com: 

  1. Polítiques clares i negociades sobre l’ ús de dispositius i canals fora d’ horari. 
  2. Mecanismes per informar i canalitzar incidents.
  3. Formació i comunicació contínua, revisant i actualitzant els protocols periòdicament.  
  4. Implementació efectiva i no merament formal.

Sancions i risc reputacional 

Les sancions per incompliment han augmentat: de 751 a 7.500 € per a infraccions greus, i fins a 225.018 € si hi ha risc psicosocial provat o assetjament laboral. Fins i tot aquelles empreses amb protocols només “de cara a la galeria” han estat sancionades si no van aplicar, van formar ni comunicar correctament les seves polítiques. La jurisprudència recent avala indemnitzacions per danys derivats de l’estrès digital, i pronuncia nul·les les sancions o acomiadaments a empleats que van exercir el seu dret a la desconnexió.  

Mirada pràctica i europea 

A nivell europeu, la futura directiva de desconnexió digital i els informes de l’Agència Europea per a la Seguretat i Salut en el Treball col·locant el dret a desconnectar com a eix central del benestar i la prevenció psicosocial. Les bones pràctiques recomanen caminar cap a una implantació transversal, real i mesurable, amb auditories internes i visió de millora constant.  

Conclusió 

Complir formalment ja no n’hi ha prou: la desconnexió digital exigeix cultura, implicació de tots els departaments i lideratge actiu. El cost d’ignorar-la es pot superar amb molt el de qualsevol sanció administrativa i, per suposat, una caiguda reputacional.  

Com sempre, cuideu les dades i cuideu-vos! 

El dret a desconnectar no es negocia: sanció a LVMH per ús indegut del mòbil d’una empleada

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat una sanció de 70.000€ a LVMH Iberia per obligar una empleada a usar el seu telèfon mòbil personal per a finalitats laborals, fins i tot en contra de la seva voluntat. Aquesta actuació constitueix una vulneració tant del Reglament General de Protecció de Dades (RGPD) com del dret a la desconnexió digital previst en la LOPDGDD.

L’afectada es va veure forçada a utilitzar el seu número de telèfon personal per a participar en grups de WhatsApp corporatius, a l’espera d’un telèfon d’empresa que mai se li va lliurar. Un dia abans d’iniciar les seves vacances, va comunicar per escrit i verbalment la seva intenció de deixar d’usar el seu mòbil personal per a temes de treball, es va sortir de diversos grups i va reiterar que esperava disposar del dispositiu corporatiu promès.

No obstant això, al dia següent, mentre gaudia del seu dia lliure, va ser inclosa sense consentiment en un nou grup de WhatsApp de l’empresa, en el qual va romandre fins al seu acomiadament. Davant aquesta situació, va presentar una reclamació davant l’AEPD.

L’empresa, per part seva, va justificar la seva actuació assegurant que va adoptar una «postura garantista» i que els grups només incloïen a empleats, la qual cosa consideraven una mesura adequada i necessària per a l’operativa diària. També van al·legar que, en general, els treballadors accedeixen a aquests grups amb dispositius corporatius i que l’ús del telèfon personal és una cosa «excepcional i transitòria».

No obstant això, l’AEPD va considerar que va haver-hi una doble infracció:

  • Violació de l’ 6.1 RGPD, per utilitzar dades personals (el número de telèfon privat) sense base legal vàlida ni consentiment explícit.
  • Vulneració del dret a la desconnexió digital ( 88 LOPDGDD), per obligar l’empleada a participar en comunicacions laborals fins i tot durant les seves vacances, sense respectar els límits del descans personal.

Com a conseqüència, l’AEPD va imposar una multa inicial de 70.000€, que va quedar reduïda a 42.000€, després del reconeixement de responsabilitat i al pagament voluntari per part de l’empresa.

Conclusió

Aquest cas marca un precedent important en l’àmbit laboral digital: les empreses no poden imposar l’ús de dispositius personals per al treball sense consentiment clar i revocable, i han de respectar el dret a la desconnexió digital, especialment fora de l’horari laboral o en períodes de descans.

Cal recordar a totes les organitzacions que la gestió de grups de WhatsApp o altres eines informals no eximeix del compliment del RGPD, i que la comoditat operativa no justifica la invasió de la vida privada dels empleats.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Privacitat en perill: sancionen una immobiliària per espiar bústies sense consentiment

per

Un ex-treballador d’ESTUDI ALCAZAR DEL GENIL 2022, S.L va denunciar a la immobiliària davant l’AEPD per haver estat obligat a prendre fotos de bústies de comunitats de veïns per a crear una base de dades de possibles clients, sense permís ni informació prèvia als afectats. En negar-se, va ser acomiadat.

Durant la recerca, l’AEPD va confirmar que es van recopilar dades personals (noms, direccions, portes i plantes) sense consentiment i que es van pujar a una base de dades utilitzada amb finalitats comercials.

Fonaments Jurídics Clau

Què es considera una dada personal?

Segons el Reglament General de Protecció de Dades (RGPD), qualsevol informació que identifiqui o pugui identificar a una persona, com el nom, la direcció o fins i tot les dades d’una bústia, es considera dada personal.

Què s’entén como tractament de dades?

El tractament de dades implica qualsevol acció sobre aquestes dades: recollir-los, emmagatzemar-los, usar-los, etc.

Es pot fer el que va fer l’empresa?

No. L’article 6 del RGPD exigeix una base legal per a tractar dades personals. Per exemple, el consentiment de l’afectat, un contracte, una obligació legal o un interès legítim que no danyi els drets del ciutadà.

En aquest cas, l’empresa no tenia cap base legal, ja que no va demanar permís ni va informar els veïns, i tampoc es tractava d’una font pública ni hi havia un altre motiu que el justifiqués.

Infracció

L’AEPD conclou que Estudio Alcázar va cometre una infracció molt greu per tractar dades personals sense base legal (art. 6 RGPD), a més de ser conscient de la infracció (art. 83.2.b) RGPD), perquè la supervisora de l’ex-treballador li va reconèixer que aquesta pràctica formava part de la metodologia implementada per a la gestió de zones.

A més, la immobiliària no va informar els titulars de les dades recaptades cap mena d’informació sobre aquest tractament. Això suposa una vulneració de l’art. 14 RGPD, el qual estableix l’obligació del responsable del tractament de proporcionar informació clara i accessible a l’interessat quan les dades personals no han estat obtinguts directament d’ell.

Sanció

L’AEPD va imposar una sanció de 20.000€, que, després del reconeixement de la seva responsabilitat i pagament voluntari, va quedar reduïda a 12.000€.

Conclusió

Aquest cas posa en evidència una cosa fonamental: el nom de la bústia és una dada protegida per llei. Ningú pot recopilar aquesta informació sense el permís del titular per a usar-la amb finalitats comercials. Les empreses tenen l’obligació de respectar la seva privacitat i només poden usar les seves dades quan tenen una base legal clara. Si no és així, s’enfronten a sancions com aquesta.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

Confidencialitat Vulnerada: La Importància del Deure de Confidencialitat en Canals de Denúncies

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a SERVICIOS ESPECIALES, S. A. amb 200.000€ per no complir amb el deure de confidencialitat en les denúncies realitzades en l’àmbit laboral.

La resolució es fonamenta en dues reclamacions presentades per treballadors que van denunciar la vulneració de la confidencialitat en el tractament de dades personals durant un protocol d’assetjament laboral. L’empresa va divulgar informació sensible, incloent-hi noms i cognoms dels denunciants i denunciats, la qual cosa va generar conseqüències negatives per als afectats, com a atacs d’ansietat i exposició pública en l’entorn laboral.

Si bé tot va iniciar amb l’activació del protocol d’assetjament laboral, l’Empresa va finalitzar el procés adjuntant la resolució a cadascun dels denunciants—5 en total—, la qual cosa destapava la identitat de cadascun dels ells (perquè s’exposaven tant els seus noms i cognoms com els seus llocs de treball) i dels denunciats—10 en total—als quals també es va reexpedir la resolució.

Com a conseqüència, un dels denunciats, a través d’un grup de WhatsApp del treball i el mateix dia del coneixement de la resolució, va enviar un emoji d’un petó i la frase: «Gràcies per la denúncia». Aquest fet li va generar a una de les denunciants un atac d’ansietat, pel qual es va acollir a la baixa mèdica.

Per part seva, l’empresa va al·legar que «tots sabien ja qui eren», per la qual cosa l’anonimat no va ser sol·licitat expressament i que, a més, el Comitè d’Empresa que va dur a terme el protocol tampoc el va demanar.

És necessari recordar que l’article 5.1.f) del Reglament General de Protecció de Dades (RGPD) estableix el principi d’integritat i confidencialitat i indica que les dades personals han de ser tractats de manera que es garanteixi una seguretat adequada, per la qual cosa ha d’evitar-se l’accés no autoritzat o il·lícit i protegir-se contra la seva pèrdua o mal accidental.

En aquest cas, l’empresa va vulnerar aquest principi en permetre l’accés a dades personals sensibles (identitats de denunciants i denunciats) per part de múltiples persones—15—, sense garantir mesures tècniques o organitzatives apropiades.

Per tot l’exposat, l’AEPD va imposar una sanció de 200.000€, la qual quedaria reduïda a 120.000€ en cas que l’empresa reconegués la seva responsabilitat i procedís al pagament voluntari.

Conclusió

La resolució evidencia una vulneració significativa del principi de confidencialitat establert en el RGPD, la qual va afectar directament els drets fonamentals dels denunciants, donat que les seves identitats van quedar desprotegides. Aquest cas ressalta la necessitat d’implementar mesures estrictes per a garantir la seguretat i privacitat en el tractament de dades personals en entorns laborals.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

El trencaclosques del temps efectiu: què compta com a jornada laboral?

per

La Sentència del Tribunal Superior de Justícia de Madrid nº962/2020 resol un conflicte laboral emblemàtic sobre el Dret a la Desconnexió Digital i els límits de la formació obligatòria fora de la jornada laboral. El cas va enfrontar un controlador aeri d’ENAIRE, qui va ser sancionat per no completar cursos de formació online en els seus dies de descans, i va realitzar algunes precisions respecte al dret a la desconnexió digital.

Fets

L’empresa va exigir als seus empleats realitzar un curs formatiu online—preceptiu, segons la normativa europea i el conveni col·lectiu—de dues hores en els seus períodes de descans, sense alterar el seu horari laboral presencial, i va destacar la seva obligació de realitzar el curs «en els cicles de descans de tres dies que de conformitat amb l’article 33 del conveni col·lectiu li són programats». No obstant això, un dels controladors aeris va rebutjar realitzar el curs fora de la seva jornada laboral i va exigir que s’inclogués en el seu quadrant de serveis (391 empleats van realitzar el curs en termini). Finalment, el va completar fora del termini establert, juntament amb altres 41 companys.

A causa de la falta d’obediència per part d’aquest empleat, l’empresa el va sancionar amb 3 dies de suspensió de sou i feina, fonamentant la seva decisió en l’article 95.2.i) EBEP, el qual tipifica com a falta molt greu la «desobediència oberta a ordres d’un superior».

En aquest sentit, el Tribunal raona que, si bé l’ ordre de realitzar formació en dies de descans aparentment contravindria el dret del treballador a la intimitat personal i familiar de l’ article 18 de la Constitució en el seu vessant de desconnexió digital, regulat a l ‘ article 88 de la LOPDGDD, les dues hores dedicades a la realització del curs online pel treballador són reconegudes per l’ empresa com a temps de treball i,  per tant, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

D’ aquesta manera, el Tribunal raona que l’ empresa pot ordenar la realització de treball retribuït fora d’ horari laboral i, per això, el període per realitzar la formació a distància computaria com a hores extraordinàries de temps efectiu de treball, evidentment, amb les conseqüències legals derivades.

A més, afegeix que el conveni col·lectiu, en el seu article 29.1.1.3, indica clarament que «la jornada programable no inclou el temps necessari per a la formació que no tingui la consideració d’activitat aeronàutica». Tenint en compte que la formació era relativa a Recursos Humans, l’ exigència que la formació online de l’ article 227 del conveni s’ inclogués en la jornada programable mancaria de fonament jurídic.

El Tribunal argumenta que la falta de criteris establerts per l’empresa per garantir el compliment del nombre d’hores de jornada exigit no implica la il·legalitat de l’ordre ni justifica la desobediència d’aquesta, ja que cal tenir en compte l’escàs nombre d’hores de formació requerit i el llarg període per realitzar-lo (fet que permetia perfectament el respecte dels descansos legals). Si bé es podria qüestionar la legalitat de l’ ordre en relació amb l’ ordenació del temps de treball i descansos, no implica la vulneració d’ un dret fonamental, tal com al·lega el treballador.

Així mateix, el motiu pel qual el treballador es va negar a complir l’ ordre no va ser la seva ignorància sobre les normes aplicables a jornada i descansos per elegir correctament el moment de la seva activitat formativa online, sinó l’ exigència que s’ inclogués en la jornada programable d’ activitat aeronàutica, la qual cosa el Tribunal indica que manca de fonamentació jurídica.

Conclusió

Aquesta sentència ofereix un raonament profund sobre els límits entre treball i descans. Si bé el dret a la desconnexió digital és essencial, hi ha matisos que valorar, doncs, com hem indicat, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

Pot llegir la sentència aquí

Com sempre, cuida les dades i cuideu-vos!

Protecció de dades vs. mentides en el CV: Quan l’empresa creua la línia de la legalitat en la seva investigació

per

El 19 d’abril de 2024, el TSJ de Castella i Lleó (STSJ CL 1540/2024) declara improcedent l’acomiadament disciplinari d’una treballadora per mentir en el seu CV. L’empresa havia detectat irregularitats, i per això va demanar l’informe de vida laboral als treballadors per contrastar aquesta informació amb els seus currículums. Així és com van poder descobrir que en el d’aquesta empleada hi havia discrepàncies. No obstant això, el Tribunal ha declarat l’acomiadament com a improcedent a causa de l’ús il·lícit de les dades personals.

Fets

L’empleada, que va iniciar la seva relació laboral amb l’empresa el setembre del 2020, va aportar inicialment un currículum en el qual indicava que havia treballat com a operària de cadena al departament de soldadura a Renault. No obstant això, aquesta dada no apareixia en el currículum que va entregar el 2022; en el seu lloc, es va indicar una altra experiència professional com a operària de cadena que no es corresponia amb l’exposat al seu dia.

Aquell mateix any, arran d’un procediment intern de selecció, l’empresa va demanar als treballadors la remissió de la seva vida laboral i, en contrastar el currículum de la treballadora amb la seva vida laboral, es va observar la incongruència.

Per això, el març del 2022 l’empresa va procedir a notificar-li el seu acomiadament disciplinari, amb efectes a partir del 24 de juny i fonamentat en la seva transgressió a la bona fe contractual (article 54.2.d) de l’Estatut dels Treballadors.

No obstant això, l’empleada va impugnar l’acomiadament i va al·legar que s’ havia vulnerat el seu dret a la protecció de dades, atès que l’empresa va utilitzar el seu informe de vida laboral per justificar el seu acomiadament sense cap tipus de base legítima per a això.

Si bé el tribunal d’instància va declarar la procedència de l’acomiadament, la treballadora va recórrer al TSJ de Castella i Lleó, el qual ha declarat l’acomiadament com a improcedent.

Aquest TSJ ha reconegut l’ús il·lícit de les dades personals cedides per la treballadora que va realitzar l’empresa, atès que aquesta els va utilitzar per a un fi diferent al que se suposava—la treballadora havia lliurat l’informe voluntàriament per a processos de selecció, no per a una investigació disciplinària.

Així mateix, el Tribunal subratlla la il·licitud del tractament, indicant que s’ha vulnerat el dret a la protecció de dades de la treballadora, el qual considera com un dret fonamental protegit per l ‘article 18.4 de la Constitució espanyola

El Tribunal considera que aquesta vulneració és motiu suficient per afirmar la improcedència, atès que, en cas de prescindir de la informació obtinguda de la vida laboral de l’ empleada, l’ acomiadament mancaria de justificació. A més, destaca el defecte formal en la carta d’acomiadament, ja que aquesta no descrivia amb claredat la conducta sancionada i que la falta al·legada per l’empresa havia prescrit, doncs, des del coneixement de la suposada irregularitat al març de 2022 fins a l’acomiadament al juny de 2022, ja havien transcorregut més de 60 dies,  la qual cosa superava el termini legal per sancionar una falta molt greu.

El Tribunal Superior de Justícia de Castella i Lleó va condemnar l’empresa a readmetre la treballadora o abonar-li una indemnització de 5.462’42€, a més d’una indemnització addicional per danys morals de 3.000€, a causa de la vulneració del seu dret fonamental a la protecció de dades.

Conclusió

L’ empresa no va poder acreditar un interès legítim superior al dret fonamental a la protecció de dades de la treballadora, per la qual cosa la causa de l’ acomiadament va quedar invalidada. Aquesta decisió senta un precedent sobre els límits de les empreses per verificar CVs, prioritzant el compliment del RGPD fins i tot en casos de presumpta mala fe del treballador.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, faci clic aquí.

Treballes o et vigilen? La CNIL multa amb 40.000€ una empresa per controlar fins al segon d’inactivitat dels seus empleats

per

El 19 de desembre de 2024, l’autoritat de protecció de dades francesa (CNIL) va imposar una sanció de 40.000€ a una empresa del sector immobiliari per controlar els seus empleats sense informar, sense adoptar mesures de seguretat adequades i sense haver realitzat una EIPD.

Fets

Arran de diverses denúncies, la CNIL va realitzar una inspecció en la qual va observar que l’empresa filmava constantment els seus empleats i captava la imatge i el so, a més de mesurar el seu temps de treball i avaluar el seu rendiment de forma molt precisa gràcies al programa informàtic instal·lat als seus ordinadors.

El sistema de videovigilància captava constantment imatges i sons dels empleats del local, tant en els seus llocs de treball com en els espais de descans. A més, aquestes imatges podien ser visualitzades pels supervisors mitjançant una aplicació mòbil. Aquesta mesura no va ser justificada de cap manera, la qual cosa suposa una clara vulneració excessiva dels drets dels treballadors, així com del principi de minimització de dades (art. 5.1.c) RGPD).

D’altra banda, pel que fa al programari instal·lat als ordinadors dels empleats per monitorar la seva activitat, la CNIL va considerar que aquesta mesura era totalment desproporcionada i una vigilància especialment intrusiva. Aquest programari permetia, a més de comptar les hores de treball, saber si l’empleat no escrivia al teclat ni movia el ratolí en un període d’entre 3 i 15 minuts, en el qual també podien prendre’s captures de pantalla periòdiques. En cas de detectar aquests períodes d’ inactivitat, si no es justificaven o compensaven, s’ aplicava una deducció de salari.

La CNIL va indicar que aquest programa no era fiable, atès que els períodes d’aparent inactivitat podien correspondre a temps de treball efectiu en el marc de les seves funcions (com reunions o trucades telefòniques), per la qual cosa no hi havia una garantia que el programari complís amb la seva finalitat de forma correcta.

A més, el sistema, en permetre la captura de dades potencialment privades (com correus electrònics personals, converses de missatgeria instantània o contrasenyes confidencials), constituïa una vulneració desproporcionada de la privacitat, interessos i drets fonamentals dels treballadors, i el tractament de les dades mancava de fonamentació legal (art. 6 RGPD).

Així mateix, l’ empresa tampoc va proporcionar informació escrita suficient sobre el tractament que realitzava el programari de monitoratge, ni en documents d’ informació interns de l’ empresa ni en els contractes de treball i d’ estudi dels empleats, la qual cosa constitueix una infracció de l’ article 13 del RGPD.

En últim lloc, l’empresa tampoc va realitzar una avaluació d’impacte sobre la protecció de dades (EIPD) per al tractament que va realitzar en implementar el programa de monitoratge, la qual era necessària en haver-hi un alt risc per als drets i llibertats dels empleats.

Conclusió

El monitoratge excessiu i el control laboral sense prendre les mesures tècniques i organitzatives necessàries transgredeixen els drets dels empleats a nivells excessius. Cal recordar que sempre que es realitza un tractament de dades que afecta drets sensibles, s’ ha de realitzar amb cautela i actuant en el marc de la normativa de protecció de dades.

Com sempre, cuideu les dades i ¡cuideu-vos!

Per llegir la resolució, faci clic aquí.

Revisió Texts legals web