Dret i empresa en entorns digitals

3.1. Corporate Governance, IT Governance: principios, normas y funcionamiento de las empresas orientadas a tecnología.
3.2. Nuevos modelos de empresa y la calidad de la gestión TIC.
3.3. Aspectos jurídicos de la economía colaborativa.
3.4. El asesoramiento jurídico de emprendedores y start-ups digitales.
3.5. Outsourcing: contratación a terceros de bienes y servicios.
3.6. Las nuevas relaciones laborales en las empresas digitales: teletrabajo, control empresarial y derecho a la intimidad.

Shadow AI en el treball: com supervisar sense travessar la línia de la vigilància

per

L'ús d'eines d'intel·ligència artificial en l'entorn laboral—moltes vegades fora dels canals oficials—està obligant les empreses a replantejar els seus mecanismes de control. El fenomen del Shadow AI planteja un dilema clar: les organitzacions necessiten supervisió, però un enfocament excessiu pot derivar en conflictes laborals i riscos legals. 

L'Agència Espanyola de Protecció de Dades (AEPD), a la seva Guia sobre protecció de dades en les relacions laborals, ofereix un marc clar: el control és legítim, però ha de respectar els principis de proporcionalitat, transparència i minimització. 

El punt de partida: el control empresarial és legítim 

L'Estatut dels Treballadors reconeix la facultat de l'empresa per a adoptar mesures de vigilància i control amb la finalitat de verificar el compliment de les obligacions laborals. Aquest control inclou l'ús d'eines digitals i, per extensió, l'ús que els empleats fan de tecnologies com la intel·ligència artificial. 

Ara bé, com recorda l'AEPD, aquest control ha d'exercir-se dins dels límits del RGPD i la LOPDGDD. És a dir, no tot val: qualsevol mesura ha de ser proporcionada, justificada i respectuosa amb els drets fonamentals dels treballadors. 

El risc de la «vigilància total» 

Davant l'auge del Shadow AI, algunes organitzacions poden caure en la temptació d'implantar sistemes de monitoratge intensiu: registre d'activitat, anàlisi de comportament, captura d'ús d'eines o supervisió contínua. 

El problema és que aquest enfocament pot ser contraproduent. L'AEPD adverteix que les mesures de control excessives poden vulnerar drets com la intimitat o el secret de les comunicacions, especialment si no estan degudament justificades. 

A més, un sistema de vigilància desproporcionat pot generar: 

  • conflictes laborals i pèrdua de confiança, 
  • incompliments en matèria de protecció de dades, 
  • i, en cas d'incident, proves febles o impugnables per haver-se obtingut sense garanties. 

La clau: supervisió proporcional i amb garanties 

L'equilibri està a dissenyar un model de control basat en tres pilars fonamentals: 

Proporcionalitat 

Les mesures han de ser adequades al risc. No és el mateix controlar accessos a informació sensible que monitorar de forma generalitzada tota l'activitat digital. L'empresa ha d'optar per solucions menys intrusives quan siguin suficients. 

Informació prèvia i transparència 

Els treballadors han de conèixer de manera clara quines eines s'utilitzen, quines dades es recullen i amb quina finalitat. L'AEPD insisteix en la importància de polítiques internes ben definides i comunicades. 

Finalitat i minimització 

Les dades recollides han de limitar-se a l'estrictament necessari per a la finalitat perseguida. No es justifica recopilar informació excessiva «per si de cas». 

Shadow AI: del control tècnic a la governança 

Controlar l'ús d'IA en l'empresa no és només una qüestió tecnològica. És, sobretot, una qüestió de governança de la dada i cultura organitzativa. 

Les organitzacions més madures estan optant per enfocaments combinats: 

  • polítiques clares sobre ús d'IA, 
  • formació a empleats sobre riscos, 
  • eines autoritzades i segures, 
  • i controls selectius orientats a riscos concrets. 

Aquest enfocament no elimina el risc, però el gestiona sense envair innecessàriament l'espai del treballador. 

Conclusió: controlar sí, però amb disseny jurídic 

El Shadow AI no se soluciona amb més vigilància, sinó amb millor disseny. La clau està a trobar un equilibri entre control i drets, entre seguretat i confiança. 

Les empreses que optin per mesures desproporcionades no solament s'exposen a sancions, sinó també a un problema més subtil: perdre la validesa dels seus propis mecanismes de control. 

Perquè en l'entorn laboral digital, no n'hi ha prou amb supervisar. Cal fer-ho de manera que, arribat el moment, pugui sostenir-se jurídica i provatòriament. 

 Com sempre, cuideu les dades i cuideu-vos! 

Subcontractació en cadena i RGPD: 15.000 € per oblidar que el control no es delega 

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a DYNAMIC EXPRESS COURIER S.L. amb 15.000 euros per incompliments de l'article 28 del RGPD en el marc d'un servei de recollida documental per a ING. La resolució ofereix una lliçó clara per a qualsevol organització que actuï com a encarregat del tractament i recorri a tercers en la prestació del servei. 

Més enllà de l'extraviament de documentació bancària amb dades altament sensibles, el focus de l'AEPD se situa en una cosa estructural: la gestió de la cadena de subcontractació i el compliment formal—i material—de les exigències de l'article 28 RGPD. 

Els fets: una cadena de subencàrrecs sense control efectiu 

ING, com a responsable del tractament, va contractar a DYNAMIC com a encarregat per a la recollida de documentació de clients. Durant la vigència del contracte (1 de setembre de 2022 a 28 de febrer de 2023), DYNAMIC va recórrer a SENDING com subencarregat. 

Al seu torn, SENDING va subcontractar a AUTORADIO per a executar materialment la recollida de la documentació. El problema no va ser només operatiu (la documentació mai va arribar a destí), sinó jurídic: 

  • No constava autorització prèvia i per escrit d'ING per a comptar amb SENDING com a subencarregat. 
  • Tampoc es va acreditar que ING hagués estat informada de la intervenció d’AUTORADIO. 
  • Els contractes de subencàrrec aportats no complien plenament amb les exigències del RGPD. 

L'AEPD declara provat que DYNAMIC tenia coneixement de la intervenció d’AUTORADIO i que no ho va comunicar al responsable. 

Article 28.2 RGPD: l'autorització no és un formalisme 

L'article 28.2 RGPD estableix que l'encarregat no podrà recórrer a un altre encarregat sense l'autorització prèvia, específica o general, del responsable. 

En aquest cas, el contracte entre ING i DYNAMIC exigia autorització prèvia i expressa per a subcontractar. No obstant això, no constava autorització per a SENDING ni comunicació relativa a AUTORADIO. 

L'AEPD aprecia dues infraccions de l'article 28.2 RGPD: 

  • Subencarregar sense autorització prèvia i per escrit. 
  • No informar el responsable sobre canvis en la cadena de subcontractació. 

El missatge és clar: el responsable ha de poder conèixer, controlar i, si és el cas, oposar-se als subencarregats que intervenen en el tractament. 

 Article 28.4 RGPD: el contracte de subencargo ha de ser adequat 

La resolució també analitza l'article 28.4 RGPD, que exigeix que el subencarregat assumeixi les mateixes obligacions en matèria de protecció de dades que les establertes entre responsable i encarregat. 

Els contractes entre DYNAMIC i SENDING presentaven deficiències rellevants: no identificaven correctament al responsable (ING) i no reflectien adequadament el marc contractual específic. 

L'AEPD conclou que no n'hi ha prou amb tenir «algun contracte» de protecció de dades. El contingut ha d'ajustar-se al RGPD i a les instruccions concretes del responsable. 

La sanció: tres infraccions, 15.000 euros 

Finalment, l'AEPD imposa: 

  • 5.000 € per subencarregar a SENDING sense autorització (art. 28.2 RGPD). 
  • 5.000 € per no informar sobre la intervenció d’AUTORADIO (art. 28.2 RGPD). 
  • 5.000 € per no comptar amb un contracte de subencàrrec vàlid amb SENDING (art. 28.4 RGPD). 

Total: 15.000 euros. 

Conclusió: la responsabilitat en cadena també és responsabilitat jurídica 

Aquesta resolució recorda que l'article 28 RGPD no és una clàusula estàndard que es copia i enganxa en els contractes. És un mecanisme essencial per a garantir que els drets dels interessats es preservin al llarg de tota la cadena de tractament. 

Per a responsables i encarregats, la lliçó és evident: 

  • Identificar i documentar tots els subencarregats. 
  • Exigir autorització prèvia quan així s'estableixi. 
  • Formalitzar contractes plenament alineats amb el RGPD. 
  • Mantenir traçabilitat i control real sobre la cadena de proveïdors. 

En protecció de dades, delegar la prestació del servei no implica delegar la responsabilitat. I quan el control es dilueix en la cadena de subcontractació, el risc—jurídic i reputacional—es multiplica. 

Com sempre, cuideu les dades i cuideu-vos! 

Per llegir la resolució, feu clic aquí. 

Arriba el canal europeu de denúncies sobre IA: què suposa per a les empreses i com preparar-se

per

La governança de la intel·ligència artificial a Europa fa un pas decisiu amb el llançament de l'AI Act Whistleblower Tool, el nou canal europeu per a denunciar infraccions relacionades amb l'ús i desenvolupament de sistemes de IA. L'eina, impulsada per l'Oficina Europea d'Intel·ligència Artificial, introdueix una capa addicional de vigilància en un moment clau: el Reglament d'Intel·ligència Artificial (RIA o AI Act) avança cap a la seva plena aplicació, i les empreses tecnològiques hauran de reforçar la seva cultura de compliment normatiu.

Encara que moltes obligacions del RIA encara no són exigibles, Brussel·les vol anticipar-se a possibles incompliments i converteix a empleats, col·laboradors i socis comercials en aliats estratègics per a detectar riscos. Aquest enfocament se suma al marc ja existent a Espanya, compost per l'Autoritat Independent de Protecció de l'Informant (AIPI), l'Agència Espanyola de Supervisió d'Intel·ligència Artificial (AESIA) i els sistemes interns d'informació obligatoris sota la Llei 2/2023.

En què consisteix l'AI Act Whistleblower Tool?

Es tracta d'un canal de denúncia extern, segur, confidencial i totalment independent dels sistemes interns de les companyies. Permet comunicar presumptes infraccions del RIA, tant en obligacions ja actives com en àmbits connexos afectats pel desplegament de IA:

  • Seguretat de productes.
  • Protecció del consumidor.
  • Privacitat i seguretat de les dades.
  • Pràctiques internes que puguin posar en risc drets fonamentals o la confiança pública.

No obstant això, els experts adverteixen que el seu abast encara és limitat: algunes obligacions—com la transparència sobre les dades d'entrenament—no seran exigibles fins a fases posteriors, i la protecció plena dels denunciants no serà aplicable fins al 2 d'agost de 2026.

Un ecosistema de canals que conviurà i se solaparà

El nou canal europeu no substitueix als mecanismes nacionals. Les denúncies podran presentar-se tant per via interna com externa, sense necessitat d'esgotar cap via prèviament. Això obre la porta a investigacions paral·leles i, potencialment, a un solapament de sancions si concorren diferents supervisors.

Davant aquesta falta de claredat pràctica, els especialistes en compliance recomanen reforçar els sistemes interns per a millorar la seva eficàcia i capacitat de resposta. La Llei 2/2023 exigeix que el sistema intern sigui accessible, garanteixi l'anonimat i la confidencialitat, protegeixi enfront de represàlies i compti amb una gestió independent, encara que l'operació pugui externalitzar-se.

A més, les empreses han d'informar no sols del seu canal intern, sinó també dels canals externs disponibles, inclosos els europeus.

Què han de fer ara les tecnològiques?

Amb la posada en marxa del canal europeu, les organitzacions que desenvolupen o integren IA deurien:

  1. Revisar i actualitzar els seus programes de compliance, incorporant obligacions del RIA i protocols específics de IA.
  2. Auditar els seus sistemes interns d'informació per a garantir la seva eficiència, accessibilitat i alineació amb la Llei 2/2023.
  3. Capacitar als equips sobre obligacions de l'AI Act, riscos legals i funcionament dels diferents canals.
  4. Avaluar l'impacte de possibles recerques simultànies i preparar plans de resposta coordinats.

En un entorn regulador cada vegada més complex, la prevenció i la transparència seran claus per a evitar riscos sancionadors i reputacionals. El missatge és clar: l'era de la supervisió reforçada de la IA ja ha començat, i les empreses han d'estar preparades.

Com sempre, cuideu les dades i cuideu-vos!

 

 

Seguretat o privacitat: el pols judicial pel fitxatge amb empremta digital

per

La recent Sentència núm. 370/2025 del Jutjat social núm. 3 de la Corunya ha reobert el debat sobre la legalitat del registre de jornada mitjançant sistemes biomètrics en l'entorn laboral. En un context marcat per la cautela de l'Agència Espanyola de Protecció de Dades (AEPD) i la tendència empresarial a abandonar aquests sistemes, la fallada avala la utilització de l'empremta digital com a mecanisme de control horari en un hospital públic, qualificant-la de «poc invasiva» i «proporcionada».

Un cas amb implicacions més enllà de l'hospital

El conflicte enfrontava al comitè d'empresa i a la Confederació Intersindical Galega enfront de l'Institut Policlínic Santa Teresa S.A. Els representants sindicals al·legaven vulneració dels drets fonamentals a la intimitat, la salut i la llibertat sindical per l'ús obligatori d'un sistema de fitxatge mitjançant empremta dactilar.

El tribunal, no obstant això, va desestimar íntegrament la demanda i va considerar que el sistema biomètric empleat—basat en plantilles no identificatives i amb mesures de seguretat avançades—respectava els principis del RGPD i la LOPDGDD, resultant idoni per a garantir el registre horari exigit per l'article 34.9 de l'Estatut dels Treballadors.

Un argument jurídic polèmic

El punt més controvertit radica en la base jurídica triada pel jutjat per a legitimar el tractament de dades biomètriques: l'excepció de l'article 9.2.i) del RGPD, relativa al tractament necessari per raons d'interès públic en l'àmbit de la salut pública.

Aplicar aquesta excepció—concebuda per a amenaces sanitàries o seguretat assistencial—al simple registre de jornada laboral resulta, com menys, discutible. El tribunal justifica la seva decisió en considerar l'hospital una infraestructura crítica (Llei 8/2011), on la verificació biomètrica contribuiria a la seguretat de pacients, medicaments i personal. No obstant això, aquest raonament confon dos tractaments distints: el control d'accés (més defensable des de la perspectiva de la seguretat) i el registre horari, la finalitat del qual és purament laboral.

Falta de doctrina unificada

El cas reflecteix l'absència d'una doctrina consolidada entorn del fitxatge biomètric.

Mentre que l'AEPD, en la seva Guia sobre ús de dades biomètriques (novembre de 2023), insisteix que aquests sistemes són altament intrusius i d'ús excepcional, alguns tribunals i organismes tècnics—com el CNPIC o el Consell Espanyol per al Registre de Jornada—mantenen posicions més permissives, especialment en contextos de seguretat reforçada.

El resultat és un panorama fragmentat en el que la mateixa pràctica pot considerar-se il·lícita o proporcional segons que la valori.

Una sentència que convida a la reflexió

El Jutjat de la Corunya ha anat més enllà de la postura majoritària en qualificar l'empremta digital com menys intrusiva que alternatives com les apps amb geolocalització o els lectors de targetes NFC.

Aquesta valoració, no obstant això, sembla minimitzar la naturalesa sensible de les dades biomètriques i el risc inherent al seu tractament. Més que un pas cap a la modernització tecnològica, la fallada pot interpretar-se com un retrocés en la cultura de protecció de dades laborals.

En definitiva, aquesta sentència ens convida a una reflexió urgent: Estem davant un canvi de tendència judicial o davant un excés d'interpretació que desdibuixa els límits del RGPD? La veritat és que, avui dia, la seguretat jurídica en matèria de fitxatge biomètric segueix tan difusa com les empremtes que pretén registrar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

El dret a desconnectar: una obligació ignorada? 

per

El recent focus mediàtic sobre l'incompliment empresarial en matèria de desconnexió digital posa l'accent en la necessitat urgent que les companyies passin de les bones intencions a l'acció rigorosa. Igual que amb la protecció de dades biomètriques, el principi de "complir i poder demostrar-ho" marca la diferència entre un risc reputacional i una empresa alineada amb el nou estàndard de benestar digital.  

Fets 

Després de l'entrada en vigor de la Llei Orgànica 3/2018 i la Llei 10/2021, totes les empreses tenen l'obligació de comptar amb un protocol de desconnexió digital negociat i eficaç, no només formal. No obstant això, la Inspecció de Treball ha detectat que en molts casos aquest protocol és simbòlic, manca de mesures reals i no contempla la deguda informació i formació als empleats.  

L'increment de controls el 2025 ha fet aflorar pràctiques com l'enviament freqüent de comunicacions fora de jornada, especialment en el teletreball, i l'absència de vies clares per exercir aquest dret sense patir represàlies. El 27% dels empleats espanyols declara treballar extres digitals sense contraprestació ni justificació.  

Protocols efectius: del paper a la pràctica 

Tenir un protocol no és suficient: s'ha d'adaptar a la realitat interna, abastar la flexibilitat horària, preveure situacions urgents, i formar els equips sobre el dret a desconnectar. L' experiència europea ho confirma: la desconnexió s' integra en la cultura corporativa i en la presa de decisions del lideratge, no com una mera clàusula legal.  

El correcte compliment requereix aspectes com: 

  1. Polítiques clares i negociades sobre l' ús de dispositius i canals fora d' horari. 
  2. Mecanismes per informar i canalitzar incidents.
  3. Formació i comunicació contínua, revisant i actualitzant els protocols periòdicament.  
  4. Implementació efectiva i no merament formal.

Sancions i risc reputacional 

Les sancions per incompliment han augmentat: de 751 a 7.500 € per a infraccions greus, i fins a 225.018 € si hi ha risc psicosocial provat o assetjament laboral. Fins i tot aquelles empreses amb protocols només "de cara a la galeria" han estat sancionades si no van aplicar, van formar ni comunicar correctament les seves polítiques. La jurisprudència recent avala indemnitzacions per danys derivats de l'estrès digital, i pronuncia nul·les les sancions o acomiadaments a empleats que van exercir el seu dret a la desconnexió.  

Mirada pràctica i europea 

A nivell europeu, la futura directiva de desconnexió digital i els informes de l'Agència Europea per a la Seguretat i Salut en el Treball col·locant el dret a desconnectar com a eix central del benestar i la prevenció psicosocial. Les bones pràctiques recomanen caminar cap a una implantació transversal, real i mesurable, amb auditories internes i visió de millora constant.  

Conclusió 

Complir formalment ja no n'hi ha prou: la desconnexió digital exigeix cultura, implicació de tots els departaments i lideratge actiu. El cost d'ignorar-la es pot superar amb molt el de qualsevol sanció administrativa i, per suposat, una caiguda reputacional.  

Com sempre, cuideu les dades i cuideu-vos! 

El dret a desconnectar no es negocia: sanció a LVMH per ús indegut del mòbil d’una empleada

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha imposat una sanció de 70.000€ a LVMH Iberia per obligar una empleada a usar el seu telèfon mòbil personal per a finalitats laborals, fins i tot en contra de la seva voluntat. Aquesta actuació constitueix una vulneració tant del Reglament General de Protecció de Dades (RGPD) com del dret a la desconnexió digital previst en la LOPDGDD.

L'afectada es va veure forçada a utilitzar el seu número de telèfon personal per a participar en grups de WhatsApp corporatius, a l'espera d'un telèfon d'empresa que mai se li va lliurar. Un dia abans d'iniciar les seves vacances, va comunicar per escrit i verbalment la seva intenció de deixar d'usar el seu mòbil personal per a temes de treball, es va sortir de diversos grups i va reiterar que esperava disposar del dispositiu corporatiu promès.

No obstant això, al dia següent, mentre gaudia del seu dia lliure, va ser inclosa sense consentiment en un nou grup de WhatsApp de l'empresa, en el qual va romandre fins al seu acomiadament. Davant aquesta situació, va presentar una reclamació davant l'AEPD.

L'empresa, per part seva, va justificar la seva actuació assegurant que va adoptar una «postura garantista» i que els grups només incloïen a empleats, la qual cosa consideraven una mesura adequada i necessària per a l'operativa diària. També van al·legar que, en general, els treballadors accedeixen a aquests grups amb dispositius corporatius i que l'ús del telèfon personal és una cosa «excepcional i transitòria».

No obstant això, l'AEPD va considerar que va haver-hi una doble infracció:

  • Violació de l' 6.1 RGPD, per utilitzar dades personals (el número de telèfon privat) sense base legal vàlida ni consentiment explícit.
  • Vulneració del dret a la desconnexió digital ( 88 LOPDGDD), per obligar l'empleada a participar en comunicacions laborals fins i tot durant les seves vacances, sense respectar els límits del descans personal.

Com a conseqüència, l'AEPD va imposar una multa inicial de 70.000€, que va quedar reduïda a 42.000€, després del reconeixement de responsabilitat i al pagament voluntari per part de l'empresa.

Conclusió

Aquest cas marca un precedent important en l'àmbit laboral digital: les empreses no poden imposar l'ús de dispositius personals per al treball sense consentiment clar i revocable, i han de respectar el dret a la desconnexió digital, especialment fora de l'horari laboral o en períodes de descans.

Cal recordar a totes les organitzacions que la gestió de grups de WhatsApp o altres eines informals no eximeix del compliment del RGPD, i que la comoditat operativa no justifica la invasió de la vida privada dels empleats.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Privacitat en perill: sancionen una immobiliària per espiar bústies sense consentiment

per

Un ex-treballador d'ESTUDI ALCAZAR DEL GENIL 2022, S.L va denunciar a la immobiliària davant l'AEPD per haver estat obligat a prendre fotos de bústies de comunitats de veïns per a crear una base de dades de possibles clients, sense permís ni informació prèvia als afectats. En negar-se, va ser acomiadat.

Durant la recerca, l'AEPD va confirmar que es van recopilar dades personals (noms, direccions, portes i plantes) sense consentiment i que es van pujar a una base de dades utilitzada amb finalitats comercials.

Fonaments Jurídics Clau

Què es considera una dada personal?

Segons el Reglament General de Protecció de Dades (RGPD), qualsevol informació que identifiqui o pugui identificar a una persona, com el nom, la direcció o fins i tot les dades d'una bústia, es considera dada personal.

Què s’entén como tractament de dades?

El tractament de dades implica qualsevol acció sobre aquestes dades: recollir-los, emmagatzemar-los, usar-los, etc.

Es pot fer el que va fer l’empresa?

No. L'article 6 del RGPD exigeix una base legal per a tractar dades personals. Per exemple, el consentiment de l'afectat, un contracte, una obligació legal o un interès legítim que no danyi els drets del ciutadà.

En aquest cas, l'empresa no tenia cap base legal, ja que no va demanar permís ni va informar els veïns, i tampoc es tractava d'una font pública ni hi havia un altre motiu que el justifiqués.

Infracció

L'AEPD conclou que Estudio Alcázar va cometre una infracció molt greu per tractar dades personals sense base legal (art. 6 RGPD), a més de ser conscient de la infracció (art. 83.2.b) RGPD), perquè la supervisora de l'ex-treballador li va reconèixer que aquesta pràctica formava part de la metodologia implementada per a la gestió de zones.

A més, la immobiliària no va informar els titulars de les dades recaptades cap mena d'informació sobre aquest tractament. Això suposa una vulneració de l'art. 14 RGPD, el qual estableix l'obligació del responsable del tractament de proporcionar informació clara i accessible a l'interessat quan les dades personals no han estat obtinguts directament d'ell.

Sanció

L'AEPD va imposar una sanció de 20.000€, que, després del reconeixement de la seva responsabilitat i pagament voluntari, va quedar reduïda a 12.000€.

Conclusió

Aquest cas posa en evidència una cosa fonamental: el nom de la bústia és una dada protegida per llei. Ningú pot recopilar aquesta informació sense el permís del titular per a usar-la amb finalitats comercials. Les empreses tenen l'obligació de respectar la seva privacitat i només poden usar les seves dades quan tenen una base legal clara. Si no és així, s'enfronten a sancions com aquesta.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

Confidencialitat Vulnerada: La Importància del Deure de Confidencialitat en Canals de Denúncies

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a SERVICIOS ESPECIALES, S. A. amb 200.000€ per no complir amb el deure de confidencialitat en les denúncies realitzades en l'àmbit laboral.

La resolució es fonamenta en dues reclamacions presentades per treballadors que van denunciar la vulneració de la confidencialitat en el tractament de dades personals durant un protocol d'assetjament laboral. L'empresa va divulgar informació sensible, incloent-hi noms i cognoms dels denunciants i denunciats, la qual cosa va generar conseqüències negatives per als afectats, com a atacs d'ansietat i exposició pública en l'entorn laboral.

Si bé tot va iniciar amb l'activació del protocol d'assetjament laboral, l'Empresa va finalitzar el procés adjuntant la resolució a cadascun dels denunciants—5 en total—, la qual cosa destapava la identitat de cadascun dels ells (perquè s'exposaven tant els seus noms i cognoms com els seus llocs de treball) i dels denunciats—10 en total—als quals també es va reexpedir la resolució.

Com a conseqüència, un dels denunciats, a través d'un grup de WhatsApp del treball i el mateix dia del coneixement de la resolució, va enviar un emoji d'un petó i la frase: «Gràcies per la denúncia». Aquest fet li va generar a una de les denunciants un atac d'ansietat, pel qual es va acollir a la baixa mèdica.

Per part seva, l'empresa va al·legar que «tots sabien ja qui eren», per la qual cosa l'anonimat no va ser sol·licitat expressament i que, a més, el Comitè d'Empresa que va dur a terme el protocol tampoc el va demanar.

És necessari recordar que l'article 5.1.f) del Reglament General de Protecció de Dades (RGPD) estableix el principi d'integritat i confidencialitat i indica que les dades personals han de ser tractats de manera que es garanteixi una seguretat adequada, per la qual cosa ha d'evitar-se l'accés no autoritzat o il·lícit i protegir-se contra la seva pèrdua o mal accidental.

En aquest cas, l'empresa va vulnerar aquest principi en permetre l'accés a dades personals sensibles (identitats de denunciants i denunciats) per part de múltiples persones—15—, sense garantir mesures tècniques o organitzatives apropiades.

Per tot l'exposat, l'AEPD va imposar una sanció de 200.000€, la qual quedaria reduïda a 120.000€ en cas que l'empresa reconegués la seva responsabilitat i procedís al pagament voluntari.

Conclusió

La resolució evidencia una vulneració significativa del principi de confidencialitat establert en el RGPD, la qual va afectar directament els drets fonamentals dels denunciants, donat que les seves identitats van quedar desprotegides. Aquest cas ressalta la necessitat d'implementar mesures estrictes per a garantir la seguretat i privacitat en el tractament de dades personals en entorns laborals.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

El trencaclosques del temps efectiu: què compta com a jornada laboral?

per

La Sentència del Tribunal Superior de Justícia de Madrid nº962/2020 resol un conflicte laboral emblemàtic sobre el Dret a la Desconnexió Digital i els límits de la formació obligatòria fora de la jornada laboral. El cas va enfrontar un controlador aeri d'ENAIRE, qui va ser sancionat per no completar cursos de formació online en els seus dies de descans, i va realitzar algunes precisions respecte al dret a la desconnexió digital.

Fets

L'empresa va exigir als seus empleats realitzar un curs formatiu online—preceptiu, segons la normativa europea i el conveni col·lectiu—de dues hores en els seus períodes de descans, sense alterar el seu horari laboral presencial, i va destacar la seva obligació de realitzar el curs «en els cicles de descans de tres dies que de conformitat amb l'article 33 del conveni col·lectiu li són programats». No obstant això, un dels controladors aeris va rebutjar realitzar el curs fora de la seva jornada laboral i va exigir que s'inclogués en el seu quadrant de serveis (391 empleats van realitzar el curs en termini). Finalment, el va completar fora del termini establert, juntament amb altres 41 companys.

A causa de la falta d'obediència per part d'aquest empleat, l'empresa el va sancionar amb 3 dies de suspensió de sou i feina, fonamentant la seva decisió en l'article 95.2.i) EBEP, el qual tipifica com a falta molt greu la «desobediència oberta a ordres d'un superior».

En aquest sentit, el Tribunal raona que, si bé l' ordre de realitzar formació en dies de descans aparentment contravindria el dret del treballador a la intimitat personal i familiar de l' article 18 de la Constitució en el seu vessant de desconnexió digital, regulat a l ' article 88 de la LOPDGDD, les dues hores dedicades a la realització del curs online pel treballador són reconegudes per l' empresa com a temps de treball i,  per tant, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

D' aquesta manera, el Tribunal raona que l' empresa pot ordenar la realització de treball retribuït fora d' horari laboral i, per això, el període per realitzar la formació a distància computaria com a hores extraordinàries de temps efectiu de treball, evidentment, amb les conseqüències legals derivades.

A més, afegeix que el conveni col·lectiu, en el seu article 29.1.1.3, indica clarament que «la jornada programable no inclou el temps necessari per a la formació que no tingui la consideració d'activitat aeronàutica». Tenint en compte que la formació era relativa a Recursos Humans, l' exigència que la formació online de l' article 227 del conveni s' inclogués en la jornada programable mancaria de fonament jurídic.

El Tribunal argumenta que la falta de criteris establerts per l'empresa per garantir el compliment del nombre d'hores de jornada exigit no implica la il·legalitat de l'ordre ni justifica la desobediència d'aquesta, ja que cal tenir en compte l'escàs nombre d'hores de formació requerit i el llarg període per realitzar-lo (fet que permetia perfectament el respecte dels descansos legals). Si bé es podria qüestionar la legalitat de l' ordre en relació amb l' ordenació del temps de treball i descansos, no implica la vulneració d' un dret fonamental, tal com al·lega el treballador.

Així mateix, el motiu pel qual el treballador es va negar a complir l' ordre no va ser la seva ignorància sobre les normes aplicables a jornada i descansos per elegir correctament el moment de la seva activitat formativa online, sinó l' exigència que s' inclogués en la jornada programable d' activitat aeronàutica, la qual cosa el Tribunal indica que manca de fonamentació jurídica.

Conclusió

Aquesta sentència ofereix un raonament profund sobre els límits entre treball i descans. Si bé el dret a la desconnexió digital és essencial, hi ha matisos que valorar, doncs, com hem indicat, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

Pot llegir la sentència aquí

Com sempre, cuida les dades i cuideu-vos!

Revisió Texts legals web