Derecho y empresa en entornos digitales

Shadow AI en el trabajo: cómo supervisar sin cruzar la línea de la vigilancia

por

El uso de herramientas de inteligencia artificial en el entorno laboral—muchas veces fuera de los canales oficiales—está obligando a las empresas a replantear sus mecanismos de control. El fenómeno del Shadow AI plantea un dilema claro: las organizaciones necesitan supervisión, pero un enfoque excesivo puede derivar en conflictos laborales y riesgos legales. 


La Agencia Española de Protección de Datos (AEPD), en su Guía sobre protección de datos en las relaciones laborales, ofrece un marco claro: el control es legítimo, pero debe respetar los principios de proporcionalidad, transparencia y minimización. 


El punto de partida: el control empresarial es legítimo 


El Estatuto de los Trabajadores reconoce la facultad de la empresa para adoptar medidas de vigilancia y control con el fin de verificar el cumplimiento de las obligaciones laborales. Este control incluye el uso de herramientas digitales y, por extensión, el uso que los empleados hacen de tecnologías como la inteligencia artificial. 


Ahora bien, como recuerda la AEPD, este control debe ejercerse dentro de los límites del RGPD y la LOPDGDD. Es decir, no todo vale: cualquier medida debe ser proporcionada, justificada y respetuosa con los derechos fundamentales de los trabajadores. 


El riesgo de la «vigilancia total» 


Ante el auge del Shadow AI, algunas organizaciones pueden caer en la tentación de implantar sistemas de monitorización intensiva: registro de actividad, análisis de comportamiento, captura de uso de herramientas o supervisión continua. 


El problema es que este enfoque puede ser contraproducente. La AEPD advierte que las medidas de control excesivas pueden vulnerar derechos como la intimidad o el secreto de las comunicaciones, especialmente si no están debidamente justificadas. 


Además, un sistema de vigilancia desproporcionado puede generar: 


  • conflictos laborales y pérdida de confianza, 

  • incumplimientos en materia de protección de datos, 

  • y, en caso de incidente, pruebas débiles o impugnables por haberse obtenido sin garantías. 

La clave: supervisión proporcional y con garantías 


El equilibrio está en diseñar un modelo de control basado en tres pilares fundamentales: 


Proporcionalidad 


Las medidas deben ser adecuadas al riesgo. No es lo mismo controlar accesos a información sensible que monitorizar de forma generalizada toda la actividad digital. La empresa debe optar por soluciones menos intrusivas cuando sean suficientes. 


Información previa y transparencia 


Los trabajadores deben conocer de forma clara qué herramientas se utilizan, qué datos se recogen y con qué finalidad. La AEPD insiste en la importancia de políticas internas bien definidas y comunicadas. 


Finalidad y minimización 


Los datos recogidos deben limitarse a lo estrictamente necesario para la finalidad perseguida. No se justifica recopilar información excesiva «por si acaso». 


Shadow AI: del control técnico a la gobernanza 


Controlar el uso de IA en la empresa no es solo una cuestión tecnológica. Es, sobre todo, una cuestión de gobernanza del dato y cultura organizativa. 


Las organizaciones más maduras están optando por enfoques combinados: 


  • políticas claras sobre uso de IA, 

  • formación a empleados sobre riesgos, 

  • herramientas autorizadas y seguras, 

  • y controles selectivos orientados a riesgos concretos. 

Este enfoque no elimina el riesgo, pero lo gestiona sin invadir innecesariamente el espacio del trabajador. 


Conclusión: controlar sí, pero con diseño jurídico 


El Shadow AI no se soluciona con más vigilancia, sino con mejor diseño. La clave está en encontrar un equilibrio entre control y derechos, entre seguridad y confianza. 


Las empresas que opten por medidas desproporcionadas no solo se exponen a sanciones, sino también a un problema más sutil: perder la validez de sus propios mecanismos de control. 


Porque en el entorno laboral digital, no basta con supervisar. Hay que hacerlo de forma que, llegado el momento, pueda sostenerse jurídica y probatoriamente. 


Como siempre, cuidad los datos y ¡cuidaos! 

Subcontratación en cadena y RGPD: 15.000 € por olvidar que el control no se delega

por

La Agencia Española de Protección de Datos (AEPD) ha sancionado a DYNAMIC EXPRESS COURIER S.L. con 15.000 euros por incumplimientos del artículo 28 del RGPD en el marco de un servicio de recogida documental para ING. La resolución ofrece una lección clara para cualquier organización que actúe como encargado del tratamiento y recurra a terceros en la prestación del servicio. 


Más allá del extravío de documentación bancaria con datos altamente sensibles, el foco de la AEPD se sitúa en algo estructural: la gestión de la cadena de subcontratación y el cumplimiento formal—y material—de las exigencias del artículo 28 RGPD. 


Los hechos: una cadena de subencargos sin control efectivo 


ING, como responsable del tratamiento, contrató a DYNAMIC como encargado para la recogida de documentación de clientes. Durante la vigencia del contrato (1 de septiembre de 2022 a 28 de febrero de 2023), DYNAMIC recurrió a SENDING como subencargado. 


A su vez, SENDING subcontrató a AUTORADIO para ejecutar materialmente la recogida de la documentación. El problema no fue solo operativo (la documentación nunca llegó a destino), sino jurídico: 


  • No constaba autorización previa y por escrito de ING para contar con SENDING como subencargado. 

  • Tampoco se acreditó que ING hubiera sido informada de la intervención de AUTORADIO. 

  • Los contratos de subencargo aportados no cumplían plenamente con las exigencias del RGPD. 

La AEPD declara probado que DYNAMIC tenía conocimiento de la intervención de AUTORADIO y que no lo comunicó al responsable. 


Artículo 28.2 RGPD: la autorización no es un formalismo 


El artículo 28.2 RGPD establece que el encargado no podrá recurrir a otro encargado sin la autorización previa, específica o general, del responsable. 


En este caso, el contrato entre ING y DYNAMIC exigía autorización previa y expresa para subcontratar. Sin embargo, no constaba autorización para SENDING ni comunicación relativa a AUTORADIO. 


La AEPD aprecia dos infracciones del artículo 28.2 RGPD: 


  • Subencargar sin autorización previa y por escrito. 

  • No informar al responsable sobre cambios en la cadena de subcontratación. 

El mensaje es claro: el responsable debe poder conocer, controlar y, en su caso, oponerse a los subencargados que intervienen en el tratamiento. 


Artículo 28.4 RGPD: el contrato de subencargo debe ser adecuado 


La resolución también analiza el artículo 28.4 RGPD, que exige que el subencargado asuma las mismas obligaciones en materia de protección de datos que las establecidas entre responsable y encargado. 


Los contratos entre DYNAMIC y SENDING presentaban deficiencias relevantes: no identificaban correctamente al responsable (ING) y no reflejaban adecuadamente el marco contractual específico. 


La AEPD concluye que no basta con tener «algún contrato» de protección de datos. El contenido debe ajustarse al RGPD y a las instrucciones concretas del responsable. 


La sanción: tres infracciones, 15.000 euros 


Finalmente, la AEPD impone: 


  • 5.000 € por subencargar a SENDING sin autorización (art. 28.2 RGPD). 

  • 5.000 € por no informar sobre la intervención de AUTORADIO (art. 28.2 RGPD). 

  • 5.000 € por no contar con un contrato de subencargo válido con SENDING (art. 28.4 RGPD). 

Total: 15.000 euros. 


Conclusión: la responsabilidad en cadena también es responsabilidad jurídica 


Esta resolución recuerda que el artículo 28 RGPD no es una cláusula estándar que se copia y pega en los contratos. Es un mecanismo esencial para garantizar que los derechos de los interesados se preserven a lo largo de toda la cadena de tratamiento. 


Para responsables y encargados, la lección es evidente: 


  • Identificar y documentar todos los subencargados. 

  • Exigir autorización previa cuando así se establezca. 

  • Formalizar contratos plenamente alineados con el RGPD. 

  • Mantener trazabilidad y control real sobre la cadena de proveedores. 

En protección de datos, delegar la prestación del servicio no implica delegar la responsabilidad. Y cuando el control se diluye en la cadena de subcontratación, el riesgo—jurídico y reputacional—se multiplica. 


Como siempre, cuidad los datos y ¡cuidaos! 


Para leer la resolución, haga clic aquí. 

Llega el canal europeo de denuncias sobre IA: qué supone para las empresas y cómo prepararse

por

La gobernanza de la inteligencia artificial en Europa da un paso decisivo con el lanzamiento de la AI Act Whistleblower Tool, el nuevo canal europeo para denunciar infracciones relacionadas con el uso y desarrollo de sistemas de IA. La herramienta, impulsada por la Oficina Europea de Inteligencia Artificial, introduce una capa adicional de vigilancia en un momento clave: el Reglamento de Inteligencia Artificial (RIA o AI Act) avanza hacia su plena aplicación, y las empresas tecnológicas deberán reforzar su cultura de cumplimiento normativo.


Aunque muchas obligaciones del RIA aún no son exigibles, Bruselas quiere anticiparse a posibles incumplimientos y convierte a empleados, colaboradores y socios comerciales en aliados estratégicos para detectar riesgos. Este enfoque se suma al marco ya existente en España, compuesto por la Autoridad Independiente de Protección del Informante (AIPI), la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) y los sistemas internos de información obligatorios bajo la Ley 2/2023.


¿En qué consiste la AI Act Whistleblower Tool?


Se trata de un canal de denuncia externo, seguro, confidencial y totalmente independiente de los sistemas internos de las compañías. Permite comunicar presuntas infracciones del RIA, tanto en obligaciones ya activas como en ámbitos conexos afectados por el despliegue de IA:


  • Seguridad de productos.
  • Protección del consumidor.
  • Privacidad y seguridad de los datos.
  • Prácticas internas que puedan poner en riesgo derechos fundamentales o la confianza pública.

No obstante, los expertos advierten que su alcance todavía es limitado: algunas obligaciones—como la transparencia sobre los datos de entrenamiento—no serán exigibles hasta fases posteriores, y la protección plena de los denunciantes no será aplicable hasta el 2 de agosto de 2026.


Un ecosistema de canales que convivirá y se solapará


El nuevo canal europeo no sustituye a los mecanismos nacionales. Las denuncias podrán presentarse tanto por vía interna como externa, sin necesidad de agotar ninguna vía previamente. Esto abre la puerta a investigaciones paralelas y, potencialmente, a un solapamiento de sanciones si concurren distintos supervisores.


Ante esta falta de claridad práctica, los especialistas en compliance recomiendan reforzar los sistemas internos para mejorar su eficacia y capacidad de respuesta. La Ley 2/2023 exige que el sistema interno sea accesible, garantice el anonimato y la confidencialidad, proteja frente a represalias y cuente con una gestión independiente, aunque la operación pueda externalizarse.


Además, las empresas deben informar no solo de su canal interno, sino también de los canales externos disponibles, incluidos los europeos.


¿Qué deben hacer ahora las tecnológicas?


Con la puesta en marcha del canal europeo, las organizaciones que desarrollan o integran IA deberían:


  1. Revisar y actualizar sus programas de compliance, incorporando obligaciones del RIA y protocolos específicos de IA.
  2. Auditar sus sistemas internos de información para garantizar su eficiencia, accesibilidad y alineación con la Ley 2/2023.
  3. Capacitar a los equipos sobre obligaciones del AI Act, riesgos legales y funcionamiento de los distintos canales.
  4. Evaluar el impacto de posibles investigaciones simultáneas y preparar planes de respuesta coordinados.

En un entorno regulatorio cada vez más complejo, la prevención y la transparencia serán claves para evitar riesgos sancionadores y reputacionales. El mensaje es claro: la era de la supervisión reforzada de la IA ya ha comenzado, y las empresas deben estar preparadas.


Como siempre, cuidad los datos y ¡cuidaos!

Seguridad o privacidad: el pulso judicial por el fichaje con huella digital

por

La reciente Sentencia nº 370/2025 del Juzgado de lo Social nº 3 de A Coruña ha reabierto el debate sobre la legalidad del registro de jornada mediante sistemas biométricos en el entorno laboral. En un contexto marcado por la cautela de la Agencia Española de Protección de Datos (AEPD) y la tendencia empresarial a abandonar estos sistemas, el fallo avala la utilización de la huella digital como mecanismo de control horario en un hospital público, calificándola de «poco invasiva» y «proporcionada».


Un caso con implicaciones más allá del hospital


El conflicto enfrentaba al comité de empresa y a la Confederación Intersindical Galega frente al Instituto Policlínico Santa Teresa S.A. Los representantes sindicales alegaban vulneración de los derechos fundamentales a la intimidad, la salud y la libertad sindical por el uso obligatorio de un sistema de fichaje mediante huella dactilar.


El tribunal, sin embargo, desestimó íntegramente la demanda y consideró que el sistema biométrico empleado—basado en plantillas no identificativas y con medidas de seguridad avanzadas—respetaba los principios del RGPD y la LOPDGDD, resultando idóneo para garantizar el registro horario exigido por el artículo 34.9 del Estatuto de los Trabajadores.


Un argumento jurídico polémico


El punto más controvertido radica en la base jurídica elegida por el juzgado para legitimar el tratamiento de datos biométricos: la excepción del artículo 9.2.i) del RGPD, relativa al tratamiento necesario por razones de interés público en el ámbito de la salud pública.
Aplicar esta excepción—concebida para amenazas sanitarias o seguridad asistencial—al simple registro de jornada laboral resulta, cuanto menos, discutible. El tribunal justifica su decisión al considerar el hospital una infraestructura crítica (Ley 8/2011), donde la verificación biométrica contribuiría a la seguridad de pacientes, medicamentos y personal. No obstante, este razonamiento confunde dos tratamientos distintos: el control de acceso (más defendible desde la perspectiva de la seguridad) y el registro horario, cuya finalidad es puramente laboral.


Falta de doctrina unificada


El caso refleja la ausencia de una doctrina consolidada en torno al fichaje biométrico.
Mientras que la AEPD, en su Guía sobre uso de datos biométricos (noviembre de 2023), insiste en que estos sistemas son altamente intrusivos y de uso excepcional, algunos tribunales y organismos técnicos—como el CNPIC o el Consejo Español para el Registro de Jornada—mantienen posiciones más permisivas, especialmente en contextos de seguridad reforzada.


El resultado es un panorama fragmentado en el que la misma práctica puede considerarse ilícita o proporcional según el órgano que la valore.


Una sentencia que invita a la reflexión


El Juzgado de A Coruña ha ido más allá de la postura mayoritaria al calificar la huella digital como menos intrusiva que alternativas como las apps con geolocalización o los lectores de tarjetas NFC.
Esta valoración, sin embargo, parece minimizar la naturaleza sensible de los datos biométricos y el riesgo inherente a su tratamiento. Más que un paso hacia la modernización tecnológica, el fallo puede interpretarse como un retroceso en la cultura de protección de datos laborales.


En definitiva, esta sentencia nos invita a una reflexión urgente: ¿Estamos ante un cambio de tendencia judicial o ante un exceso de interpretación que desdibuja los límites del RGPD? Lo cierto es que, a día de hoy, la seguridad jurídica en materia de fichaje biométrico sigue tan difusa como las huellas que pretende registrar.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

El derecho a desconectar: ¿una obligación ignorada?

por

El reciente foco mediático sobre el incumplimiento empresarial en materia de desconexión digital pone el acento en la necesidad urgente de que las compañías pasen de las buenas intenciones a la acción rigurosa. Al igual que con la protección de datos biométricos, el principio de “cumplir y poder demostrarlo” marca la diferencia entre un riesgo reputacional y una empresa alineada con el nuevo estándar de bienestar digital.


Hechos


Tras la entrada en vigor de la Ley Orgánica 3/2018 y la Ley 10/2021, todas las empresas tienen la obligación de contar con un protocolo de desconexión digital negociado y eficaz, no solo formal. Sin embargo, la Inspección de Trabajo ha detectado que en muchos casos este protocolo es simbólico, carece de medidas reales y no contempla la debida información y formación a los empleados.


El incremento de controles en 2025 ha hecho aflorar prácticas como el envío frecuente de comunicaciones fuera de jornada, especialmente en el teletrabajo, y la ausencia de vías claras para ejercer este derecho sin sufrir represalias. El 27% de los empleados españoles declara trabajar extras digitales sin contraprestación ni justificación.


Protocolos efectivos: del papel a la práctica


Tener un protocolo no es suficiente: debe adaptarse a la realidad interna, abarcar la flexibilidad horaria, prever situaciones urgentes, y formar a managers y equipos sobre el derecho a desconectar. La experiencia europea lo confirma: la desconexión se integra en la cultura corporativa y en la toma de decisiones del liderazgo, no como una mera cláusula legal.


El correcto cumplimiento requiere puntos como:


  • Políticas claras y negociadas sobre el uso de dispositivos y canales fuera de horario.
  • Mecanismos para informar y canalizar incidentes.
  • Formación y comunicación continua, revisando y actualizando los protocolos periódicamente.
  • Implantación efectiva, no meramente formal.

Sanciones y riesgo reputacional


Las sanciones por incumplimiento han aumentado: de 751 a 7.500 € para infracciones graves, y hasta 225.018 € si existe riesgo psicosocial probado o acoso laboral. Incluso aquellas empresas con protocolos solo “de cara a la galería” han sido sancionadas si no aplicaron, formaron ni comunicaron correctamente sus políticas. La jurisprudencia reciente avala indemnizaciones por daños derivados del estrés digital, y pronuncia nulas las sanciones o despidos a empleados que ejercieron su derecho a la desconexión.


Mirada práctica y europea


A nivel europeo, la futura Directiva de desconexión digital y los informes de la Agencia Europea para la Seguridad y Salud en el Trabajo colocando el derecho a desconectar como eje central del bienestar y la prevención psicosocial. Las buenas prácticas recomiendan caminar hacia una implantación transversal, real y medible, con auditorías internas y visión de mejora constante.


Conclusión


Cumplir formalmente ya no basta: la desconexión digital exige cultura, implicación de todos los departamentos y liderazgo activo. El coste de ignorarla puede superar con mucho el de cualquier sanción administrativa y, por supuesto, una caída reputacional.


Como siempre, cuidad los datos y ¡cuidaos!

El derecho a desconectar no se negocia: sanción a LVMH por uso indebido del móvil de una empleada

por

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 70.000€ a LVMH Iberia por obligar a una empleada a usar su teléfono móvil personal para fines laborales, incluso en contra de su voluntad. Esta actuación constituye una vulneración tanto del Reglamento General de Protección de Datos (RGPD) como del derecho a la desconexión digital previsto en la LOPDGDD.


La afectada se vio forzada a utilizar su número de teléfono personal para participar en grupos de WhatsApp corporativos, a la espera de un teléfono de empresa que nunca se le entregó. Un día antes de iniciar sus vacaciones, comunicó por escrito y verbalmente su intención de dejar de usar su móvil personal para temas de trabajo, se salió de varios grupos y reiteró que esperaba disponer del dispositivo corporativo prometido.


Sin embargo, al día siguiente, mientras disfrutaba de su día libre, fue incluida sin consentimiento en un nuevo grupo de WhatsApp de la empresa, en el que permaneció hasta su despido. Ante esta situación, presentó una reclamación ante la AEPD.


La empresa, por su parte, justificó su actuación asegurando que adoptó una «postura garantista» y que los grupos solo incluían a empleados, lo que consideraban una medida adecuada y necesaria para la operativa diaria. También alegaron que, en general, los trabajadores acceden a estos grupos con dispositivos corporativos, y que el uso del teléfono personal es algo «excepcional y transitorio».


No obstante, la AEPD consideró que hubo una doble infracción:


  • Violación del 6.1 RGPD, por utilizar datos personales (el número de teléfono privado) sin base legal válida ni consentimiento explícito.
  • Vulneración del derecho a la desconexión digital ( 88 LOPDGDD), por obligar a la empleada a participar en comunicaciones laborales incluso durante sus vacaciones, sin respetar los límites del descanso personal.

Como consecuencia, la AEPD impuso una multa inicial de 70.000€, que quedó reducida a 42.000€, tras el reconocimiento de responsabilidad y al pago voluntario por parte de la empresa.


Conclusión


Este caso marca un precedente importante en el ámbito laboral digital: las empresas no pueden imponer el uso de dispositivos personales para el trabajo sin consentimiento claro y revocable, y deben respetar el derecho a la desconexión digital, especialmente fuera del horario laboral o en periodos de descanso.


Cabe recordar a todas las organizaciones que la gestión de grupos de WhatsApp u otras herramientas informales no exime del cumplimiento del RGPD, y que la comodidad operativa no justifica la invasión de la vida privada de los empleados.


Como siempre, cuidad los datos y ¡cuidaos!


Para consultar la resolución, haga clic aquí.

Privacidad en peligro: sancionan a una inmobiliaria por espiar buzones sin consentimiento

por

Un extrabajador de ESTUDIO ALCAZAR DEL GENIL 2022, S.L denunció a la inmobiliaria ante la AEPD por haber sido obligado a tomar fotos de buzones de comunidades de vecinos para crear una base de datos de posibles clientes, sin permiso ni información previa a los afectados. Al negarse, fue despedido.


Durante la investigación, la AEPD confirmó que se recopilaron datos personales (nombres, direcciones, puertas y plantas) sin consentimiento y que se subieron a una base de datos utilizada con fines comerciales.


Fundamentos Jurídicos Clave


¿Qué se considera un dato personal?


Según el Reglamento General de Protección de Datos (RGPD), cualquier información que identifique o pueda identificar a una persona, como nombre, dirección o incluso datos de un buzón, se considera dato personal.


¿Qué se entiende como tratamiento de datos?


El tratamiento de datos implica cualquier acción sobre esos datos: recogerlos, almacenarlos, usarlos, etc.


¿Se puede hacer lo que hizo la empresa?


No. El artículo 6 del RGPD exige una base legal para tratar datos personales. Por ejemplo, el consentimiento del afectado, un contrato, una obligación legal o un interés legítimo que no dañe los derechos del ciudadano.


En este caso, la empresa no tenía ninguna base legal, ya que no pidió permiso ni informó a los vecinos, y tampoco se trataba de una fuente pública ni había otro motivo que lo justificara.


Infracción


La AEPD concluye que Estudio Alcázar cometió una infracción muy grave por tratar datos personales sin base legal (art. 6 RGPD), además de ser consciente de la infracción (art. 83.2.b) RGPD), pues la supervisora del extrabajador le reconoció que esta práctica formaba parte de la metodología implementada para la gestión de zonas.


Además, la inmobiliaria no informó a los titulares de los datos recabados ningún tipo de información sobre dicho tratamiento. Esto supone una vulneración del art. 14 RGPD, el cual establece la obligación del responsable del tratamiento de proporcionar información clara y accesible al interesado cuando los datos personales no han sido obtenidos directamente de él.


Sanción


La AEPD impuso una sanción de 20.000€, que, tras el reconocimiento de su responsabilidad y pago voluntario, quedó reducida a 12.000€.


Conclusión


Este caso pone en evidencia algo fundamental: el nombre del buzón es un dato protegido por ley. Nadie puede recopilar esa información sin el permiso del titular para usarla con fines comerciales. Las empresas tienen la obligación de respetar su privacidad y solo pueden usar sus datos cuando tienen una base legal clara. Si no es así, se enfrentan a sanciones como esta.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Confidencialidad Vulnerada: La Importancia del Deber de Confidencialidad en Canales de Denuncias

por

La Agencia Española de Protección de Datos (AEPD) ha sancionado a SERVICIOS ESPECIALES, S.A. con 200.000€ por no cumplir con el deber de confidencialidad en las denuncias realizadas en el ámbito laboral.


La resolución se fundamenta en dos reclamaciones presentadas por trabajadores que denunciaron la vulneración de la confidencialidad en el tratamiento de datos personales durante un protocolo de acoso laboral. La empresa divulgó información sensible, incluyendo nombres y apellidos de los denunciantes y denunciados, lo cual generó consecuencias negativas para los afectados, como ataques de ansiedad y exposición pública en el entorno laboral.


Si bien todo inició con la activación del protocolo de acoso laboral, la Empresa finalizó el proceso adjuntando la resolución a cada uno de los denunciantes—5 en total—, lo cual destapaba la identidad de cada uno de los ellos (pues se exponían tanto sus nombres y apellidos como sus puestos de trabajo) y de los denunciados—10 en total—a los cuales también se reenvió la resolución.


Como consecuencia, uno de los denunciados, a través de un grupo de WhatsApp del trabajo y el mismo día del conocimiento de la resolución, envió un emoji de un beso y la frase: «Gracias por la denuncia». Este hecho le generó a una de las denunciantes un ataque de ansiedad, por el cual se acogió a la baja médica.


Por su parte, la empresa alegó que «todos sabían ya quiénes eran», por lo que el anonimato no fue solicitado expresamente y que, además, el Comité de Empresa que llevó a cabo el protocolo tampoco lo pidió.


Es necesario recordar que el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD) establece el principio de integridad y confidencialidad e indica que los datos personales deben ser tratados de manera que se garantice una seguridad adecuada, por lo cual debe evitarse el acceso no autorizado o ilícito y protegerse contra su pérdida o daño accidental.


En este caso, la empresa vulneró este principio al permitir el acceso a datos personales sensibles (identidades de denunciantes y denunciados) por parte de múltiples personas—15—, sin garantizar medidas técnicas u organizativas apropiadas.


Por todo lo expuesto, la AEPD impuso una sanción de 200.000€, la cual quedaría reducida a 120.000€ en caso de que la empresa reconociera su responsabilidad y procediera al pago voluntario.


Conclusión


La resolución evidencia una vulneración significativa del principio de confidencialidad establecido en el RGPD, la cual afectó directamente a los derechos fundamentales de los denunciantes, pues desprotegió sus identidades. Este caso resalta la necesidad de implementar medidas estrictas para garantizar la seguridad y privacidad en el tratamiento de datos personales en entornos laborales.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

El rompecabezas del tiempo efectivo: ¿qué cuenta como jornada laboral?

por

La Sentencia del Tribunal Superior de Justicia de Madrid nº962/2020 resuelve un conflicto laboral emblemático sobre el derecho a la desconexión digital y los límites de la formación obligatoria fuera de la jornada laboral. El caso enfrentó a un controlador aéreo de ENAIRE, quien fue sancionado por no completar cursos de formación online en sus días de descanso, y realizó algunas precisiones respecto al derecho a la desconexión digital.

Hechos

La empresa exigió a sus empleados realizar un curso formativo online—preceptivo, según la normativa europea y el convenio colectivo—de dos horas en sus periodos de descanso, sin alterar su horario laboral presencial, y destacó su obligación de realizar el curso «en los ciclos de descanso de tres días que de conformidad con el artículo 33 del convenio colectivo le son programados». Sin embargo, uno de los controladores aéreos rechazó realizar el curso fuera de su jornada laboral y exigió que se incluyera en su cuadrante de servicios (391 empleados realizaron el curso en plazo). Finalmente, lo completó fuera del plazo establecido, junto con otros 41 compañeros.

Debido a la falta de obediencia por parte de este empleado, la empresa le sancionó con 3 días de suspensión de empleo y sueldo, fundamentando su decisión en el artículo 95.2.i) EBEP, el cual tipifica como falta muy grave la «desobediencia abierta a órdenes de un superior».

En este sentido, el Tribunal razona que, si bien la orden de realizar formación en días de descanso aparentemente contravendría el derecho del trabajador a la intimidad personal y familiar del artículo 18 de la Constitución en su vertiente de desconexión digital, regulado en el artículo 88 de la LOPDGDD, las dos horas dedicadas a la realización del curso online por el trabajador son reconocidas por la empresa como tiempo de trabajo y, por tanto, no existe derecho a la desconexión digital dentro del tiempo de trabajo, sino solamente dentro del tiempo de descanso.

De esta manera, el Tribunal razona que la empresa puede ordenar la realización de trabajo retribuido fuera de horario laboral y, por ello, el período para realizar la formación a distancia computaría como horas extraordinarias de tiempo efectivo de trabajo, evidentemente, con las consecuencias legales derivadas.

Además, añade que el convenio colectivo, en su artículo 29.1.1.3, indica claramente que «la jornada programable no incluye el tiempo necesario para la formación que no tenga la consideración de actividad aeronáutica». Teniendo en cuenta que la formación era relativa a Recursos Humanos, la exigencia de que la formación online del artículo 227 del convenio se incluyera en la jornada programable carecería de fundamento jurídico.

El Tribunal argumenta que la falta de criterios establecidos por la empresa para garantizar el cumplimiento del número de horas de jornada exigido no implica la ilegalidad de la orden ni justifica la desobediencia de esta, pues hay que tener en cuenta el escaso número de horas de formación requerido y el largo período para realizarlo (hecho que permitía perfectamente el respeto de los descansos legales). Si bien podría cuestionarse la legalidad de la orden en relación con la ordenación del tiempo de trabajo y descansos, no implica la vulneración de un derecho fundamental, tal y como alega el trabajador.

Asimismo, el motivo por el que el trabajador se negó a cumplir la orden no fue su ignorancia sobre las normas aplicables a jornada y descansos para elegir correctamente el momento de su actividad formativa online, sino la exigencia de que se incluyese en la jornada programable de actividad aeronáutica, lo cual el Tribunal indica que carece de fundamentación jurídica.

Conclusión

Esta sentencia ofrece un razonamiento profundo sobre los límites entre trabajo y descanso. Si bien el derecho a la desconexión digital es esencial, hay matices que valorar, pues, como hemos indicado, no existe derecho a la desconexión digital dentro del tiempo de trabajo, sino solamente dentro del tiempo de descanso.

Puede leer la sentencia aquí

Como siempre, cuidad los datos y ¡cuidaos!

Revisión Textos Legales Web