El 19 de diciembre de 2024, la autoridad de protección de datos francesa (CNIL) impuso una sanción de 40.000€ a una empresa del sector inmobiliario por controlar a sus empleados sin informar, sin adoptar medidas de seguridad adecuadas y sin haber realizado una EIPD.
Hechos
A raíz de varias denuncias, la CNIL realizó una inspección en la que observó que la empresa filmaba constantemente a sus empleados y captaba la imagen y el sonido, además de medir su tiempo de trabajo y evaluar su rendimiento de forma muy precisa gracias al programa informático instalado en sus ordenadores.
El sistema de videovigilancia captaba constantemente imágenes y sonidos de los empleados del local, tanto en sus puestos de trabajo como en los espacios de descanso. Además, estas imágenes podían ser visualizadas por los supervisores mediante una aplicación móvil. Esta medida no fue justificada de ninguna manera, lo cual supone una clara vulneración excesiva de los derechos de los trabajadores, así como del principio de minimización de datos (art. 5.1.c) RGPD).
Por otro lado, en cuanto al software instalado en los ordenadores de los empleados para monitorear su actividad, la CNIL consideró que esta medida era totalmente desproporcionada y una vigilancia especialmente intrusiva. Este software permitía, además de contar las horas de trabajo, saber si el empleado no escribía en el teclado ni movía el ratón en un período de entre 3 y 15 minutos, en el cual también podían tomarse capturas de pantalla periódicas. En caso de detectar estos períodos de inactividad, si no se justificaban o compensaban, se aplicaba una deducción de salario.
La CNIL indicó que este programa no era fiable, dado que los períodos de aparente inactividad podían corresponder a tiempo de trabajo efectivo en el marco de sus funciones (como reuniones o llamadas telefónicas), por lo que no había una garantía de que el software cumpliese con su finalidad de forma correcta.
Además, el sistema, al permitir la captura de datos potencialmente privados (como correos electrónicos personales, conversaciones de mensajería instantánea o contraseñas confidenciales), constituía una vulneración desproporcionada de la privacidad, intereses y derechos fundamentales de los trabajadores, y el tratamiento de los datos carecía de fundamentación legal (art. 6 RGPD).
Asimismo, la empresa tampoco proporcionó información escrita suficiente sobre el tratamiento que realizaba el software de monitorización, ni en documentos de información internos de la empresa ni en los contratos de trabajo y de estudio de los empleados, lo que constituye una infracción del artículo 13 del RGPD.
En último lugar, la empresa tampoco realizó una evaluación de impacto sobre la protección de datos (EIPD) para el tratamiento que realizó al implementar el programa de monitorización, la cual era necesaria al haber un alto riesgo para los derechos y libertades de los empleados.
Conclusión
La monitorización excesiva y el control laboral sin tomar las medidas técnicas y organizativas necesarias transgreden los derechos de los empleados a niveles excesivos. Hay que recordar que siempre que se realiza un tratamiento de datos que afecta derechos sensibles, debe realizarse con cautela y actuando en el marco de la normativa de protección de datos.
Como siempre, cuidad los datos y ¡cuidaos!
Para leer la resolución, haga clic aquí.
