GUIÓN WEBINAR TELETRABAJO Y PROTECCIÓN DE DATOS

INTRODUCCIÓN

Si bien en un principio, y sobre todo si a alguno de vosotros le ha tocado estudiarlo

como temario para alguna oposición o ponerse al día en esta materia sin que sea su campo de
estudio o trabajo, a muchos puede parecerles que la protección de datos de carácter personal es
un tema árido, enrevesado y además en muchos casos percibimos que nos dificulta realizar
trámites o el acceso a información a la que tenemos derecho.

Es cierto que a nivel técnico y jurídico la protección de datos de carácter personal es un

tema que resulta muy amplio y resulta necesario para dominarlo unos conocimientos de base
amplios y muchísimo estudio, pero no es menos cierto, que dicha materia a irrumpido en
nuestras vidas de manera muy acusada y nos afecta de manera continuada y cotidiana, por lo
que debemos manejar al menos unas nociones básicas al respecto.

Ello es por dos factores clave:

 La implantación masiva y global de las nuevas tecnologías de la información y

la comunicación en todas las facetas de nuestra vida (personal, laboral,
administrativa …etc.) y la consecuente transferencia inmediata de todo tipo de
datos e información.
 Y, en parte como consecuencia de la anterior, el elevadísimo potencial de los
datos de carácter personal a varios niveles (económico, político, social…etc.)
(Si bien dichos datos siempre han tenido potencial a dichos niveles, pues
entroncan con la esfera de la intimidad de los ciudadanos, la facilidad de su
captación y su transmisión global e inmediata ha disparado, para bien y para
mal, la relevancia de dichos datos y la necesidad de su protección).

¿Que podríamos establecer como definición de protección de datos de carácter

personal?

Si bien el propio nombre es bastante descriptivo, podemos definir este concepto, tal y
como lo define el Diccionario Panhispánico del Español Jurídico de la RAE como:

1
 Debemos entender que el teletrabajo plantea cuestiones específicas muy relevantes en
materia de protección de datos sobre todo debido a que las tecnologías de la información y la
comunicación antes mencionadas cobran aún más relevancia si cabe en dicha modalidad de
prestación de servicios, teniendo en cuenta que no sólo se pueden ver afectados los datos
personales o sensibles del trabajador, sino que también es en el marco de las empresas (sobre
todo de servicios) y la Administración donde se produce el mayor “movimiento” de estos datos
de terceros.

NORMATIVA APLICABLE Y RELACIÓN EN LA LEY ENTRE

TELETRABAJO Y PROTECCIÓN DE DATOS

El marco normativo actual básico del teletrabajo lo tendríamos en el artículo 34.8 del
Estatuto de los Trabajadores y en el Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a
distancia para los trabajadores de empresas privadas y en el artículo 47 bis del Estatuto Básico
del Empleado Público para los trabajadores de la Administración introducido por el Real
Decreto-ley 29/2020, de 29 de septiembre, de medidas urgentes en materia de teletrabajo en las
Administraciones Públicas y de recursos humanos en el Sistema Nacional de Salud para hacer
frente a la crisis sanitaria ocasionada por la COVID-19.

Respecto de la normativa básica en materia de protección de datos debemos señalar que

son la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos).

Debemos señalar que la conexión entre ambas materias es innegable a raíz de la propia
normativa que lo regula, debiendo señalar, por ejemplo y antes de entrar en materia que es en la

2
LOPD donde se regula el derecho a la desconexión digital con especial mención al trabajo a
distancia y la que introduce dicho derecho en el ET y en el EBEP.

Si bien la normativa de protección de datos es directamente aplicable a todas las

relaciones de trabajo y no necesitaría formalmente que la normativa de teletrabajo dispusiera su
correcto cumplimiento expresamente para el trabajo a distancia, dadas las peculiaridades de esta
modalidad de prestación de servicios el legislador a entendido que debe realizar en dicha
normativa varias previsiones expresas en materia de protección de datos que son las que
estudiaremos a continuación, poniendo de relieve las cuestiones prácticas en materia de
teletrabajo a las que responden estas previsiones normativas.

Vamos a empezar por la Administración dado que su normativa en materia de

teletrabajo es sustancialmente menos extensa que para los trabajadores de empresas privadas.

Si bien es verdad que el artículo 47 bis del EBEP sobre teletrabajo no hace mención
expresa a la protección de datos, entiendo que sus apartados 3 y 4 son los que tienen incidencia
en dicha materia, sin perjuicio de que finalmente todo se desarrolle en acuerdos y decretos
específicos para cada Administración (probablemente imitando en parte el modelo establecido
por la normativa general para trabajadores de empresas privadas, al menos en lo referente a la
protección de datos), dichos apartados establecen:

De una parte, que el personal al servicio de la Administración en régimen de teletrabajo

tendrá los mismo derechos y deberes que los que se encuentren régimen presencial; lo que
incluye, sin lugar a dudas; las obligaciones y derechos en materia de protección de datos que el
mismo EBEP señala remitiéndose a la normativa en dicha materia.

Y de otra, que la Administración proporcionará para dicha modalidad los medios

tecnológicos necesarios para su actividad, lo que incluye también cuantos medios materiales y
técnicos sean necesarios para el cumplimiento de las medidas de protección de datos de carácter
personal como pueden ser los programas necesarios, antivirus o el acceso a redes privadas y
seguras, así como garantizar el correcto mantenimiento y actualización de todas ellas.

Ya examinando el Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia

que es aplicable a los trabajadores de empresas privadas, encontramos numerosas referencias a
la protección de datos de carácter personal desde la propia Exposición de Motivos de la Norma.

3
 Concretamente, encontramos sobre esta materia las siguientes disposiciones, que iremos
poniendo en relación con las situaciones y problemas específicos del teletrabajo en materia de
protección de datos a los que se pretende dar respuesta:

Artículo 6: Regula las obligaciones formales de los acuerdos de teletrabajo suscritos

entre trabajador y empresa, obligando a comunicar estos a la Representación Legal de los
trabajadores y hace mención expresa a que los datos personales contenidos en éstos están
sujetos a la normativa de protección de datos

Entiendo que dicha previsión es lógica, pero que en realidad es un añadido formalmente
innecesario, pues dichos datos trasmitidos a la RLT siempre van a venir amparados por la
normativa de protección de datos y por la garantía que supone el deber de sigilo de los
representantes de los trabajadores, con las consecuencias que conllevaría la trasgresión de
cualquiera de ellas.

Artículo 7: Señala como contenido mínimo del acuerdo de teletrabajo antes mencionado
que éste contenga para su conocimiento y firma por el trabajador las instrucciones dictadas por
la empresa, con la participación de la representación legal de las personas trabajadoras, en
materia de protección de datos, específicamente aplicables en el trabajo a distancia.

Aquí tenemos una clara previsión de que en las empresas, dentro de sus medidas en
materia de protección de datos, no van a poder responder correctamente a la situación del
teletrabajo con las previsiones generales que ya tengan estipuladas y que se comunican al
trabajador al contratarlo o una vez implantadas, sino que deberán establecerse medidas
específicas que tengan en cuenta las especialidades del trabajo a distancia que deberán ser
expresamente comunicadas al trabajador que se acoja a la modalidad de teletrabajo para su
cumplimiento sumado al de las medidas generales.

Artículo 17: Regula la protección del derecho a la intimidad y a la protección de datos

de carácter personal de los trabajadores en régimen de teletrabajo estableciendo que los medios
telemáticos y el control de la prestación laboral mediante dispositivos automáticos deben
garantizar el derecho a la intimidad y a la protección de datos, debiendo cumplir los medios
utilizados con los principios de idoneidad, necesidad y proporcionalidad.

Quizás en este artículo 17 empezamos a ver que ya subyacen en su literal dos de las
problemáticas principales que pueden suscitarse en las relaciones de teletrabajo:

4
 Por un lado, que el empresario debe garantizar no sólo los medios tecnológicos, sino
que la utilización de los mismos sea segura para el trabajador en el sentido de evitar que pueda
ver comprometida su intimidad o sus datos de carácter temporal por operar con dichos medios.

¿Como se puede garantizar esto? Pues entiendo que de muchas maneras, pero
principalmente por 3 vías: Observar con especial cuidado que los dispositivos, los programas y
las redes proporcionadas a los trabajadores son seguros y cumplen con todos los requisitos
necesarios para evitar el acceso de terceros a la información del trabajador o aquella de terceros
que este tenga que manejar; establecer unas instrucciones específicas en materia de protección
de datos para trabajo a distancia bien articuladas debidamente comunicadas y explicadas a los
trabajadores que se acojan al teletrabajo; e impartir formación suficiente, adecuada, específica y
periódica en materia de protección de datos a estos trabajadores.

Por otro lado, otra de las cuestiones a las que podría responder es a establecer
adecuadamente los límites de las potestades del empresario sobre sus trabajadores a distancia.

Una de las cuestiones más potencialmente conflictivas y que más reticencias puede
causar al empresario para implantar el teletrabajo es la “pérdida de control y vigilancia directos
sobre sus empleados”.

Teniendo en cuenta que en España socialmente hemos construido las relaciones

laborales en base al presentismo, muchas empresas e incluso administraciones (sobre todo las
menos actualizadas) van a caer en una suerte de “pánico” frente al teletrabajo al considerar que
ven mermadas sus capacidades de dirección, organización y control de la actividad laboral; lo
que va a conllevar seguramente por parte de estos empleadores reacios a establecer medios de
control lo más rigurosos posibles ante la prestación de servicios en modalidad de teletrabajo,
pudiendo llegar a ser incluso invasivos y por lo tanto conculcar los derechos de los trabajadores
a su intimidad y la protección de datos personales. Por ello entendemos que el artículo 17
establece como limite a dichos medios de control someterlos a los principios de idoneidad,
necesidad y proporcionalidad1; no pudiendo los métodos utilizados por el empresario para el
control de la actividad a distancia suponer una prevalencia sin control alguno de las potestades
empresariales sobre estos derechos.

El juicio de idoneidad, necesidad y proporcionalidad no se puede establecer de modo

tasado en la ley, debe estudiarse respecto de cada caso concreto y en virtud de las circunstancias
1
La medida que se adopte ha de ser apta para alcanzar los fines que la justifican, debe de adoptarse de
tal modo que se produzca la menor injerencia posible en los derechos en cuestión (debe ser la medida
menos gravosa de las posibles) y, además, ha de adoptarse mediante previo juicio de ponderación entre
la limitación o intervención sobre los derechos de los trabajadores, en este caso la intimidad y la
protección de datos de carácter personal) y el bien jurídico que ha limitado su ejercicio, en este caso la
potestad de dirección y control de la actividad laboral del empleador.

5
concurrentes al mismo, por lo que finalmente, y respecto de las controversias que se susciten al
respecto, deberán ser los tribunales en cada caso los que fijen si las medidas adoptadas por el
empresario cumplen o no dicho juicio confirmándolas o revocándolas.

Artículo 20: En este artículo se dispone que los trabajadores que se acojan a la
modalidad de trabajo a distancia deberán cumplir necesariamente con las instrucciones
establecidas por la empresa en materia de protección de datos y seguridad de la información.

Como es lógico, en materia de protección de datos el trabajador no ostenta solamente

derechos, sino que también tiene una serie de obligaciones, por lo que el trabajador a distancia
tiene la responsabilidad de conocer y cumplir las instrucciones que le proporcione el empresario
a este respecto.

El cumplimiento o no de sus obligaciones resulta relevante a la hora de determinar la

responsabilidad del trabajador en caso de que se produzca una vulneración de la normativa de
protección de datos, pudiendo incurrir en conductas susceptibles de sanción disciplinaria e
incluso responsabilidad en función del grado de incumplimiento de las instrucciones específicas
proporcionadas por el empleador.

--------------------------------------------------------------

RECOMENDACIONES PARA LA PROTECCIÓN DE DATOS EN EL

TELETRABAJO

Si bien los expertos en la materia, tanto de la rama técnica como de la rama jurídica,
podrían ofrecernos ilimitadas recomendaciones y opciones para garantizar y optimizar la
protección de datos en el teletrabajo voy a proceder a enumerar y comentar brevemente una
serie de recomendaciones que ha emitido sobre ello la Agencia Española de Protección de Datos
en una nota técnica que se dividen en dos bloques, uno para el empleador y otro para el
personal.

Para el empleador:

1. Definir una política de protección de la información para situaciones de teletrabajo.

Resulta necesario definir una política específica para situaciones de teletrabajo que
contemple las necesidades concretas y los riesgos particulares introducidos por el
acceso a los recursos corporativos desde espacios que no están bajo el control de la

6
organización, estableciendo por ejemplo los dispositivos aptos y los no aptos, las
responsabilidades de los empleados en la materia…etc.
También es relevante impartir formación adecuada en la materia para evitar el factor
“error humano”.

2. Elegir soluciones y prestadores de servicio confiables y con garantías.

Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan
garantías y que puedan dar lugar a la exposición de los datos personales del personal,
interesados y servicios corporativos de la organización recurriendo a proveedores y
encargados que ofrezcan soluciones probadas y garantías suficientes que eviten dicha
exposición.

3. Restringir el acceso a la información.

Los perfiles o niveles de acceso a los recursos y a la información tienen que
configurarse en función de los roles de cada persona empleada, de una forma incluso
más restrictiva o cautelosa respecto de los concedidos en los accesos desde la red
interna, estableciendo también restricciones en función del dispositivo que se utilice.

4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de

teletrabajo.
Los servidores de acceso remoto han de ser revisados y hay que asegurar que están
correctamente actualizados y configurados para garantizar el cumplimiento de la
política de protección de la información para situaciones de teletrabajo establecida por
la organización.

5. Monitorizar los accesos realizados a la red corporativa desde el exterior.

Hay que establecer sistemas de monitorización encaminados a identificar patrones
anormales de comportamiento en el tráfico de red cursado en el marco de la solución de
acceso remoto y teletrabajo con el objetivo de evitar la propagación de malware por la
red corporativa y el acceso y uso no autorizado de recursos.

6. Gestionar racionalmente la protección de datos y la seguridad.

Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a
partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los
beneficios a obtener de un acceso a distancia y el impacto potencial de ver
comprometido el acceso a la información de carácter personal.

7
Para el personal:
1. Respetar la política de protección de la información en situaciones de teletrabajo
definida por el responsable.
Han de observarse las medidas y recomendaciones recogidas en las guías y política de
protección de datos y seguridad de la información en situaciones de teletrabajo
definidas por la organización, así como del resto de las normas y procedimientos que la
desarrollen y, especialmente, lo que concierne al deber de confidencialidad de la
persona trabajadora con relación a los datos personales a los que tuviera acceso en el
desempeño de sus funciones laborales.

2. Proteger el dispositivo utilizado en teletrabajo y el acceso al mismo.

La persona empleada debe definir y utilizar contraseñas de acceso robustas y diferentes
a las utilizadas para acceder a cuentas de correo personales, redes sociales y otro tipo de
aplicaciones utilizadas en el ámbito de su vida personal.
No se debe descargar ni instalar aplicaciones o software que no hayan sido previamente
autorizados por la organización.
Es recomendable evitar la conexión de los dispositivos a la red corporativa desde
lugares públicos, así como la conexión a redes WIFI abiertas no seguras.
No utilizar el equipo de la empresa para fines personales tales como redes sociales ni
atender en ningún caso reclamos publicitarios.
Correcta actualización y mantenimiento del sistema y del antivirus.
Apagar el dispositivo cuando no se use.

3. Garantizar la protección de la información que se está manejando

Tanto en lugares públicos como en el entorno domésticos es obligado adoptar las
precauciones necesarias para garantizar la confidencialidad de la información que se
está gestionando, evitando la exposición de cualquier información a terceros ajenos a la
organización.

4. Guardar la información en los espacios de red habilitados.

Conviene evitar almacenar la información generada durante la situación de teletrabajo
de forma local en el dispositivo utilizado, siendo preferible hacer uso de los recursos de
almacenamiento compartidos o en la nube proporcionados por la organización,
siguiendo las recomendaciones e instrucciones de uso de los mismos proporcionados
por esta.

8
 5. Si hay sospecha de que la información ha podido verse comprometida comunicar con
carácter inmediato la brecha de seguridad.
Cualquier anomalía que pueda afectar a la seguridad de la información y a los datos
personales tratados debe notificarse al responsable, sin dilación y a la mayor brevedad
posible, a través de los canales definidos al efecto.

Las recomendaciones de la AEPD son una enumeración básica de las mismas, sin
perjuicio de que existan, como ya se dijo infinidad de medidas más que podríamos poner como
ejemplo, aunque quizás éstas serían ya más de carácter técnico/informático, lo que excede de
mis competencias.

-------------------------------------------------------------------------------

Con todo ello concluyo mi intervención, espero que os haya resultado interesante,
muchas gracias por vuestra atención.