Ley de Protección de Datos

Los autónomos se arriesgan a sanciones si acceden a las redes sociales de sus empleados aunque sean públicas

Los autónomos pueden enfrentarse a cuantiosas sanciones si miran, interfieren o buscan en las redes sociales de sus empleados. Aunque el acceso sea público. Estarían incumpliendo la Ley Orgánica de Protección de Datos.
autonomos-redes-sociales-proteccion-datos
Cuantiosas sanciones a los autónomos que miren las redes sociales de sus empleados
Los autónomos se arriesgan a sanciones si acceden a las redes sociales de sus empleados aunque sean públicas

Buscar las redes sociales de los empleados o intentar interferir en ellas puede acarrearle al autónomo una cuantiosa sanción. Estas acciones estás tipificadas como infracciones en la Ley Orgánica de Protección de Datos (LOPD), y las multas -que pueden ser de grado leve, grave o muy grave- oscilan desde 600 hasta 600.000 euros, aunque la sanción final dependerá de diversos factores como, por ejemplo, el tamaño del negocio. "En el ámbito de las relaciones laborales la normativa sobre la protección de datos es muy clara, y las redes sociales de los empleados pertenecen única y exclusivamente a su esfera personal. De ahí que el hecho indagar en sus perfiles esté vulnerando su intimidad y, por tanto, la ley", explicó la abogada Tania Muñoz, del despacho Selier Abogados.

Los expertos señalaron que, generalmente, esta normativa no es muy conocida ni implementada entre los pequeños negocios, no obstante recordaron que "todos los trabajadores por cuenta propia, independientemente de si tienen tres, uno o ningún empleado a su cargo, deben cumplir con el Reglamento General de Protección de Datos (RGPD), y deberán adecuar su tratamiento y protección a la categoría de datos personales que manejan. No hay nada que les exima de esta ley, y si son investigados por incumplirla serán multados como las grandes empresas de acuerdo a los preceptos de dicha norma", recalcó Muñoz.

Según la Agencia Española de Protección de Datos (AEPD), en 2020 se impusieron sanciones económicas por un total de ocho millones de euros a los negocios por infringir esta norma. El informe pone sobre la mesa que las actividades más multadas en este sentido son las de recobro y las de telecomunicaciones, "pero también hay muchos asesores fiscales, abogados y procuradores en el punto de mira por desatender esta Ley", apuntó la abogada de Selier.

Mirar las redes sociales de los empleados tiene consecuencias

A pesar de que haya algunas redes, como por ejemplo LinkedIn, que tienen un objetivo más profesional, u otras que, sin ser profesionales dan la opción de tener el perfil público o privado, "es importante recordar que siguen perteneciendo a la esfera particular de cada persona y un jefe no debe indagar en ellas con la finalidad de explotar dicha información individualizada sin tener en cuenta la normativa de protección de datos", dijo la abogada. Y es que puede ser habitual que los autónomos crean que pueden buscar o mirar los perfiles de sus empleados, ya no solo por control, sino como un acto natural, "pero estos profesionales deben recordar que la ley prevé cuantiosas multas por estas acciones".

Muñoz recordó además que el simple hecho de que un dueño de negocio incite a sus empleados a compartir contenidos en redes sociales contenidos de publicidad y marketing de la empresa para la que trabajan, "ya constituye una infracción, es decir, una vulneración de los principios de protección de datos. Los profesionales con trabajadores a su cargo tienen que ser conscientes de que no pueden sugerir a sus empleados lo que deben o no compartir en sus redes sociales, pues las mismas pertenecen a su esfera personal y no de la empresa. Salvo que sean instrucciones concretas respecto al buen uso e imagen de la empresa para la cual trabajan". 

Pero, ¿Cómo se entera la Agencia de Protección de datos?. Según explicó la experta, a las investigaciones de oficio que realiza la AEPD, se unen otras vías por las que los autónomos se pueden ver multados por infringir el Reglamento de Protección de Datos: "o bien que sea a instancia de una reclamación por parte de cualquier afectado por estas prácticas ante la Agencia, u otra persona con legitimación activa". Las sanciones a las que pueden enfrentarse los trabajadores por cuenta propia en esta materia no son fijas, puesto que "existen circunstancias inherentes a los propios hechos que se estén investigando que pueden considerarse como atenuantes o agravantes", recordó Muñoz. También tiene que ver el volumen de beneficios obtenidos por el infractor como consecuencia de dicha información, el número de empleados afectados, o si ya ha sido sancionado por infracciones de la misma categoría.

Aunque hay excepciones

Si bien la Ley deja claro que los empresarios no pueden interferir en los perfiles de las redes sociales de sus empleados, ni utilizarlos como prueba en ninguna acción que quieran arremeter contra ellos, los juzgados han determinado excepciones que incluso han sentado jurisprudencia. Es el caso de un autónomo que tiene un empleado de baja y descubre, gracias a la red social de su trabajador, que éste está participando de acciones sociales que no pueden llevarse  a cabo si se encuentra en el periodo de Incapacidad Temporal

"Si los dueños de negocio han podido acceder a esa información porque el perfil de su empleado es público y, por tanto, no han vulnerado ninguna capa de privacidad, los tribunales han aceptado en más de una ocasión que puedan utilizar eso como prueba para activar el régimen disciplinario correspondiente, hasta la infracción más grave que sería un despido", aseguró la abogada del bufete Selier. Aunque la regla general es que el empresario no está legitimado para ejercer su poder disciplinario frente a publicaciones de contenido no laboral del trabajador en sus redes sociales privadas. "Esta regla general podrá ser excepcionalmente superada cuando concurran dos requisitos. Uno, que el trabajador haya sido previamente informado de las posibles medidas disciplinarias que podrán aplicarse si, identificado como tal en sus redes sociales, se demuestra que sus publicaciones han generado un daño real a la empresa. Y, dos, que éste se acredite de manera fehaciente por parte de la empresa para constatar así la transgresión de la buena fe contractual o el abuso de confianza", explicó.

No obstante, es importante señalar que en todo caso un "hay límite que no podrá nunca rebasarse en el ejercicio del poder disciplinario empresarial, ni aunque pudiese acreditarse un daño frente a la empresa en forma de campaña viral. Se trata del límite relacionado con las manifestaciones del trabajador en redes sociales que impliquen el ejercicio legítimo del derecho del mismo a su libertad de expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción en el marco del derecho fundamental a la libertad ideológica y religiosa que garantiza el art. 16 CE40. Hay que recordar que la doctrina del TC avala que este derecho fundamental comprende no sólo el “derecho a adoptar una determinada posición intelectual ante la vida y cuanto le concierne y a representar o enjuiciar la realidad según personales convicciones”, sino también, en su dimensión externa, “el derecho de actuar con arreglo a las propias ideas sin sufrir por ello sanción o demérito ni padecer la compulsión o la injerencia de los poderes públicos” (STC 120/1990, de 27 de junio)".

Sanciones por incumplir la Ley Orgánica de Protección de Datos

Existen tres tipos de infracciones recogidas en la Ley Orgánica de Protección de Datos que varían en función de la gravedad con la que se haya vulnerado la ley, y que conllevan por tanto una serie de sanciones económicas. Pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de facturación anual:

  • Infracciones leves: este tipo de infracciones serán sancionadas con cantidades pueden alcanzar los 40.000 euros.
  • Infracciones graves: en este caso, las multas oscilarían entre los 40.001 y los 300.000 euros.
  • Infracciones muy graves: en caso de que la infracción sea considerada como muy grave, las sanciones podría oscilar entre 300.001 y los 20 millones de euros.

La Ley recoge además una serie de criterios a los que atenderá la Agencia Española de Protección de Daros para determinar las cuantías de las sanciones:

  1. El carácter continuado de la infracción.
  2. El volumen de los tratamientos efectuados.
  3. La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  4. El volumen de negocio o actividad del infractor.
  5. Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  6. El grado de intencionalidad.
  7. La reincidencia por comisión de infracciones de la misma naturaleza.
  8. La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
  9. La acreditación de que, con anterioridad a los hechos constitutivos de infracción, la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
  10. Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

¿Qué es considerado infracción leve?

Entre las infracciones leves están consideras las siguientes acciones:

  • No inscribir datos de carácter personal en el Registro General de Protección de Datos, además de no remitir a la AEPD aquellas notificaciones a que la ley obligue.
  • Incumplir los deberes formales en la comunicación de datos también puede acarrear este tipo de sanción. Si no se informa al cliente previamente sobre cómo van a ser tratados sus datos, también hay riesgo de ser multado de forma leve.
  • No atender a las solicitudes de los clientes de rectificación o cancelación de sus datos personales.
  • No atender a las consultas por parte de la Agencia de Protección de Datos.

¿Qué se considera infracción grave?

En el caso de las infracciones consideradas de carácter grave, podríamos concretar los siguientes supuestos:

  • La vulneración del deber de secreto en el tratamiento de los datos de carácter personal.
  • El impedimento u obstaculización del ejercicio de los derechos de rectificación, cancelación y oposición.
  • No implementar las debidas medidas de seguridad para custodiar los datos es considerado un incumplimiento grave de la LOPD.
  • También es considera una infracción grave la obstrucción de las tareas de investigación de los inspectores.
  • No colaborar con la Agencia Española de Protección de Datos, cuando ésta solicite documentación.
  • Ceder datos de carácter personal a terceros no autorizados o utilizar los ficheros con una finalidad distinta para la que se crearon.
  • No seguir los principios y garantías de la LOPD.

¿E infracciones muy graves?

En cuanto a las sanciones muy graves, los siguientes supuestos son constitutivos de este tipo de infracciones:

  • Recogida de datos de forma engañosa o fraudulenta.
  • No subsanar la ilicitud en el tratamiento de unos datos aun cuando se haya recibido un requerimiento del director de la AEPD.
  • La transferencia de datos de manera temporal o definitiva, a países que no cuentan con un nivel de protección de datos equiparable al español sin la autorización expresa de la AEPD.
  • La cesión a terceros de los datos personales que la ley, en su artículo 7, considera que deben ser especialmente protegidos (los relativos a la ideología, religión, afiliación sindical, salud, antecedentes penales…).
  • No atender u obstaculizar de manera reiterativa y sistemática las solicitudes de cancelación o rectificación de los datos personales.
  • Tratar los datos de forma ilegítima o con menosprecio de los principios y garantías que son aplicación en la LOPD.