El uso de herramientas de monitoreo para, entre otros, proteger la información de la empresa, garantizar la productividad e identificar desviaciones en los procesos, hace que la protección de la privacidad y de la información personal sea una de las principales áreas en las que debe enfocarse una empresa como parte de su programa de cumplimiento. Si bien no puede negarse la necesidad y utilidad del monitoreo, su uso plantea riesgos y desafíos legales, particularmente para las multinacionales, quienes deben estar conscientes de las restricciones legales que se aplican en las jurisdicciones donde trabajan.
En el caso de Costa Rica y con base en el Artículo 24 de la Constitución, los tribunales han dictaminado sistemáticamente que los derechos fundamentales de los empleados, siendo la privacidad uno de ellos, restringen el derecho de los empleadores a controlar y monitorear. Debido a que los empleados pueden tener información privada y correos electrónicos en dispositivos proporcionados por el empleador, el empleado debe dar su consentimiento, estar presente cuando se accede a los mismos y se le debe garantizar el derecho a realizar copias o eliminar cualquier contenido que considere privado, presumiéndose que siempre habrá información personal en una computadora, independientemente de si el empleador lo prohibió o si el dispositivo pertenece al empleador.
En ese sentido, la Sala Constitucional de la Corte Suprema de Justicia, en la Sentencia Nº 2006-017380, de las 18h38 del 29 de noviembre de 2011, declaró que, incluso en el caso de una oficina del gobierno, cuando la cuenta de correo electrónico y los dispositivos son propiedad del empleador, el empleado debe consentir y también estar presente durante cualquier actividad destinada a acceder a estos correos electrónicos, permitiéndole al empleado eliminar cualquier archivo personal o correo electrónico, antes de hacer una copia de seguridad. Ello es así, incluso cuando la Política de Tecnología Informática (TI) (Sentencia Nº 2005-015063, de las 15h59 del 1º de noviembre de 2005, de la Sala Constitucional de la Corte Suprema de Justicia), aplicable al empleado, establece que los dispositivos deben usarse solo para fines relacionados con el trabajo, pues ello no significa que el empleado haya renunciado a su derecho a la privacidad y en consecuencia el empleador debe darle la oportunidad de retirar su información, como se mencionó antes.
En igual dirección, el 26 de agosto de 2013, el Ministerio de Trabajo y Seguridad Social estableció en un criterio no vinculante, DAJ-AE-229-13, sobre un empleado que usó su cuenta de trabajo para enviar correos electrónicos con contenido sexual, que el empleador todavía necesita obtener la autorización del empleado para revisar su correo electrónico.
Por último, la Sala Constitucional de la Corte Suprema de Justicia, en la Sentencia Nº 2017-004786, de las 9h15 del 29 de marzo de 2017, cuando el correo electrónico del trabajo es una dirección de correo electrónico genérica, no relacionada con un empleado, como info@, dictaminó que este tipo de cuentas no se considera privada, por lo que se puede acceder a ella sin el permiso del empleado, constituyendo así una excepción a los principios antes mencionados.
La falta de adecuación del monitoreo a las reglas vigentes en Costa Rica podría acarrear, además del daño reputacional, multas por parte de la Agencia de Protección de Datos de los Habitantes (Prodhab) de hasta USD 25.000, sin impedir esto el reclamo por daños y perjuicios en sede judicial. Desde la perspectiva de la legislación laboral, los empleados podrían cuestionar cómo se utilizan sus datos en una disputa laboral, incluido el despido.
En este contexto, los empleadores deben balancear sus necesidades de control y supervisión, además de su poder disciplinario, con el derecho a la privacidad del empleado, que, a la luz de la jurisprudencia analizada, generalmente prevalece. Una manera de poder evaluar la validez de las medidas de monitoreo es el control del cumplimiento de dos requisitos básicos:
- debe ser necesario y estar relacionado con una necesidad comercial objetiva (técnica u organizativa); y
- debe ser proporcional a la meta deseada. Antes de proceder con cualquier forma de monitoreo, el empleador debe evaluar primero si es absolutamente necesario, relevante y no excesivo para un propósito específico y legítimo.
Ahora más que nunca, una empresa requiere tener reglas claras y transparentes sobre cómo monitorea a sus empleados y procesa la información personal, no solo para cumplir con el estándar legal, sino también para cumplir con las expectativas de privacidad de los empleados y evitarse contingencias eventualmente costosas a futuro.