La protección de datos es una de las grandes cuestiones de esta era, de ahí que la imposición de sanciones por infringir la normativa en vigor genere una enorme atención. En los últimos días hemos conocido una nueva sanción con motivo de la aplicación de sistemas de control en el ámbito laboral. En este caso, se trata de una decisión tomada por la Comisión Nacional de la Informática y las Libertades de Francia (CNIL), quien ha impuesto una multa a Amazon de 32 millones de euros. O, para ser más exactos, a su filial en este país: Amazon France Logistique. ¿Por qué? Por haber utilizado un sistema de monitorización de los empleados durante el desarrollo de su actividad en el centro logístico.
Esta decisión de imponer una multa a Amazon se ha producido tras la actividad investigadora de la autoridad francesa y, según se referencia, la denuncia de varios trabajadores.
Cómo el sistema que ha originado la multa a Amazon
El sistema que ha propiciado la multa a Amazon parte de la entrega a cada uno de los empleados de un escáner, a través del que se monitoriza su actividad: el almacenaje o retirada de mercancía, el empacado, etc.
La información es obtenida en tiempo real, almacenada, y utilizada para el análisis de su desempeño en función a diferentes criterios (calidad, productividad y periodos de inactividad), respecto de cada uno de los empleados, a los que se asocian sus datos, individualmente.
Este sistema es considerado «excesivo» por la CNIL con base en tres cuestiones:
- Se considera ilegal que el sistema obtenga métricas tan precisas de los períodos de inactividad o interrupción de esta, debido a que podría conllevar que se pida justificación por cada parada o interrupción a los empleados,
- Se considera igualmente excesivo que el sistema tuviese la capacidad de medir si entre el escaneo de un producto y el siguiente mediaban más de 1,25 segundos,
- Por último, se considera excesivo que la compañía almacenase todos los datos obtenidos por el sistema, respecto de todos los empleados (incluso los temporales) durante un período de 31 días.
Lo que hemos apuntado hasta ahora, sobre las razones detrás de la multa a Amazon, evidencia un claro incumplimiento del principio de minimización de datos del artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD).
En este sentido, la justificación para la obtención, almacenado y análisis de datos del desarrollo de los trabajadores (recibo de paquetes, almacenaje, preparación y envío de pedidos) con fines de asistencia o reasignación a otras tareas, si fuese necesario, no es suficiente para legitimar el tratamiento, al considerar que con una selección de todos los datos analizados en períodos semanales sería suficiente.
Indicadores de tiempo, inactividad e interrupciones
Respecto de esta legitimación, del artículo 6 del RGPD, no se puede considerar legitimado el tratamiento con base en esa intención de control para llevar a cabo una potencial formación o reorganización empresarial. El CNIL resalta tres indicadores clave para observar su carácter ilegal:
- El ya mencionado indicador de tiempo, que detecta como un error si entre el escaneo de dos productos median menos de 1,25 segundos.
- El indicador de inactividad, cuando no se utiliza el escáner durante un período superior a 10 minutos.
- El indicador de interrupciones de entre 1 y 10 minutos en la actividad del escáner y, por tanto, del empleado.
En primer lugar, el hecho de que el tiempo que medie entre dos acciones sea de 1,25 segundos o menos, supone que la monitorización es realmente en vivo, y que se asocia con un error el hecho de que un empleado trabaje «demasiado rápido».
En segundo lugar, el hecho de que sea detectado un potencial período de inactividad desde 1 minuto también confirmaría el exceso en el control.
La conclusión es que la Comisión considera que tanto la planificación de los horarios o turnos de trabajo del almacén logístico, como la evaluación y formación del empleado no requiere del acceso a toda la información obtenida del escáner durante el período correspondiente al último mes.
Tratamiento de datos de los trabajadores y seguridad
En la investigación que ha conducido a la multa a Amazon de 32 millones de euros, la CNIL ha observado que se producen incumplimientos de los artículos 12 y 13 del RGPD, en cuanto a falta de transparencia e información suficiente del tratamiento de datos de los trabajadores. En concreto, respecto de la falta de información a:
- Los trabajadores temporales sobre la política de privacidad,
- Los empleados o visitantes externos sobre el sistema de videovigilancia, en cualquiera de las formas aceptadas.
Por último, debemos resaltar, en torno a este caso que ha conllevado una millonaria multa a Amazon, el incumplimiento del artículo 32 del RGPD, de gran relevancia en la operativa diaria de muchas empresas.
Así, la Comisión ha detectado que las medidas de seguridad (contraseña) del software del sistema de videovigilancia no eran suficientemente fuertes y la misma cuenta era compartida por diferentes usuarios, algo que todavía sigue siendo muy habitual en los equipos y sistemas de muchas empresas.
Todas las cuestiones que hemos ido desgranando, han llevado a la CNIL a imponer una multa a Amazon de 32 millones de euros.
En definitiva, las empresas que emplean sistemas de control en el ámbito laboral deben tener en cuenta las infracciones detectadas por la CNIL para cumplir con la normativa en materia de protección de datos y evitar sanciones millonarias como la multa a Amazon.