1. La Universidad de Sevilla tenía la sospecha de que el subdirector de la unidad técnica de orientación e inserción profesional cometía algunas irregularidades en el cumplimiento de su jornada laboral. Ante esta situación, el director de recursos humanos decidió que el jefe de la unidad de seguridad articulase los medios precisos para determinar las horas de entrada y salida del demandante de su puesto de trabajo durante los meses de enero y febrero de 2006, para lo que debía valerse, si fuera necesario, de la información de las cámaras de video instaladas en los acceso a las dependencias. La existencia y fines de estas cámaras estaban debidamente comunicados por la Universidad a la Agencia Española de Protección de Datos.  

En las hojas de control de asistencia de su unidad administrativa, correspondientes a los meses de enero y febrero de 2006, el trabajador consignó y firmó cada día como momento de entrada las 8:00 horas y, de salida, las 15:00 horas. Gracias al control realizado se pudo constatar, en cambio, que permaneció en las dependencias de su unidad en horarios muy diferentes a los señalados en tales hojas, acreditándose en la mayor parte de los días laborables (cerca de una treintena) una demora variable en la hora de entrada al trabajo de entre treinta minutos y varias horas. Por esas razones, en marzo de 2006 se acordó la incoación de un expediente disciplinario, que terminó por resolución rectoral de 31 de mayo de 2006 en la que, en lo que ahora interesa, se sancionó al trabajador con dos faltas muy graves, una por faltas reiteradas e injustificadas de puntualidad en la entrada al trabajo durante diez o más días en un mes, cometidas en los meses de enero y febrero de 2006, y otra por transgresión de la buena fe contractual y abuso de confianza, consistente en hacer constar en las hojas de control de asistencia una hora de entrada al trabajo que no se correspondía con la real. Estas sanciones fueron confirmadas por el Juzgado de lo Social y el Tribunal Superior de Justicia de Andalucía. Sin embargo, el recurso de amparo promovido por el interesado es estimado por la STC 29/2013, de 11 de febrero, que anula la resolución rectoral sancionadora.  

  1. A lo largo de las actuaciones quedó acreditado que la prueba que había servido para demostrar las irregularidades cometidas por el trabajador estaba constituida por las diversas grabaciones realizadas por las cámaras de videovigilancia instaladas por la Universidad en los accesos al recinto de la sede universitaria, con la debida señalización y advertencia públicas; y, concretamente, dos cámaras de videograbación en los dos únicos accesos directos a la oficina donde el recurrente en amparo prestaba sus servicios. La controversia planteada ante el Tribunal Constitucional consistía en saber si esa prueba, determinante para conformar los hechos sancionados, respetaba el derecho fundamental del interesado consagrado en el artículo 18.4 CE (“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”), y desarrollado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).  
  2. La primera cuestión que se plantea el TC es si realmente los datos del recurrente han sido objeto de tratamiento (sus imágenes entrando y saliendo de la Universidad) están protegidos por el artículo 18.4 CE. La respuesta es positiva, ya que “las imágenes grabadas en un soporte físico, como ha ocurrido en el caso de autos, constituyen un dato de carácter personal que queda integrado en la cobertura del artículo 18.4 CE, ya que el derecho fundamental amplía la garantía constitucional a todos aquellos datos que identifiquen o permitan la identificación de la persona y que puedan servir para la confección de su perfil (ideológico, racial, sexual, económico o de cualquier otra índole)”, lo que “incluye también aquellos que facilitan la identidad de una persona física por medios que, a través de imágenes, permitan su representación física e identificación visual u ofrezcan una información gráfica o fotográfica sobre su identidad” (FJ 5).

La consideración de la imagen como un dato personal está igualmente establecida por la normativa infraconstitucional, en concreto por los artículos 3 a) y d) LOPD y 5.1 f) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. La principal aportación de la STC 29/2013 consistiría en entender que la consideración de la imagen como un dato personal protegido se deriva, directamente, del artículo 18.4 LOPD, y no tanto -o no solo- de las citadas disposiciones legales y reglamentarias. Lo que se confirma con la afirmación del TC según la cual “estamos, en definitiva, dentro del núcleo esencial del derecho fundamental del artículo 18.4 CE” (FJ 5).  

  1. A la hora de examinar el acto empresarial controvertido desde la perspectiva del derecho de información del afectado, el Tribunal hace un amplio recordatoria de la doctrina sentada en la capital STC 292/2000, de 30 de noviembre, dictada por el Pleno, que pasa por ser el leading case constitucional en materia de protección de datos personales. En esa resolución se afirmó que “el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado […] Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin”, así como que es complemento indispensable del derecho fundamental del artículo 18.4 CE “la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo”, lo que significa, según entiende ahora la STC 29/2013, que un “elemento caracterizador de la definición constitucional del artículo 18.4 CE, de su núcleo esencial, [es] el derecho del afectado a ser informado de quién posee los datos personales y con qué fin”. Aquí se encuentra la clave del razonamiento de esta STC 29/2013, y la novedad que aporta respecto de los pronunciamientos precedentes sobre el citado derecho fundamental.  

Para el TC, “este derecho de información opera también cuando existe habilitación legal para recabar los datos sin necesidad de consentimiento, pues es patente que una cosa es la necesidad o no de autorización del afectado y otra, diferente, el deber de informarle sobre su poseedor y el propósito del tratamiento”. Ciertamente, esta exigencia de información no puede tenerse por absoluta, “dado que cabe concebir limitaciones por razones constitucionalmente admisibles y legalmente previstas”, pero no hay que olvidar que “la Constitución ha querido que la ley, y solo la ley, pueda fijar los límites a un derecho fundamental, exigiendo además que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, respetuoso con el contenido esencial del derecho fundamental restringido”. Partiendo de lo anterior, el TC constata que “no hay una habilitación legal expresa para esa omisión del derecho a la información sobre el tratamiento de datos personales en el ámbito de las relaciones laborales, y que tampoco podría situarse su fundamento en el interés empresarial de controlar la actividad laboral a través de sistemas sorpresivos o no informados de tratamiento de datos que aseguren la máxima eficacia en el propósito de vigilancia”. La lógica fundada en la utilidad o conveniencia empresarial “haría quebrar la efectiva del derecho fundamental, en su núcleo esencial”, pues cabe proclamar la legitimidad del propósito de vigilancia, incluso sin consentimiento del trabajador (artículo 6.2 LOPD), y, a la vez, “declarar que lesiona el artículo 18.4 CE la utilización para llevarlo a cabo de medios encubiertos que niegan al trabajador la información exigible” (FJ 7).  

  1. En el caso analizado, está acreditado que las cámaras de videovigilancia instaladas en el recinto universitario grabaron y reprodujeron un dato personal del recurrente (su imagen), y que la Universidad, responsable del tratamiento de ese dato personal, lo utilizó “sin haber informado al trabajador sobre esa utilidad de supervisión laboral asociada a las capturas de su imagen”, lo que supuso una vulneración del artículo 18.4 CE. Para el TC, “no contrarresta esa conclusión que existieran distintivos anunciando la instalación de cámaras y captación de imágenes en el recinto universitario, ni que se hubiera notificado la creación del fichero a la Agencia Española de Protección de Datos”, sino que “era necesaria además la información previa y expresa, precisa, clara e inequívoca a los trabajadores de la finalidad laboral a la que esa captación podía ser dirigida”. Una información, agrega el TC, “que debía concretar las características y el alcance del tratamiento de datos que iba a realizarse, esto es, en qué casos las grabaciones podían ser examinadas, durante cuánto tiempo y con qué propósitos, explicitando muy particularmente que podían utilizarse para la imposición de sanciones disciplinarias por incumplimientos del contrato de trabajo”. Aunque ese “derecho de información expresa y previa es el realmente determinante”, lo cierto es que, en el caso analizado, “tampoco había evidencia alguna de que aquélla fuera la finalidad del tratamiento de los datos, o uno de sus posibles objetos, pues ni siquiera estaban situados los aparatos de videovigilancia dentro de las concretas dependencias donde se desarrolla la prestación laboral, sino en los vestíbulos y zonas de paso públicos” (FJ 8).  

Por lo indicado, las sanciones impuestas al recurrente con base en esa única prueba (las grabaciones), lesiva del derecho fundamental consagrado en el artículo 18.4 CE, son declaradas nulas.

  1. Esta STC 29/2013 cuenta con el voto particular de uno de sus Magistrados, que patrocina la desestimación del recurso de amparo porque se ignora el procedente de la STC 186/2000, que afirmó, en un caso muy semejante, que “[e]l hecho de que la instalación del circuito cerrado de televisión no fuera previamente puesta en conocimiento del Comité de empresa y de los trabajadores afectados (sin duda por el justificado temor de la empresa de que el conocimiento de la existencia del sistema de filmación frustraría la finalidad apetecida) carece de trascendencia desde la perspectiva constitucional” (FJ 7). También critica el hecho de que, en su opinión, la sentencia de la mayoría no realice ninguna ponderación de los derechos fundamentales en juego, y que ignorara el control de acceso, de público conocimiento, y la misma situación de las cámaras, que permitía controlar en qué medida el recurrente aportaba datos falsos sobre el cumplimiento de su horario laboral.  
  2. Los hechos analizados por la STC 29/2013 tuvieron otra derivada ante la Agencia Española de Protección de Datos. En efecto, en virtud de una denuncia presentada por el recurrente en amparo ante dicho órgano, la Agencia abrió un expediente a la Universidad de Sevilla que culminó en la Resolución 0987/2008, de 1 de septiembre, que declaró que la Universidad había incumplido el artículo 5 LOPD, que consagra el derecho de información de los afectados en la recogida de sus datos personales. La STC 29/2013, FJ 8, advierte que esta resolución “no podría condicionar nuestro juicio de constitucionalidad”, aunque, “sin duda, resulta indicativa”. Pero el TC no cuenta la historia completa sobre lo acaecido ante la Agencia: la citada Resolución 0987/2008 fue anulada por la Sentencia de la Audiencia Nacional, Sala de lo Contencioso- Administrativo, Sección 1ª, de 15 de octubre de 2009, al apreciar la prescripción de la infracción, y el recurso de casación interpuesto por quien también recurrió en amparo fue rechazado por la Sentencia del Tribunal Supremo, Sala 3ª, de 16 de octubre de 2012.