La empresa que se dedica a la actividad inmobiliaria había instalado en los ordenadores de algunos trabajadores de la empresa, un programa informático de seguimiento de su actividad en el marco del teletrabajo. También había instalado un sistema de videovigilancia con grabación en sus locales para la prevención de cualquier actividad que suponga sustracción de bienes de la empresa, con dos cámaras que grababan imagen y sonido, conectadas a una aplicación móvil que permitía la consulta en tiempo real. No existía ninguna circunstancia excepcional que motivara la instalación de las cámaras.

Se constató que la sociedad grababa de manera continua a su personal, mediante dispositivos de registro de imagen y sonido, y que medía su tiempo de trabajo y evaluaba su rendimiento de manera precisa mediante un programa informático en sus ordenadores. Se procedía a medir lo que la empresa denominaba “tiempo de inactividad” de su personal. Se detectaba a lo largo de la jornada si la persona trabajadora no tocaba el teclado o movía el ratón en periodos que se habían parametrizado de entre 3 y 15 minutos, que posteriormente se descontaba del tiempo de trabajo y el trabajador podía recuperarlo o podía ser descontado de su salario.

No se tenía en cuenta si se la persona trabajadora se encontraba en una reunión o hablando por teléfono, y por lo tanto no realizaba la finalidad perseguida correctamente. Y se consideró que se producía una afectación excesiva y desproporcionada a los derechos de los trabajadores.

El software que se había instalado en los ordenadores permitía, sobre una base de sitios web y programas que habían sido definidos como “productivos”, definir el tiempo que la persona pasaba utilizando sitios web improductivos para la empresa.

No se había producido una información al personal en ninguna manera, ni en los contratos de trabajo ni posteriormente, al margen de información verbal que no ha podido ser acreditada.

Además, el acceso al repositorio donde se encontraba toda la información generada por el personal de esta forma se realizaba mediante una cuenta compartida por varias personas, que no dejaba huella de quien había accedido, vulnerando así el principio de seguridad y confidencialidad de los datos.

Y por si fuera poco, la empresa no había realizado una evaluación de impacto sobre la protección de datos, teniendo en cuenta que se trata de una serie de actividades que suponen una observación permanente y sistemática del personal, y por lo tanto con un riesgo elevado de afectación a los derechos de las personas.

La Comisión francesa de la Informática y las Libertadas (equivalente a la Agencia Española de Protección de Datos) inició un procedimiento de investigación constatando estos extremos, e imponiendo una sanción de 40.000 euros a la empresa. Se estima que la conducta de la empresa es muy grave, teniendo en cuenta las conductas realizadas, así como la reiteración en las mismas.