Sentencia Social 31/2026 Audiencia Nacional. Sala de lo Social Única, Rec. 301/2025 de 18 de febrero del 2026

PRIMERO.-La Sala de lo Social de la Audiencia Nacional es competente para conocer del presente proceso de conformidad con lo dispuesto en los artículos 9.5 y 67 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, en relación con lo previsto en los artículos 2 g) y 8.1 de la Ley 36/2011, de 10 de octubre, Reguladora de la Jurisdicción Social.

SEGUNDO.-De conformidad con lo dispuesto en el artículo 97.2 de la Ley 36/2011, de 10 de octubre, Reguladora de la Jurisdicción Social, los hechos declarados probados se sustentan bien en hechos no controvertidos o pacíficos, bien en cada una de las fuentes de prueba incorporadas a través de los medios de prueba previstos legalmente, tal y como se expresa a continuación:

El Hecho Primero y el Tercero son hechos conformes al ser reconocidos por ambas partes.

El Hecho Segundo de la conformidad de las partes y de la prueba documental obrante en los descriptores 66 y 67.

El Hecho Cuarto de la fuente de prueba documental obrante en los descriptores 70 y 74.

El Hecho Quinto de la fuente de prueba documental obrante en el descriptor 69.

El Hecho Sexto de la fuente de prueba documental obrante en los descriptores 72 y 73.

El Hecho Séptimo de la fuente de prueba documental obrante en el descriptor 81.

El Hecho Octavo de la fuente de prueba documental obrante en el descriptor 82.

El Hecho Noveno de la fuente de prueba documental obrante en los descriptores 83 y 84.

El Hecho Décimo de la fuente de prueba documental obrante en el descriptor 84.

El Hecho Decimoprimero de la fuente de prueba documental obrante en el descriptor 87.

El Hecho Decimosegundo de la fuente de prueba documental obrante en el descriptor 90.

El Hecho Decimotercero de la fuente de prueba documental obrante en los descriptores 91 y 93.

El Hecho Decimocuarto de la fuente de prueba documental obrante en el descriptor 94.

El Hecho Decimoquinto y Decimosexto de la fuente de prueba pericial practicada en la persona de Doña María Inmaculada.

El Hecho Decimoséptimo de la fuente de prueba documental obrante en el descriptor 7.

TERCERO.-1. Las demandas contienen varias pretensiones cada una de ellas en parte coincidentes y en parte disimiles. Por meras razones de lógica procesal debemos abordar en primer lugar la pretensión común consistente en solicitar la nulidad del Anexo al considerar que este se ha establecido unilateralmente por la empresa sin la participación de la representación de los trabajadores, porque su estimación haría innecesaria entrar a analizar los otros motivos de impugnación.

La demanda presentada por CCOO solicita la nulidad del anexo al entender que la conducta de la empresa supone una vulneración de los apartados 5 y 6 del artículo 64 del ET que reconocen el derecho de la representación de los trabajadores a ser informados y consultados en el establecimiento de sistemas de control de trabajo; complementados con lo previsto en el artículo 87.3 de la LOPDGDD que atribuye a la representación de los trabajadores el derecho a participar en la elaboración de criterios de utilización de los dispositivos digitales. Considera que los preceptos antecitados se han incumplido porque la empresa solo ha conferido un plazo de quince días para realizar comentarios y no se ha realizado un proceso de consulta y negociación real y efectivo previo a la implantación de cualquier política sobre utilización de los dispositivos digitales de la empresa.

La demanda conjunta de UGT, CSIF, CGT Y USO sostienen la nulidad del Anexo al considerar que se han vulnerado su derecho a la negociación colectiva ex artículo 28 de la CE, en relación al artículo 64 del ET y el artículo 87.3 de la LOPDGDD; afirmando que resulta de aplicación al presente procedimiento la STS de 6 de febrero de 2024 (Rec. 263/2022) que declaró nula la política empresarial aprobada sin la participación de la representación de los trabajadores al considerar que el apartado 3º del artículo 87 LOPDGDD resulta de imperativa observancia en los supuestos en los que el trabajo se realice mediante dispositivos digitales. Entienden que la conducta de la empresa no cumple con las exigencias de los preceptos antecitados al limitarse a comunicar, en mayo de 2025, a la representación de los trabajadores el referido anexo, cuyo texto definitivo quedó fijado en julio, limitándose su intervención a un trámite de alegaciones, tras el cual el texto quedó prácticamente inalterado en su versión final respecto a la versión inicial

Sobre el incumplimiento de la obligación empresarial de contar con la participación de la representación de los trabajadores/as, las empresas demandadas manifiestan que el artículo 87 de LOPDGDD no concreta la fórmula participativa y no se puede imponer a la empresa una concreta formula, como es la negociación; tampoco se impone la necesidad de un acuerdo, ni el supuesto está contemplado tampoco en el artículo 64 del ET, ni se deduce de la norma comunitaria la concreta fórmula de participación. Se ha cumplido aquí de manera evidente con la participación porque, primero, en mayo de 2025 se elabora una primera versión y se notifica dando un plazo de 15 días para que se realicen alegaciones a todos los comités de empresa de la compañía. Se suspende la entrada en vigor de la política de seguridad, prevista para el 1 de julio, para interpretar entender y analizar las alegaciones, entrando en vigor el 15 de septiembre. Se realiza un segundo borrador, con incorporación de algunas aportaciones, se remite a la representación de los trabajadores y se da nuevo plazo de alegaciones.

2. Al aducirse la vulneración de la negociación colectiva ex artículo 28, en relación con el artículo 64 del ET y el artículo 87 de la LOPDGDD en la fijación de los criterios de utilización por parte de los trabajadores/as de los dispositivos digitales puestos a su disposición por la empresa, debe tenerse en cuenta que siendo este el objeto de controversia el precepto controvertido es el artículo 87 de la LOPDGDD y no el artículo 64 del ET, por constituir aquel una regla especial para un supuesto concreto como es el "derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral", a cuyo socaire se prevé una regla particular en materia de facultades de la representación de los trabajadores, frente a la regla general configurada en el artículo 64.5 del ET relativa a los derechos de información, consulta o emisión de informe en materia, entre otras, de implantación y revisión de sistemas de control del trabajo; sin perjuicio de que el artículo 64.5 del ET pueda servir para concordar el alcance del artículo 87 de la LOPGDD, como más adelante diremos. Se podría aducir que el articulo 64.5 f) del ET como norma general no sería de aplicación porque se refiere a sistemas de control y el artículo 87 de la LOPDGDD se refiere a criterios de utilización de dispositivos digitales, constituyendo dos realidades diferenciadas; sin embargo esa diferenciación es más aparente que real dado que estos protocolos de utilización de dispositivos digitales contienen reglas sobre el control de los dispositivos so pena de no ajustarse a la previsión legal así como a la interpretación jurisprudencial y del TEDH, lo que les convierte en protocolos que implementan sistemas de control, como es el caso del Anexo objeto de la presente controversia.

Que el artículo 87 de la LOPD constituye una regla especial en materia de usos de los dispositivos digitales ya lo ha evidenciado la STS de 6 de febrero de 2024 (Rec. 263/2022) al señalar que "el artículo 87.3 LOPD resulta una especificación, para un ámbito determinado, del genérico poder de dirección del artículo 20.3 ET ",y si bien la afirmación se hace en el plano de las previsiones contenidas en los artículos 20.3 del ET y 87.3 de la LOPDGDD en relación al control empresarial; mutatis mutandi es trasladable al plano de la participación de los representantes de los trabajadores en relación a la implementación o revisión de sistemas de control prevista en los artículos 64.5 f) del ET y 87.3 de la LOPDGDD.

Por tanto, el fundamento sobre el que ha de girar la resolución de la controversia se encuentra en el artículo 87 de la LOPDD. En efecto, el primer párrafo de su apartado 3º establece que "los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente"y, a continuación, en lo que resulta relevante determina que "en su elaboración deberán participar los representantes de los trabajadores".

La concreción del papel de los representantes de los trabajadores en la fijación de los criterios de utilización se ha efectuado por el legislador acudiendo a una formula amplia dado que el sentido literal del término "participar" puede englobar varias posibilidades, como la mera información -de acuerdo a la RAE participar puede significar dar noticia o comunicar-, audiencia previa, consulta, emisión de informe o negociación -estas cuatro encajarían en el significado de participar como tomar parte de algo-; por lo tanto, el artículo 87.3 de LOPDGDD no impone, desde una interpretación literal, una determinada posibilidad de actuación de los representantes de los trabajadores al ser una formula abierta. A diferencia de lo que ocurre, por ejemplo, en la misma norma al abordar la política empresarial de desconexión digital en el artículo 88.3 LOPDGDD que exige la audiencia previa de los representantes de los trabajadores; fórmula muchos más concreta que la utilizada el abordar los criterios de utilización de los dispositivos digitales.

No obstante lo anterior, esta Sala debe realizar una serie de precisiones que vienen a completar la anterior conclusión.

En primer lugar, al haberse alegado la existencia de un derecho de los representantes a negociar y acordar los referidos criterios, hemos de señalar que dicha posibilidad es admisible de acuerdo a la formula abierta utilizada en el artículo 87.3 de la LOPDGDD, pero no se deduce que sea esta la única forma de participar, ni que pueda identificarse el término "participar" con "negociar", pues una interpretación teleológica desmiente dicha conclusión dado que en la versión existente en el proceso de tramitación parlamentaria, fruto de una enmienda del Grupo Socialista, sí se concretaba el papel de la representación de los trabajadores en un derecho, no solo a negociar, sino a acordar dichos criterios, dado que el artículo 86.3 del proyecto -actual art. 87.3- establecía que "la empresa acordará con la representación de los trabajadores un protocolo de utilización de los dispositivos digitales facilitados a los trabajadores".En consecuencia, no existiendo previsión legal, ni convencional, que obligue a la empresa a negociar los criterios, difícilmente puede haberse lesionado el derecho a la negociación colectiva de los sindicatos demandantes.

En segundo lugar, si bien la mera interpretación literal del término "participar" en línea de principio admite, como ya hemos indicado, una pléyade de posibilidades en torno al papel que se otorga a la representación de los trabajadores, entre las que se encuentra la mera información, de suerte que se cumpliría con la exigencia del artículo 87.3 de la LOPD con informar la empresa de los criterios que va adoptar en el uso de dispositivos digitales, una interpretación sistemática ad intra y ad extra del apartado controvertido, nos lleva a considerar que la mera información no es suficiente. En efecto, ad intra del artículo 87.3 de la LOPDGDD, se establece que "en su elaboración deberán participar los representantes de los trabajadores",de suerte que participar en su "elaboración"requiere, al menos un cierto papel activo que no se cumple con el mero traslado de información que supone un rol pasivo; mal se puede elaborar algo cuando no se tiene, al menos, la posibilidad de ser oído, lo que sólo se cumple en distintos grados, con la emisión de informe, audiencia previa, consulta o negociación. Ad extra, si nos fijamos ahora en el artículo 64.5 f) del ET que, como ya se ha indicado, contiene la regla general relativa al papel de los representantes de los trabajadores en relación con los sistemas de control, reconoce un derecho a la emisión de informe previo, lo que supone excluir la mera información. Además la coherencia interna de ordenamiento laboral conduce a esta interpretación pues no resulta lógico admitir ex artículo 87.3 de la LOPDGDD la información como forma de cumplir con la participación de los representantes, cuando el artículo 64.5 f) del ET lo excluye al reconocer el derecho a emitir un informe previo.

En tercer lugar, se alega por los sindicatos demandantes que se ha vulnerado su derecho de consulta ex artículo 64.5 f) del ET. Aunque ya hemos dicho que se trata de una regla general que contiene una concreta regla de participación que debe ceder ante la regla especial y abierta contenida en el artículo 87.3 de la LOPDGDD, debe advertirse que del artículo 64.5 del ET no se deriva un derecho de consulta en materia de implementación o revisión de sistemas de control, sino únicamente un derecho de emisión de informe previo. Es verdad que en los dos primeros párrafos del apartado 5º del artículo 64 del ET se reconoce un derecho de información y consulta en una serie de materias entre las que no se encuentran ni los sistemas de control ni los protocolos de uso de dispositivos digitales, y, a continuación, en el párrafo tercero se establece un derecho de emisión de informes enumerando un elenco de materias solo parcialmente coincidentes con las materias de los dos primeros párrafos, lo que evidencia que se distingue entre consulta y emisión de informes.

En este sentido debemos traer aquí la STS de 13 de septiembre de 2016 (Rec. 206/2015), que señala que el artículo 64.5 del ET "distingue entre el derecho de consulta y el emitir informe previo, de forma que aquélla reviste los caracteres que le atribuye el apartado «1» y que le aproximan a la negociación colectiva [«... intercambio de opiniones y la apertura de un diálogo... con espíritu de cooperación...» ] y su obligatoriedad se concreta -en el ámbito estatutario- a los supuestos que detalla el apartado «5» [«... situación y estructura del empleo... cambios relevantes en cuanto a la organización del trabajo y a los contratos... eventuales medidas preventivas...»], en tanto que el derecho a emitir informe parece concebirlo de forma independiente, pues lo refiere a los concretos supuestos que cita el mismo apartado «5», y aunque los supuestos en que se impone obligatoriamente son casi todos ellos propios de consulta [reestructuraciones y cese de plantillas; reducciones de jornada; traslado de instalaciones; procesos de fusión, absorción...], otros que también reseña [planes de formación profesional; implantación y revisión de sistemas de organización y control de trabajo, estudios de tiempos, establecimiento de sistemas de primas e incentivos], escapan a los supuestos generales de la obligada consulta [«situación y estructura del empleo»; «cambios relevantes» en la organización del trabajo; medidas preventivas]".

En consecuencia, debe concluirse que en el artículo 64.5 f) del ET se reconoce a los representantes de los trabajadores un derecho a emitir informe previo pero no a ser consultados; sin perjuicio de que el convenio aplicable pudiera establecer otra fórmula de participación de mayor intensidad, como la consulta o la negociación.

Recapitulando esta Sala considera que el derecho de los representantes de los trabajadores/as a participar en la elaboración de los criterios de utilización de los dispositivos digitales ex artículo 87.3 de la LOPDGDD no se satisface con la mera información de dichos criterios por parte del empresario, sino que requiere como mínimo la emisión por parte de aquellos de informe previo, siendo admisible otros roles como la previa audiencia, consulta, la negociación o el acuerdo, ante el carácter abierto la formula contenida en el precepto legal.

3. En el presente procedimiento ha resultado probado que la empresa, entre los días 28 y 30 de mayo de 2025 se dirige a la representación de los trabajadores/as y les traslada un documento denominado Anexo a la Política Global de Seguridad de Usuarios Final, comunicándoles que entrará en vigor el 1 de julio y dándoles un plazo de quince días para que realicen "comentarios", es decir, alegaciones para que sean valoradas por la empresa. La representación de los trabajadores presentó durante los primeros días de junio de 2025 alegaciones diversas. Recibidas los comentarios/alegaciones la empresa entre el 18 y 20 de junio de 2025 manifiesta a la representación de los trabajadores que iba a valorar la posibilidad de hacer modificaciones y aclaraciones al Anexo, comunicando la postergación sin fecha de su entrada en vigor y la remisión de un segundo borrador del Anexo. La empresa entre el 22 y 24 julio de 2025 remite a la representación de los trabajadores/as un segundo borrador, comunicando un segundo plazo de quince días para que remitiera los comentarios/alegaciones que estimase oportunas; presentándose alegaciones por los distintos órganos de representación entre el 30 de julio y el 7 de agosto de 2025. Las empresas entre el día 3 y 9 de septiembre se dirigen a las distintas representaciones de los trabajadores/as, comunicándoles que el Anexo entrará en vigor el 15 de septiembre de 2025, adjuntándoles le versión definitiva del mismo.

La anterior cronología de hechos revela que las empresas antes de la aplicación del Anexo procedieron a solicitar no uno sino dos informes previos a la representación de los trabajadores/as; lo que constituye una forma de participación subsumible en la exigencia del artículo 87.3 de la LOPDGDD. Debemos llamar la atención de que se hubiera cumplido con el mandato del antecitado precepto con el requerimiento de un único informe previo.

Además, la secuenciación temporal deja ver que dicha petición de informe no fue una mera formalidad porque al entregarse la versión inicial se comunicó como fecha de aplicación el 1 de julio, formuladas las primeras alegaciones y la vista de las mismas, por un lado, las empresas entre los días 18 y 20 de junio comunicaron que aplazaban sine die su aplicación, y, por otro lado, el segundo borrador no se remitió hasta trascurrido un mes, entre el 22 y 24 de julio, para su nueva valoración; presentadas las segundas alegaciones a principios de agosto, entre el 30 de julio y 7 de agosto, tardaría otro mes en remitir ya la versión definitiva, entre el 3 y 9 de septiembre, fijando la fecha de aplicación en el 15 de septiembre. En definitiva, por un lado la fecha de aplicación se pospone dos meses y medio; así como el tiempo que trascurre entre la presentación de alegaciones y el segundo borrador y entre este segundo borrador y la versión definitiva, en ambos casos de un mes, revela que la empresa procedió a estudiar y analizar las alegaciones presentadas.

No resultando, a juicio de esta Sala, obligadas las empresas a recoger -total o parcialmente- las posibles alegaciones formuladas por la representación social y modificar el Anexo por cuanto de la fórmula de participación desarrollada por la empresa -emisión de informe previo- no se deriva dicha posibilidad y, en consecuencia, no cabe apreciar que la conducta de la empresa sea contraria al artículo 87.3 de la LOPDGDD. En este sentido, la ya citada STS de 13 de septiembre de 2016 (Rec. 206/2015), ante un supuesto de hecho en el que la empresa tras la evacuación del informe no modifica su protocolo señala claramente que si "el derecho que correspondía en la materia [...] es de simple informe previo y no el de consulta; [...] no haber acogido sugerencia alguna del informe ni modificado en nada el texto remitido, no comporta el incumplimiento del trámite".

Finalmente debemos descartar, como sostienen los sindicatos demandantes, que la aplicación de la interpretación inserta en la STS de 6 de febrero de 2024 (Rec. 263/2022) avalaría la nulidad del Anexo ahora controvertido porque estamos ante controversias con un planteamiento fáctico distinto que lleva a una distinta solución. En efecto, en dicha sentencia se declaró nula la revisión de la política empresarial porque se acreditó que se efectúo sin la participación de la representación de los trabajadores; cosa que no sucede en el presente procedimiento donde las empresas sí han dado participación a los representantes de los trabajadores, de modo que la doctrina de dicha sentencia del Tribunal Supremo conduce a desestimar la nulidad pretendida por los demandantes.

CUARTO.-Proceden los sindicatos demandantes a impugnar una parte del contenido del Anexo implementado por las empresas demandadas que consta de nueve apartados. No obstante, como quiera que cada una de las demandas solicitan pretensiones no coincidentes, desarrollando una argumentación tampoco coincidente plenamente, debemos proceder a un examen individualizado de cada una de las demandas.

Todos los motivos de nulidad construidos por los demandantes tienen como eje de controversia la confrontación entre los derechos fundamentales de las personas trabajadoras y las facultades de control empresarial derivadas del uso de las nuevas -y no tan nuevas- tecnologías de la comunicación e información, tradicionalmente los sistema de captación de imágenes y sonidos, modernamente el uso de dispositivos digitales de variada índole para el desarrollo de la actividad empresarial, la robotización y la inteligencia artificial. De forma sucinta podemos reconducir los supuestos de control empresarial a dos hipótesis: a) una vinculada al control de la actividad laboral en si misma considerada, siendo la utilización de cámaras de vigilancia, con o sin sistemas de audio incorporado, el dispositivo utilizado por antonomasia; b) la segunda consistente en el control del uso que hacen las personas trabajadoras de los instrumentos y avances tecnológicos que el empresario pone a su disposición para el desarrollo de la actividad profesional. Diferenciación que tiene su importancia, por un lado, desde el plano normativo y desde la perspectiva de la intimidad, porque cada uno de los supuestos tiene una distinta configuración jurídica, el primero viene actualmente regulado en el artículo 89 de la LOPDGDD, el segundo en el artículo 87 de la LOPDGDD; en segundo lugar, porque la forma de afrontar su valoración jurídica, si bien tiene como premisa coincidente la utilización de test de proporcionalidad en la búsqueda de equilibro en la confrontación entre el respeto a los derechos fundamentales y la operatividad del control empresarial, la forma de encauzar el análisis valorativo difiere por cuanto que si se trata del control de la actividad laboral la aplicación del test de proporcionalidad requiere la previa existencia de indicios que afloren una conducta inadecuada, mientras que si se trata del control del uso de los dispositivos digitales el test de proporcionalidad entrará en juego si y solo si no existe expectativa de privacidad/confidencialidad.

En las demandas acumuladas la controversia gira en torno al posible control por parte de las empresas demandadas de los dispositivos que pone a disposición de sus trabajadores/as con ocasión de implementación de las pautas establecidas en un documento Anexo para la utilización de los mismos, no tiene como controversia posibles lesiones de derechos fundamentales actualizadas o verificadas, sino potenciales lesiones a la vista de las pautas elaboradas, lo que resulta importante porque el juicio de esta Sala debe realizarse respecto al ajuste de dichos criterios a lo establecido en el artículo 87 de la LOPDGDD y la interpretación sobre la materia efectuada por el Tribunal Supremo, el Tribunal Constitucional y el Tribunal Europeo de Derechos Humanos.

QUINTO.-1. Aunque estamos ante una controversia relativa al control del uso de dispositivos digitales empresariales, para una comprensión de nuestro razonamiento, debemos evidenciar primeramente que las posibles tensiones entre la facultad de vigilancia y control y el respeto a los derechos fundamentales tuvieron una primera respuesta en clave constitucional a través de dos conocidas sentencias - STC 98/2000, de 10 de abril y STC 186/2000, de 12 de julio- que sentaron las pautas para la aplicación en la siguiente década del control empresarial, no en relación al uso de las herramientas tecnológicas sino en lo atinente al control de la actividad misma de los trabajadores/as. Proclamando nuestro Tribunal Constitucional la eficacia de los derechos fundamentales en el ámbito empresarial, no pudiendo despojarse a los trabajadores de los mismos al socaire de la existencia de un contrato de trabajo, afirma que no estamos ante derechos absolutos sino que pueden ceder «ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho» ; y en opinión del Tribunal Constitucional uno de esos fines legítimos lo encontramos en las facultades de vigilancia como parte integrante del poder de dirección que se reconoce al empresario como imprescindible para la buena marcha de la organización productiva.

Ahora bien nos recuerda también el Tribunal Constitucional que en la confrontación entre el ejercicio de la facultad empresarial de vigilancia y control y el respeto a los derechos fundamentales de los trabajadores se aprecia la existencia de una necesidad de equilibrios y limitaciones recíprocos que se derivan para ambas partes del contrato de trabajo y que suponen, de un lado, la admisión de la validez de dicho poder de vigilancia, y, de otro lado, la admisión de la limitación de dichas facultades organizativas empresariales por parte de los derechos fundamentales del trabajador, quedando obligado el empleador a respetarlos.

La dicotomía conflictiva entre respeto a los derechos fundamentales de los trabajadores y control empresarial de su actividad laboral se enjuició en sede constitucional mediante el conocido «test de proporcionalidad» en el uso de la facultad de vigilancia y control; de suerte que no habrá afectación de derechos fundamentales, apreciándose la proporcionalidad, cuando existiendo una concreta y previa justificación de la adopción de la medida, ésta es susceptible de alcanzar el objetivo que se propone, el denominado «juicio de idoneidad», es estrictamente imprescindible, no existiendo ninguna otra medida más moderada que permita conseguir el objetivo propuesto con igual eficacia, el calificado «juicio de necesidad», y es equilibrada y ponderada, por obtenerse con ella más beneficios o ventajas para el interés general que perjuicios sobre otros posibles bienes o valores en conflicto, el denominado «juicio de proporcionalidad en sentido estricto».

2. Con el trascurrir de los años la imparable irrupción en los entornos empresariales de las nuevas tecnologías como instrumentos de trabajo -señaladamente el correo electrónico e internet- plantearon la validez del control sobre el uso de dichas herramientas por parte de los trabajadores a la que tuvo que hacer frente inicialmente las instancias judiciales, el Tribunal Constitucional y el Tribunal Europeo de Derechos Humanos. No se trataba del ajuste legal y constitucional de los sistemas de vigilancia de la «actividad laboral», sino de dilucidar si el control del uso de las herramientas tecnológicas de trabajo era respetuoso con los derechos fundamentales de las personas trabajadoras.

La primera y primordial respuesta se formuló en la STEDH de 3 de abril de 2007 (Caso Copland), en la que se aborda el control del teléfono, correo electrónico y uso de internet de una trabajadora de un College, con naturaleza de autoridad pública a los efectos de concretar que la lesión se producía respecto a la obligación negativa contenida en el apartado 2º del artículo 8 del Convenio que reza que "no podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás".

Tras reiterar la protección del uso de las nuevas tecnologías en el ámbito laboral por parte de los trabajadores ya establecida en sentencias anteriores, por todas las SSTEDH de 25 de junio de 1997 (Caso Halford) y 16 de septiembre de 2000 (Caso Amman), el Tribunal Europeo de Derechos Humanos, entiende que al no existir previsión legal que avale el control y al no advertirse a la trabajadora que la utilización de dichos medios de trabajo podrían ser objeto de control empresarial, ésta «podía razonablemente esperar que se reconociera el carácter privado de las llamadas efectuadas desde el teléfono del trabajo» e igualmente «podía esperar lo mismo en lo que respecta al correo electrónico y la navegación por Internet». Y ante esta expectativa de privacidad concluye que el control empresarial mediante «la recogida y almacenamiento de información personal relativa a las llamadas telefónicas, correo electrónico y navegación por Internet de la demandante, sin su conocimiento, constituye una injerencia en su derecho al respeto de su vida privada y su correspondencia, en el sentido del artículo 8 del Convenio». Se consagró la premisa de que sí hay una expectativa/esfera de intimidad no puede quebrarse si no se ha advertido previamente al trabajador que el uso de las nuevas tecnologías va a ser objeto de control empresarial; en definitiva, se vino a sostener que si existía una esfera de privacidad no era posible el control empresarial.

En nuestro derecho interno, las primeras respuestas vinieron de la mano del Tribunal Supremo en su sentencia de 26 de septiembre de 2007 (Rec. 966/2006), confirmada posteriormente por las sentencia de 8 de marzo de 2011 (Rec. 1826/2010), matizada por la sentencia de 6 de octubre de 2011 (Rec. 4053, 2010).

La STS de 26 de septiembre de 2007 recepciona la doctrina establecida en la STEDH de 3 de abril de 2007, para establecer un límite al control empresarial que actúa como garantía de los derechos fundamentales del trabajador. En efecto, partiendo de la propia realidad social en la que se constata «un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores», sostuvo que dicho hábito social genera en el trabajador/a una expectativa generalizada de confidencialidad en la utilización de los medios tecnológicos que da lugar a una esfera de intimidad y privacidad que debe ser respetada por el empleador; advirtiendo, no obstante, que esa expectativa de intimidad no puede ser utilizada de coartada para proceder a un uso contrario a las pautas establecidas por el empleador.

Ahora bien, la STS de 6 de octubre de 2011 matiza que, constatada la inexistencia de una situación de tolerancia del uso personal, bien por la existencia expresa de una prohibición de uso o bien por una advertencia expresa o implícita de control, «tampoco existe ya una expectativa razonable de intimidad», de suerte que si el uso personal no es lícito «no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo», es más, el trabajador que, mediando una prohibición de uso personal, utiliza las nuevas tecnologías empresariales para fines particulares sabe que su acción «no es correcta y sabe también que está utilizando un medio que, al estar lícitamente sometido a la vigilancia de otro, ya no constituye un ámbito protegido para su intimidad». Y ahonda en esa reflexión al exponer la advertencia acerca de la existencia de actuaciones que suponen una minoración voluntaria de las barreras de protección de la intimidad o del secreto a las comunicaciones, siendo una de esas actuaciones «la utilización de un soporte que está sometido a cierta publicidad o a la inspección de otra persona», de suerte que «quien manda una postal, en lugar de una carta cerrada, sabe que el secreto no afectará a lo que está a la vista; quien entra en el ordenador sometido al control de otro, que ha prohibido los usos personales y que tiene ex lege facultades de control, sabe que no tiene una garantía de confidencialidad».

Aparte de considerar que una prohibición absoluta del uso personal conlleva, implícitamente, una advertencia sobre la posibilidad empresarial de controlarlo, la novedad de esta matización radica en aclarar que no puede apreciarse una expectativa razonable de intimidad en dos supuestos, cuando se haya formulado una prohibición expresa del uso personal de las nuevas tecnologías empresariales o, lo que resulta más novedoso todavía, cuando se declare que dicho uso personal queda sometido a la facultad de control empresarial. Por lo tanto, en este último pronunciamiento del Tribunal Supremo parece que se equipara, a los efectos de apreciar una esfera de privacidad del trabajador, la prohibición absoluta de uso y la advertencia de someter dicho uso al control empresarial.

Y en atención a lo anterior, los dos primeros pronunciamientos del Tribunal Supremo procedieron a concretar qué es lo que debe hacer el empleador si quiere desplegar su poder de control sobre los medios tecnológicos. De suerte que, al amparo de la buena fe, el empresario debe proceder a configurar previamente «las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va a existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones». No obstante, la STS de 6 de octubre de 2011 señalo que estas reflexiones se efectuaron «obiter dicta y en el marco de la buena fe o de la legalidad ordinaria [...] fuera del marco estricto de la protección del derecho fundamental, como obligaciones complementarias de transparencia», de suerte que las mismas serán válidas siempre que no exista prohibición expresa del uso personal, pues sí existe dicha prohibición «deja de haber tolerancia y ya no existirá esa expectativa, con independencia de la información que la empresa haya podido proporcionar sobre el control y su alcance, control que, por otra parte, es inherente a la propia prestación de trabajo y a los medios que para ello se utilicen, y así está previsto legalmente». En consecuencia, si existía prohibición de uso particular de las nuevas tecnologías, en la medida en que lleva implícita la posibilidad de control, no era necesario que se explicite expresamente, además, el sometimiento del uso de las herramientas tecnológicas a la facultad de control empresarial.

Consolidada la solución dada por el Tribunal Supremo, no tuvo que trascurrir mucho tiempo para que el Tribunal Constitucional se pronunciase sobre la cohonestación de los derechos fundamentales de los trabajadores y la concreta facultad empresarial de vigilancia del uso realizado por los éstos de las herramientas tecnológicas.

En la STC 241/2012, de 17 de diciembre, no se estaba cuestionando una acción de control empresarial, dado que quien descubre las conversaciones almacenadas en el ordenador es otro empleado que las pone en conocimiento de la empresa, se cuestiona sí al utilizarlas para sancionar al trabajador se había operado una lesión de derechos fundamentales del derecho a la intimidad y del derecho al secreto de las comunicaciones.

Ni al abordar la posible lesión del derecho a la intimidad de la trabajadora ni su derecho al secreto a las comunicaciones el Tribunal Constitucional utiliza el test de proporcionalidad, quizá porque, como ya he dicho, no se cuestiona una determinada acción de control empresarial. Se descarta que se haya producido una injerencia en la intimidad de la trabajadora merecedora de amparo dado que, a juicio del Tribunal Constitucional, fue ella quien con sus actos difuminó la privacidad de sus conversaciones «al incluirlas en el disco del ordenador en el cual podían ser leídas por cualquier otro usuario, pudiendo trascender su contenido a terceras personas», incluida la empresa; fue, por tanto, la trabajadora, con sus propios actos, quien posibilitó el conocimiento de las conversaciones por otro trabajador de la empresa, que casualmente y sin ninguna intencionalidad tuvo acceso a todo su contenido, quien, a su vez, lo comunicó a la empresa.

Lo relevante de esta sentencia se encuentra al afrontar la posible vulneración del derecho al secreto a las comunicaciones, dado que, por primera vez, se acoge la posible existencia de una expectativa de intimidad, así como cobra especial protagonismo la política empresarial sobre el uso de los medios tecnológicos empresariales. Tras reconocer que el empresario puede adoptar distintas soluciones -desde la prohibición absoluta de uso hasta la permisividad del uso personal-, y encontrarse recogías en diferentes instrumentos -ordenes, instrucciones, protocolos, códigos de conducta-, sin mención alguna al principio de proporcionalidad, afirma que para valorar si el acceso al contenido de los ordenadores u otros medios informáticos empresariales puestos a disposición de los trabajadores ha vulnerado un derecho fundamental «habrá de estarse a las condiciones de puesta a disposición, pudiendo aseverarse que la atribución de espacios individualizados o exclusivos puede tener relevancia desde el punto de vista de la actuación empresarial de control», de suerte que «el ejercicio de la potestad de vigilancia o control empresarial sobre tales elementos resulta limitada por la vigencia de los derechos fundamentales, si bien los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empresario a tal fin». En definitiva, la posible lesión de un derecho fundamental al desplegarse la facultad empresarial de vigilancia y control de las herramientas tecnológicas vendrá condicionada por la existencia de pautas de uso de dichos instrumentos, y, en su caso, por el alcance y solución contemplados en ellas.

Se estableció un pauta interpretativa, en sede constitucional, relativa al control empresarial de la actividad laboral, concretamente sobre el uso de las herramientas empresariales de carácter tecnológico que revela una nueva arista en la doctrina constitucional en la línea de la solución jurisdiccional acogida por el Tribunal Supremo.

La confirmación de la antecitada pauta interpretativa se va a producir en la STC 170/2013, al afirmar el Tribunal Constitucional que lo que «procede [es] determinar el régimen de uso por los trabajadores de las herramientas informáticas de titularidad empresarial que resultaba aplicable en la empresa demandada en el momento de producirse los hechos». Para el Tribunal Constitucional cualquier análisis de la posible existencia de lesión de un derecho fundamental de un trabajador al desplegarse la facultad empresarial de vigilancia y control sobre el uso de las herramientas tecnológicas tiene como punto de partida el régimen de utilización establecido por el empresario, de suerte que aclarado cuales sean las pautas existentes en la empresa se debe abordar la posible lesión de los derechos fundamentales. Es decir si existe la expectativa de privacidad/confidencialidad el control no es posible y, en consecuencia, no procede ponderar el respeto a los derechos fundamentales ante el control empresarial, sino ab initio apreciar la lesión del derecho fundamental; por el contrario, como sucede en el caso enjuiciado en la sentencia, descartada la existencia de expectativa de privacidad y afirmada la posibilidad de desplegarse el control empresarial sobre el uso de los medios tecnológicos, procede examinar si dicha facultad empresarial ha sido respetuosa con los derechos fundamentales del trabajador para lo cual retoma la aplicación del test de proporcionalidad.

De la interpretación jurisprudencial y constitucional se evidencia que una cosa es la existencia de expectativa de privacidad como premisa previa para admitir el control empresarial de los dispositivos digitales y otra cosa distinta es la pervivencia de los derechos fundamentales, lo que acaece en todo supuesto, sin perjuicio de su modulación y la posibilidad de que cedan ante la facultad de control siempre y cuando este supere el test de proporcionalidad. Dicho de otra manera, una cosa es que no exista expectativa de privacidad a efectos del control y otra cosa muy distinta es que esa falta de expectativa suponga también la negación de los derechos fundamentales, lo que no resulta admisible dado que éstos solo podrán ceder su eficacia ante el ejercicio del control empresarial si éste, insistimos, supera el test de proporcionalidad.

Con posterioridad la STEDH de 5 de septiembre de 2017 (Caso Barbulescu) vuelve a resolver la posible contravención de la obligación negativa establecida en el artículo 8.2 del Convenio Europeo de Derechos Humanos ante el control del correo electrónico de un trabajador, existiendo una normativa interna que establecía expresamente la prohibición de uso con fines personales de los medios tecnológicos empresariales, si bien no advertía de la posibilidad de control de dichos dispositivos. En este pronunciamiento, si bien es cierto que se parte de la premisa de que "la empresa empleadora tiene un interés legítimo en garantizar el buen funcionamiento de la empresa, lo que puede hacer mediante la creación de mecanismos que garanticen que sus empleados desempeñen sus funciones profesionales de manera adecuada y con la celeridad requerida",no es menos cierto que de forma indubitada se afirma que "el establecimiento por una empresa de medidas para vigilar la correspondencia y otras comunicaciones, sea cual sea su alcance y duración"debe ir "acompañado de garantías adecuadas y suficientes contra los abusos",situando a los parámetros de proporcionalidad y existencia de garantía procesales en el vértice necesario para evitar la arbitrariedad, lo que le lleva a formular una serie de factores -reiterados en la STEDH de 6 de noviembre de 2025 (Caso Guyvan)- a tener en cuenta a la hora de examinar si se ha producido o no una afectación injustificada de la privacidad al efectuar el empresario el control del uso de los dispositivos digitales empresariales, a saber:

- Si el trabajador/a ha sido informado de forma clara y previa de la posibilidad de que el empleador tome medidas para supervisar su correspondencia y otras comunicaciones, así como la aplicación de tales medidas.

- El alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada del empleado, distinguiendo, por un lado, entre el control del flujo de comunicaciones y el de su contenido; y, por otro lado, si la supervisión se ha realizado sobre la totalidad o sólo una parte de las comunicaciones y si ha sido o no limitado en el tiempo, así como el número de personas que han tenido acceso a sus resultados.

- La existencia de argumentos legítimos para justificar el control de las comunicaciones y el acceso a su contenido, requiriendo ese último justificaciones más fundamentadas.

- Posibilidad de establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado.

- Las consecuencias de la supervisión para el empleado afectado y de qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida

- Si al empleado se le ofrecieron garantías adecuadas, particularmente cuando las medidas de supervisión del empleador tenían carácter intrusivo; considerándose que son adecuadas si impidieran que el empleador tuviera acceso al contenido de las comunicaciones en cuestión sin que el empleado hubiera sido previamente notificado de tal eventualidad.

En la formulación de estos factores se aprecia que asoma, en primer, lugar la previa información del posible control, reiterándose que la ausencia de esta daba lugar a la conformación de una expectativa de privacidad que impediría el control empresarial -en el Asunto Barbulescu el TEDH concluyó que si bien se había informado de la prohibición de uso personal no se había informado del posible control, lo que supuso el mantenimiento de la expectativa de intimidad-. Solo si se ha producido la información previa sobre el control entraría a valorarse, como se hace en la sentencia, el resto de factores mediante un juicio valorativo coincidente con el test de proporcionalidad manejado por nuestro Tribunal Constitucional.

3. Actualmente nuestro ordenamiento tiene un precepto, el artículo 87 de la LOPDGDD, invocado por el demandante como vulnerado, relativo a la intimidad en el uso de dispositivos digitales en el ámbito laboral. Una de sus virtualidades es ofrecernos las posibles pautas de interacción entre esta modalidad de control empresarial y el respeto de los derechos fundamentales que hasta entonces se había venido estableciendo por nuestra jurisprudencia, doctrina constitucional y los pronunciamientos del TEDH; es más, esta regulación es en su mayor parte una consagración de los criterios esbozados por ellos.

Se afirma, en su apartado 1º, el derecho a la intimidad de los trabajadores en el uso de los dispositivos empresariales, que resulta compatible con el control empresarial de los mismos, incluso de su contenido, tal y como dispone su apartado 2º. No obstante el control solo es posible si se dan las siguientes circunstancias:

- Que la finalidad sea bien vigilar el cumplimiento de las obligaciones laborales o estatutarias o bien garantizar la integridad de los dispositivos.

- Que el empleador haya establecido criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente.

- Que en la elaboración hayan participado los representantes de los trabajadores.

- Se especifique de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores si se ha admitido el uso privado de los dispositivos digitales empresariales

- Se haya informado a los trabajadores de estos criterios.

En consecuencia, el artículo 87 de la LOPDGDD no solo establece como elemento para no apreciar la expectativa de intimidad la información previa, sino que adiciona otros presupuestos sin los cuales no es posible el control por existir dicha expectativa. A efectos de este motivo de impugnación lo relevante es que en dicho precepto encontramos también la diferencia entre la expectativa de privacidad a efectos de control y la pervivencia del derecho fundamental. En primer lugar, porque el control es posible si se observan los presupuesto enumerados en el precepto al desaparecer la expectativa de intimidad, pero esto no enerva la vigencia de los derechos fundamentales por cuanto de forma clara se nos dice que los criterios de utilización deberán respetar "los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente";expresión que, si bien es genérica, debe suponer que se está haciendo referencia, entre otros elementos de interpretación y valoración jurídica, al test de proporcionalidad, cuya aplicación supone la pervivencia del propio derecho fundamental aunque se haya descartado la expectativa de privacidad. En segundo lugar, porque cuando se permite el uso privado, el artículo 87.3 de la LOPDGDD permite el control también siempre que se especifique los usos autorizados y "se establezcan garantías para preservar la intimidad";luego incluso cuando se admite el control del dispositivo habiendo autorizado su uso privado, no existiendo expectativa de privacidad, se mantiene la vigencia del derecho fundamental.

SEXTO.-1. En la demanda articulada por CCOO se articula como primer motivo de impugnación la existencia de la contradicción que se aprecia en los apartados 1º y 2º del Anexo cuando se permite el uso privado y al mismo tiempo se establece que los trabajadores/as no pueden tener expectativa alguna de privacidad; indicándose que las etiquetas personales o privadas se tendrán por no puestas, lo que supondría una lesión del derecho a la intimidad ex artículo 18 CE y 87.1 LOPDGDD.

Este primer motivo debe ser resuelto teniendo en cuenta que el Anexo objeto de controversia no es sino la plasmación del mandato contenido en el artículo 87.3 de la LOPDGDD dirigido al empleador de establecer los criterios de uso de los dispositivos digitales puestos a disposición de las personas trabajadoras para desarrollar la prestación laboral.

En la fijación de esos criterios se parte en el apartado 2º del Anexo de la premisa general de que "los Recursos TIC son medios de producción y herramientas de trabajo que Nestlé proporciona a las Personas Usuarias, con la única y exclusiva finalidad de que puedan desempeñar, en nombre, por cuenta y en interés de la compañía, sus funciones profesionales",y es por ello que "dado su carácter de instrumentos de trabajo, están sometidos a las facultades de control, organización, disciplina, disposición y corrección de la compañía, que podrá ejercer en cualquier momento, mediante la supervisión, monitorización, acceso, revisión, eliminación, bloqueo o retirada de los mismos, ya sea de forma cautelar, preventiva, temporal o

Definitiva"; lo que lleva a establecer que "en consecuencia, las Personas Usuarias no pueden tener expectativa alguna de privacidad y/o de confidencialidad en su uso".

Sentada la regla general de la utilización profesional de los dispositivo digitales, el Anexo permite una utilización personal de los dispositivos digitales al establecer que "no se prohíbe absoluta y categóricamente un uso privado",si bien no lo hace de forma abstracta y genérica por cuanto somete dicho uso a una serie de presupuestos que son que sea un uso "moderado, razonable, limitado y puntual, de los Recursos TIC, en la medida en que no interfiera, menoscabe, comprometa, reduzca, ralentice o perjudique la actividad profesional, el desempeño de sus responsabilidades laborales ni la productividad de las Personas Usuarias, ni suponga un riesgo para la integridad de los sistemas de la compañía, la confidencialidad de la información de Nestlé, sus secretos empresariales (en los términos definidos por la normativa vigente), o exponga, dañe o desmerezca su imagen corporativa o su reputación".A continuación, se reitera también para este uso privado que "no generará derecho o expectativa alguna de privacidad, reserva o confidencialidad para las Personas Usuarias; ni será impedimento para que Nestlé pueda monitorizar, supervisar, acceder y/o revisar dichos recursos en los términos que se detallan en el apartado 5 de este Anexo".

En ambos supuestos la referencia a la falta de privacidad y/o confidencialidad se está refiriendo al presupuesto habilitante del control empresarial no a la privación o desaparición de derecho fundamental alguno.

En el supuesto de la premisa principal de uso profesional de los dispositivos digitales es evidente que, establecido cual es el uso principal de los dispositivos digitales -el profesional- y que el uso se someterá al control empresarial, la consecuencia es que no cabe esperar expectativa de privacidad que impida el control, sin que ello suponga la perdida de vigencia del derecho de intimidad o cualquier otro derecho fundamental. No puede entenderse la frase controvertida como una negación de los derechos fundamentales; si en la aplicación práctica de estos criterios así se produjera, sí habría una afectación injustificada, pero en el plano de la configuración de los criterios de uso concretados en el Anexo controvertido no resulta contradictoria dicha expresión.

En relación al uso privado que se permite, tampoco resulta contradictoria la afirmación de no generarse una expectativa de privacidad o confidencialidad, porque dicha expresión también se refiere al presupuesto habilitante del control, no a la negación de los derechos fundamentales, por cuanto, por un lado, ese uso privado está sometido a una serie de condicionamientos o presupuestos que deben ser comprobados; comprobación que se efectúa mediante el control y así se advierte expresamente cuando se dice que este uso privado no "será impedimento para que Nestlé pueda monitorizar, supervisar, acceder y/o revisar dichos recursos",por otro lado, porque dicho control se hará en los términos que se detallan en el apartado 5 de este Anexo", en el que -además de establecerse las finalidades y alcance del control, su metodología y tipología de los controles y las posibles actuaciones- se establece como garantías que "los controles se realizarán superando holgadamente el filtro del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas, observando la regulación interna de Nestlé y la legislación aplicable";lo que evidencia que no se enerva la eficacia de los derechos fundamentales desde el momento en que el control, a pesar de no existir expectativa de privacidad, se someterá al test de proporcionalidad, lo que permite deducir que esa referencia a la ausencia de expectativa de privacidad se refiere al presupuesto habilitante del control y no a los derechos fundamentales en sí mismo considerados.

Ex abundantia, se argumenta por el sindicato demandante que "la doctrina Barbulescu exige un juicio de proporcionalidad que esta cláusula ignora, resultando desproporcionada y abusiva",sin embargo, ese juicio de proporcionalidad sí se recoge expresamente como garantía en la adopción de cualquier medida de control en el antecitado ut supra apartado 5º del Anexo. En consecuencia, si el propio demandante sitúa el parámetro de licitud de la configuración del uso personal de los dispositivos digitales en relación con la negación de la expectativa de intimidad en el sometimiento al juicio de proporcionalidad, estando éste previsto en el propio Anexo, decae por si misma su argumentación para sostener este motivo de impugnación.

2. Se articula como segunda pretensión que se anule el control aleatorio de cuentas personales previsto en el apartado 3º del Anexo dedicado a regular el uso del correo electrónico al considerar que se trata de una medida desproporcionada que solo podría basarse en la existencia de un interés legítimo ex artículo 6.1 f) del RGPD, para lo cual debe superar un test de ponderación que demuestre que su interés es superior al derecho fundamental a la privacidad del trabajador, sosteniendo que dicho acceso al contenido de comunicaciones personales nunca superaría dicho test.

El apartado 3º al regular el uso del correo electrónico señala que el mismo "ha de hacerse exclusivamente con fines profesionales",estableciéndose expresamente que "se prohíbe, con carácter general, el uso del correo electrónico corporativo para finalidades lúdicas o para el registro en plataformas de terceros que no guarden relación con su actividad laboral en Nestlé (tales como la creación de cuentas y/o suscripción en redes sociales, newsletters, foros, webs de comercio electrónico o venta online)";prohibición que solo se enerva "en el supuesto de que ello resultase necesario",debiendo "la Persona Usuaria deberá solicitar autorización para registrar y utilizar su dirección de correo corporativo en dichos entornos a su People Manager".

A continuación al posibilitar a los empleados el acceso desde los dispositivos empresariales a cuentas de correos personales, a través de las cuales "es posible extraer, alojar y enviar archivos, ficheros o textos generados o ubicados en los dispositivos propiedad de Nestlé desde aquellas"?se podría dar lugar a "la fuga de información y su pérdida de control",lo que le lleva a fijar como criterio que la empresa "podrá realizar controles aleatorios sobre dicha actividad, lo que incluye el posible acceso al contenido de correos salientes, con el objeto de verificar el uso adecuado de los sistemas de información y prevenir posibles riesgos legales o reputacionales".

Siendo este último control objeto de impugnación, estamos en presencia no del control de un dispositivo empresarial, bien un ordenador o bien un teléfono, sino del control de una cuenta de correo electrónico personal a la que se accede desde un dispositivo empresarial. En la vista oral la perito de forma indubitada ha señalado que el control aleatorio y preventivo de esas cuentas personales se realiza sobre el tráfico de datos, es decir los metadatos, relativos a la fecha y hora de acceso, al remitente y el destinatario y, en su caso, al hecho de que se haya adjunto un documento, no se realiza sobre el contenido de dicho correo personal. Además sobre este posible control también se establece que, previamente se sujetará al canon constitucional de proporcionalidad. En consecuencia, desde el plano de la fijación de los criterios de uso, esta Sala considera que esta previsión resulta ajustada a Derecho, sin perjuicio de que en su aplicación práctica no se respete los términos del Anexo y, por ejemplo, no se aplique el canon constitucional, lo que daría lugar a su impugnación por el empleado/a afectado por el concreto control realizado sobre su cuenta personal.

3. Se impugna también el apartado 4º del Anexo, en primer lugar, en lo relativo al alcance de la monitorización, supervisión y registro de los recursos digitales empresariales al considerarlos extraordinariamente amplios por incluir el contenido de los dispositivos, los mensajes enviados, extensión y contenido, historiales de navegación o el acceso remoto o forzado; así como por el hecho de establecer una monitorización regular, preventiva aleatoria y generalizada; considerando el sindicato demandante que solo sería admisible en supuestos tasados, excepcionales y de extrema gravedad.

El artículo 87.2 de LOPDGDD reconoce la posibilidad de que el empresario acceda al "contenido" derivado del uso de los medios digitales, siempre que, entre los presupuesto ya referenciados ut supra, la finalidad sea bien vigilar el cumplimiento de las obligaciones laborales o estatutarias o bien garantizar la integridad de los dispositivos y que se haya establecido criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente.

En cumplimiento de la habilitación/obligación legal que se impone al empresario para acceder al contenido derivado de la utilización de los dispositivos digitales, el Anexo enumera una serie de finalidades subsumibles en las dos genéricas previstas en el artículo 87.3 de la LOPDGDD, así señala que con dicho control se trata de "verificar y controlar el cumplimiento de las obligaciones laborales de las Personas Usuarias y garantizar la integridad de los Recursos TIC; permitir el ejercicio de las facultades de dirección, organizativas y disciplinarias del empleador; proteger los activos sensibles de Nestlé, incluyendo los secretos empresariales, la información comercial, la información corporativa y la propiedad industrial e intelectual; prevenir fugas de información reservada o confidencial; prevenir o evitar usos indebidos, filtraciones de datos o posibles vulneraciones de los derechos de terceros; el cumplimiento normativo, la prevención y sanción de conductas inadecuadas, ilícitas, susceptibles de constituir delitos o infracciones civiles, penales o del orden laboral, contrarias a la ley, a los Principios Corporativos Empresariales, al Código de Conducta Empresarial y demás normativa interna de Nestlé; y la salvaguarda de su imagen pública, intereses corporativos y reputacionales".

A continuación determina el alcance del control que podrá ser del "flujo de actividad"lo que supone el control del "número de correos enviados o recibidos, número y tipología de los archivos adjuntos, volumen de los mensajes en byte, etc.",así como del "tipo de archivos y su potencial contenido",lo que implica el control de "imágenes, tablas de datos, listados, contratos etc.".A continuación se establece que "siempre que ello sea posible, los controles se limitarán inicialmente al filtrado de metadatos (remitente, destinatario, fecha, tamaño del mensaje, archivos adjuntos, etc.), y sólo se accederá al contenido de correos concretos cuando exista una causa justificada, fundada o una alerta (por ejemplo, palabras clave sensibles, coincidencia con los parámetros de búsqueda, fuga de información, etc.) o cuando se realice en el marco de un control aleatorio, limitado y proporcional, bajo supervisión interna, con registro o auditoría del acceso (esto es, documentar qué se revisa, cuándo y por qué).

Diseña dos tipos de controles, uno "aleatorio, regular, preventivo y generalizado tendente a identificar cualquier utilización de los Recursos TIC que pueda poner en riesgo los sistemas de la compañía, la seguridad y confidencialidad de la información, exponga, dañe o desmerezca su imagen corporativa o su reputación";advirtiendo que estos controles aleatorios "no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia",y se accederá "al contenido de los archivos y los correos si resulta estrictamente necesario para los fines indicados, y siempre con respeto a los principios de proporcionalidad, necesidad y minimización de datos".El otro "de carácter investigador y específico, cuando la compañía tenga indicios razonables, sospechas fundadas o evidencias objetivas de un potencial incumplimiento de la legislación aplicable y/o de la normativa interna de Nestlé por parte de una o varias Persona(s) Usuaria(s)".

A continuación explicita que el control y supervisión "puede implicar: el acceso al contenido de los dispositivos y la recogida de la información almacenada o tratada en dichos recursos; el tráfico, volumen y naturaleza de los datos enviados o recibidos; y otras intervenciones que, con el alcance y la intensidad que en cada momento se determine, una vez aplicados los criterios y garantías enunciados en el presente Anexo",efectuando una enumeración no exhaustiva de posibles intervenciones, a saber:

- Informac ión sobre los Recursos TIC facilitados por Nestlé a una Persona Usuaria (ej. los dispositivos que han sido entregados o puestos a su disposición, el ID del dispositivo, las direcciones, , los números de teléfono, etc.);

- Informac ión sobre el uso de los Recursos TIC (ej. información sobre el dispositivo y la conexión de las redes a las que accede; diagnósticos y rendimiento, incluidos informes de fallos y registros de rendimiento; ID de usuario asignados en su navegación por internet; uso de datos móviles, aplicaciones utilizadas, llamadas realizadas, duración de las llamadas, mensajes enviados, extensión y contenido, información disponible sobre los números destinatarios de las llamadas o los mensajes; actividad en Internet, páginas web visitadas, aplicaciones descargadas, cookies o tecnologías de rastreo alojadas en el dispositivo, historiales de navegación, etc.);

- Informac ión detallada sobre el tráfico de datos desde o hacia los Recursos TIC de Nestlé (ej. mensajes enviados y recibidos, tamaño ('size') y extensiones de los archivos y de los contenidos incluidos, direcciones destinatarias, frecuencia de los envíos, volumen y naturaleza de los datos consumidos; acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.);

- Acceso remoto, incluso forzado, a los Recursos TIC de Nestlé. Acceso a controladores, software, hardware o dispositivos integrados o no, cuando corresponda, borrado o formateado total o parcial a distancia de cualquier contenido, función o utilidad del dispositivo en caso de que tras detectarse o sospecharse que pudiera ser ilícito, inadecuado o comprometedor, así se decida en el oportuno procedimiento o en caso de incidentes de seguridad, brechas, pérdida o robo; y

- Análisis sistemático de la información recopilada sobre la actividad de las Personas Usuarias de los Recursos TIC, valoración, evaluación, propuesta y adopción de las medidas correctivas más adecuadas. La información puede almacenarse en cualquier formato y utilizarse en los procedimientos internos o externos del modo que se considere necesario o conveniente para la mejor defensa de los intereses de la compañía con pleno respecto a los derechos de las Personas Usuarias.

Finalmente se establece una garantía general en el ejercicio de la facultad de control consistente en que se realizarán los mismos "superando holgadamente el filtro del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas, observando la regulación interna de Nestlé y la legislación aplicable"y especificando una serie de garantías concretas que será cumplidas "en todo momento

? La proporcionalidad del acceso, ponderando si el beneficio que obtiene la compañía al verificar el uso correcto de sus Recursos TIC (ya sea proteger su información o garantizar el cumplimiento de los deberes contractuales) resulta superior al sacrificio o afectación de la esfera individual de la Persona Usuaria (limitándolo a un período de tiempo concreto; a tipos determinados de archivos (imágenes, contratos, tablas de datos, listados); a un conjunto limitado de mensajes enviados a ciertos dominios, o relacionados con ciertos incidentes, etc.).

? Una monitorización no indiscriminada. De ordinario, los controles se realizarán desde los servidores de la empresa, no desde los dispositivos asignados a la Persona Usuaria.

? Que los parámetros de búsqueda intenten, en la medida de lo posible, l imitar la invasión de cualquier intimidad.

? La minimización o eliminación inmediata de los datos o la información personal no relacionada con las finalidades protegidas a la que se acceda.

? La ausencia de intromisión o afectación a la esfera íntima del trabajador".

A la vista de lo expuesto esta Sala no aprecia que el apartado dedicado a la monitorización, supervisión y registro de recursos TIC produzca vulneración alguna de los preceptos indicados por el sindicato demandante.

En primer lugar, debemos tener presente que el empresario, de conformidad con lo establecido en el apartado 2º del artículo 87 de la LOPDGDD solo puede proceder al control del uso de los dispositivos si éste se basa en alguna de las dos finalidades previstas -control del cumplimiento de las obligaciones laborales o garantizar la integridad de los dispositivos- y esos objetivos con una mayor concreción aparecen reflejados en el apartado 5º del Anexo como frontispicio de las reglas de utilización y control que se desgranan a continuación, de suerte que éstas responden a finalidades admitidas por el precepto legal.

En segundo lugar, ante la invocada amplitud del control debe tenerse presente que si bien en el apartado 5º del Anexo se establece que el control puede ejercitarse tanto respecto al flujo de actividad como al contenido, ello no supone la contravención de norma alguna, desde el momento en que el artículo 87.2 de la LOPDGDD permite el acceso al contenido, si bien, como ya hemos señalado, deberá perseguirse con ello una de las finalidades habilitantes del control y haberse cumplido los presupuestos establecidos en el artículo 87.3 de la LOPGDD. Además, debe tenerse en cuenta que el propio Anexo establece que el control mediante el filtrado de metadatos se concibe como prioritario frente al control del contenido, al que se recurrirá "cuando exista una causa justificada, fundada o una alerta"o "cuando se realice en el marco de un control aleatorio, limitado y proporcional, bajo supervisión interna, con registro o auditoría del acceso".Es decir, pudiendo establecerse la monitorización mediante el control de contenido, por así permitirlo el artículo 87.2 LOPDGDD, se configura como subsidiario del control de metadatos que es menos invasivo que el control de contenidos.

En tercer lugar, en relación al establecimiento de un control aleatorio, regular, preventivo y generalizado, no puede obviarse que en su configuración también se da expresamente una justificación objetiva del mismo, derivada del "tamaño de la organización y al nivel de sensibilidad de la información gestionada por el grupo empresarial"que requiere este tipo de control para "verificar el uso adecuado del canal corporativo y prevenir posibles riesgos legales o reputacionales. Esta medida es necesaria y justificada como parte del Programa de Compliance de la organización y con el fin de proteger la seguridad de la información".No solo no puede desconocerse la realidad de dicha justificación que permite a la empresa recurrir a este tipo de control; sino que, además, debe tenerse presente que en el Anexo se prevé expresamente que este tipo de controles "no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia",y que si se tuviera que acceder al contenido se haría cuando resultase "estrictamente necesario para los fines indicados, y siempre con respeto a los principios de proporcionalidad, necesidad y minimización de datos".

En cuarto lugar, resulta determinante para apreciar la corrección de los criterios de monitorización y supervisión del apartado 5º de Anexo que atendiendo a lo establecido en el artículo 87.3 de la LOPDGDD que si bien otorga al empresario un amplio margen de actuación al fijar los criterios de utilización de los dispositivos digitales establece que deberá respetar "los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente",expresión genérica que plantea dudas sobre su alcance, pero que en cualquier caso, supone respetar los derechos fundamentales y la interpretación constitucional relativa a la interacción de los derechos fundamentales y la facultad de control empresarial, plasmada en el conocido test de proporcionalidad; se sujeta toda la actividad de monitorización y supervisión al "triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas",señalándose que "los controles se realizarán superando holgadamente el filtro"que constituye al antecitado juicio. Lo que se viene a establecer, en definitiva, es que cualquier medida de control se sujetará previamente al test de proporcionalidad, lo que se acomoda con lo previsto en el artículo 87.3 de la LOPDGDD, así como la interpretación constitucional precedente relativa a la valoración del equilibrio entre la vigencia de los derechos fundamentales y el control empresarial.

Lo anterior, no obsta, para que si la puesta en práctica de una medida de control no se ha sujetado previamente al test de proporcionalidad se pudiera incurrir en la lesión de un derecho fundamental y la contravención del artículo 87.3 de la LOPGDDD, pero desde el plano del análisis de la configuración de la monitorización y supervisión, debe reiterarse que ésta cumple con las previsiones legales y el respeto a los derechos fundamentales.

En quinto lugar, se alega la existencia de contradicción entre la afirmación previa "no expectativa de privacidad" y las declaraciones de "la protección de la dignidad y la privacidad de las Personas Usuarias es innegociable y primordial" y que el control se realizará conforme a "los principios de proporcionalidad, idoneidad y justificación de la medida, respetándose, cuando sea prevalente, la intimidad de las Personas Usuarias". Debemos reiterar lo razonado en el punto 1º de este Fundamento Jurídico, de suerte que la expresión "no expectativa de privacidad" se refiere al presupuesto habilitante del control, no a la negación de los derechos fundamentales por lo que resultan compatibles las expresiones contenidas en el apartado 4º del Anexo.

4. El último motivo de impugnación se centra en la criterios de Bring Your Own Device (BYOD)al sostener el sindicato demandante que también se establece que el empleado/a tampoco tendrá expectativa de privacidad en el manejo de dichas aplicaciones y se impugna "cualquier interpretación" que permita a la empresa extender el control más allá de las aplicaciones y datos estrictamente corporativos alojados en el dispositivos personal, limitándose aquel de forma taxativa a los contenidos y aplicaciones corporativas.

Tal y como se ha formulado este motivo de impugnación la Sala debe desestimarlo de plano por cuanto lo que realmente se impugna y así se dice literalmente son posibles interpretaciones futuras que pudiera realizar la empresa y no la propia configuración de los criterios contenidos en la política de BYOD recogida en el apartado 5º del Anexo, ni siquiera se impugnan hechos ya acaecidos en aplicación de la antecitada política.

5. La última pretensión de la demanda de CCOO se concreta en la solicitud de una indemnización para el sindicato demandante por la "vulneración del derecho fundamental a la intimidad, artículo 18 CE , de las personas trabajadoras destinatarias del Anexo".

Esta Sala no puede acoger tal pretensión, en primer lugar porque, como bien explicita el propio sindicato en el suplico de su demanda, la indemnización es para el sindicato, no por la existencia de lesión alguna de su derecho a la libertad sindical, sino por la vulneración del derecho fundamental a la intimidad de sujetos distintos a él, los trabajadores/as a los que se dirige el protocolo de uso de los dispositivos digitales; es decir, solicita para si una indemnización por la afectación de un derecho fundamental de otros sujetos, que podrán tener o no relación con él, en función de si están o no afiliados al mismo.

En segundo lugar, en este concreto proceso de conflicto colectivo estamos ante un conflicto de interpretación no de aplicación, de suerte que se ha llegado a la conclusión de que el Anexo se encuentra ajustado a lo establecido en el artículo 87 de la LOPDGDD, así como al artículo 18 de la CE y la interpretación constitucional existente en torno a la confrontación entre los derechos fundamentales y las facultades de control empresarial; no se ha verificado la existencia de una aplicación concreta del Anexo que haya producido una real y efectiva lesión de derechos fundamentales que requiera ser restituida via indemnizatoria. El conflicto, en resumen, se ha movido en el plano del ajuste interpretativo no en el plano de la verificación de concretas aplicaciones de la previsión declara contraria a Derecho.

SÉPTIMO.-1. La primera de las pretensiones formuladas en la demanda presentada por los sindicatos UGT, CSIF, CGT y USO consiste en solicitar la nulidad del Anexo por haberse vulnerado el derecho a la negociación colectiva de los sindicatos demandantes al implementarse aquel sin la participación de estos. Pretensión que siendo coincidente con una de las peticiones formuladas en la demanda presentada por el sindicato CCOO ha sido resuelta en el Fundamento Jurídico Tercero al que nos remitimos para concluir su desestimación.

2. Se solicita, como segunda petición, la declaración de nulidad de la totalidad del Anexo por vulnerar los derechos fundamentales a la intimidad, al secreto a las comunicaciones y a la protección de datos, petición que se haya huérfana de la más mínima argumentación que explicite porque la totalidad del Anexo lesiona los derechos mencionados, dado que solo se dice en el Hecho Primero de la demanda que "aún en un marco de control empresarial legítimo, el sistema de control implantado vulnera el derecho fundamental a la intimidad, al secreto de las comunicaciones y a la protección de datos personales de las personas trabajadoras, contraviniendo el canon constitucional de limitación de derechos fundamentales que exige que en estos supuestos se respeten los principios de proporcionalidad, necesidad e idoneidad",y en el Fundamento de Derecho IV de la demanda se hacen unas referencias generales, vagas e imprecisas que no afectarían a la totalidad del Anexo sino a aspectos concretos del mismo. Siendo los sindicatos demandantes sobre los que pesa la carga procesal de concretar qué contenido del Anexo resulta, por un lado, contrario a los derechos fundamentales y, especialmente, el porqué, entendido como un corolario argumental razonado de la vulneración alegada; y, por otro, explicitar cómo la afectación de dichos derechos supone la nulidad de la totalidad el Anexo; y, dado que lo único que se expone es una alegación y fundamentación jurídica genérica, debemos desestimar este segundo motivo de impugnación.

Ex abundantia, la única argumentación "concreta" que se articula para solicitar la nulidad de la totalidad del Anexo es que éste contraviene el canon constitucional de limitación de derechos fundamentales que requiere el respeto a los principios de proporcionalidad, necesidad e idoneidad. Siendo este el fundamento de pedir de los demandantes decae su estimación porque, como ya se ha señalado ut supra, la política de uso de los dispositivos digitales empresariales prevé expresamente como garantía que cualquier medida de control se sujetará, precisamente, al canon constitucional que aducen como vulnerado; de suerte que difícilmente puede declararse la nulidad del Anexo por contravenir el antecitado canon cuando éste está expresamente recogido como garantía.

3. Se formula a continuación la impugnación de una serie de previsiones concretas que son expuestas en los hechos probados sin que se ofrezca razonamiento especifico de porqué cada una de esas previsiones atentan a los derechos fundamentales, lo único que se hace por los demandantes es trascribir una serie de pasajes de los apartados 1º, 2º, 3º, 5º.2.1 y 6º, y subrayar una serie de frases dentro de esos párrafos, sin exponer a continuación argumento jurídico alguno relativo a porqué dichas previsiones subrayadas son lesivas de los derechos fundamentales. Esto debería llevar a esta Sala a desestimar de plano la petición de nulidad de dichas previsiones.

No obstante, como se contiene en la fundamentación jurídica de la demanda unas argumentaciones sucintas y genéricas predicables de todas estas previsiones particulares del Anexo, en aras de la búsqueda de ofrecer una solución fundamentada debemos realizar las siguientes consideraciones.

3.1. Se dice que se vulnera el derecho a la intimidad porque "la jurisprudencia constitucional ( STC 292/2000 , STC 170/2013 , STC 39/2016 ) que reconocen un ámbito irrenunciable de intimidad en el trabajo. Las demandadas han implantado un sistema de control del uso de dispositivos, para los que se reconoce el uso privado, que sin embargo vulnera los derechos fundamentales de las personas trabajadoras, en tanto que el control empresarial no se limita a datos corporativos, sino que se extiende al ámbito personal de aquéllas".

Ante la vaguedad con la que se expone la supuesta afectación por parte del Anexo impugnado al ámbito personal de los destinatarios/as del aquél, cabe realizar las siguientes apreciaciones, a saber:

a) Si se refiere a la previsión contenida en el apartado 1º del Anexo en relación al uso personal al establecerse que éste "estará sujeto a monitorización, acceso, supervisión, interceptación y controles, en los términos que se detallan en el presente Anexo",debe señalarse, en primer lugar, que el reconocimiento de un uso personal no impide, ni anula la facultad empresarial de control del dispositivo respecto a ese uso personal; sin perjuicio de que requerirá cumplir con la exigencias del artículo 87.3 de la LOPDGDD; en segundo lugar, porque como se desprende de la propia lectura de la expresión transcrita, dicho control del uso personal se somete a los términos previstos en el anexo, dentro de los cuales está prevista la garantía del respeto y cumplimiento del canon de constitucionalidad que supone la aplicación previa del test de proporcionalidad.

b) Si se refiere a la impugnación de la referencia general contenida en el apartado 2º en virtud de la cual "están sometidos a las facultades de control, organización, disciplina, disposición y corrección de la compañía, que podrá ejercer en cualquier momento, mediante la supervisión, monitorización, acceso, revisión, eliminación, bloqueo o retirada de los mismos, ya sea de forma cautelar, preventiva, temporal o definitiva. En consecuencia, las Personas Usuarias no pueden tener expectativa alguna de privacidad y/o de confidencialidad en su uso",debemos indicar que esta previsión se realiza porque previamente se establece -en el mismo párrafo- que "los Recursos TIC, la información contenida en los mismos, así como la propiedad intelectual e industrial de los trabajos resultantes de su uso en el marco de la relación laboral, son titularidad de Nestlé; en base a su condición de empleador y dado su carácter de instrumentos de trabajo";estamos por tanto ante una previsión la primera que es consecuencia lógica de esta última, dado que si se configura que los dispositivos digitales empresariales son instrumentos de trabajo, destinados como se dice en primer párrafo del apartado 2º del Anexo al desarrollo de las funciones profesionales, resulta coherente explicitar que va a ser objeto de control su uso, sin que dicha previsión suponga per se una lesión del derecho de intimidad.

Si la afectación de la intimidad se achaca a la negación de expectativa de privacidad/confidencialidad, debemos reiterar que dicha expresión se configura como presupuesto para habilitar el control, no como negación de la pervivencia del derecho de intimidad, dado que someter cualquier medida de control al test de proporcionalidad supone el mantenimiento de la eficacia de derecho fundamental en el uso de los dispositivos digitales porque solo es aplicable dicho test si se parte de la premisa de la existencia del derecho fundamental.

c) Si se refiere al criterio contenido en el apartado 3º del Anexo que prevé que "las Personas Usuarias deben abstenerse de incluir en sus correos electrónicos corporativos información que revele aspectos relacionados con su intimidad o su vida privada",estamos ante una especificación sobre lo que no debe hacer el empleado/a que encaja perfectamente en el artículo 87.3 de la LOPDGDD cuando señala, con carácter general, que será el empresario que el establezca los criterios de utilización, y, con carácter singular para el uso privado, que especifique de forma precisa los usos autorizados. Lo que hace esta previsión es precisar que no pueden alojarse en los dispositivos digitales empresariales información intima o privada, no apreciándose razón alguna de en qué modo dicha previsión afecta al derecho de intimidad.

d) Si se refiere a la impugnación del apartado 3º que establece que "las Personas Usuarias deben ser conscientes de que Nestlé podrá realizar controles aleatorios sobre dicha actividad, lo que incluye el posible acceso al contenido de correos salientes, con el objeto de verificar el uso adecuado de los sistemas de información y prevenir posibles riesgos legales o reputacionales",debemos reiterar lo dicho en el punto 2º del Fundamento Jurídico Sexto, para concluir que no se observa una afectación del derecho de intimidad de los destinatarios del Anexo.

e) Si se refiere a la previsión de la política de BYOD (Bring Your Own Device),contenida en el apartado 6º del Anexo, que establece que "la compañía podrá, si lo considera necesario, bloquear remotamente el acceso a las aplicaciones o utilidades corporativas que se hallasen almacenada en el dispositivo o eliminarlas, junto con los archivos adjuntos",debe destacarse que el recurso al BYOD, es decir, a la utilización de los medios personales de los trabajadores para el desarrollo de la prestación laboral se concibe como algo excepcional y siempre previa solicitud del empleado; solicitud que por si sola no le permite a éste último usar sus dispositivos personales ya que se requiere una ulterior autorización expresa de la empresa. Si la autorización se concede, el uso de los dispositivos personales para el trabajo requiere de la previa instalación de determinadas aplicaciones o utilidades empresariales y parece lógico que la empresa aclare, como así hace, que dichas aplicaciones permitirán controlar el adecuado uso que se realice de dichas aplicaciones corporativas.

Partiendo del hecho de que el uso de dispositivos personales para el trabajo requiere la previa instalación de aplicaciones corporativas, el apartado 5º no establece de forma general que el trabajador/a no tendrá una expectativa de privacidad en el uso de su dispositivo personal, como parece sostener el sindicato demandante, sino que expresamente se dice que no podrá esperar que exista una expectativa de privacidad "en el manejo de dichas aplicaciones"propiedad de la empresa e insertadas para posibilitar la prestación laboral; negación de la existencia de privacidad que se establece para posibilitar el control que se ha contemplado previamente y que se limita al uso de esas aplicaciones y no a todos los usos que pudiera hacer el trabajador con su dispositivo personal, tal y como se infiere de la expresión de "aplicaciones específicamente autorizadas por Nestlé, que permitirán controlar el adecuado uso de los contenidos relacionados con la compañía".

En relación con la posibilidad contemplada en la política BYOD de acceso remoto por parte de la empresa a los dispositivos personales se observa que se contempla en un supuesto concreto - producción de incidentes de seguridad, tales como la sustracción, extravío o pérdida de control sobre un dispositivo privado- y con una finalidad que debemos reputar legítima -salvaguardar la seguridad de las aplicaciones corporativas instaladas y la información en ellas contenidas, así como la información descargada en el dispositivo-; configurándose una medida de control que se circunscribe únicamente a las aplicaciones de la empresa e información empresarial alojada en el dispositivo, y que consiste en "bloquear remotamente el acceso a las aplicaciones o utilidades corporativas que se hallasen almacenada en el dispositivo o eliminarlas, junto con los archivos adjuntos que excepcionalmente se hubiesen descargado".De lo anterior se colige que el control se limita a bloquear o eliminar las aplicaciones y utilidades corporativas y a su contenido, no afecta al dispositivo personal por cuanto no se establece un acceso a cualquier otra aplicación o contenido alojado en él; además dicha facultad de bloqueo o eliminación no se configura de forma general, ni permanente, ni aleatoria, sino solo cuando se aprecie unas circunstancias concretas que supongan un incidente de seguridad.

3.2. Se argumenta respecto al secreto a las comunicaciones que "la previsión de la monitorización generalizada y el acceso al contenido de las comunicaciones vulnera el derecho fundamental a mantenerlas fuera de la vista de terceros y excede los límites establecidos en el art. 87.3 LOPDGDD, que exige que el acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados, requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, además de la exigencia de proporcionalidad, idoneidad y necesidad; todo ello en relación con la jurisprudencia española ( STS 119/2022 , STS 225/2024 ) y la europea (TEDH asunto Barbulescu vs. Rumanía) que prohíben controles masivos e indiscriminados".

En relación a la posible lesión del derecho al secreto a las comunicaciones, debemos efectuar las siguientes consideraciones:

a) Si la lesión del derecho al secreto de las comunicaciones se identifica con la posibilidad prevista en el apartado 5º.2.1 de hacer un control "aleatorio, regular, preventivo y generalizado",debe tenerse presente que en dicho apartado también se deja meridianamente claro que "los controles aleatorios no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia";lo que nos lleva a no apreciar afectación del derecho al secreto de las comunicaciones. Debemos tener presente que la facultad de control empresarial por definición tiene que ser regular en el sentido de que el empresario puede desarrollarla en cualquier momento, puede tener carácter preventivo para vigilar tanto el cumplimiento de las obligaciones laborales como evitar posibles incumplimientos, puede ser generalizado y aleatorio en el sentido que puede dirigirse respecto de cualquier faceta del ciclo productivo y respecto de cualquier persona trabajadora; y todo ello no es incompatible con un control concreto sobe un trabajador/a, que es lo que se analiza en las sentencias del TEDH, del Tribunal Constitucional y del Tribunal Supremo, que no puede ser, como señalan los demandantes, masivos e indiscriminados, y el protocolo deja bien claro que los controles no lo serán; es más el protocolo dice que tampoco serán "exhaustivos [...] permanentes, [...] continuos, ni intrusivos",añadiendo una garantía adicional al contemplar que se ajustarán a "criterios técnicos de proporcionalidad y pertinencia",y no olvidemos que también se sujetaran, puesto que no hay reserva de exclusión, al canon constitucional de proporcionalidad en el apartado 5º del Anexo.

b) Si se refiere del apartado 5º.3 (iii) que al enumerar de forma no exhaustiva posibles actuaciones de control, estableciendo, entre otras el "acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.)",debe advertirse que este acceso está sacado de contexto y que es necesario tener en cuenta la totalidad del apartado en cuestión que configura como posible actuación la obtención de "información detallada sobre el tráfico de datos desde o hacia los Recursos TIC de Nestlé (ej. mensajes enviados y recibidos, tamaño ('size') y extensiones de los archivos y de los contenidos incluidos, direcciones destinatarias, frecuencia de los envíos, volumen y naturaleza de los datos consumidos; acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.).De la lectura del antecitado apartado se desprende que la actuación no consiste en el acceso a cuentas de correo externas, incluso las personales o privadas, sino la obtención de información relativa al "tráfico de datos desde o hacia los recursos TICs"de la empresa entre otros aspectos de posibles accesos a cuentas externas personales o privadas, pero no se contempla el acceso a dichas cuentas como aducen los demandantes al extractar la posible actuación configurada en el apartado de referencia. En principio, en una configuración general de posibles criterios de uso de los dispositivos digitales empresariales, parece razonable que el control consista en recabar información de datos de tráfico, sin que ello suponga, en principio una afectación del derecho al secreto de las comunicaciones; sin perjuicio de su valoración en los supuestos concretos de aplicación del protocolo.

c) Si se refiere a la previsión del apartado 5º.3 (iv) de "acceso remoto, incluso forzado, a los Recursos TIC de Nestlé. Acceso a controladores, software, hardware o dispositivos integrados o no, cuando corresponda, borrado o formateado total o parcial a distancia de cualquier contenido, función o utilidad del dispositivo en caso de que tras detectarse o sospecharse que pudiera ser ilícito, inadecuado o comprometedor, así se decida en el oportuno procedimiento o en caso de incidentes de seguridad, brechas, pérdida o robo",tampoco cabe apreciar lesión del derecho del secreto a las comunicaciones.

En primer lugar, por cuanto que esta posible actuación supone acceder en remoto a elementos del dispositivo no a elementos personales de los trabajadores, que debe recordarse no deben estar alojados en el dispositivo porque el propio Anexo así lo ha establecido.

En segundo lugar porque permite borrar funciones o utilidades del dispositivo, lo que en nada afecta al secreto de las comunicaciones, pues son elementos no personales integrados en el dispositivo, no alcanzándose cómo y porqué quedaría afectado el derecho fundamental. Es cierto que también se permite el borrado de contenido, y que pudiera haberse alojado en el dispositivo contenido personal, pero no debe olvidarse que el Anexo expresamente prohíbe alojar información de carácter intima o privada, de suerte que la previsión parte de la premisa de que el borrado lo es de contenido estrictamente profesional.

En tercer lugar, este acceso remoto se configura como una actuación excepcional y causal, por cuanto solo se producirá si se detecta o sospecha de ilicitud, inadecuación o situación comprometedora o si se produce incidentes o brechas de seguridad, perdidas o robo de los dispositivos. Se conforma un acceso para supuestos concretos que, en principio, no comprometen el secreto a las comunicaciones, debiendo estar a cada concreto acceso para determinar si se supera o no el canon de ajuste constitucional.

3.3. Finalmente en relación a la protección de datos se argumenta que resulta lesionado porque "el acceso a cuentas externas personales supone una intromisión ilegítima en la esfera privada".Dada la vaguedad de su formulación, teniendo presente que las previsiones del Anexo que hablan del acceso a cuentas externas ya han sido objeto de análisis, debemos estar a lo dicho en el punto 2º del Fundamento Jurídico Sexto y punto 3.2 b) del Fundamento Jurídico Séptimo.

4. Como última petición se solicita una indemnización para cada uno de los sindicatos demandantes por haberse vulnerado su derecho a la libertad sindical, en su vertiente funcional ex artículo 28.1 de la CE, al haberse infringido lo previsto en el artículo 64 del ET. Solicitud que no puede ser atendida por cuanto, a tenor de lo previsto en el Fundamento Jurídico Tercero, no se ha acreditado lesión alguna del derecho de participación de los representantes de los trabajadores

OCTAVO.-En varios hechos y fundamentos de ambas demandas se viene, sin la más mínima concreción, a sostener que el Anexo es contrario a la doctrina contenida en la STEDH de 5 de septiembre de 2017 (Caso Barbulescu). Si bien dicha doctrina se elabora y se aplica para comprobar el ajuste de controles empresariales acaecidos -no hipotéticos- al artículo 8 del Convenio Europeo, de suerte que dichos parámetros se entienden respecto a situaciones fácticas ya actualizadas, no todos ellos son verificables cuando de lo que se trata es de enjuiciar el ajuste al artículo 8 del Convenio Europeo de un protocolo que establece unos criterios de uso de los dispositivos digitales. Dicho de otra manera, la doctrina del TEDH nace del enjuiciamiento de prácticas de control empresarial realizadas no del establecimiento de criterios de uso de los dispositivos digitales, lo que hace que alguno de los parámetros enumerados en la doctrina del TEDH no puedan ser objeto de valoración tal y como son se encuentran formulados por éste.

No obstante, en aras al cumplimiento de la propia doctrina del TEDH que mandata a los órganos jurisdiccionales internos valorar expresamente si se ha producido una lesión en la vida privada de los trabajadores contraria al artículo 8 del Convenio Europeo, esta Sala efectúa las siguientes consideraciones.

En primer lugar, en la presente controversia se ha acreditado que los trabajadores/as han sido informados de forma clara y previa de la posibilidad de efectuar controles y de su aplicación el 10 de septiembre de 2025, estando prevista su entrada en vigor el 15 de septiembre.

En segundo lugar, el Anexo informa de forma detallada sobre el alcance de la supervisión que va a llevar a cabo la empresa, así como los grados de intrusión en la vida privada del empleado, distinguiendo, por un lado, entre el control del flujo de comunicaciones y el de su contenido, configurando el control de flujo como modalidad primaria y el control del contenido como modalidad excepcional; además, como ya se ha observado, incluso el control aleatorio y regular se configura como un control no exhaustivo, ni masivo, ni permanente, ni continuo, ni intrusivo. Debe observarse que la doctrina del TEDH no prohíbe el acceso al contenido de las comunicaciones, lo que señala es que no es ajustado a derecho acceder a dicho contenido si no se ha informado previamente de tal posibilidad a la persona trabajadora (apartado 120 STEDH de 5 de septiembre de 2017).

En tercer lugar, si bien el parámetro utilizado en la doctrina del TEDH consiste en valorar quien ha tenido acceso a los resultados del control lo que lo hace difícilmente verificable en la presente controversia en la que no se analiza un concreto supuesto de control, debe advertirse que el Anexo específica en su apartado 5.5 qué personas pueden tener acceso a los resultados del control. En efecto se establece, por un lado, que "para proteger los derechos de las Personas Usuarias, con carácter general, tendrán conocimiento de los resultados de dichos controles, la Dirección de Legal y Compliance, la Dirección de RR.HH. y la Compliance Manager del grupo Nestlé en España, además de las personas del equipo de Forensics que participen en la realización de los mismos",y, por otro lado, que "en casos específicos y debidamente justificados, si así lo deciden conjuntamente la Dirección de Legal y Compliance, la Dirección de RR.HH. y la Compliance Manager, podrán tener acceso al resultado de tales controles, los miembros del Comité Ibérico de Compliance, y/o determinados miembros de la dirección, garantizando siempre el cumplimiento de las normativas vigentes en materia de privacidad y protección de datos".

En cuarto lugar se explicitan de forma clara los intereses legítimos a los que trata dar satisfacción la supervisión (verificar y controlar el cumplimiento de las obligaciones laborales de las Personas Usuarias y garantizar la integridad de los Recursos TIC; permitir el ejercicio de las facultades de dirección, organizativas y disciplinarias del empleador; proteger los activos sensibles de Nestlé, incluyendo los secretos empresariales, la información comercial, la información corporativa y la propiedad industrial e intelectual; prevenir fugas de información reservada o confidencial; prevenir o evitar usos indebidos, filtraciones de datos o posibles vulneraciones de los derechos de terceros; el cumplimiento normativo, la prevención y sanción de conductas inadecuadas, ilícitas, susceptibles de constituir delitos o infracciones civiles, penales o del orden laboral, contrarias a la ley, a los Principios Corporativos Empresariales, al Código de Conducta Empresarial y demás normativa interna de Nestlé; la salvaguarda de su imagen pública, intereses corporativos y reputacionales) y se define el posible alcance del control, configurando el acceso al contenido como posibilidad excepcional.

En quinto lugar, se establece una garantía general consistente en que cualquier medida de control deberá pasar previamente el filtro "del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas";además de una serie de garantías que se observarán, tal y como indica, el Anexo "en todo momento",como son a) la proporcionalidad del acceso, ponderando si el beneficio que obtiene la compañía al verificar el uso correcto de sus Recursos TIC (ya sea proteger su información o garantizar el cumplimiento de los deberes contractuales) resulta superior al sacrificio o afectación de la esfera individual de la Persona Usuaria (limitándolo a un período de tiempo concreto; a tipos determinados de archivos (imágenes, contratos, tablas de datos, listados), a un conjunto limitado de mensajes enviados a ciertos dominios, o relacionados con ciertos incidentes, etc.); b) una monitorización no indiscriminada (de ordinario, los controles se realizarán desde los servidores de la empresa, no desde los dispositivos asignados a la Persona Usuaria; c) que los parámetros de búsqueda intenten, en la medida de lo posible, limitar la invasión de cualquier intimidad; d) la minimización o eliminación inmediata de los datos o la información personal no relacionada con las finalidades protegidas a la que se acceda; y e) la ausencia de intromisión o afectación a la esfera íntima del trabajador.

Debe tenerse en cuenta, además, por un lado, que la adopción de una medida de control no corresponderá únicamente al Departamento de Recursos Humanos, dado que se establece que "en todo caso, cualquier control, supervisión, acceso y registro de los Recursos TIC de una Persona Usuaria en concreto para su revisión por parte de Nestlé deberá ser solicitado a y aprobado conjuntamente por: (i) la Dirección de Legal y Compliance; y (ii) la Dirección de RRHH";por otro lado, que se contempla que la posible imposición de una sanción se sujeta a un procedimiento contradictorio.

En sexto lugar, se contemplan expresamente las consecuencias que para el trabajador/a se pueden derivar del resultado del control, al establecerse que "podrán ser corregidas, disciplinadas o sancionadas en los términos ya previstos en los procedimientos y normativa establecida en la regulación interna de Nestlé y en la legislación vigente",también "con el fin de asegurar evidencias físicas o digitales que de otra manera pudieran ser destruidas"se "podrá impedir el acceso o apartar a las Personas Usuarias de los Recursos TIC que tenga asignados en cualquier momento y sin previo aviso; debiendo aquella abstenerse de utilizarlos y ponerlos inmediatamente a disposición de Nestlé",o "adoptar cualquier otra medida sumaria, anticipada o cautelar prevista en la legislación aplicable".

En séptimo lugar, se enumera en la doctrina del TEDH como parámetros a valorar si "habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado"y "de qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida".Es evidente que estos parámetros sólo pueden comprobarse respecto de un control empresarial ya realizado; pero como quiera que dichos parámetros no son sino los juicios de idoneidad y necesidad integrados en nuestro canon constitucional de proporcionalidad, debe considerarse que el Anexo se sujeta a ambos parámetros al sujetar cualquier control al referido canon.

Esta Sala, a la vista de lo expuesto, considera que el contenido del Anexo se ajusta a los parámetros elaborados por la doctrina del TEDH; sin perjuicio de que de la posible aplicación práctica que se haga del Anexo se pudiera afectar injustificadamente alguno de los derechos fundamentales con ocasión de la implementación de un concreto control.

NOVENO.-Contra esta sentencia, sin perjuicio de su ejecutividad, cabe recurso ordinario de casación conforme el art. 206.1 LRJS.

En virtud de lo expuesto y vistos los preceptos legales citados y demás de general aplicación

PRIMERO.-La Sala de lo Social de la Audiencia Nacional es competente para conocer del presente proceso de conformidad con lo dispuesto en los artículos 9.5 y 67 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, en relación con lo previsto en los artículos 2 g) y 8.1 de la Ley 36/2011, de 10 de octubre, Reguladora de la Jurisdicción Social.

SEGUNDO.-De conformidad con lo dispuesto en el artículo 97.2 de la Ley 36/2011, de 10 de octubre, Reguladora de la Jurisdicción Social, los hechos declarados probados se sustentan bien en hechos no controvertidos o pacíficos, bien en cada una de las fuentes de prueba incorporadas a través de los medios de prueba previstos legalmente, tal y como se expresa a continuación:

El Hecho Primero y el Tercero son hechos conformes al ser reconocidos por ambas partes.

El Hecho Segundo de la conformidad de las partes y de la prueba documental obrante en los descriptores 66 y 67.

El Hecho Cuarto de la fuente de prueba documental obrante en los descriptores 70 y 74.

El Hecho Quinto de la fuente de prueba documental obrante en el descriptor 69.

El Hecho Sexto de la fuente de prueba documental obrante en los descriptores 72 y 73.

El Hecho Séptimo de la fuente de prueba documental obrante en el descriptor 81.

El Hecho Octavo de la fuente de prueba documental obrante en el descriptor 82.

El Hecho Noveno de la fuente de prueba documental obrante en los descriptores 83 y 84.

El Hecho Décimo de la fuente de prueba documental obrante en el descriptor 84.

El Hecho Decimoprimero de la fuente de prueba documental obrante en el descriptor 87.

El Hecho Decimosegundo de la fuente de prueba documental obrante en el descriptor 90.

El Hecho Decimotercero de la fuente de prueba documental obrante en los descriptores 91 y 93.

El Hecho Decimocuarto de la fuente de prueba documental obrante en el descriptor 94.

El Hecho Decimoquinto y Decimosexto de la fuente de prueba pericial practicada en la persona de Doña María Inmaculada.

El Hecho Decimoséptimo de la fuente de prueba documental obrante en el descriptor 7.

TERCERO.-1. Las demandas contienen varias pretensiones cada una de ellas en parte coincidentes y en parte disimiles. Por meras razones de lógica procesal debemos abordar en primer lugar la pretensión común consistente en solicitar la nulidad del Anexo al considerar que este se ha establecido unilateralmente por la empresa sin la participación de la representación de los trabajadores, porque su estimación haría innecesaria entrar a analizar los otros motivos de impugnación.

La demanda presentada por CCOO solicita la nulidad del anexo al entender que la conducta de la empresa supone una vulneración de los apartados 5 y 6 del artículo 64 del ET que reconocen el derecho de la representación de los trabajadores a ser informados y consultados en el establecimiento de sistemas de control de trabajo; complementados con lo previsto en el artículo 87.3 de la LOPDGDD que atribuye a la representación de los trabajadores el derecho a participar en la elaboración de criterios de utilización de los dispositivos digitales. Considera que los preceptos antecitados se han incumplido porque la empresa solo ha conferido un plazo de quince días para realizar comentarios y no se ha realizado un proceso de consulta y negociación real y efectivo previo a la implantación de cualquier política sobre utilización de los dispositivos digitales de la empresa.

La demanda conjunta de UGT, CSIF, CGT Y USO sostienen la nulidad del Anexo al considerar que se han vulnerado su derecho a la negociación colectiva ex artículo 28 de la CE, en relación al artículo 64 del ET y el artículo 87.3 de la LOPDGDD; afirmando que resulta de aplicación al presente procedimiento la STS de 6 de febrero de 2024 (Rec. 263/2022) que declaró nula la política empresarial aprobada sin la participación de la representación de los trabajadores al considerar que el apartado 3º del artículo 87 LOPDGDD resulta de imperativa observancia en los supuestos en los que el trabajo se realice mediante dispositivos digitales. Entienden que la conducta de la empresa no cumple con las exigencias de los preceptos antecitados al limitarse a comunicar, en mayo de 2025, a la representación de los trabajadores el referido anexo, cuyo texto definitivo quedó fijado en julio, limitándose su intervención a un trámite de alegaciones, tras el cual el texto quedó prácticamente inalterado en su versión final respecto a la versión inicial

Sobre el incumplimiento de la obligación empresarial de contar con la participación de la representación de los trabajadores/as, las empresas demandadas manifiestan que el artículo 87 de LOPDGDD no concreta la fórmula participativa y no se puede imponer a la empresa una concreta formula, como es la negociación; tampoco se impone la necesidad de un acuerdo, ni el supuesto está contemplado tampoco en el artículo 64 del ET, ni se deduce de la norma comunitaria la concreta fórmula de participación. Se ha cumplido aquí de manera evidente con la participación porque, primero, en mayo de 2025 se elabora una primera versión y se notifica dando un plazo de 15 días para que se realicen alegaciones a todos los comités de empresa de la compañía. Se suspende la entrada en vigor de la política de seguridad, prevista para el 1 de julio, para interpretar entender y analizar las alegaciones, entrando en vigor el 15 de septiembre. Se realiza un segundo borrador, con incorporación de algunas aportaciones, se remite a la representación de los trabajadores y se da nuevo plazo de alegaciones.

2. Al aducirse la vulneración de la negociación colectiva ex artículo 28, en relación con el artículo 64 del ET y el artículo 87 de la LOPDGDD en la fijación de los criterios de utilización por parte de los trabajadores/as de los dispositivos digitales puestos a su disposición por la empresa, debe tenerse en cuenta que siendo este el objeto de controversia el precepto controvertido es el artículo 87 de la LOPDGDD y no el artículo 64 del ET, por constituir aquel una regla especial para un supuesto concreto como es el "derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral", a cuyo socaire se prevé una regla particular en materia de facultades de la representación de los trabajadores, frente a la regla general configurada en el artículo 64.5 del ET relativa a los derechos de información, consulta o emisión de informe en materia, entre otras, de implantación y revisión de sistemas de control del trabajo; sin perjuicio de que el artículo 64.5 del ET pueda servir para concordar el alcance del artículo 87 de la LOPGDD, como más adelante diremos. Se podría aducir que el articulo 64.5 f) del ET como norma general no sería de aplicación porque se refiere a sistemas de control y el artículo 87 de la LOPDGDD se refiere a criterios de utilización de dispositivos digitales, constituyendo dos realidades diferenciadas; sin embargo esa diferenciación es más aparente que real dado que estos protocolos de utilización de dispositivos digitales contienen reglas sobre el control de los dispositivos so pena de no ajustarse a la previsión legal así como a la interpretación jurisprudencial y del TEDH, lo que les convierte en protocolos que implementan sistemas de control, como es el caso del Anexo objeto de la presente controversia.

Que el artículo 87 de la LOPD constituye una regla especial en materia de usos de los dispositivos digitales ya lo ha evidenciado la STS de 6 de febrero de 2024 (Rec. 263/2022) al señalar que "el artículo 87.3 LOPD resulta una especificación, para un ámbito determinado, del genérico poder de dirección del artículo 20.3 ET ",y si bien la afirmación se hace en el plano de las previsiones contenidas en los artículos 20.3 del ET y 87.3 de la LOPDGDD en relación al control empresarial; mutatis mutandi es trasladable al plano de la participación de los representantes de los trabajadores en relación a la implementación o revisión de sistemas de control prevista en los artículos 64.5 f) del ET y 87.3 de la LOPDGDD.

Por tanto, el fundamento sobre el que ha de girar la resolución de la controversia se encuentra en el artículo 87 de la LOPDD. En efecto, el primer párrafo de su apartado 3º establece que "los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente"y, a continuación, en lo que resulta relevante determina que "en su elaboración deberán participar los representantes de los trabajadores".

La concreción del papel de los representantes de los trabajadores en la fijación de los criterios de utilización se ha efectuado por el legislador acudiendo a una formula amplia dado que el sentido literal del término "participar" puede englobar varias posibilidades, como la mera información -de acuerdo a la RAE participar puede significar dar noticia o comunicar-, audiencia previa, consulta, emisión de informe o negociación -estas cuatro encajarían en el significado de participar como tomar parte de algo-; por lo tanto, el artículo 87.3 de LOPDGDD no impone, desde una interpretación literal, una determinada posibilidad de actuación de los representantes de los trabajadores al ser una formula abierta. A diferencia de lo que ocurre, por ejemplo, en la misma norma al abordar la política empresarial de desconexión digital en el artículo 88.3 LOPDGDD que exige la audiencia previa de los representantes de los trabajadores; fórmula muchos más concreta que la utilizada el abordar los criterios de utilización de los dispositivos digitales.

No obstante lo anterior, esta Sala debe realizar una serie de precisiones que vienen a completar la anterior conclusión.

En primer lugar, al haberse alegado la existencia de un derecho de los representantes a negociar y acordar los referidos criterios, hemos de señalar que dicha posibilidad es admisible de acuerdo a la formula abierta utilizada en el artículo 87.3 de la LOPDGDD, pero no se deduce que sea esta la única forma de participar, ni que pueda identificarse el término "participar" con "negociar", pues una interpretación teleológica desmiente dicha conclusión dado que en la versión existente en el proceso de tramitación parlamentaria, fruto de una enmienda del Grupo Socialista, sí se concretaba el papel de la representación de los trabajadores en un derecho, no solo a negociar, sino a acordar dichos criterios, dado que el artículo 86.3 del proyecto -actual art. 87.3- establecía que "la empresa acordará con la representación de los trabajadores un protocolo de utilización de los dispositivos digitales facilitados a los trabajadores".En consecuencia, no existiendo previsión legal, ni convencional, que obligue a la empresa a negociar los criterios, difícilmente puede haberse lesionado el derecho a la negociación colectiva de los sindicatos demandantes.

En segundo lugar, si bien la mera interpretación literal del término "participar" en línea de principio admite, como ya hemos indicado, una pléyade de posibilidades en torno al papel que se otorga a la representación de los trabajadores, entre las que se encuentra la mera información, de suerte que se cumpliría con la exigencia del artículo 87.3 de la LOPD con informar la empresa de los criterios que va adoptar en el uso de dispositivos digitales, una interpretación sistemática ad intra y ad extra del apartado controvertido, nos lleva a considerar que la mera información no es suficiente. En efecto, ad intra del artículo 87.3 de la LOPDGDD, se establece que "en su elaboración deberán participar los representantes de los trabajadores",de suerte que participar en su "elaboración"requiere, al menos un cierto papel activo que no se cumple con el mero traslado de información que supone un rol pasivo; mal se puede elaborar algo cuando no se tiene, al menos, la posibilidad de ser oído, lo que sólo se cumple en distintos grados, con la emisión de informe, audiencia previa, consulta o negociación. Ad extra, si nos fijamos ahora en el artículo 64.5 f) del ET que, como ya se ha indicado, contiene la regla general relativa al papel de los representantes de los trabajadores en relación con los sistemas de control, reconoce un derecho a la emisión de informe previo, lo que supone excluir la mera información. Además la coherencia interna de ordenamiento laboral conduce a esta interpretación pues no resulta lógico admitir ex artículo 87.3 de la LOPDGDD la información como forma de cumplir con la participación de los representantes, cuando el artículo 64.5 f) del ET lo excluye al reconocer el derecho a emitir un informe previo.

En tercer lugar, se alega por los sindicatos demandantes que se ha vulnerado su derecho de consulta ex artículo 64.5 f) del ET. Aunque ya hemos dicho que se trata de una regla general que contiene una concreta regla de participación que debe ceder ante la regla especial y abierta contenida en el artículo 87.3 de la LOPDGDD, debe advertirse que del artículo 64.5 del ET no se deriva un derecho de consulta en materia de implementación o revisión de sistemas de control, sino únicamente un derecho de emisión de informe previo. Es verdad que en los dos primeros párrafos del apartado 5º del artículo 64 del ET se reconoce un derecho de información y consulta en una serie de materias entre las que no se encuentran ni los sistemas de control ni los protocolos de uso de dispositivos digitales, y, a continuación, en el párrafo tercero se establece un derecho de emisión de informes enumerando un elenco de materias solo parcialmente coincidentes con las materias de los dos primeros párrafos, lo que evidencia que se distingue entre consulta y emisión de informes.

En este sentido debemos traer aquí la STS de 13 de septiembre de 2016 (Rec. 206/2015), que señala que el artículo 64.5 del ET "distingue entre el derecho de consulta y el emitir informe previo, de forma que aquélla reviste los caracteres que le atribuye el apartado «1» y que le aproximan a la negociación colectiva [«... intercambio de opiniones y la apertura de un diálogo... con espíritu de cooperación...» ] y su obligatoriedad se concreta -en el ámbito estatutario- a los supuestos que detalla el apartado «5» [«... situación y estructura del empleo... cambios relevantes en cuanto a la organización del trabajo y a los contratos... eventuales medidas preventivas...»], en tanto que el derecho a emitir informe parece concebirlo de forma independiente, pues lo refiere a los concretos supuestos que cita el mismo apartado «5», y aunque los supuestos en que se impone obligatoriamente son casi todos ellos propios de consulta [reestructuraciones y cese de plantillas; reducciones de jornada; traslado de instalaciones; procesos de fusión, absorción...], otros que también reseña [planes de formación profesional; implantación y revisión de sistemas de organización y control de trabajo, estudios de tiempos, establecimiento de sistemas de primas e incentivos], escapan a los supuestos generales de la obligada consulta [«situación y estructura del empleo»; «cambios relevantes» en la organización del trabajo; medidas preventivas]".

En consecuencia, debe concluirse que en el artículo 64.5 f) del ET se reconoce a los representantes de los trabajadores un derecho a emitir informe previo pero no a ser consultados; sin perjuicio de que el convenio aplicable pudiera establecer otra fórmula de participación de mayor intensidad, como la consulta o la negociación.

Recapitulando esta Sala considera que el derecho de los representantes de los trabajadores/as a participar en la elaboración de los criterios de utilización de los dispositivos digitales ex artículo 87.3 de la LOPDGDD no se satisface con la mera información de dichos criterios por parte del empresario, sino que requiere como mínimo la emisión por parte de aquellos de informe previo, siendo admisible otros roles como la previa audiencia, consulta, la negociación o el acuerdo, ante el carácter abierto la formula contenida en el precepto legal.

3. En el presente procedimiento ha resultado probado que la empresa, entre los días 28 y 30 de mayo de 2025 se dirige a la representación de los trabajadores/as y les traslada un documento denominado Anexo a la Política Global de Seguridad de Usuarios Final, comunicándoles que entrará en vigor el 1 de julio y dándoles un plazo de quince días para que realicen "comentarios", es decir, alegaciones para que sean valoradas por la empresa. La representación de los trabajadores presentó durante los primeros días de junio de 2025 alegaciones diversas. Recibidas los comentarios/alegaciones la empresa entre el 18 y 20 de junio de 2025 manifiesta a la representación de los trabajadores que iba a valorar la posibilidad de hacer modificaciones y aclaraciones al Anexo, comunicando la postergación sin fecha de su entrada en vigor y la remisión de un segundo borrador del Anexo. La empresa entre el 22 y 24 julio de 2025 remite a la representación de los trabajadores/as un segundo borrador, comunicando un segundo plazo de quince días para que remitiera los comentarios/alegaciones que estimase oportunas; presentándose alegaciones por los distintos órganos de representación entre el 30 de julio y el 7 de agosto de 2025. Las empresas entre el día 3 y 9 de septiembre se dirigen a las distintas representaciones de los trabajadores/as, comunicándoles que el Anexo entrará en vigor el 15 de septiembre de 2025, adjuntándoles le versión definitiva del mismo.

La anterior cronología de hechos revela que las empresas antes de la aplicación del Anexo procedieron a solicitar no uno sino dos informes previos a la representación de los trabajadores/as; lo que constituye una forma de participación subsumible en la exigencia del artículo 87.3 de la LOPDGDD. Debemos llamar la atención de que se hubiera cumplido con el mandato del antecitado precepto con el requerimiento de un único informe previo.

Además, la secuenciación temporal deja ver que dicha petición de informe no fue una mera formalidad porque al entregarse la versión inicial se comunicó como fecha de aplicación el 1 de julio, formuladas las primeras alegaciones y la vista de las mismas, por un lado, las empresas entre los días 18 y 20 de junio comunicaron que aplazaban sine die su aplicación, y, por otro lado, el segundo borrador no se remitió hasta trascurrido un mes, entre el 22 y 24 de julio, para su nueva valoración; presentadas las segundas alegaciones a principios de agosto, entre el 30 de julio y 7 de agosto, tardaría otro mes en remitir ya la versión definitiva, entre el 3 y 9 de septiembre, fijando la fecha de aplicación en el 15 de septiembre. En definitiva, por un lado la fecha de aplicación se pospone dos meses y medio; así como el tiempo que trascurre entre la presentación de alegaciones y el segundo borrador y entre este segundo borrador y la versión definitiva, en ambos casos de un mes, revela que la empresa procedió a estudiar y analizar las alegaciones presentadas.

No resultando, a juicio de esta Sala, obligadas las empresas a recoger -total o parcialmente- las posibles alegaciones formuladas por la representación social y modificar el Anexo por cuanto de la fórmula de participación desarrollada por la empresa -emisión de informe previo- no se deriva dicha posibilidad y, en consecuencia, no cabe apreciar que la conducta de la empresa sea contraria al artículo 87.3 de la LOPDGDD. En este sentido, la ya citada STS de 13 de septiembre de 2016 (Rec. 206/2015), ante un supuesto de hecho en el que la empresa tras la evacuación del informe no modifica su protocolo señala claramente que si "el derecho que correspondía en la materia [...] es de simple informe previo y no el de consulta; [...] no haber acogido sugerencia alguna del informe ni modificado en nada el texto remitido, no comporta el incumplimiento del trámite".

Finalmente debemos descartar, como sostienen los sindicatos demandantes, que la aplicación de la interpretación inserta en la STS de 6 de febrero de 2024 (Rec. 263/2022) avalaría la nulidad del Anexo ahora controvertido porque estamos ante controversias con un planteamiento fáctico distinto que lleva a una distinta solución. En efecto, en dicha sentencia se declaró nula la revisión de la política empresarial porque se acreditó que se efectúo sin la participación de la representación de los trabajadores; cosa que no sucede en el presente procedimiento donde las empresas sí han dado participación a los representantes de los trabajadores, de modo que la doctrina de dicha sentencia del Tribunal Supremo conduce a desestimar la nulidad pretendida por los demandantes.

CUARTO.-Proceden los sindicatos demandantes a impugnar una parte del contenido del Anexo implementado por las empresas demandadas que consta de nueve apartados. No obstante, como quiera que cada una de las demandas solicitan pretensiones no coincidentes, desarrollando una argumentación tampoco coincidente plenamente, debemos proceder a un examen individualizado de cada una de las demandas.

Todos los motivos de nulidad construidos por los demandantes tienen como eje de controversia la confrontación entre los derechos fundamentales de las personas trabajadoras y las facultades de control empresarial derivadas del uso de las nuevas -y no tan nuevas- tecnologías de la comunicación e información, tradicionalmente los sistema de captación de imágenes y sonidos, modernamente el uso de dispositivos digitales de variada índole para el desarrollo de la actividad empresarial, la robotización y la inteligencia artificial. De forma sucinta podemos reconducir los supuestos de control empresarial a dos hipótesis: a) una vinculada al control de la actividad laboral en si misma considerada, siendo la utilización de cámaras de vigilancia, con o sin sistemas de audio incorporado, el dispositivo utilizado por antonomasia; b) la segunda consistente en el control del uso que hacen las personas trabajadoras de los instrumentos y avances tecnológicos que el empresario pone a su disposición para el desarrollo de la actividad profesional. Diferenciación que tiene su importancia, por un lado, desde el plano normativo y desde la perspectiva de la intimidad, porque cada uno de los supuestos tiene una distinta configuración jurídica, el primero viene actualmente regulado en el artículo 89 de la LOPDGDD, el segundo en el artículo 87 de la LOPDGDD; en segundo lugar, porque la forma de afrontar su valoración jurídica, si bien tiene como premisa coincidente la utilización de test de proporcionalidad en la búsqueda de equilibro en la confrontación entre el respeto a los derechos fundamentales y la operatividad del control empresarial, la forma de encauzar el análisis valorativo difiere por cuanto que si se trata del control de la actividad laboral la aplicación del test de proporcionalidad requiere la previa existencia de indicios que afloren una conducta inadecuada, mientras que si se trata del control del uso de los dispositivos digitales el test de proporcionalidad entrará en juego si y solo si no existe expectativa de privacidad/confidencialidad.

En las demandas acumuladas la controversia gira en torno al posible control por parte de las empresas demandadas de los dispositivos que pone a disposición de sus trabajadores/as con ocasión de implementación de las pautas establecidas en un documento Anexo para la utilización de los mismos, no tiene como controversia posibles lesiones de derechos fundamentales actualizadas o verificadas, sino potenciales lesiones a la vista de las pautas elaboradas, lo que resulta importante porque el juicio de esta Sala debe realizarse respecto al ajuste de dichos criterios a lo establecido en el artículo 87 de la LOPDGDD y la interpretación sobre la materia efectuada por el Tribunal Supremo, el Tribunal Constitucional y el Tribunal Europeo de Derechos Humanos.

QUINTO.-1. Aunque estamos ante una controversia relativa al control del uso de dispositivos digitales empresariales, para una comprensión de nuestro razonamiento, debemos evidenciar primeramente que las posibles tensiones entre la facultad de vigilancia y control y el respeto a los derechos fundamentales tuvieron una primera respuesta en clave constitucional a través de dos conocidas sentencias - STC 98/2000, de 10 de abril y STC 186/2000, de 12 de julio- que sentaron las pautas para la aplicación en la siguiente década del control empresarial, no en relación al uso de las herramientas tecnológicas sino en lo atinente al control de la actividad misma de los trabajadores/as. Proclamando nuestro Tribunal Constitucional la eficacia de los derechos fundamentales en el ámbito empresarial, no pudiendo despojarse a los trabajadores de los mismos al socaire de la existencia de un contrato de trabajo, afirma que no estamos ante derechos absolutos sino que pueden ceder «ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho» ; y en opinión del Tribunal Constitucional uno de esos fines legítimos lo encontramos en las facultades de vigilancia como parte integrante del poder de dirección que se reconoce al empresario como imprescindible para la buena marcha de la organización productiva.

Ahora bien nos recuerda también el Tribunal Constitucional que en la confrontación entre el ejercicio de la facultad empresarial de vigilancia y control y el respeto a los derechos fundamentales de los trabajadores se aprecia la existencia de una necesidad de equilibrios y limitaciones recíprocos que se derivan para ambas partes del contrato de trabajo y que suponen, de un lado, la admisión de la validez de dicho poder de vigilancia, y, de otro lado, la admisión de la limitación de dichas facultades organizativas empresariales por parte de los derechos fundamentales del trabajador, quedando obligado el empleador a respetarlos.

La dicotomía conflictiva entre respeto a los derechos fundamentales de los trabajadores y control empresarial de su actividad laboral se enjuició en sede constitucional mediante el conocido «test de proporcionalidad» en el uso de la facultad de vigilancia y control; de suerte que no habrá afectación de derechos fundamentales, apreciándose la proporcionalidad, cuando existiendo una concreta y previa justificación de la adopción de la medida, ésta es susceptible de alcanzar el objetivo que se propone, el denominado «juicio de idoneidad», es estrictamente imprescindible, no existiendo ninguna otra medida más moderada que permita conseguir el objetivo propuesto con igual eficacia, el calificado «juicio de necesidad», y es equilibrada y ponderada, por obtenerse con ella más beneficios o ventajas para el interés general que perjuicios sobre otros posibles bienes o valores en conflicto, el denominado «juicio de proporcionalidad en sentido estricto».

2. Con el trascurrir de los años la imparable irrupción en los entornos empresariales de las nuevas tecnologías como instrumentos de trabajo -señaladamente el correo electrónico e internet- plantearon la validez del control sobre el uso de dichas herramientas por parte de los trabajadores a la que tuvo que hacer frente inicialmente las instancias judiciales, el Tribunal Constitucional y el Tribunal Europeo de Derechos Humanos. No se trataba del ajuste legal y constitucional de los sistemas de vigilancia de la «actividad laboral», sino de dilucidar si el control del uso de las herramientas tecnológicas de trabajo era respetuoso con los derechos fundamentales de las personas trabajadoras.

La primera y primordial respuesta se formuló en la STEDH de 3 de abril de 2007 (Caso Copland), en la que se aborda el control del teléfono, correo electrónico y uso de internet de una trabajadora de un College, con naturaleza de autoridad pública a los efectos de concretar que la lesión se producía respecto a la obligación negativa contenida en el apartado 2º del artículo 8 del Convenio que reza que "no podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás".

Tras reiterar la protección del uso de las nuevas tecnologías en el ámbito laboral por parte de los trabajadores ya establecida en sentencias anteriores, por todas las SSTEDH de 25 de junio de 1997 (Caso Halford) y 16 de septiembre de 2000 (Caso Amman), el Tribunal Europeo de Derechos Humanos, entiende que al no existir previsión legal que avale el control y al no advertirse a la trabajadora que la utilización de dichos medios de trabajo podrían ser objeto de control empresarial, ésta «podía razonablemente esperar que se reconociera el carácter privado de las llamadas efectuadas desde el teléfono del trabajo» e igualmente «podía esperar lo mismo en lo que respecta al correo electrónico y la navegación por Internet». Y ante esta expectativa de privacidad concluye que el control empresarial mediante «la recogida y almacenamiento de información personal relativa a las llamadas telefónicas, correo electrónico y navegación por Internet de la demandante, sin su conocimiento, constituye una injerencia en su derecho al respeto de su vida privada y su correspondencia, en el sentido del artículo 8 del Convenio». Se consagró la premisa de que sí hay una expectativa/esfera de intimidad no puede quebrarse si no se ha advertido previamente al trabajador que el uso de las nuevas tecnologías va a ser objeto de control empresarial; en definitiva, se vino a sostener que si existía una esfera de privacidad no era posible el control empresarial.

En nuestro derecho interno, las primeras respuestas vinieron de la mano del Tribunal Supremo en su sentencia de 26 de septiembre de 2007 (Rec. 966/2006), confirmada posteriormente por las sentencia de 8 de marzo de 2011 (Rec. 1826/2010), matizada por la sentencia de 6 de octubre de 2011 (Rec. 4053, 2010).

La STS de 26 de septiembre de 2007 recepciona la doctrina establecida en la STEDH de 3 de abril de 2007, para establecer un límite al control empresarial que actúa como garantía de los derechos fundamentales del trabajador. En efecto, partiendo de la propia realidad social en la que se constata «un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores», sostuvo que dicho hábito social genera en el trabajador/a una expectativa generalizada de confidencialidad en la utilización de los medios tecnológicos que da lugar a una esfera de intimidad y privacidad que debe ser respetada por el empleador; advirtiendo, no obstante, que esa expectativa de intimidad no puede ser utilizada de coartada para proceder a un uso contrario a las pautas establecidas por el empleador.

Ahora bien, la STS de 6 de octubre de 2011 matiza que, constatada la inexistencia de una situación de tolerancia del uso personal, bien por la existencia expresa de una prohibición de uso o bien por una advertencia expresa o implícita de control, «tampoco existe ya una expectativa razonable de intimidad», de suerte que si el uso personal no es lícito «no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo», es más, el trabajador que, mediando una prohibición de uso personal, utiliza las nuevas tecnologías empresariales para fines particulares sabe que su acción «no es correcta y sabe también que está utilizando un medio que, al estar lícitamente sometido a la vigilancia de otro, ya no constituye un ámbito protegido para su intimidad». Y ahonda en esa reflexión al exponer la advertencia acerca de la existencia de actuaciones que suponen una minoración voluntaria de las barreras de protección de la intimidad o del secreto a las comunicaciones, siendo una de esas actuaciones «la utilización de un soporte que está sometido a cierta publicidad o a la inspección de otra persona», de suerte que «quien manda una postal, en lugar de una carta cerrada, sabe que el secreto no afectará a lo que está a la vista; quien entra en el ordenador sometido al control de otro, que ha prohibido los usos personales y que tiene ex lege facultades de control, sabe que no tiene una garantía de confidencialidad».

Aparte de considerar que una prohibición absoluta del uso personal conlleva, implícitamente, una advertencia sobre la posibilidad empresarial de controlarlo, la novedad de esta matización radica en aclarar que no puede apreciarse una expectativa razonable de intimidad en dos supuestos, cuando se haya formulado una prohibición expresa del uso personal de las nuevas tecnologías empresariales o, lo que resulta más novedoso todavía, cuando se declare que dicho uso personal queda sometido a la facultad de control empresarial. Por lo tanto, en este último pronunciamiento del Tribunal Supremo parece que se equipara, a los efectos de apreciar una esfera de privacidad del trabajador, la prohibición absoluta de uso y la advertencia de someter dicho uso al control empresarial.

Y en atención a lo anterior, los dos primeros pronunciamientos del Tribunal Supremo procedieron a concretar qué es lo que debe hacer el empleador si quiere desplegar su poder de control sobre los medios tecnológicos. De suerte que, al amparo de la buena fe, el empresario debe proceder a configurar previamente «las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va a existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones». No obstante, la STS de 6 de octubre de 2011 señalo que estas reflexiones se efectuaron «obiter dicta y en el marco de la buena fe o de la legalidad ordinaria [...] fuera del marco estricto de la protección del derecho fundamental, como obligaciones complementarias de transparencia», de suerte que las mismas serán válidas siempre que no exista prohibición expresa del uso personal, pues sí existe dicha prohibición «deja de haber tolerancia y ya no existirá esa expectativa, con independencia de la información que la empresa haya podido proporcionar sobre el control y su alcance, control que, por otra parte, es inherente a la propia prestación de trabajo y a los medios que para ello se utilicen, y así está previsto legalmente». En consecuencia, si existía prohibición de uso particular de las nuevas tecnologías, en la medida en que lleva implícita la posibilidad de control, no era necesario que se explicite expresamente, además, el sometimiento del uso de las herramientas tecnológicas a la facultad de control empresarial.

Consolidada la solución dada por el Tribunal Supremo, no tuvo que trascurrir mucho tiempo para que el Tribunal Constitucional se pronunciase sobre la cohonestación de los derechos fundamentales de los trabajadores y la concreta facultad empresarial de vigilancia del uso realizado por los éstos de las herramientas tecnológicas.

En la STC 241/2012, de 17 de diciembre, no se estaba cuestionando una acción de control empresarial, dado que quien descubre las conversaciones almacenadas en el ordenador es otro empleado que las pone en conocimiento de la empresa, se cuestiona sí al utilizarlas para sancionar al trabajador se había operado una lesión de derechos fundamentales del derecho a la intimidad y del derecho al secreto de las comunicaciones.

Ni al abordar la posible lesión del derecho a la intimidad de la trabajadora ni su derecho al secreto a las comunicaciones el Tribunal Constitucional utiliza el test de proporcionalidad, quizá porque, como ya he dicho, no se cuestiona una determinada acción de control empresarial. Se descarta que se haya producido una injerencia en la intimidad de la trabajadora merecedora de amparo dado que, a juicio del Tribunal Constitucional, fue ella quien con sus actos difuminó la privacidad de sus conversaciones «al incluirlas en el disco del ordenador en el cual podían ser leídas por cualquier otro usuario, pudiendo trascender su contenido a terceras personas», incluida la empresa; fue, por tanto, la trabajadora, con sus propios actos, quien posibilitó el conocimiento de las conversaciones por otro trabajador de la empresa, que casualmente y sin ninguna intencionalidad tuvo acceso a todo su contenido, quien, a su vez, lo comunicó a la empresa.

Lo relevante de esta sentencia se encuentra al afrontar la posible vulneración del derecho al secreto a las comunicaciones, dado que, por primera vez, se acoge la posible existencia de una expectativa de intimidad, así como cobra especial protagonismo la política empresarial sobre el uso de los medios tecnológicos empresariales. Tras reconocer que el empresario puede adoptar distintas soluciones -desde la prohibición absoluta de uso hasta la permisividad del uso personal-, y encontrarse recogías en diferentes instrumentos -ordenes, instrucciones, protocolos, códigos de conducta-, sin mención alguna al principio de proporcionalidad, afirma que para valorar si el acceso al contenido de los ordenadores u otros medios informáticos empresariales puestos a disposición de los trabajadores ha vulnerado un derecho fundamental «habrá de estarse a las condiciones de puesta a disposición, pudiendo aseverarse que la atribución de espacios individualizados o exclusivos puede tener relevancia desde el punto de vista de la actuación empresarial de control», de suerte que «el ejercicio de la potestad de vigilancia o control empresarial sobre tales elementos resulta limitada por la vigencia de los derechos fundamentales, si bien los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empresario a tal fin». En definitiva, la posible lesión de un derecho fundamental al desplegarse la facultad empresarial de vigilancia y control de las herramientas tecnológicas vendrá condicionada por la existencia de pautas de uso de dichos instrumentos, y, en su caso, por el alcance y solución contemplados en ellas.

Se estableció un pauta interpretativa, en sede constitucional, relativa al control empresarial de la actividad laboral, concretamente sobre el uso de las herramientas empresariales de carácter tecnológico que revela una nueva arista en la doctrina constitucional en la línea de la solución jurisdiccional acogida por el Tribunal Supremo.

La confirmación de la antecitada pauta interpretativa se va a producir en la STC 170/2013, al afirmar el Tribunal Constitucional que lo que «procede [es] determinar el régimen de uso por los trabajadores de las herramientas informáticas de titularidad empresarial que resultaba aplicable en la empresa demandada en el momento de producirse los hechos». Para el Tribunal Constitucional cualquier análisis de la posible existencia de lesión de un derecho fundamental de un trabajador al desplegarse la facultad empresarial de vigilancia y control sobre el uso de las herramientas tecnológicas tiene como punto de partida el régimen de utilización establecido por el empresario, de suerte que aclarado cuales sean las pautas existentes en la empresa se debe abordar la posible lesión de los derechos fundamentales. Es decir si existe la expectativa de privacidad/confidencialidad el control no es posible y, en consecuencia, no procede ponderar el respeto a los derechos fundamentales ante el control empresarial, sino ab initio apreciar la lesión del derecho fundamental; por el contrario, como sucede en el caso enjuiciado en la sentencia, descartada la existencia de expectativa de privacidad y afirmada la posibilidad de desplegarse el control empresarial sobre el uso de los medios tecnológicos, procede examinar si dicha facultad empresarial ha sido respetuosa con los derechos fundamentales del trabajador para lo cual retoma la aplicación del test de proporcionalidad.

De la interpretación jurisprudencial y constitucional se evidencia que una cosa es la existencia de expectativa de privacidad como premisa previa para admitir el control empresarial de los dispositivos digitales y otra cosa distinta es la pervivencia de los derechos fundamentales, lo que acaece en todo supuesto, sin perjuicio de su modulación y la posibilidad de que cedan ante la facultad de control siempre y cuando este supere el test de proporcionalidad. Dicho de otra manera, una cosa es que no exista expectativa de privacidad a efectos del control y otra cosa muy distinta es que esa falta de expectativa suponga también la negación de los derechos fundamentales, lo que no resulta admisible dado que éstos solo podrán ceder su eficacia ante el ejercicio del control empresarial si éste, insistimos, supera el test de proporcionalidad.

Con posterioridad la STEDH de 5 de septiembre de 2017 (Caso Barbulescu) vuelve a resolver la posible contravención de la obligación negativa establecida en el artículo 8.2 del Convenio Europeo de Derechos Humanos ante el control del correo electrónico de un trabajador, existiendo una normativa interna que establecía expresamente la prohibición de uso con fines personales de los medios tecnológicos empresariales, si bien no advertía de la posibilidad de control de dichos dispositivos. En este pronunciamiento, si bien es cierto que se parte de la premisa de que "la empresa empleadora tiene un interés legítimo en garantizar el buen funcionamiento de la empresa, lo que puede hacer mediante la creación de mecanismos que garanticen que sus empleados desempeñen sus funciones profesionales de manera adecuada y con la celeridad requerida",no es menos cierto que de forma indubitada se afirma que "el establecimiento por una empresa de medidas para vigilar la correspondencia y otras comunicaciones, sea cual sea su alcance y duración"debe ir "acompañado de garantías adecuadas y suficientes contra los abusos",situando a los parámetros de proporcionalidad y existencia de garantía procesales en el vértice necesario para evitar la arbitrariedad, lo que le lleva a formular una serie de factores -reiterados en la STEDH de 6 de noviembre de 2025 (Caso Guyvan)- a tener en cuenta a la hora de examinar si se ha producido o no una afectación injustificada de la privacidad al efectuar el empresario el control del uso de los dispositivos digitales empresariales, a saber:

- Si el trabajador/a ha sido informado de forma clara y previa de la posibilidad de que el empleador tome medidas para supervisar su correspondencia y otras comunicaciones, así como la aplicación de tales medidas.

- El alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada del empleado, distinguiendo, por un lado, entre el control del flujo de comunicaciones y el de su contenido; y, por otro lado, si la supervisión se ha realizado sobre la totalidad o sólo una parte de las comunicaciones y si ha sido o no limitado en el tiempo, así como el número de personas que han tenido acceso a sus resultados.

- La existencia de argumentos legítimos para justificar el control de las comunicaciones y el acceso a su contenido, requiriendo ese último justificaciones más fundamentadas.

- Posibilidad de establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado.

- Las consecuencias de la supervisión para el empleado afectado y de qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida

- Si al empleado se le ofrecieron garantías adecuadas, particularmente cuando las medidas de supervisión del empleador tenían carácter intrusivo; considerándose que son adecuadas si impidieran que el empleador tuviera acceso al contenido de las comunicaciones en cuestión sin que el empleado hubiera sido previamente notificado de tal eventualidad.

En la formulación de estos factores se aprecia que asoma, en primer, lugar la previa información del posible control, reiterándose que la ausencia de esta daba lugar a la conformación de una expectativa de privacidad que impediría el control empresarial -en el Asunto Barbulescu el TEDH concluyó que si bien se había informado de la prohibición de uso personal no se había informado del posible control, lo que supuso el mantenimiento de la expectativa de intimidad-. Solo si se ha producido la información previa sobre el control entraría a valorarse, como se hace en la sentencia, el resto de factores mediante un juicio valorativo coincidente con el test de proporcionalidad manejado por nuestro Tribunal Constitucional.

3. Actualmente nuestro ordenamiento tiene un precepto, el artículo 87 de la LOPDGDD, invocado por el demandante como vulnerado, relativo a la intimidad en el uso de dispositivos digitales en el ámbito laboral. Una de sus virtualidades es ofrecernos las posibles pautas de interacción entre esta modalidad de control empresarial y el respeto de los derechos fundamentales que hasta entonces se había venido estableciendo por nuestra jurisprudencia, doctrina constitucional y los pronunciamientos del TEDH; es más, esta regulación es en su mayor parte una consagración de los criterios esbozados por ellos.

Se afirma, en su apartado 1º, el derecho a la intimidad de los trabajadores en el uso de los dispositivos empresariales, que resulta compatible con el control empresarial de los mismos, incluso de su contenido, tal y como dispone su apartado 2º. No obstante el control solo es posible si se dan las siguientes circunstancias:

- Que la finalidad sea bien vigilar el cumplimiento de las obligaciones laborales o estatutarias o bien garantizar la integridad de los dispositivos.

- Que el empleador haya establecido criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente.

- Que en la elaboración hayan participado los representantes de los trabajadores.

- Se especifique de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores si se ha admitido el uso privado de los dispositivos digitales empresariales

- Se haya informado a los trabajadores de estos criterios.

En consecuencia, el artículo 87 de la LOPDGDD no solo establece como elemento para no apreciar la expectativa de intimidad la información previa, sino que adiciona otros presupuestos sin los cuales no es posible el control por existir dicha expectativa. A efectos de este motivo de impugnación lo relevante es que en dicho precepto encontramos también la diferencia entre la expectativa de privacidad a efectos de control y la pervivencia del derecho fundamental. En primer lugar, porque el control es posible si se observan los presupuesto enumerados en el precepto al desaparecer la expectativa de intimidad, pero esto no enerva la vigencia de los derechos fundamentales por cuanto de forma clara se nos dice que los criterios de utilización deberán respetar "los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente";expresión que, si bien es genérica, debe suponer que se está haciendo referencia, entre otros elementos de interpretación y valoración jurídica, al test de proporcionalidad, cuya aplicación supone la pervivencia del propio derecho fundamental aunque se haya descartado la expectativa de privacidad. En segundo lugar, porque cuando se permite el uso privado, el artículo 87.3 de la LOPDGDD permite el control también siempre que se especifique los usos autorizados y "se establezcan garantías para preservar la intimidad";luego incluso cuando se admite el control del dispositivo habiendo autorizado su uso privado, no existiendo expectativa de privacidad, se mantiene la vigencia del derecho fundamental.

SEXTO.-1. En la demanda articulada por CCOO se articula como primer motivo de impugnación la existencia de la contradicción que se aprecia en los apartados 1º y 2º del Anexo cuando se permite el uso privado y al mismo tiempo se establece que los trabajadores/as no pueden tener expectativa alguna de privacidad; indicándose que las etiquetas personales o privadas se tendrán por no puestas, lo que supondría una lesión del derecho a la intimidad ex artículo 18 CE y 87.1 LOPDGDD.

Este primer motivo debe ser resuelto teniendo en cuenta que el Anexo objeto de controversia no es sino la plasmación del mandato contenido en el artículo 87.3 de la LOPDGDD dirigido al empleador de establecer los criterios de uso de los dispositivos digitales puestos a disposición de las personas trabajadoras para desarrollar la prestación laboral.

En la fijación de esos criterios se parte en el apartado 2º del Anexo de la premisa general de que "los Recursos TIC son medios de producción y herramientas de trabajo que Nestlé proporciona a las Personas Usuarias, con la única y exclusiva finalidad de que puedan desempeñar, en nombre, por cuenta y en interés de la compañía, sus funciones profesionales",y es por ello que "dado su carácter de instrumentos de trabajo, están sometidos a las facultades de control, organización, disciplina, disposición y corrección de la compañía, que podrá ejercer en cualquier momento, mediante la supervisión, monitorización, acceso, revisión, eliminación, bloqueo o retirada de los mismos, ya sea de forma cautelar, preventiva, temporal o

Definitiva"; lo que lleva a establecer que "en consecuencia, las Personas Usuarias no pueden tener expectativa alguna de privacidad y/o de confidencialidad en su uso".

Sentada la regla general de la utilización profesional de los dispositivo digitales, el Anexo permite una utilización personal de los dispositivos digitales al establecer que "no se prohíbe absoluta y categóricamente un uso privado",si bien no lo hace de forma abstracta y genérica por cuanto somete dicho uso a una serie de presupuestos que son que sea un uso "moderado, razonable, limitado y puntual, de los Recursos TIC, en la medida en que no interfiera, menoscabe, comprometa, reduzca, ralentice o perjudique la actividad profesional, el desempeño de sus responsabilidades laborales ni la productividad de las Personas Usuarias, ni suponga un riesgo para la integridad de los sistemas de la compañía, la confidencialidad de la información de Nestlé, sus secretos empresariales (en los términos definidos por la normativa vigente), o exponga, dañe o desmerezca su imagen corporativa o su reputación".A continuación, se reitera también para este uso privado que "no generará derecho o expectativa alguna de privacidad, reserva o confidencialidad para las Personas Usuarias; ni será impedimento para que Nestlé pueda monitorizar, supervisar, acceder y/o revisar dichos recursos en los términos que se detallan en el apartado 5 de este Anexo".

En ambos supuestos la referencia a la falta de privacidad y/o confidencialidad se está refiriendo al presupuesto habilitante del control empresarial no a la privación o desaparición de derecho fundamental alguno.

En el supuesto de la premisa principal de uso profesional de los dispositivos digitales es evidente que, establecido cual es el uso principal de los dispositivos digitales -el profesional- y que el uso se someterá al control empresarial, la consecuencia es que no cabe esperar expectativa de privacidad que impida el control, sin que ello suponga la perdida de vigencia del derecho de intimidad o cualquier otro derecho fundamental. No puede entenderse la frase controvertida como una negación de los derechos fundamentales; si en la aplicación práctica de estos criterios así se produjera, sí habría una afectación injustificada, pero en el plano de la configuración de los criterios de uso concretados en el Anexo controvertido no resulta contradictoria dicha expresión.

En relación al uso privado que se permite, tampoco resulta contradictoria la afirmación de no generarse una expectativa de privacidad o confidencialidad, porque dicha expresión también se refiere al presupuesto habilitante del control, no a la negación de los derechos fundamentales, por cuanto, por un lado, ese uso privado está sometido a una serie de condicionamientos o presupuestos que deben ser comprobados; comprobación que se efectúa mediante el control y así se advierte expresamente cuando se dice que este uso privado no "será impedimento para que Nestlé pueda monitorizar, supervisar, acceder y/o revisar dichos recursos",por otro lado, porque dicho control se hará en los términos que se detallan en el apartado 5 de este Anexo", en el que -además de establecerse las finalidades y alcance del control, su metodología y tipología de los controles y las posibles actuaciones- se establece como garantías que "los controles se realizarán superando holgadamente el filtro del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas, observando la regulación interna de Nestlé y la legislación aplicable";lo que evidencia que no se enerva la eficacia de los derechos fundamentales desde el momento en que el control, a pesar de no existir expectativa de privacidad, se someterá al test de proporcionalidad, lo que permite deducir que esa referencia a la ausencia de expectativa de privacidad se refiere al presupuesto habilitante del control y no a los derechos fundamentales en sí mismo considerados.

Ex abundantia, se argumenta por el sindicato demandante que "la doctrina Barbulescu exige un juicio de proporcionalidad que esta cláusula ignora, resultando desproporcionada y abusiva",sin embargo, ese juicio de proporcionalidad sí se recoge expresamente como garantía en la adopción de cualquier medida de control en el antecitado ut supra apartado 5º del Anexo. En consecuencia, si el propio demandante sitúa el parámetro de licitud de la configuración del uso personal de los dispositivos digitales en relación con la negación de la expectativa de intimidad en el sometimiento al juicio de proporcionalidad, estando éste previsto en el propio Anexo, decae por si misma su argumentación para sostener este motivo de impugnación.

2. Se articula como segunda pretensión que se anule el control aleatorio de cuentas personales previsto en el apartado 3º del Anexo dedicado a regular el uso del correo electrónico al considerar que se trata de una medida desproporcionada que solo podría basarse en la existencia de un interés legítimo ex artículo 6.1 f) del RGPD, para lo cual debe superar un test de ponderación que demuestre que su interés es superior al derecho fundamental a la privacidad del trabajador, sosteniendo que dicho acceso al contenido de comunicaciones personales nunca superaría dicho test.

El apartado 3º al regular el uso del correo electrónico señala que el mismo "ha de hacerse exclusivamente con fines profesionales",estableciéndose expresamente que "se prohíbe, con carácter general, el uso del correo electrónico corporativo para finalidades lúdicas o para el registro en plataformas de terceros que no guarden relación con su actividad laboral en Nestlé (tales como la creación de cuentas y/o suscripción en redes sociales, newsletters, foros, webs de comercio electrónico o venta online)";prohibición que solo se enerva "en el supuesto de que ello resultase necesario",debiendo "la Persona Usuaria deberá solicitar autorización para registrar y utilizar su dirección de correo corporativo en dichos entornos a su People Manager".

A continuación al posibilitar a los empleados el acceso desde los dispositivos empresariales a cuentas de correos personales, a través de las cuales "es posible extraer, alojar y enviar archivos, ficheros o textos generados o ubicados en los dispositivos propiedad de Nestlé desde aquellas"?se podría dar lugar a "la fuga de información y su pérdida de control",lo que le lleva a fijar como criterio que la empresa "podrá realizar controles aleatorios sobre dicha actividad, lo que incluye el posible acceso al contenido de correos salientes, con el objeto de verificar el uso adecuado de los sistemas de información y prevenir posibles riesgos legales o reputacionales".

Siendo este último control objeto de impugnación, estamos en presencia no del control de un dispositivo empresarial, bien un ordenador o bien un teléfono, sino del control de una cuenta de correo electrónico personal a la que se accede desde un dispositivo empresarial. En la vista oral la perito de forma indubitada ha señalado que el control aleatorio y preventivo de esas cuentas personales se realiza sobre el tráfico de datos, es decir los metadatos, relativos a la fecha y hora de acceso, al remitente y el destinatario y, en su caso, al hecho de que se haya adjunto un documento, no se realiza sobre el contenido de dicho correo personal. Además sobre este posible control también se establece que, previamente se sujetará al canon constitucional de proporcionalidad. En consecuencia, desde el plano de la fijación de los criterios de uso, esta Sala considera que esta previsión resulta ajustada a Derecho, sin perjuicio de que en su aplicación práctica no se respete los términos del Anexo y, por ejemplo, no se aplique el canon constitucional, lo que daría lugar a su impugnación por el empleado/a afectado por el concreto control realizado sobre su cuenta personal.

3. Se impugna también el apartado 4º del Anexo, en primer lugar, en lo relativo al alcance de la monitorización, supervisión y registro de los recursos digitales empresariales al considerarlos extraordinariamente amplios por incluir el contenido de los dispositivos, los mensajes enviados, extensión y contenido, historiales de navegación o el acceso remoto o forzado; así como por el hecho de establecer una monitorización regular, preventiva aleatoria y generalizada; considerando el sindicato demandante que solo sería admisible en supuestos tasados, excepcionales y de extrema gravedad.

El artículo 87.2 de LOPDGDD reconoce la posibilidad de que el empresario acceda al "contenido" derivado del uso de los medios digitales, siempre que, entre los presupuesto ya referenciados ut supra, la finalidad sea bien vigilar el cumplimiento de las obligaciones laborales o estatutarias o bien garantizar la integridad de los dispositivos y que se haya establecido criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente.

En cumplimiento de la habilitación/obligación legal que se impone al empresario para acceder al contenido derivado de la utilización de los dispositivos digitales, el Anexo enumera una serie de finalidades subsumibles en las dos genéricas previstas en el artículo 87.3 de la LOPDGDD, así señala que con dicho control se trata de "verificar y controlar el cumplimiento de las obligaciones laborales de las Personas Usuarias y garantizar la integridad de los Recursos TIC; permitir el ejercicio de las facultades de dirección, organizativas y disciplinarias del empleador; proteger los activos sensibles de Nestlé, incluyendo los secretos empresariales, la información comercial, la información corporativa y la propiedad industrial e intelectual; prevenir fugas de información reservada o confidencial; prevenir o evitar usos indebidos, filtraciones de datos o posibles vulneraciones de los derechos de terceros; el cumplimiento normativo, la prevención y sanción de conductas inadecuadas, ilícitas, susceptibles de constituir delitos o infracciones civiles, penales o del orden laboral, contrarias a la ley, a los Principios Corporativos Empresariales, al Código de Conducta Empresarial y demás normativa interna de Nestlé; y la salvaguarda de su imagen pública, intereses corporativos y reputacionales".

A continuación determina el alcance del control que podrá ser del "flujo de actividad"lo que supone el control del "número de correos enviados o recibidos, número y tipología de los archivos adjuntos, volumen de los mensajes en byte, etc.",así como del "tipo de archivos y su potencial contenido",lo que implica el control de "imágenes, tablas de datos, listados, contratos etc.".A continuación se establece que "siempre que ello sea posible, los controles se limitarán inicialmente al filtrado de metadatos (remitente, destinatario, fecha, tamaño del mensaje, archivos adjuntos, etc.), y sólo se accederá al contenido de correos concretos cuando exista una causa justificada, fundada o una alerta (por ejemplo, palabras clave sensibles, coincidencia con los parámetros de búsqueda, fuga de información, etc.) o cuando se realice en el marco de un control aleatorio, limitado y proporcional, bajo supervisión interna, con registro o auditoría del acceso (esto es, documentar qué se revisa, cuándo y por qué).

Diseña dos tipos de controles, uno "aleatorio, regular, preventivo y generalizado tendente a identificar cualquier utilización de los Recursos TIC que pueda poner en riesgo los sistemas de la compañía, la seguridad y confidencialidad de la información, exponga, dañe o desmerezca su imagen corporativa o su reputación";advirtiendo que estos controles aleatorios "no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia",y se accederá "al contenido de los archivos y los correos si resulta estrictamente necesario para los fines indicados, y siempre con respeto a los principios de proporcionalidad, necesidad y minimización de datos".El otro "de carácter investigador y específico, cuando la compañía tenga indicios razonables, sospechas fundadas o evidencias objetivas de un potencial incumplimiento de la legislación aplicable y/o de la normativa interna de Nestlé por parte de una o varias Persona(s) Usuaria(s)".

A continuación explicita que el control y supervisión "puede implicar: el acceso al contenido de los dispositivos y la recogida de la información almacenada o tratada en dichos recursos; el tráfico, volumen y naturaleza de los datos enviados o recibidos; y otras intervenciones que, con el alcance y la intensidad que en cada momento se determine, una vez aplicados los criterios y garantías enunciados en el presente Anexo",efectuando una enumeración no exhaustiva de posibles intervenciones, a saber:

- Informac ión sobre los Recursos TIC facilitados por Nestlé a una Persona Usuaria (ej. los dispositivos que han sido entregados o puestos a su disposición, el ID del dispositivo, las direcciones, , los números de teléfono, etc.);

- Informac ión sobre el uso de los Recursos TIC (ej. información sobre el dispositivo y la conexión de las redes a las que accede; diagnósticos y rendimiento, incluidos informes de fallos y registros de rendimiento; ID de usuario asignados en su navegación por internet; uso de datos móviles, aplicaciones utilizadas, llamadas realizadas, duración de las llamadas, mensajes enviados, extensión y contenido, información disponible sobre los números destinatarios de las llamadas o los mensajes; actividad en Internet, páginas web visitadas, aplicaciones descargadas, cookies o tecnologías de rastreo alojadas en el dispositivo, historiales de navegación, etc.);

- Informac ión detallada sobre el tráfico de datos desde o hacia los Recursos TIC de Nestlé (ej. mensajes enviados y recibidos, tamaño ('size') y extensiones de los archivos y de los contenidos incluidos, direcciones destinatarias, frecuencia de los envíos, volumen y naturaleza de los datos consumidos; acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.);

- Acceso remoto, incluso forzado, a los Recursos TIC de Nestlé. Acceso a controladores, software, hardware o dispositivos integrados o no, cuando corresponda, borrado o formateado total o parcial a distancia de cualquier contenido, función o utilidad del dispositivo en caso de que tras detectarse o sospecharse que pudiera ser ilícito, inadecuado o comprometedor, así se decida en el oportuno procedimiento o en caso de incidentes de seguridad, brechas, pérdida o robo; y

- Análisis sistemático de la información recopilada sobre la actividad de las Personas Usuarias de los Recursos TIC, valoración, evaluación, propuesta y adopción de las medidas correctivas más adecuadas. La información puede almacenarse en cualquier formato y utilizarse en los procedimientos internos o externos del modo que se considere necesario o conveniente para la mejor defensa de los intereses de la compañía con pleno respecto a los derechos de las Personas Usuarias.

Finalmente se establece una garantía general en el ejercicio de la facultad de control consistente en que se realizarán los mismos "superando holgadamente el filtro del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas, observando la regulación interna de Nestlé y la legislación aplicable"y especificando una serie de garantías concretas que será cumplidas "en todo momento

? La proporcionalidad del acceso, ponderando si el beneficio que obtiene la compañía al verificar el uso correcto de sus Recursos TIC (ya sea proteger su información o garantizar el cumplimiento de los deberes contractuales) resulta superior al sacrificio o afectación de la esfera individual de la Persona Usuaria (limitándolo a un período de tiempo concreto; a tipos determinados de archivos (imágenes, contratos, tablas de datos, listados); a un conjunto limitado de mensajes enviados a ciertos dominios, o relacionados con ciertos incidentes, etc.).

? Una monitorización no indiscriminada. De ordinario, los controles se realizarán desde los servidores de la empresa, no desde los dispositivos asignados a la Persona Usuaria.

? Que los parámetros de búsqueda intenten, en la medida de lo posible, l imitar la invasión de cualquier intimidad.

? La minimización o eliminación inmediata de los datos o la información personal no relacionada con las finalidades protegidas a la que se acceda.

? La ausencia de intromisión o afectación a la esfera íntima del trabajador".

A la vista de lo expuesto esta Sala no aprecia que el apartado dedicado a la monitorización, supervisión y registro de recursos TIC produzca vulneración alguna de los preceptos indicados por el sindicato demandante.

En primer lugar, debemos tener presente que el empresario, de conformidad con lo establecido en el apartado 2º del artículo 87 de la LOPDGDD solo puede proceder al control del uso de los dispositivos si éste se basa en alguna de las dos finalidades previstas -control del cumplimiento de las obligaciones laborales o garantizar la integridad de los dispositivos- y esos objetivos con una mayor concreción aparecen reflejados en el apartado 5º del Anexo como frontispicio de las reglas de utilización y control que se desgranan a continuación, de suerte que éstas responden a finalidades admitidas por el precepto legal.

En segundo lugar, ante la invocada amplitud del control debe tenerse presente que si bien en el apartado 5º del Anexo se establece que el control puede ejercitarse tanto respecto al flujo de actividad como al contenido, ello no supone la contravención de norma alguna, desde el momento en que el artículo 87.2 de la LOPDGDD permite el acceso al contenido, si bien, como ya hemos señalado, deberá perseguirse con ello una de las finalidades habilitantes del control y haberse cumplido los presupuestos establecidos en el artículo 87.3 de la LOPGDD. Además, debe tenerse en cuenta que el propio Anexo establece que el control mediante el filtrado de metadatos se concibe como prioritario frente al control del contenido, al que se recurrirá "cuando exista una causa justificada, fundada o una alerta"o "cuando se realice en el marco de un control aleatorio, limitado y proporcional, bajo supervisión interna, con registro o auditoría del acceso".Es decir, pudiendo establecerse la monitorización mediante el control de contenido, por así permitirlo el artículo 87.2 LOPDGDD, se configura como subsidiario del control de metadatos que es menos invasivo que el control de contenidos.

En tercer lugar, en relación al establecimiento de un control aleatorio, regular, preventivo y generalizado, no puede obviarse que en su configuración también se da expresamente una justificación objetiva del mismo, derivada del "tamaño de la organización y al nivel de sensibilidad de la información gestionada por el grupo empresarial"que requiere este tipo de control para "verificar el uso adecuado del canal corporativo y prevenir posibles riesgos legales o reputacionales. Esta medida es necesaria y justificada como parte del Programa de Compliance de la organización y con el fin de proteger la seguridad de la información".No solo no puede desconocerse la realidad de dicha justificación que permite a la empresa recurrir a este tipo de control; sino que, además, debe tenerse presente que en el Anexo se prevé expresamente que este tipo de controles "no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia",y que si se tuviera que acceder al contenido se haría cuando resultase "estrictamente necesario para los fines indicados, y siempre con respeto a los principios de proporcionalidad, necesidad y minimización de datos".

En cuarto lugar, resulta determinante para apreciar la corrección de los criterios de monitorización y supervisión del apartado 5º de Anexo que atendiendo a lo establecido en el artículo 87.3 de la LOPDGDD que si bien otorga al empresario un amplio margen de actuación al fijar los criterios de utilización de los dispositivos digitales establece que deberá respetar "los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente",expresión genérica que plantea dudas sobre su alcance, pero que en cualquier caso, supone respetar los derechos fundamentales y la interpretación constitucional relativa a la interacción de los derechos fundamentales y la facultad de control empresarial, plasmada en el conocido test de proporcionalidad; se sujeta toda la actividad de monitorización y supervisión al "triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas",señalándose que "los controles se realizarán superando holgadamente el filtro"que constituye al antecitado juicio. Lo que se viene a establecer, en definitiva, es que cualquier medida de control se sujetará previamente al test de proporcionalidad, lo que se acomoda con lo previsto en el artículo 87.3 de la LOPDGDD, así como la interpretación constitucional precedente relativa a la valoración del equilibrio entre la vigencia de los derechos fundamentales y el control empresarial.

Lo anterior, no obsta, para que si la puesta en práctica de una medida de control no se ha sujetado previamente al test de proporcionalidad se pudiera incurrir en la lesión de un derecho fundamental y la contravención del artículo 87.3 de la LOPGDDD, pero desde el plano del análisis de la configuración de la monitorización y supervisión, debe reiterarse que ésta cumple con las previsiones legales y el respeto a los derechos fundamentales.

En quinto lugar, se alega la existencia de contradicción entre la afirmación previa "no expectativa de privacidad" y las declaraciones de "la protección de la dignidad y la privacidad de las Personas Usuarias es innegociable y primordial" y que el control se realizará conforme a "los principios de proporcionalidad, idoneidad y justificación de la medida, respetándose, cuando sea prevalente, la intimidad de las Personas Usuarias". Debemos reiterar lo razonado en el punto 1º de este Fundamento Jurídico, de suerte que la expresión "no expectativa de privacidad" se refiere al presupuesto habilitante del control, no a la negación de los derechos fundamentales por lo que resultan compatibles las expresiones contenidas en el apartado 4º del Anexo.

4. El último motivo de impugnación se centra en la criterios de Bring Your Own Device (BYOD)al sostener el sindicato demandante que también se establece que el empleado/a tampoco tendrá expectativa de privacidad en el manejo de dichas aplicaciones y se impugna "cualquier interpretación" que permita a la empresa extender el control más allá de las aplicaciones y datos estrictamente corporativos alojados en el dispositivos personal, limitándose aquel de forma taxativa a los contenidos y aplicaciones corporativas.

Tal y como se ha formulado este motivo de impugnación la Sala debe desestimarlo de plano por cuanto lo que realmente se impugna y así se dice literalmente son posibles interpretaciones futuras que pudiera realizar la empresa y no la propia configuración de los criterios contenidos en la política de BYOD recogida en el apartado 5º del Anexo, ni siquiera se impugnan hechos ya acaecidos en aplicación de la antecitada política.

5. La última pretensión de la demanda de CCOO se concreta en la solicitud de una indemnización para el sindicato demandante por la "vulneración del derecho fundamental a la intimidad, artículo 18 CE , de las personas trabajadoras destinatarias del Anexo".

Esta Sala no puede acoger tal pretensión, en primer lugar porque, como bien explicita el propio sindicato en el suplico de su demanda, la indemnización es para el sindicato, no por la existencia de lesión alguna de su derecho a la libertad sindical, sino por la vulneración del derecho fundamental a la intimidad de sujetos distintos a él, los trabajadores/as a los que se dirige el protocolo de uso de los dispositivos digitales; es decir, solicita para si una indemnización por la afectación de un derecho fundamental de otros sujetos, que podrán tener o no relación con él, en función de si están o no afiliados al mismo.

En segundo lugar, en este concreto proceso de conflicto colectivo estamos ante un conflicto de interpretación no de aplicación, de suerte que se ha llegado a la conclusión de que el Anexo se encuentra ajustado a lo establecido en el artículo 87 de la LOPDGDD, así como al artículo 18 de la CE y la interpretación constitucional existente en torno a la confrontación entre los derechos fundamentales y las facultades de control empresarial; no se ha verificado la existencia de una aplicación concreta del Anexo que haya producido una real y efectiva lesión de derechos fundamentales que requiera ser restituida via indemnizatoria. El conflicto, en resumen, se ha movido en el plano del ajuste interpretativo no en el plano de la verificación de concretas aplicaciones de la previsión declara contraria a Derecho.

SÉPTIMO.-1. La primera de las pretensiones formuladas en la demanda presentada por los sindicatos UGT, CSIF, CGT y USO consiste en solicitar la nulidad del Anexo por haberse vulnerado el derecho a la negociación colectiva de los sindicatos demandantes al implementarse aquel sin la participación de estos. Pretensión que siendo coincidente con una de las peticiones formuladas en la demanda presentada por el sindicato CCOO ha sido resuelta en el Fundamento Jurídico Tercero al que nos remitimos para concluir su desestimación.

2. Se solicita, como segunda petición, la declaración de nulidad de la totalidad del Anexo por vulnerar los derechos fundamentales a la intimidad, al secreto a las comunicaciones y a la protección de datos, petición que se haya huérfana de la más mínima argumentación que explicite porque la totalidad del Anexo lesiona los derechos mencionados, dado que solo se dice en el Hecho Primero de la demanda que "aún en un marco de control empresarial legítimo, el sistema de control implantado vulnera el derecho fundamental a la intimidad, al secreto de las comunicaciones y a la protección de datos personales de las personas trabajadoras, contraviniendo el canon constitucional de limitación de derechos fundamentales que exige que en estos supuestos se respeten los principios de proporcionalidad, necesidad e idoneidad",y en el Fundamento de Derecho IV de la demanda se hacen unas referencias generales, vagas e imprecisas que no afectarían a la totalidad del Anexo sino a aspectos concretos del mismo. Siendo los sindicatos demandantes sobre los que pesa la carga procesal de concretar qué contenido del Anexo resulta, por un lado, contrario a los derechos fundamentales y, especialmente, el porqué, entendido como un corolario argumental razonado de la vulneración alegada; y, por otro, explicitar cómo la afectación de dichos derechos supone la nulidad de la totalidad el Anexo; y, dado que lo único que se expone es una alegación y fundamentación jurídica genérica, debemos desestimar este segundo motivo de impugnación.

Ex abundantia, la única argumentación "concreta" que se articula para solicitar la nulidad de la totalidad del Anexo es que éste contraviene el canon constitucional de limitación de derechos fundamentales que requiere el respeto a los principios de proporcionalidad, necesidad e idoneidad. Siendo este el fundamento de pedir de los demandantes decae su estimación porque, como ya se ha señalado ut supra, la política de uso de los dispositivos digitales empresariales prevé expresamente como garantía que cualquier medida de control se sujetará, precisamente, al canon constitucional que aducen como vulnerado; de suerte que difícilmente puede declararse la nulidad del Anexo por contravenir el antecitado canon cuando éste está expresamente recogido como garantía.

3. Se formula a continuación la impugnación de una serie de previsiones concretas que son expuestas en los hechos probados sin que se ofrezca razonamiento especifico de porqué cada una de esas previsiones atentan a los derechos fundamentales, lo único que se hace por los demandantes es trascribir una serie de pasajes de los apartados 1º, 2º, 3º, 5º.2.1 y 6º, y subrayar una serie de frases dentro de esos párrafos, sin exponer a continuación argumento jurídico alguno relativo a porqué dichas previsiones subrayadas son lesivas de los derechos fundamentales. Esto debería llevar a esta Sala a desestimar de plano la petición de nulidad de dichas previsiones.

No obstante, como se contiene en la fundamentación jurídica de la demanda unas argumentaciones sucintas y genéricas predicables de todas estas previsiones particulares del Anexo, en aras de la búsqueda de ofrecer una solución fundamentada debemos realizar las siguientes consideraciones.

3.1. Se dice que se vulnera el derecho a la intimidad porque "la jurisprudencia constitucional ( STC 292/2000 , STC 170/2013 , STC 39/2016 ) que reconocen un ámbito irrenunciable de intimidad en el trabajo. Las demandadas han implantado un sistema de control del uso de dispositivos, para los que se reconoce el uso privado, que sin embargo vulnera los derechos fundamentales de las personas trabajadoras, en tanto que el control empresarial no se limita a datos corporativos, sino que se extiende al ámbito personal de aquéllas".

Ante la vaguedad con la que se expone la supuesta afectación por parte del Anexo impugnado al ámbito personal de los destinatarios/as del aquél, cabe realizar las siguientes apreciaciones, a saber:

a) Si se refiere a la previsión contenida en el apartado 1º del Anexo en relación al uso personal al establecerse que éste "estará sujeto a monitorización, acceso, supervisión, interceptación y controles, en los términos que se detallan en el presente Anexo",debe señalarse, en primer lugar, que el reconocimiento de un uso personal no impide, ni anula la facultad empresarial de control del dispositivo respecto a ese uso personal; sin perjuicio de que requerirá cumplir con la exigencias del artículo 87.3 de la LOPDGDD; en segundo lugar, porque como se desprende de la propia lectura de la expresión transcrita, dicho control del uso personal se somete a los términos previstos en el anexo, dentro de los cuales está prevista la garantía del respeto y cumplimiento del canon de constitucionalidad que supone la aplicación previa del test de proporcionalidad.

b) Si se refiere a la impugnación de la referencia general contenida en el apartado 2º en virtud de la cual "están sometidos a las facultades de control, organización, disciplina, disposición y corrección de la compañía, que podrá ejercer en cualquier momento, mediante la supervisión, monitorización, acceso, revisión, eliminación, bloqueo o retirada de los mismos, ya sea de forma cautelar, preventiva, temporal o definitiva. En consecuencia, las Personas Usuarias no pueden tener expectativa alguna de privacidad y/o de confidencialidad en su uso",debemos indicar que esta previsión se realiza porque previamente se establece -en el mismo párrafo- que "los Recursos TIC, la información contenida en los mismos, así como la propiedad intelectual e industrial de los trabajos resultantes de su uso en el marco de la relación laboral, son titularidad de Nestlé; en base a su condición de empleador y dado su carácter de instrumentos de trabajo";estamos por tanto ante una previsión la primera que es consecuencia lógica de esta última, dado que si se configura que los dispositivos digitales empresariales son instrumentos de trabajo, destinados como se dice en primer párrafo del apartado 2º del Anexo al desarrollo de las funciones profesionales, resulta coherente explicitar que va a ser objeto de control su uso, sin que dicha previsión suponga per se una lesión del derecho de intimidad.

Si la afectación de la intimidad se achaca a la negación de expectativa de privacidad/confidencialidad, debemos reiterar que dicha expresión se configura como presupuesto para habilitar el control, no como negación de la pervivencia del derecho de intimidad, dado que someter cualquier medida de control al test de proporcionalidad supone el mantenimiento de la eficacia de derecho fundamental en el uso de los dispositivos digitales porque solo es aplicable dicho test si se parte de la premisa de la existencia del derecho fundamental.

c) Si se refiere al criterio contenido en el apartado 3º del Anexo que prevé que "las Personas Usuarias deben abstenerse de incluir en sus correos electrónicos corporativos información que revele aspectos relacionados con su intimidad o su vida privada",estamos ante una especificación sobre lo que no debe hacer el empleado/a que encaja perfectamente en el artículo 87.3 de la LOPDGDD cuando señala, con carácter general, que será el empresario que el establezca los criterios de utilización, y, con carácter singular para el uso privado, que especifique de forma precisa los usos autorizados. Lo que hace esta previsión es precisar que no pueden alojarse en los dispositivos digitales empresariales información intima o privada, no apreciándose razón alguna de en qué modo dicha previsión afecta al derecho de intimidad.

d) Si se refiere a la impugnación del apartado 3º que establece que "las Personas Usuarias deben ser conscientes de que Nestlé podrá realizar controles aleatorios sobre dicha actividad, lo que incluye el posible acceso al contenido de correos salientes, con el objeto de verificar el uso adecuado de los sistemas de información y prevenir posibles riesgos legales o reputacionales",debemos reiterar lo dicho en el punto 2º del Fundamento Jurídico Sexto, para concluir que no se observa una afectación del derecho de intimidad de los destinatarios del Anexo.

e) Si se refiere a la previsión de la política de BYOD (Bring Your Own Device),contenida en el apartado 6º del Anexo, que establece que "la compañía podrá, si lo considera necesario, bloquear remotamente el acceso a las aplicaciones o utilidades corporativas que se hallasen almacenada en el dispositivo o eliminarlas, junto con los archivos adjuntos",debe destacarse que el recurso al BYOD, es decir, a la utilización de los medios personales de los trabajadores para el desarrollo de la prestación laboral se concibe como algo excepcional y siempre previa solicitud del empleado; solicitud que por si sola no le permite a éste último usar sus dispositivos personales ya que se requiere una ulterior autorización expresa de la empresa. Si la autorización se concede, el uso de los dispositivos personales para el trabajo requiere de la previa instalación de determinadas aplicaciones o utilidades empresariales y parece lógico que la empresa aclare, como así hace, que dichas aplicaciones permitirán controlar el adecuado uso que se realice de dichas aplicaciones corporativas.

Partiendo del hecho de que el uso de dispositivos personales para el trabajo requiere la previa instalación de aplicaciones corporativas, el apartado 5º no establece de forma general que el trabajador/a no tendrá una expectativa de privacidad en el uso de su dispositivo personal, como parece sostener el sindicato demandante, sino que expresamente se dice que no podrá esperar que exista una expectativa de privacidad "en el manejo de dichas aplicaciones"propiedad de la empresa e insertadas para posibilitar la prestación laboral; negación de la existencia de privacidad que se establece para posibilitar el control que se ha contemplado previamente y que se limita al uso de esas aplicaciones y no a todos los usos que pudiera hacer el trabajador con su dispositivo personal, tal y como se infiere de la expresión de "aplicaciones específicamente autorizadas por Nestlé, que permitirán controlar el adecuado uso de los contenidos relacionados con la compañía".

En relación con la posibilidad contemplada en la política BYOD de acceso remoto por parte de la empresa a los dispositivos personales se observa que se contempla en un supuesto concreto - producción de incidentes de seguridad, tales como la sustracción, extravío o pérdida de control sobre un dispositivo privado- y con una finalidad que debemos reputar legítima -salvaguardar la seguridad de las aplicaciones corporativas instaladas y la información en ellas contenidas, así como la información descargada en el dispositivo-; configurándose una medida de control que se circunscribe únicamente a las aplicaciones de la empresa e información empresarial alojada en el dispositivo, y que consiste en "bloquear remotamente el acceso a las aplicaciones o utilidades corporativas que se hallasen almacenada en el dispositivo o eliminarlas, junto con los archivos adjuntos que excepcionalmente se hubiesen descargado".De lo anterior se colige que el control se limita a bloquear o eliminar las aplicaciones y utilidades corporativas y a su contenido, no afecta al dispositivo personal por cuanto no se establece un acceso a cualquier otra aplicación o contenido alojado en él; además dicha facultad de bloqueo o eliminación no se configura de forma general, ni permanente, ni aleatoria, sino solo cuando se aprecie unas circunstancias concretas que supongan un incidente de seguridad.

3.2. Se argumenta respecto al secreto a las comunicaciones que "la previsión de la monitorización generalizada y el acceso al contenido de las comunicaciones vulnera el derecho fundamental a mantenerlas fuera de la vista de terceros y excede los límites establecidos en el art. 87.3 LOPDGDD, que exige que el acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados, requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, además de la exigencia de proporcionalidad, idoneidad y necesidad; todo ello en relación con la jurisprudencia española ( STS 119/2022 , STS 225/2024 ) y la europea (TEDH asunto Barbulescu vs. Rumanía) que prohíben controles masivos e indiscriminados".

En relación a la posible lesión del derecho al secreto a las comunicaciones, debemos efectuar las siguientes consideraciones:

a) Si la lesión del derecho al secreto de las comunicaciones se identifica con la posibilidad prevista en el apartado 5º.2.1 de hacer un control "aleatorio, regular, preventivo y generalizado",debe tenerse presente que en dicho apartado también se deja meridianamente claro que "los controles aleatorios no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia";lo que nos lleva a no apreciar afectación del derecho al secreto de las comunicaciones. Debemos tener presente que la facultad de control empresarial por definición tiene que ser regular en el sentido de que el empresario puede desarrollarla en cualquier momento, puede tener carácter preventivo para vigilar tanto el cumplimiento de las obligaciones laborales como evitar posibles incumplimientos, puede ser generalizado y aleatorio en el sentido que puede dirigirse respecto de cualquier faceta del ciclo productivo y respecto de cualquier persona trabajadora; y todo ello no es incompatible con un control concreto sobe un trabajador/a, que es lo que se analiza en las sentencias del TEDH, del Tribunal Constitucional y del Tribunal Supremo, que no puede ser, como señalan los demandantes, masivos e indiscriminados, y el protocolo deja bien claro que los controles no lo serán; es más el protocolo dice que tampoco serán "exhaustivos [...] permanentes, [...] continuos, ni intrusivos",añadiendo una garantía adicional al contemplar que se ajustarán a "criterios técnicos de proporcionalidad y pertinencia",y no olvidemos que también se sujetaran, puesto que no hay reserva de exclusión, al canon constitucional de proporcionalidad en el apartado 5º del Anexo.

b) Si se refiere del apartado 5º.3 (iii) que al enumerar de forma no exhaustiva posibles actuaciones de control, estableciendo, entre otras el "acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.)",debe advertirse que este acceso está sacado de contexto y que es necesario tener en cuenta la totalidad del apartado en cuestión que configura como posible actuación la obtención de "información detallada sobre el tráfico de datos desde o hacia los Recursos TIC de Nestlé (ej. mensajes enviados y recibidos, tamaño ('size') y extensiones de los archivos y de los contenidos incluidos, direcciones destinatarias, frecuencia de los envíos, volumen y naturaleza de los datos consumidos; acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.).De la lectura del antecitado apartado se desprende que la actuación no consiste en el acceso a cuentas de correo externas, incluso las personales o privadas, sino la obtención de información relativa al "tráfico de datos desde o hacia los recursos TICs"de la empresa entre otros aspectos de posibles accesos a cuentas externas personales o privadas, pero no se contempla el acceso a dichas cuentas como aducen los demandantes al extractar la posible actuación configurada en el apartado de referencia. En principio, en una configuración general de posibles criterios de uso de los dispositivos digitales empresariales, parece razonable que el control consista en recabar información de datos de tráfico, sin que ello suponga, en principio una afectación del derecho al secreto de las comunicaciones; sin perjuicio de su valoración en los supuestos concretos de aplicación del protocolo.

c) Si se refiere a la previsión del apartado 5º.3 (iv) de "acceso remoto, incluso forzado, a los Recursos TIC de Nestlé. Acceso a controladores, software, hardware o dispositivos integrados o no, cuando corresponda, borrado o formateado total o parcial a distancia de cualquier contenido, función o utilidad del dispositivo en caso de que tras detectarse o sospecharse que pudiera ser ilícito, inadecuado o comprometedor, así se decida en el oportuno procedimiento o en caso de incidentes de seguridad, brechas, pérdida o robo",tampoco cabe apreciar lesión del derecho del secreto a las comunicaciones.

En primer lugar, por cuanto que esta posible actuación supone acceder en remoto a elementos del dispositivo no a elementos personales de los trabajadores, que debe recordarse no deben estar alojados en el dispositivo porque el propio Anexo así lo ha establecido.

En segundo lugar porque permite borrar funciones o utilidades del dispositivo, lo que en nada afecta al secreto de las comunicaciones, pues son elementos no personales integrados en el dispositivo, no alcanzándose cómo y porqué quedaría afectado el derecho fundamental. Es cierto que también se permite el borrado de contenido, y que pudiera haberse alojado en el dispositivo contenido personal, pero no debe olvidarse que el Anexo expresamente prohíbe alojar información de carácter intima o privada, de suerte que la previsión parte de la premisa de que el borrado lo es de contenido estrictamente profesional.

En tercer lugar, este acceso remoto se configura como una actuación excepcional y causal, por cuanto solo se producirá si se detecta o sospecha de ilicitud, inadecuación o situación comprometedora o si se produce incidentes o brechas de seguridad, perdidas o robo de los dispositivos. Se conforma un acceso para supuestos concretos que, en principio, no comprometen el secreto a las comunicaciones, debiendo estar a cada concreto acceso para determinar si se supera o no el canon de ajuste constitucional.

3.3. Finalmente en relación a la protección de datos se argumenta que resulta lesionado porque "el acceso a cuentas externas personales supone una intromisión ilegítima en la esfera privada".Dada la vaguedad de su formulación, teniendo presente que las previsiones del Anexo que hablan del acceso a cuentas externas ya han sido objeto de análisis, debemos estar a lo dicho en el punto 2º del Fundamento Jurídico Sexto y punto 3.2 b) del Fundamento Jurídico Séptimo.

4. Como última petición se solicita una indemnización para cada uno de los sindicatos demandantes por haberse vulnerado su derecho a la libertad sindical, en su vertiente funcional ex artículo 28.1 de la CE, al haberse infringido lo previsto en el artículo 64 del ET. Solicitud que no puede ser atendida por cuanto, a tenor de lo previsto en el Fundamento Jurídico Tercero, no se ha acreditado lesión alguna del derecho de participación de los representantes de los trabajadores

OCTAVO.-En varios hechos y fundamentos de ambas demandas se viene, sin la más mínima concreción, a sostener que el Anexo es contrario a la doctrina contenida en la STEDH de 5 de septiembre de 2017 (Caso Barbulescu). Si bien dicha doctrina se elabora y se aplica para comprobar el ajuste de controles empresariales acaecidos -no hipotéticos- al artículo 8 del Convenio Europeo, de suerte que dichos parámetros se entienden respecto a situaciones fácticas ya actualizadas, no todos ellos son verificables cuando de lo que se trata es de enjuiciar el ajuste al artículo 8 del Convenio Europeo de un protocolo que establece unos criterios de uso de los dispositivos digitales. Dicho de otra manera, la doctrina del TEDH nace del enjuiciamiento de prácticas de control empresarial realizadas no del establecimiento de criterios de uso de los dispositivos digitales, lo que hace que alguno de los parámetros enumerados en la doctrina del TEDH no puedan ser objeto de valoración tal y como son se encuentran formulados por éste.

No obstante, en aras al cumplimiento de la propia doctrina del TEDH que mandata a los órganos jurisdiccionales internos valorar expresamente si se ha producido una lesión en la vida privada de los trabajadores contraria al artículo 8 del Convenio Europeo, esta Sala efectúa las siguientes consideraciones.

En primer lugar, en la presente controversia se ha acreditado que los trabajadores/as han sido informados de forma clara y previa de la posibilidad de efectuar controles y de su aplicación el 10 de septiembre de 2025, estando prevista su entrada en vigor el 15 de septiembre.

En segundo lugar, el Anexo informa de forma detallada sobre el alcance de la supervisión que va a llevar a cabo la empresa, así como los grados de intrusión en la vida privada del empleado, distinguiendo, por un lado, entre el control del flujo de comunicaciones y el de su contenido, configurando el control de flujo como modalidad primaria y el control del contenido como modalidad excepcional; además, como ya se ha observado, incluso el control aleatorio y regular se configura como un control no exhaustivo, ni masivo, ni permanente, ni continuo, ni intrusivo. Debe observarse que la doctrina del TEDH no prohíbe el acceso al contenido de las comunicaciones, lo que señala es que no es ajustado a derecho acceder a dicho contenido si no se ha informado previamente de tal posibilidad a la persona trabajadora (apartado 120 STEDH de 5 de septiembre de 2017).

En tercer lugar, si bien el parámetro utilizado en la doctrina del TEDH consiste en valorar quien ha tenido acceso a los resultados del control lo que lo hace difícilmente verificable en la presente controversia en la que no se analiza un concreto supuesto de control, debe advertirse que el Anexo específica en su apartado 5.5 qué personas pueden tener acceso a los resultados del control. En efecto se establece, por un lado, que "para proteger los derechos de las Personas Usuarias, con carácter general, tendrán conocimiento de los resultados de dichos controles, la Dirección de Legal y Compliance, la Dirección de RR.HH. y la Compliance Manager del grupo Nestlé en España, además de las personas del equipo de Forensics que participen en la realización de los mismos",y, por otro lado, que "en casos específicos y debidamente justificados, si así lo deciden conjuntamente la Dirección de Legal y Compliance, la Dirección de RR.HH. y la Compliance Manager, podrán tener acceso al resultado de tales controles, los miembros del Comité Ibérico de Compliance, y/o determinados miembros de la dirección, garantizando siempre el cumplimiento de las normativas vigentes en materia de privacidad y protección de datos".

En cuarto lugar se explicitan de forma clara los intereses legítimos a los que trata dar satisfacción la supervisión (verificar y controlar el cumplimiento de las obligaciones laborales de las Personas Usuarias y garantizar la integridad de los Recursos TIC; permitir el ejercicio de las facultades de dirección, organizativas y disciplinarias del empleador; proteger los activos sensibles de Nestlé, incluyendo los secretos empresariales, la información comercial, la información corporativa y la propiedad industrial e intelectual; prevenir fugas de información reservada o confidencial; prevenir o evitar usos indebidos, filtraciones de datos o posibles vulneraciones de los derechos de terceros; el cumplimiento normativo, la prevención y sanción de conductas inadecuadas, ilícitas, susceptibles de constituir delitos o infracciones civiles, penales o del orden laboral, contrarias a la ley, a los Principios Corporativos Empresariales, al Código de Conducta Empresarial y demás normativa interna de Nestlé; la salvaguarda de su imagen pública, intereses corporativos y reputacionales) y se define el posible alcance del control, configurando el acceso al contenido como posibilidad excepcional.

En quinto lugar, se establece una garantía general consistente en que cualquier medida de control deberá pasar previamente el filtro "del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas";además de una serie de garantías que se observarán, tal y como indica, el Anexo "en todo momento",como son a) la proporcionalidad del acceso, ponderando si el beneficio que obtiene la compañía al verificar el uso correcto de sus Recursos TIC (ya sea proteger su información o garantizar el cumplimiento de los deberes contractuales) resulta superior al sacrificio o afectación de la esfera individual de la Persona Usuaria (limitándolo a un período de tiempo concreto; a tipos determinados de archivos (imágenes, contratos, tablas de datos, listados), a un conjunto limitado de mensajes enviados a ciertos dominios, o relacionados con ciertos incidentes, etc.); b) una monitorización no indiscriminada (de ordinario, los controles se realizarán desde los servidores de la empresa, no desde los dispositivos asignados a la Persona Usuaria; c) que los parámetros de búsqueda intenten, en la medida de lo posible, limitar la invasión de cualquier intimidad; d) la minimización o eliminación inmediata de los datos o la información personal no relacionada con las finalidades protegidas a la que se acceda; y e) la ausencia de intromisión o afectación a la esfera íntima del trabajador.

Debe tenerse en cuenta, además, por un lado, que la adopción de una medida de control no corresponderá únicamente al Departamento de Recursos Humanos, dado que se establece que "en todo caso, cualquier control, supervisión, acceso y registro de los Recursos TIC de una Persona Usuaria en concreto para su revisión por parte de Nestlé deberá ser solicitado a y aprobado conjuntamente por: (i) la Dirección de Legal y Compliance; y (ii) la Dirección de RRHH";por otro lado, que se contempla que la posible imposición de una sanción se sujeta a un procedimiento contradictorio.

En sexto lugar, se contemplan expresamente las consecuencias que para el trabajador/a se pueden derivar del resultado del control, al establecerse que "podrán ser corregidas, disciplinadas o sancionadas en los términos ya previstos en los procedimientos y normativa establecida en la regulación interna de Nestlé y en la legislación vigente",también "con el fin de asegurar evidencias físicas o digitales que de otra manera pudieran ser destruidas"se "podrá impedir el acceso o apartar a las Personas Usuarias de los Recursos TIC que tenga asignados en cualquier momento y sin previo aviso; debiendo aquella abstenerse de utilizarlos y ponerlos inmediatamente a disposición de Nestlé",o "adoptar cualquier otra medida sumaria, anticipada o cautelar prevista en la legislación aplicable".

En séptimo lugar, se enumera en la doctrina del TEDH como parámetros a valorar si "habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado"y "de qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida".Es evidente que estos parámetros sólo pueden comprobarse respecto de un control empresarial ya realizado; pero como quiera que dichos parámetros no son sino los juicios de idoneidad y necesidad integrados en nuestro canon constitucional de proporcionalidad, debe considerarse que el Anexo se sujeta a ambos parámetros al sujetar cualquier control al referido canon.

Esta Sala, a la vista de lo expuesto, considera que el contenido del Anexo se ajusta a los parámetros elaborados por la doctrina del TEDH; sin perjuicio de que de la posible aplicación práctica que se haga del Anexo se pudiera afectar injustificadamente alguno de los derechos fundamentales con ocasión de la implementación de un concreto control.

NOVENO.-Contra esta sentencia, sin perjuicio de su ejecutividad, cabe recurso ordinario de casación conforme el art. 206.1 LRJS.

En virtud de lo expuesto y vistos los preceptos legales citados y demás de general aplicación

PRIMERO.-La Sala de lo Social de la Audiencia Nacional es competente para conocer del presente proceso de conformidad con lo dispuesto en los artículos 9.5 y 67 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, en relación con lo previsto en los artículos 2 g) y 8.1 de la Ley 36/2011, de 10 de octubre, Reguladora de la Jurisdicción Social.

SEGUNDO.-De conformidad con lo dispuesto en el artículo 97.2 de la Ley 36/2011, de 10 de octubre, Reguladora de la Jurisdicción Social, los hechos declarados probados se sustentan bien en hechos no controvertidos o pacíficos, bien en cada una de las fuentes de prueba incorporadas a través de los medios de prueba previstos legalmente, tal y como se expresa a continuación:

El Hecho Primero y el Tercero son hechos conformes al ser reconocidos por ambas partes.

El Hecho Segundo de la conformidad de las partes y de la prueba documental obrante en los descriptores 66 y 67.

El Hecho Cuarto de la fuente de prueba documental obrante en los descriptores 70 y 74.

El Hecho Quinto de la fuente de prueba documental obrante en el descriptor 69.

El Hecho Sexto de la fuente de prueba documental obrante en los descriptores 72 y 73.

El Hecho Séptimo de la fuente de prueba documental obrante en el descriptor 81.

El Hecho Octavo de la fuente de prueba documental obrante en el descriptor 82.

El Hecho Noveno de la fuente de prueba documental obrante en los descriptores 83 y 84.

El Hecho Décimo de la fuente de prueba documental obrante en el descriptor 84.

El Hecho Decimoprimero de la fuente de prueba documental obrante en el descriptor 87.

El Hecho Decimosegundo de la fuente de prueba documental obrante en el descriptor 90.

El Hecho Decimotercero de la fuente de prueba documental obrante en los descriptores 91 y 93.

El Hecho Decimocuarto de la fuente de prueba documental obrante en el descriptor 94.

El Hecho Decimoquinto y Decimosexto de la fuente de prueba pericial practicada en la persona de Doña María Inmaculada.

El Hecho Decimoséptimo de la fuente de prueba documental obrante en el descriptor 7.

TERCERO.-1. Las demandas contienen varias pretensiones cada una de ellas en parte coincidentes y en parte disimiles. Por meras razones de lógica procesal debemos abordar en primer lugar la pretensión común consistente en solicitar la nulidad del Anexo al considerar que este se ha establecido unilateralmente por la empresa sin la participación de la representación de los trabajadores, porque su estimación haría innecesaria entrar a analizar los otros motivos de impugnación.

La demanda presentada por CCOO solicita la nulidad del anexo al entender que la conducta de la empresa supone una vulneración de los apartados 5 y 6 del artículo 64 del ET que reconocen el derecho de la representación de los trabajadores a ser informados y consultados en el establecimiento de sistemas de control de trabajo; complementados con lo previsto en el artículo 87.3 de la LOPDGDD que atribuye a la representación de los trabajadores el derecho a participar en la elaboración de criterios de utilización de los dispositivos digitales. Considera que los preceptos antecitados se han incumplido porque la empresa solo ha conferido un plazo de quince días para realizar comentarios y no se ha realizado un proceso de consulta y negociación real y efectivo previo a la implantación de cualquier política sobre utilización de los dispositivos digitales de la empresa.

La demanda conjunta de UGT, CSIF, CGT Y USO sostienen la nulidad del Anexo al considerar que se han vulnerado su derecho a la negociación colectiva ex artículo 28 de la CE, en relación al artículo 64 del ET y el artículo 87.3 de la LOPDGDD; afirmando que resulta de aplicación al presente procedimiento la STS de 6 de febrero de 2024 (Rec. 263/2022) que declaró nula la política empresarial aprobada sin la participación de la representación de los trabajadores al considerar que el apartado 3º del artículo 87 LOPDGDD resulta de imperativa observancia en los supuestos en los que el trabajo se realice mediante dispositivos digitales. Entienden que la conducta de la empresa no cumple con las exigencias de los preceptos antecitados al limitarse a comunicar, en mayo de 2025, a la representación de los trabajadores el referido anexo, cuyo texto definitivo quedó fijado en julio, limitándose su intervención a un trámite de alegaciones, tras el cual el texto quedó prácticamente inalterado en su versión final respecto a la versión inicial

Sobre el incumplimiento de la obligación empresarial de contar con la participación de la representación de los trabajadores/as, las empresas demandadas manifiestan que el artículo 87 de LOPDGDD no concreta la fórmula participativa y no se puede imponer a la empresa una concreta formula, como es la negociación; tampoco se impone la necesidad de un acuerdo, ni el supuesto está contemplado tampoco en el artículo 64 del ET, ni se deduce de la norma comunitaria la concreta fórmula de participación. Se ha cumplido aquí de manera evidente con la participación porque, primero, en mayo de 2025 se elabora una primera versión y se notifica dando un plazo de 15 días para que se realicen alegaciones a todos los comités de empresa de la compañía. Se suspende la entrada en vigor de la política de seguridad, prevista para el 1 de julio, para interpretar entender y analizar las alegaciones, entrando en vigor el 15 de septiembre. Se realiza un segundo borrador, con incorporación de algunas aportaciones, se remite a la representación de los trabajadores y se da nuevo plazo de alegaciones.

2. Al aducirse la vulneración de la negociación colectiva ex artículo 28, en relación con el artículo 64 del ET y el artículo 87 de la LOPDGDD en la fijación de los criterios de utilización por parte de los trabajadores/as de los dispositivos digitales puestos a su disposición por la empresa, debe tenerse en cuenta que siendo este el objeto de controversia el precepto controvertido es el artículo 87 de la LOPDGDD y no el artículo 64 del ET, por constituir aquel una regla especial para un supuesto concreto como es el "derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral", a cuyo socaire se prevé una regla particular en materia de facultades de la representación de los trabajadores, frente a la regla general configurada en el artículo 64.5 del ET relativa a los derechos de información, consulta o emisión de informe en materia, entre otras, de implantación y revisión de sistemas de control del trabajo; sin perjuicio de que el artículo 64.5 del ET pueda servir para concordar el alcance del artículo 87 de la LOPGDD, como más adelante diremos. Se podría aducir que el articulo 64.5 f) del ET como norma general no sería de aplicación porque se refiere a sistemas de control y el artículo 87 de la LOPDGDD se refiere a criterios de utilización de dispositivos digitales, constituyendo dos realidades diferenciadas; sin embargo esa diferenciación es más aparente que real dado que estos protocolos de utilización de dispositivos digitales contienen reglas sobre el control de los dispositivos so pena de no ajustarse a la previsión legal así como a la interpretación jurisprudencial y del TEDH, lo que les convierte en protocolos que implementan sistemas de control, como es el caso del Anexo objeto de la presente controversia.

Que el artículo 87 de la LOPD constituye una regla especial en materia de usos de los dispositivos digitales ya lo ha evidenciado la STS de 6 de febrero de 2024 (Rec. 263/2022) al señalar que "el artículo 87.3 LOPD resulta una especificación, para un ámbito determinado, del genérico poder de dirección del artículo 20.3 ET ",y si bien la afirmación se hace en el plano de las previsiones contenidas en los artículos 20.3 del ET y 87.3 de la LOPDGDD en relación al control empresarial; mutatis mutandi es trasladable al plano de la participación de los representantes de los trabajadores en relación a la implementación o revisión de sistemas de control prevista en los artículos 64.5 f) del ET y 87.3 de la LOPDGDD.

Por tanto, el fundamento sobre el que ha de girar la resolución de la controversia se encuentra en el artículo 87 de la LOPDD. En efecto, el primer párrafo de su apartado 3º establece que "los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente"y, a continuación, en lo que resulta relevante determina que "en su elaboración deberán participar los representantes de los trabajadores".

La concreción del papel de los representantes de los trabajadores en la fijación de los criterios de utilización se ha efectuado por el legislador acudiendo a una formula amplia dado que el sentido literal del término "participar" puede englobar varias posibilidades, como la mera información -de acuerdo a la RAE participar puede significar dar noticia o comunicar-, audiencia previa, consulta, emisión de informe o negociación -estas cuatro encajarían en el significado de participar como tomar parte de algo-; por lo tanto, el artículo 87.3 de LOPDGDD no impone, desde una interpretación literal, una determinada posibilidad de actuación de los representantes de los trabajadores al ser una formula abierta. A diferencia de lo que ocurre, por ejemplo, en la misma norma al abordar la política empresarial de desconexión digital en el artículo 88.3 LOPDGDD que exige la audiencia previa de los representantes de los trabajadores; fórmula muchos más concreta que la utilizada el abordar los criterios de utilización de los dispositivos digitales.

No obstante lo anterior, esta Sala debe realizar una serie de precisiones que vienen a completar la anterior conclusión.

En primer lugar, al haberse alegado la existencia de un derecho de los representantes a negociar y acordar los referidos criterios, hemos de señalar que dicha posibilidad es admisible de acuerdo a la formula abierta utilizada en el artículo 87.3 de la LOPDGDD, pero no se deduce que sea esta la única forma de participar, ni que pueda identificarse el término "participar" con "negociar", pues una interpretación teleológica desmiente dicha conclusión dado que en la versión existente en el proceso de tramitación parlamentaria, fruto de una enmienda del Grupo Socialista, sí se concretaba el papel de la representación de los trabajadores en un derecho, no solo a negociar, sino a acordar dichos criterios, dado que el artículo 86.3 del proyecto -actual art. 87.3- establecía que "la empresa acordará con la representación de los trabajadores un protocolo de utilización de los dispositivos digitales facilitados a los trabajadores".En consecuencia, no existiendo previsión legal, ni convencional, que obligue a la empresa a negociar los criterios, difícilmente puede haberse lesionado el derecho a la negociación colectiva de los sindicatos demandantes.

En segundo lugar, si bien la mera interpretación literal del término "participar" en línea de principio admite, como ya hemos indicado, una pléyade de posibilidades en torno al papel que se otorga a la representación de los trabajadores, entre las que se encuentra la mera información, de suerte que se cumpliría con la exigencia del artículo 87.3 de la LOPD con informar la empresa de los criterios que va adoptar en el uso de dispositivos digitales, una interpretación sistemática ad intra y ad extra del apartado controvertido, nos lleva a considerar que la mera información no es suficiente. En efecto, ad intra del artículo 87.3 de la LOPDGDD, se establece que "en su elaboración deberán participar los representantes de los trabajadores",de suerte que participar en su "elaboración"requiere, al menos un cierto papel activo que no se cumple con el mero traslado de información que supone un rol pasivo; mal se puede elaborar algo cuando no se tiene, al menos, la posibilidad de ser oído, lo que sólo se cumple en distintos grados, con la emisión de informe, audiencia previa, consulta o negociación. Ad extra, si nos fijamos ahora en el artículo 64.5 f) del ET que, como ya se ha indicado, contiene la regla general relativa al papel de los representantes de los trabajadores en relación con los sistemas de control, reconoce un derecho a la emisión de informe previo, lo que supone excluir la mera información. Además la coherencia interna de ordenamiento laboral conduce a esta interpretación pues no resulta lógico admitir ex artículo 87.3 de la LOPDGDD la información como forma de cumplir con la participación de los representantes, cuando el artículo 64.5 f) del ET lo excluye al reconocer el derecho a emitir un informe previo.

En tercer lugar, se alega por los sindicatos demandantes que se ha vulnerado su derecho de consulta ex artículo 64.5 f) del ET. Aunque ya hemos dicho que se trata de una regla general que contiene una concreta regla de participación que debe ceder ante la regla especial y abierta contenida en el artículo 87.3 de la LOPDGDD, debe advertirse que del artículo 64.5 del ET no se deriva un derecho de consulta en materia de implementación o revisión de sistemas de control, sino únicamente un derecho de emisión de informe previo. Es verdad que en los dos primeros párrafos del apartado 5º del artículo 64 del ET se reconoce un derecho de información y consulta en una serie de materias entre las que no se encuentran ni los sistemas de control ni los protocolos de uso de dispositivos digitales, y, a continuación, en el párrafo tercero se establece un derecho de emisión de informes enumerando un elenco de materias solo parcialmente coincidentes con las materias de los dos primeros párrafos, lo que evidencia que se distingue entre consulta y emisión de informes.

En este sentido debemos traer aquí la STS de 13 de septiembre de 2016 (Rec. 206/2015), que señala que el artículo 64.5 del ET "distingue entre el derecho de consulta y el emitir informe previo, de forma que aquélla reviste los caracteres que le atribuye el apartado «1» y que le aproximan a la negociación colectiva [«... intercambio de opiniones y la apertura de un diálogo... con espíritu de cooperación...» ] y su obligatoriedad se concreta -en el ámbito estatutario- a los supuestos que detalla el apartado «5» [«... situación y estructura del empleo... cambios relevantes en cuanto a la organización del trabajo y a los contratos... eventuales medidas preventivas...»], en tanto que el derecho a emitir informe parece concebirlo de forma independiente, pues lo refiere a los concretos supuestos que cita el mismo apartado «5», y aunque los supuestos en que se impone obligatoriamente son casi todos ellos propios de consulta [reestructuraciones y cese de plantillas; reducciones de jornada; traslado de instalaciones; procesos de fusión, absorción...], otros que también reseña [planes de formación profesional; implantación y revisión de sistemas de organización y control de trabajo, estudios de tiempos, establecimiento de sistemas de primas e incentivos], escapan a los supuestos generales de la obligada consulta [«situación y estructura del empleo»; «cambios relevantes» en la organización del trabajo; medidas preventivas]".

En consecuencia, debe concluirse que en el artículo 64.5 f) del ET se reconoce a los representantes de los trabajadores un derecho a emitir informe previo pero no a ser consultados; sin perjuicio de que el convenio aplicable pudiera establecer otra fórmula de participación de mayor intensidad, como la consulta o la negociación.

Recapitulando esta Sala considera que el derecho de los representantes de los trabajadores/as a participar en la elaboración de los criterios de utilización de los dispositivos digitales ex artículo 87.3 de la LOPDGDD no se satisface con la mera información de dichos criterios por parte del empresario, sino que requiere como mínimo la emisión por parte de aquellos de informe previo, siendo admisible otros roles como la previa audiencia, consulta, la negociación o el acuerdo, ante el carácter abierto la formula contenida en el precepto legal.

3. En el presente procedimiento ha resultado probado que la empresa, entre los días 28 y 30 de mayo de 2025 se dirige a la representación de los trabajadores/as y les traslada un documento denominado Anexo a la Política Global de Seguridad de Usuarios Final, comunicándoles que entrará en vigor el 1 de julio y dándoles un plazo de quince días para que realicen "comentarios", es decir, alegaciones para que sean valoradas por la empresa. La representación de los trabajadores presentó durante los primeros días de junio de 2025 alegaciones diversas. Recibidas los comentarios/alegaciones la empresa entre el 18 y 20 de junio de 2025 manifiesta a la representación de los trabajadores que iba a valorar la posibilidad de hacer modificaciones y aclaraciones al Anexo, comunicando la postergación sin fecha de su entrada en vigor y la remisión de un segundo borrador del Anexo. La empresa entre el 22 y 24 julio de 2025 remite a la representación de los trabajadores/as un segundo borrador, comunicando un segundo plazo de quince días para que remitiera los comentarios/alegaciones que estimase oportunas; presentándose alegaciones por los distintos órganos de representación entre el 30 de julio y el 7 de agosto de 2025. Las empresas entre el día 3 y 9 de septiembre se dirigen a las distintas representaciones de los trabajadores/as, comunicándoles que el Anexo entrará en vigor el 15 de septiembre de 2025, adjuntándoles le versión definitiva del mismo.

La anterior cronología de hechos revela que las empresas antes de la aplicación del Anexo procedieron a solicitar no uno sino dos informes previos a la representación de los trabajadores/as; lo que constituye una forma de participación subsumible en la exigencia del artículo 87.3 de la LOPDGDD. Debemos llamar la atención de que se hubiera cumplido con el mandato del antecitado precepto con el requerimiento de un único informe previo.

Además, la secuenciación temporal deja ver que dicha petición de informe no fue una mera formalidad porque al entregarse la versión inicial se comunicó como fecha de aplicación el 1 de julio, formuladas las primeras alegaciones y la vista de las mismas, por un lado, las empresas entre los días 18 y 20 de junio comunicaron que aplazaban sine die su aplicación, y, por otro lado, el segundo borrador no se remitió hasta trascurrido un mes, entre el 22 y 24 de julio, para su nueva valoración; presentadas las segundas alegaciones a principios de agosto, entre el 30 de julio y 7 de agosto, tardaría otro mes en remitir ya la versión definitiva, entre el 3 y 9 de septiembre, fijando la fecha de aplicación en el 15 de septiembre. En definitiva, por un lado la fecha de aplicación se pospone dos meses y medio; así como el tiempo que trascurre entre la presentación de alegaciones y el segundo borrador y entre este segundo borrador y la versión definitiva, en ambos casos de un mes, revela que la empresa procedió a estudiar y analizar las alegaciones presentadas.

No resultando, a juicio de esta Sala, obligadas las empresas a recoger -total o parcialmente- las posibles alegaciones formuladas por la representación social y modificar el Anexo por cuanto de la fórmula de participación desarrollada por la empresa -emisión de informe previo- no se deriva dicha posibilidad y, en consecuencia, no cabe apreciar que la conducta de la empresa sea contraria al artículo 87.3 de la LOPDGDD. En este sentido, la ya citada STS de 13 de septiembre de 2016 (Rec. 206/2015), ante un supuesto de hecho en el que la empresa tras la evacuación del informe no modifica su protocolo señala claramente que si "el derecho que correspondía en la materia [...] es de simple informe previo y no el de consulta; [...] no haber acogido sugerencia alguna del informe ni modificado en nada el texto remitido, no comporta el incumplimiento del trámite".

Finalmente debemos descartar, como sostienen los sindicatos demandantes, que la aplicación de la interpretación inserta en la STS de 6 de febrero de 2024 (Rec. 263/2022) avalaría la nulidad del Anexo ahora controvertido porque estamos ante controversias con un planteamiento fáctico distinto que lleva a una distinta solución. En efecto, en dicha sentencia se declaró nula la revisión de la política empresarial porque se acreditó que se efectúo sin la participación de la representación de los trabajadores; cosa que no sucede en el presente procedimiento donde las empresas sí han dado participación a los representantes de los trabajadores, de modo que la doctrina de dicha sentencia del Tribunal Supremo conduce a desestimar la nulidad pretendida por los demandantes.

CUARTO.-Proceden los sindicatos demandantes a impugnar una parte del contenido del Anexo implementado por las empresas demandadas que consta de nueve apartados. No obstante, como quiera que cada una de las demandas solicitan pretensiones no coincidentes, desarrollando una argumentación tampoco coincidente plenamente, debemos proceder a un examen individualizado de cada una de las demandas.

Todos los motivos de nulidad construidos por los demandantes tienen como eje de controversia la confrontación entre los derechos fundamentales de las personas trabajadoras y las facultades de control empresarial derivadas del uso de las nuevas -y no tan nuevas- tecnologías de la comunicación e información, tradicionalmente los sistema de captación de imágenes y sonidos, modernamente el uso de dispositivos digitales de variada índole para el desarrollo de la actividad empresarial, la robotización y la inteligencia artificial. De forma sucinta podemos reconducir los supuestos de control empresarial a dos hipótesis: a) una vinculada al control de la actividad laboral en si misma considerada, siendo la utilización de cámaras de vigilancia, con o sin sistemas de audio incorporado, el dispositivo utilizado por antonomasia; b) la segunda consistente en el control del uso que hacen las personas trabajadoras de los instrumentos y avances tecnológicos que el empresario pone a su disposición para el desarrollo de la actividad profesional. Diferenciación que tiene su importancia, por un lado, desde el plano normativo y desde la perspectiva de la intimidad, porque cada uno de los supuestos tiene una distinta configuración jurídica, el primero viene actualmente regulado en el artículo 89 de la LOPDGDD, el segundo en el artículo 87 de la LOPDGDD; en segundo lugar, porque la forma de afrontar su valoración jurídica, si bien tiene como premisa coincidente la utilización de test de proporcionalidad en la búsqueda de equilibro en la confrontación entre el respeto a los derechos fundamentales y la operatividad del control empresarial, la forma de encauzar el análisis valorativo difiere por cuanto que si se trata del control de la actividad laboral la aplicación del test de proporcionalidad requiere la previa existencia de indicios que afloren una conducta inadecuada, mientras que si se trata del control del uso de los dispositivos digitales el test de proporcionalidad entrará en juego si y solo si no existe expectativa de privacidad/confidencialidad.

En las demandas acumuladas la controversia gira en torno al posible control por parte de las empresas demandadas de los dispositivos que pone a disposición de sus trabajadores/as con ocasión de implementación de las pautas establecidas en un documento Anexo para la utilización de los mismos, no tiene como controversia posibles lesiones de derechos fundamentales actualizadas o verificadas, sino potenciales lesiones a la vista de las pautas elaboradas, lo que resulta importante porque el juicio de esta Sala debe realizarse respecto al ajuste de dichos criterios a lo establecido en el artículo 87 de la LOPDGDD y la interpretación sobre la materia efectuada por el Tribunal Supremo, el Tribunal Constitucional y el Tribunal Europeo de Derechos Humanos.

QUINTO.-1. Aunque estamos ante una controversia relativa al control del uso de dispositivos digitales empresariales, para una comprensión de nuestro razonamiento, debemos evidenciar primeramente que las posibles tensiones entre la facultad de vigilancia y control y el respeto a los derechos fundamentales tuvieron una primera respuesta en clave constitucional a través de dos conocidas sentencias - STC 98/2000, de 10 de abril y STC 186/2000, de 12 de julio- que sentaron las pautas para la aplicación en la siguiente década del control empresarial, no en relación al uso de las herramientas tecnológicas sino en lo atinente al control de la actividad misma de los trabajadores/as. Proclamando nuestro Tribunal Constitucional la eficacia de los derechos fundamentales en el ámbito empresarial, no pudiendo despojarse a los trabajadores de los mismos al socaire de la existencia de un contrato de trabajo, afirma que no estamos ante derechos absolutos sino que pueden ceder «ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho» ; y en opinión del Tribunal Constitucional uno de esos fines legítimos lo encontramos en las facultades de vigilancia como parte integrante del poder de dirección que se reconoce al empresario como imprescindible para la buena marcha de la organización productiva.

Ahora bien nos recuerda también el Tribunal Constitucional que en la confrontación entre el ejercicio de la facultad empresarial de vigilancia y control y el respeto a los derechos fundamentales de los trabajadores se aprecia la existencia de una necesidad de equilibrios y limitaciones recíprocos que se derivan para ambas partes del contrato de trabajo y que suponen, de un lado, la admisión de la validez de dicho poder de vigilancia, y, de otro lado, la admisión de la limitación de dichas facultades organizativas empresariales por parte de los derechos fundamentales del trabajador, quedando obligado el empleador a respetarlos.

La dicotomía conflictiva entre respeto a los derechos fundamentales de los trabajadores y control empresarial de su actividad laboral se enjuició en sede constitucional mediante el conocido «test de proporcionalidad» en el uso de la facultad de vigilancia y control; de suerte que no habrá afectación de derechos fundamentales, apreciándose la proporcionalidad, cuando existiendo una concreta y previa justificación de la adopción de la medida, ésta es susceptible de alcanzar el objetivo que se propone, el denominado «juicio de idoneidad», es estrictamente imprescindible, no existiendo ninguna otra medida más moderada que permita conseguir el objetivo propuesto con igual eficacia, el calificado «juicio de necesidad», y es equilibrada y ponderada, por obtenerse con ella más beneficios o ventajas para el interés general que perjuicios sobre otros posibles bienes o valores en conflicto, el denominado «juicio de proporcionalidad en sentido estricto».

2. Con el trascurrir de los años la imparable irrupción en los entornos empresariales de las nuevas tecnologías como instrumentos de trabajo -señaladamente el correo electrónico e internet- plantearon la validez del control sobre el uso de dichas herramientas por parte de los trabajadores a la que tuvo que hacer frente inicialmente las instancias judiciales, el Tribunal Constitucional y el Tribunal Europeo de Derechos Humanos. No se trataba del ajuste legal y constitucional de los sistemas de vigilancia de la «actividad laboral», sino de dilucidar si el control del uso de las herramientas tecnológicas de trabajo era respetuoso con los derechos fundamentales de las personas trabajadoras.

La primera y primordial respuesta se formuló en la STEDH de 3 de abril de 2007 (Caso Copland), en la que se aborda el control del teléfono, correo electrónico y uso de internet de una trabajadora de un College, con naturaleza de autoridad pública a los efectos de concretar que la lesión se producía respecto a la obligación negativa contenida en el apartado 2º del artículo 8 del Convenio que reza que "no podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás".

Tras reiterar la protección del uso de las nuevas tecnologías en el ámbito laboral por parte de los trabajadores ya establecida en sentencias anteriores, por todas las SSTEDH de 25 de junio de 1997 (Caso Halford) y 16 de septiembre de 2000 (Caso Amman), el Tribunal Europeo de Derechos Humanos, entiende que al no existir previsión legal que avale el control y al no advertirse a la trabajadora que la utilización de dichos medios de trabajo podrían ser objeto de control empresarial, ésta «podía razonablemente esperar que se reconociera el carácter privado de las llamadas efectuadas desde el teléfono del trabajo» e igualmente «podía esperar lo mismo en lo que respecta al correo electrónico y la navegación por Internet». Y ante esta expectativa de privacidad concluye que el control empresarial mediante «la recogida y almacenamiento de información personal relativa a las llamadas telefónicas, correo electrónico y navegación por Internet de la demandante, sin su conocimiento, constituye una injerencia en su derecho al respeto de su vida privada y su correspondencia, en el sentido del artículo 8 del Convenio». Se consagró la premisa de que sí hay una expectativa/esfera de intimidad no puede quebrarse si no se ha advertido previamente al trabajador que el uso de las nuevas tecnologías va a ser objeto de control empresarial; en definitiva, se vino a sostener que si existía una esfera de privacidad no era posible el control empresarial.

En nuestro derecho interno, las primeras respuestas vinieron de la mano del Tribunal Supremo en su sentencia de 26 de septiembre de 2007 (Rec. 966/2006), confirmada posteriormente por las sentencia de 8 de marzo de 2011 (Rec. 1826/2010), matizada por la sentencia de 6 de octubre de 2011 (Rec. 4053, 2010).

La STS de 26 de septiembre de 2007 recepciona la doctrina establecida en la STEDH de 3 de abril de 2007, para establecer un límite al control empresarial que actúa como garantía de los derechos fundamentales del trabajador. En efecto, partiendo de la propia realidad social en la que se constata «un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores», sostuvo que dicho hábito social genera en el trabajador/a una expectativa generalizada de confidencialidad en la utilización de los medios tecnológicos que da lugar a una esfera de intimidad y privacidad que debe ser respetada por el empleador; advirtiendo, no obstante, que esa expectativa de intimidad no puede ser utilizada de coartada para proceder a un uso contrario a las pautas establecidas por el empleador.

Ahora bien, la STS de 6 de octubre de 2011 matiza que, constatada la inexistencia de una situación de tolerancia del uso personal, bien por la existencia expresa de una prohibición de uso o bien por una advertencia expresa o implícita de control, «tampoco existe ya una expectativa razonable de intimidad», de suerte que si el uso personal no es lícito «no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo», es más, el trabajador que, mediando una prohibición de uso personal, utiliza las nuevas tecnologías empresariales para fines particulares sabe que su acción «no es correcta y sabe también que está utilizando un medio que, al estar lícitamente sometido a la vigilancia de otro, ya no constituye un ámbito protegido para su intimidad». Y ahonda en esa reflexión al exponer la advertencia acerca de la existencia de actuaciones que suponen una minoración voluntaria de las barreras de protección de la intimidad o del secreto a las comunicaciones, siendo una de esas actuaciones «la utilización de un soporte que está sometido a cierta publicidad o a la inspección de otra persona», de suerte que «quien manda una postal, en lugar de una carta cerrada, sabe que el secreto no afectará a lo que está a la vista; quien entra en el ordenador sometido al control de otro, que ha prohibido los usos personales y que tiene ex lege facultades de control, sabe que no tiene una garantía de confidencialidad».

Aparte de considerar que una prohibición absoluta del uso personal conlleva, implícitamente, una advertencia sobre la posibilidad empresarial de controlarlo, la novedad de esta matización radica en aclarar que no puede apreciarse una expectativa razonable de intimidad en dos supuestos, cuando se haya formulado una prohibición expresa del uso personal de las nuevas tecnologías empresariales o, lo que resulta más novedoso todavía, cuando se declare que dicho uso personal queda sometido a la facultad de control empresarial. Por lo tanto, en este último pronunciamiento del Tribunal Supremo parece que se equipara, a los efectos de apreciar una esfera de privacidad del trabajador, la prohibición absoluta de uso y la advertencia de someter dicho uso al control empresarial.

Y en atención a lo anterior, los dos primeros pronunciamientos del Tribunal Supremo procedieron a concretar qué es lo que debe hacer el empleador si quiere desplegar su poder de control sobre los medios tecnológicos. De suerte que, al amparo de la buena fe, el empresario debe proceder a configurar previamente «las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va a existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones». No obstante, la STS de 6 de octubre de 2011 señalo que estas reflexiones se efectuaron «obiter dicta y en el marco de la buena fe o de la legalidad ordinaria [...] fuera del marco estricto de la protección del derecho fundamental, como obligaciones complementarias de transparencia», de suerte que las mismas serán válidas siempre que no exista prohibición expresa del uso personal, pues sí existe dicha prohibición «deja de haber tolerancia y ya no existirá esa expectativa, con independencia de la información que la empresa haya podido proporcionar sobre el control y su alcance, control que, por otra parte, es inherente a la propia prestación de trabajo y a los medios que para ello se utilicen, y así está previsto legalmente». En consecuencia, si existía prohibición de uso particular de las nuevas tecnologías, en la medida en que lleva implícita la posibilidad de control, no era necesario que se explicite expresamente, además, el sometimiento del uso de las herramientas tecnológicas a la facultad de control empresarial.

Consolidada la solución dada por el Tribunal Supremo, no tuvo que trascurrir mucho tiempo para que el Tribunal Constitucional se pronunciase sobre la cohonestación de los derechos fundamentales de los trabajadores y la concreta facultad empresarial de vigilancia del uso realizado por los éstos de las herramientas tecnológicas.

En la STC 241/2012, de 17 de diciembre, no se estaba cuestionando una acción de control empresarial, dado que quien descubre las conversaciones almacenadas en el ordenador es otro empleado que las pone en conocimiento de la empresa, se cuestiona sí al utilizarlas para sancionar al trabajador se había operado una lesión de derechos fundamentales del derecho a la intimidad y del derecho al secreto de las comunicaciones.

Ni al abordar la posible lesión del derecho a la intimidad de la trabajadora ni su derecho al secreto a las comunicaciones el Tribunal Constitucional utiliza el test de proporcionalidad, quizá porque, como ya he dicho, no se cuestiona una determinada acción de control empresarial. Se descarta que se haya producido una injerencia en la intimidad de la trabajadora merecedora de amparo dado que, a juicio del Tribunal Constitucional, fue ella quien con sus actos difuminó la privacidad de sus conversaciones «al incluirlas en el disco del ordenador en el cual podían ser leídas por cualquier otro usuario, pudiendo trascender su contenido a terceras personas», incluida la empresa; fue, por tanto, la trabajadora, con sus propios actos, quien posibilitó el conocimiento de las conversaciones por otro trabajador de la empresa, que casualmente y sin ninguna intencionalidad tuvo acceso a todo su contenido, quien, a su vez, lo comunicó a la empresa.

Lo relevante de esta sentencia se encuentra al afrontar la posible vulneración del derecho al secreto a las comunicaciones, dado que, por primera vez, se acoge la posible existencia de una expectativa de intimidad, así como cobra especial protagonismo la política empresarial sobre el uso de los medios tecnológicos empresariales. Tras reconocer que el empresario puede adoptar distintas soluciones -desde la prohibición absoluta de uso hasta la permisividad del uso personal-, y encontrarse recogías en diferentes instrumentos -ordenes, instrucciones, protocolos, códigos de conducta-, sin mención alguna al principio de proporcionalidad, afirma que para valorar si el acceso al contenido de los ordenadores u otros medios informáticos empresariales puestos a disposición de los trabajadores ha vulnerado un derecho fundamental «habrá de estarse a las condiciones de puesta a disposición, pudiendo aseverarse que la atribución de espacios individualizados o exclusivos puede tener relevancia desde el punto de vista de la actuación empresarial de control», de suerte que «el ejercicio de la potestad de vigilancia o control empresarial sobre tales elementos resulta limitada por la vigencia de los derechos fundamentales, si bien los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empresario a tal fin». En definitiva, la posible lesión de un derecho fundamental al desplegarse la facultad empresarial de vigilancia y control de las herramientas tecnológicas vendrá condicionada por la existencia de pautas de uso de dichos instrumentos, y, en su caso, por el alcance y solución contemplados en ellas.

Se estableció un pauta interpretativa, en sede constitucional, relativa al control empresarial de la actividad laboral, concretamente sobre el uso de las herramientas empresariales de carácter tecnológico que revela una nueva arista en la doctrina constitucional en la línea de la solución jurisdiccional acogida por el Tribunal Supremo.

La confirmación de la antecitada pauta interpretativa se va a producir en la STC 170/2013, al afirmar el Tribunal Constitucional que lo que «procede [es] determinar el régimen de uso por los trabajadores de las herramientas informáticas de titularidad empresarial que resultaba aplicable en la empresa demandada en el momento de producirse los hechos». Para el Tribunal Constitucional cualquier análisis de la posible existencia de lesión de un derecho fundamental de un trabajador al desplegarse la facultad empresarial de vigilancia y control sobre el uso de las herramientas tecnológicas tiene como punto de partida el régimen de utilización establecido por el empresario, de suerte que aclarado cuales sean las pautas existentes en la empresa se debe abordar la posible lesión de los derechos fundamentales. Es decir si existe la expectativa de privacidad/confidencialidad el control no es posible y, en consecuencia, no procede ponderar el respeto a los derechos fundamentales ante el control empresarial, sino ab initio apreciar la lesión del derecho fundamental; por el contrario, como sucede en el caso enjuiciado en la sentencia, descartada la existencia de expectativa de privacidad y afirmada la posibilidad de desplegarse el control empresarial sobre el uso de los medios tecnológicos, procede examinar si dicha facultad empresarial ha sido respetuosa con los derechos fundamentales del trabajador para lo cual retoma la aplicación del test de proporcionalidad.

De la interpretación jurisprudencial y constitucional se evidencia que una cosa es la existencia de expectativa de privacidad como premisa previa para admitir el control empresarial de los dispositivos digitales y otra cosa distinta es la pervivencia de los derechos fundamentales, lo que acaece en todo supuesto, sin perjuicio de su modulación y la posibilidad de que cedan ante la facultad de control siempre y cuando este supere el test de proporcionalidad. Dicho de otra manera, una cosa es que no exista expectativa de privacidad a efectos del control y otra cosa muy distinta es que esa falta de expectativa suponga también la negación de los derechos fundamentales, lo que no resulta admisible dado que éstos solo podrán ceder su eficacia ante el ejercicio del control empresarial si éste, insistimos, supera el test de proporcionalidad.

Con posterioridad la STEDH de 5 de septiembre de 2017 (Caso Barbulescu) vuelve a resolver la posible contravención de la obligación negativa establecida en el artículo 8.2 del Convenio Europeo de Derechos Humanos ante el control del correo electrónico de un trabajador, existiendo una normativa interna que establecía expresamente la prohibición de uso con fines personales de los medios tecnológicos empresariales, si bien no advertía de la posibilidad de control de dichos dispositivos. En este pronunciamiento, si bien es cierto que se parte de la premisa de que "la empresa empleadora tiene un interés legítimo en garantizar el buen funcionamiento de la empresa, lo que puede hacer mediante la creación de mecanismos que garanticen que sus empleados desempeñen sus funciones profesionales de manera adecuada y con la celeridad requerida",no es menos cierto que de forma indubitada se afirma que "el establecimiento por una empresa de medidas para vigilar la correspondencia y otras comunicaciones, sea cual sea su alcance y duración"debe ir "acompañado de garantías adecuadas y suficientes contra los abusos",situando a los parámetros de proporcionalidad y existencia de garantía procesales en el vértice necesario para evitar la arbitrariedad, lo que le lleva a formular una serie de factores -reiterados en la STEDH de 6 de noviembre de 2025 (Caso Guyvan)- a tener en cuenta a la hora de examinar si se ha producido o no una afectación injustificada de la privacidad al efectuar el empresario el control del uso de los dispositivos digitales empresariales, a saber:

- Si el trabajador/a ha sido informado de forma clara y previa de la posibilidad de que el empleador tome medidas para supervisar su correspondencia y otras comunicaciones, así como la aplicación de tales medidas.

- El alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada del empleado, distinguiendo, por un lado, entre el control del flujo de comunicaciones y el de su contenido; y, por otro lado, si la supervisión se ha realizado sobre la totalidad o sólo una parte de las comunicaciones y si ha sido o no limitado en el tiempo, así como el número de personas que han tenido acceso a sus resultados.

- La existencia de argumentos legítimos para justificar el control de las comunicaciones y el acceso a su contenido, requiriendo ese último justificaciones más fundamentadas.

- Posibilidad de establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado.

- Las consecuencias de la supervisión para el empleado afectado y de qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida

- Si al empleado se le ofrecieron garantías adecuadas, particularmente cuando las medidas de supervisión del empleador tenían carácter intrusivo; considerándose que son adecuadas si impidieran que el empleador tuviera acceso al contenido de las comunicaciones en cuestión sin que el empleado hubiera sido previamente notificado de tal eventualidad.

En la formulación de estos factores se aprecia que asoma, en primer, lugar la previa información del posible control, reiterándose que la ausencia de esta daba lugar a la conformación de una expectativa de privacidad que impediría el control empresarial -en el Asunto Barbulescu el TEDH concluyó que si bien se había informado de la prohibición de uso personal no se había informado del posible control, lo que supuso el mantenimiento de la expectativa de intimidad-. Solo si se ha producido la información previa sobre el control entraría a valorarse, como se hace en la sentencia, el resto de factores mediante un juicio valorativo coincidente con el test de proporcionalidad manejado por nuestro Tribunal Constitucional.

3. Actualmente nuestro ordenamiento tiene un precepto, el artículo 87 de la LOPDGDD, invocado por el demandante como vulnerado, relativo a la intimidad en el uso de dispositivos digitales en el ámbito laboral. Una de sus virtualidades es ofrecernos las posibles pautas de interacción entre esta modalidad de control empresarial y el respeto de los derechos fundamentales que hasta entonces se había venido estableciendo por nuestra jurisprudencia, doctrina constitucional y los pronunciamientos del TEDH; es más, esta regulación es en su mayor parte una consagración de los criterios esbozados por ellos.

Se afirma, en su apartado 1º, el derecho a la intimidad de los trabajadores en el uso de los dispositivos empresariales, que resulta compatible con el control empresarial de los mismos, incluso de su contenido, tal y como dispone su apartado 2º. No obstante el control solo es posible si se dan las siguientes circunstancias:

- Que la finalidad sea bien vigilar el cumplimiento de las obligaciones laborales o estatutarias o bien garantizar la integridad de los dispositivos.

- Que el empleador haya establecido criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente.

- Que en la elaboración hayan participado los representantes de los trabajadores.

- Se especifique de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores si se ha admitido el uso privado de los dispositivos digitales empresariales

- Se haya informado a los trabajadores de estos criterios.

En consecuencia, el artículo 87 de la LOPDGDD no solo establece como elemento para no apreciar la expectativa de intimidad la información previa, sino que adiciona otros presupuestos sin los cuales no es posible el control por existir dicha expectativa. A efectos de este motivo de impugnación lo relevante es que en dicho precepto encontramos también la diferencia entre la expectativa de privacidad a efectos de control y la pervivencia del derecho fundamental. En primer lugar, porque el control es posible si se observan los presupuesto enumerados en el precepto al desaparecer la expectativa de intimidad, pero esto no enerva la vigencia de los derechos fundamentales por cuanto de forma clara se nos dice que los criterios de utilización deberán respetar "los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente";expresión que, si bien es genérica, debe suponer que se está haciendo referencia, entre otros elementos de interpretación y valoración jurídica, al test de proporcionalidad, cuya aplicación supone la pervivencia del propio derecho fundamental aunque se haya descartado la expectativa de privacidad. En segundo lugar, porque cuando se permite el uso privado, el artículo 87.3 de la LOPDGDD permite el control también siempre que se especifique los usos autorizados y "se establezcan garantías para preservar la intimidad";luego incluso cuando se admite el control del dispositivo habiendo autorizado su uso privado, no existiendo expectativa de privacidad, se mantiene la vigencia del derecho fundamental.

SEXTO.-1. En la demanda articulada por CCOO se articula como primer motivo de impugnación la existencia de la contradicción que se aprecia en los apartados 1º y 2º del Anexo cuando se permite el uso privado y al mismo tiempo se establece que los trabajadores/as no pueden tener expectativa alguna de privacidad; indicándose que las etiquetas personales o privadas se tendrán por no puestas, lo que supondría una lesión del derecho a la intimidad ex artículo 18 CE y 87.1 LOPDGDD.

Este primer motivo debe ser resuelto teniendo en cuenta que el Anexo objeto de controversia no es sino la plasmación del mandato contenido en el artículo 87.3 de la LOPDGDD dirigido al empleador de establecer los criterios de uso de los dispositivos digitales puestos a disposición de las personas trabajadoras para desarrollar la prestación laboral.

En la fijación de esos criterios se parte en el apartado 2º del Anexo de la premisa general de que "los Recursos TIC son medios de producción y herramientas de trabajo que Nestlé proporciona a las Personas Usuarias, con la única y exclusiva finalidad de que puedan desempeñar, en nombre, por cuenta y en interés de la compañía, sus funciones profesionales",y es por ello que "dado su carácter de instrumentos de trabajo, están sometidos a las facultades de control, organización, disciplina, disposición y corrección de la compañía, que podrá ejercer en cualquier momento, mediante la supervisión, monitorización, acceso, revisión, eliminación, bloqueo o retirada de los mismos, ya sea de forma cautelar, preventiva, temporal o

Definitiva"; lo que lleva a establecer que "en consecuencia, las Personas Usuarias no pueden tener expectativa alguna de privacidad y/o de confidencialidad en su uso".

Sentada la regla general de la utilización profesional de los dispositivo digitales, el Anexo permite una utilización personal de los dispositivos digitales al establecer que "no se prohíbe absoluta y categóricamente un uso privado",si bien no lo hace de forma abstracta y genérica por cuanto somete dicho uso a una serie de presupuestos que son que sea un uso "moderado, razonable, limitado y puntual, de los Recursos TIC, en la medida en que no interfiera, menoscabe, comprometa, reduzca, ralentice o perjudique la actividad profesional, el desempeño de sus responsabilidades laborales ni la productividad de las Personas Usuarias, ni suponga un riesgo para la integridad de los sistemas de la compañía, la confidencialidad de la información de Nestlé, sus secretos empresariales (en los términos definidos por la normativa vigente), o exponga, dañe o desmerezca su imagen corporativa o su reputación".A continuación, se reitera también para este uso privado que "no generará derecho o expectativa alguna de privacidad, reserva o confidencialidad para las Personas Usuarias; ni será impedimento para que Nestlé pueda monitorizar, supervisar, acceder y/o revisar dichos recursos en los términos que se detallan en el apartado 5 de este Anexo".

En ambos supuestos la referencia a la falta de privacidad y/o confidencialidad se está refiriendo al presupuesto habilitante del control empresarial no a la privación o desaparición de derecho fundamental alguno.

En el supuesto de la premisa principal de uso profesional de los dispositivos digitales es evidente que, establecido cual es el uso principal de los dispositivos digitales -el profesional- y que el uso se someterá al control empresarial, la consecuencia es que no cabe esperar expectativa de privacidad que impida el control, sin que ello suponga la perdida de vigencia del derecho de intimidad o cualquier otro derecho fundamental. No puede entenderse la frase controvertida como una negación de los derechos fundamentales; si en la aplicación práctica de estos criterios así se produjera, sí habría una afectación injustificada, pero en el plano de la configuración de los criterios de uso concretados en el Anexo controvertido no resulta contradictoria dicha expresión.

En relación al uso privado que se permite, tampoco resulta contradictoria la afirmación de no generarse una expectativa de privacidad o confidencialidad, porque dicha expresión también se refiere al presupuesto habilitante del control, no a la negación de los derechos fundamentales, por cuanto, por un lado, ese uso privado está sometido a una serie de condicionamientos o presupuestos que deben ser comprobados; comprobación que se efectúa mediante el control y así se advierte expresamente cuando se dice que este uso privado no "será impedimento para que Nestlé pueda monitorizar, supervisar, acceder y/o revisar dichos recursos",por otro lado, porque dicho control se hará en los términos que se detallan en el apartado 5 de este Anexo", en el que -además de establecerse las finalidades y alcance del control, su metodología y tipología de los controles y las posibles actuaciones- se establece como garantías que "los controles se realizarán superando holgadamente el filtro del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas, observando la regulación interna de Nestlé y la legislación aplicable";lo que evidencia que no se enerva la eficacia de los derechos fundamentales desde el momento en que el control, a pesar de no existir expectativa de privacidad, se someterá al test de proporcionalidad, lo que permite deducir que esa referencia a la ausencia de expectativa de privacidad se refiere al presupuesto habilitante del control y no a los derechos fundamentales en sí mismo considerados.

Ex abundantia, se argumenta por el sindicato demandante que "la doctrina Barbulescu exige un juicio de proporcionalidad que esta cláusula ignora, resultando desproporcionada y abusiva",sin embargo, ese juicio de proporcionalidad sí se recoge expresamente como garantía en la adopción de cualquier medida de control en el antecitado ut supra apartado 5º del Anexo. En consecuencia, si el propio demandante sitúa el parámetro de licitud de la configuración del uso personal de los dispositivos digitales en relación con la negación de la expectativa de intimidad en el sometimiento al juicio de proporcionalidad, estando éste previsto en el propio Anexo, decae por si misma su argumentación para sostener este motivo de impugnación.

2. Se articula como segunda pretensión que se anule el control aleatorio de cuentas personales previsto en el apartado 3º del Anexo dedicado a regular el uso del correo electrónico al considerar que se trata de una medida desproporcionada que solo podría basarse en la existencia de un interés legítimo ex artículo 6.1 f) del RGPD, para lo cual debe superar un test de ponderación que demuestre que su interés es superior al derecho fundamental a la privacidad del trabajador, sosteniendo que dicho acceso al contenido de comunicaciones personales nunca superaría dicho test.

El apartado 3º al regular el uso del correo electrónico señala que el mismo "ha de hacerse exclusivamente con fines profesionales",estableciéndose expresamente que "se prohíbe, con carácter general, el uso del correo electrónico corporativo para finalidades lúdicas o para el registro en plataformas de terceros que no guarden relación con su actividad laboral en Nestlé (tales como la creación de cuentas y/o suscripción en redes sociales, newsletters, foros, webs de comercio electrónico o venta online)";prohibición que solo se enerva "en el supuesto de que ello resultase necesario",debiendo "la Persona Usuaria deberá solicitar autorización para registrar y utilizar su dirección de correo corporativo en dichos entornos a su People Manager".

A continuación al posibilitar a los empleados el acceso desde los dispositivos empresariales a cuentas de correos personales, a través de las cuales "es posible extraer, alojar y enviar archivos, ficheros o textos generados o ubicados en los dispositivos propiedad de Nestlé desde aquellas"?se podría dar lugar a "la fuga de información y su pérdida de control",lo que le lleva a fijar como criterio que la empresa "podrá realizar controles aleatorios sobre dicha actividad, lo que incluye el posible acceso al contenido de correos salientes, con el objeto de verificar el uso adecuado de los sistemas de información y prevenir posibles riesgos legales o reputacionales".

Siendo este último control objeto de impugnación, estamos en presencia no del control de un dispositivo empresarial, bien un ordenador o bien un teléfono, sino del control de una cuenta de correo electrónico personal a la que se accede desde un dispositivo empresarial. En la vista oral la perito de forma indubitada ha señalado que el control aleatorio y preventivo de esas cuentas personales se realiza sobre el tráfico de datos, es decir los metadatos, relativos a la fecha y hora de acceso, al remitente y el destinatario y, en su caso, al hecho de que se haya adjunto un documento, no se realiza sobre el contenido de dicho correo personal. Además sobre este posible control también se establece que, previamente se sujetará al canon constitucional de proporcionalidad. En consecuencia, desde el plano de la fijación de los criterios de uso, esta Sala considera que esta previsión resulta ajustada a Derecho, sin perjuicio de que en su aplicación práctica no se respete los términos del Anexo y, por ejemplo, no se aplique el canon constitucional, lo que daría lugar a su impugnación por el empleado/a afectado por el concreto control realizado sobre su cuenta personal.

3. Se impugna también el apartado 4º del Anexo, en primer lugar, en lo relativo al alcance de la monitorización, supervisión y registro de los recursos digitales empresariales al considerarlos extraordinariamente amplios por incluir el contenido de los dispositivos, los mensajes enviados, extensión y contenido, historiales de navegación o el acceso remoto o forzado; así como por el hecho de establecer una monitorización regular, preventiva aleatoria y generalizada; considerando el sindicato demandante que solo sería admisible en supuestos tasados, excepcionales y de extrema gravedad.

El artículo 87.2 de LOPDGDD reconoce la posibilidad de que el empresario acceda al "contenido" derivado del uso de los medios digitales, siempre que, entre los presupuesto ya referenciados ut supra, la finalidad sea bien vigilar el cumplimiento de las obligaciones laborales o estatutarias o bien garantizar la integridad de los dispositivos y que se haya establecido criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente.

En cumplimiento de la habilitación/obligación legal que se impone al empresario para acceder al contenido derivado de la utilización de los dispositivos digitales, el Anexo enumera una serie de finalidades subsumibles en las dos genéricas previstas en el artículo 87.3 de la LOPDGDD, así señala que con dicho control se trata de "verificar y controlar el cumplimiento de las obligaciones laborales de las Personas Usuarias y garantizar la integridad de los Recursos TIC; permitir el ejercicio de las facultades de dirección, organizativas y disciplinarias del empleador; proteger los activos sensibles de Nestlé, incluyendo los secretos empresariales, la información comercial, la información corporativa y la propiedad industrial e intelectual; prevenir fugas de información reservada o confidencial; prevenir o evitar usos indebidos, filtraciones de datos o posibles vulneraciones de los derechos de terceros; el cumplimiento normativo, la prevención y sanción de conductas inadecuadas, ilícitas, susceptibles de constituir delitos o infracciones civiles, penales o del orden laboral, contrarias a la ley, a los Principios Corporativos Empresariales, al Código de Conducta Empresarial y demás normativa interna de Nestlé; y la salvaguarda de su imagen pública, intereses corporativos y reputacionales".

A continuación determina el alcance del control que podrá ser del "flujo de actividad"lo que supone el control del "número de correos enviados o recibidos, número y tipología de los archivos adjuntos, volumen de los mensajes en byte, etc.",así como del "tipo de archivos y su potencial contenido",lo que implica el control de "imágenes, tablas de datos, listados, contratos etc.".A continuación se establece que "siempre que ello sea posible, los controles se limitarán inicialmente al filtrado de metadatos (remitente, destinatario, fecha, tamaño del mensaje, archivos adjuntos, etc.), y sólo se accederá al contenido de correos concretos cuando exista una causa justificada, fundada o una alerta (por ejemplo, palabras clave sensibles, coincidencia con los parámetros de búsqueda, fuga de información, etc.) o cuando se realice en el marco de un control aleatorio, limitado y proporcional, bajo supervisión interna, con registro o auditoría del acceso (esto es, documentar qué se revisa, cuándo y por qué).

Diseña dos tipos de controles, uno "aleatorio, regular, preventivo y generalizado tendente a identificar cualquier utilización de los Recursos TIC que pueda poner en riesgo los sistemas de la compañía, la seguridad y confidencialidad de la información, exponga, dañe o desmerezca su imagen corporativa o su reputación";advirtiendo que estos controles aleatorios "no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia",y se accederá "al contenido de los archivos y los correos si resulta estrictamente necesario para los fines indicados, y siempre con respeto a los principios de proporcionalidad, necesidad y minimización de datos".El otro "de carácter investigador y específico, cuando la compañía tenga indicios razonables, sospechas fundadas o evidencias objetivas de un potencial incumplimiento de la legislación aplicable y/o de la normativa interna de Nestlé por parte de una o varias Persona(s) Usuaria(s)".

A continuación explicita que el control y supervisión "puede implicar: el acceso al contenido de los dispositivos y la recogida de la información almacenada o tratada en dichos recursos; el tráfico, volumen y naturaleza de los datos enviados o recibidos; y otras intervenciones que, con el alcance y la intensidad que en cada momento se determine, una vez aplicados los criterios y garantías enunciados en el presente Anexo",efectuando una enumeración no exhaustiva de posibles intervenciones, a saber:

- Informac ión sobre los Recursos TIC facilitados por Nestlé a una Persona Usuaria (ej. los dispositivos que han sido entregados o puestos a su disposición, el ID del dispositivo, las direcciones, , los números de teléfono, etc.);

- Informac ión sobre el uso de los Recursos TIC (ej. información sobre el dispositivo y la conexión de las redes a las que accede; diagnósticos y rendimiento, incluidos informes de fallos y registros de rendimiento; ID de usuario asignados en su navegación por internet; uso de datos móviles, aplicaciones utilizadas, llamadas realizadas, duración de las llamadas, mensajes enviados, extensión y contenido, información disponible sobre los números destinatarios de las llamadas o los mensajes; actividad en Internet, páginas web visitadas, aplicaciones descargadas, cookies o tecnologías de rastreo alojadas en el dispositivo, historiales de navegación, etc.);

- Informac ión detallada sobre el tráfico de datos desde o hacia los Recursos TIC de Nestlé (ej. mensajes enviados y recibidos, tamaño ('size') y extensiones de los archivos y de los contenidos incluidos, direcciones destinatarias, frecuencia de los envíos, volumen y naturaleza de los datos consumidos; acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.);

- Acceso remoto, incluso forzado, a los Recursos TIC de Nestlé. Acceso a controladores, software, hardware o dispositivos integrados o no, cuando corresponda, borrado o formateado total o parcial a distancia de cualquier contenido, función o utilidad del dispositivo en caso de que tras detectarse o sospecharse que pudiera ser ilícito, inadecuado o comprometedor, así se decida en el oportuno procedimiento o en caso de incidentes de seguridad, brechas, pérdida o robo; y

- Análisis sistemático de la información recopilada sobre la actividad de las Personas Usuarias de los Recursos TIC, valoración, evaluación, propuesta y adopción de las medidas correctivas más adecuadas. La información puede almacenarse en cualquier formato y utilizarse en los procedimientos internos o externos del modo que se considere necesario o conveniente para la mejor defensa de los intereses de la compañía con pleno respecto a los derechos de las Personas Usuarias.

Finalmente se establece una garantía general en el ejercicio de la facultad de control consistente en que se realizarán los mismos "superando holgadamente el filtro del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas, observando la regulación interna de Nestlé y la legislación aplicable"y especificando una serie de garantías concretas que será cumplidas "en todo momento

? La proporcionalidad del acceso, ponderando si el beneficio que obtiene la compañía al verificar el uso correcto de sus Recursos TIC (ya sea proteger su información o garantizar el cumplimiento de los deberes contractuales) resulta superior al sacrificio o afectación de la esfera individual de la Persona Usuaria (limitándolo a un período de tiempo concreto; a tipos determinados de archivos (imágenes, contratos, tablas de datos, listados); a un conjunto limitado de mensajes enviados a ciertos dominios, o relacionados con ciertos incidentes, etc.).

? Una monitorización no indiscriminada. De ordinario, los controles se realizarán desde los servidores de la empresa, no desde los dispositivos asignados a la Persona Usuaria.

? Que los parámetros de búsqueda intenten, en la medida de lo posible, l imitar la invasión de cualquier intimidad.

? La minimización o eliminación inmediata de los datos o la información personal no relacionada con las finalidades protegidas a la que se acceda.

? La ausencia de intromisión o afectación a la esfera íntima del trabajador".

A la vista de lo expuesto esta Sala no aprecia que el apartado dedicado a la monitorización, supervisión y registro de recursos TIC produzca vulneración alguna de los preceptos indicados por el sindicato demandante.

En primer lugar, debemos tener presente que el empresario, de conformidad con lo establecido en el apartado 2º del artículo 87 de la LOPDGDD solo puede proceder al control del uso de los dispositivos si éste se basa en alguna de las dos finalidades previstas -control del cumplimiento de las obligaciones laborales o garantizar la integridad de los dispositivos- y esos objetivos con una mayor concreción aparecen reflejados en el apartado 5º del Anexo como frontispicio de las reglas de utilización y control que se desgranan a continuación, de suerte que éstas responden a finalidades admitidas por el precepto legal.

En segundo lugar, ante la invocada amplitud del control debe tenerse presente que si bien en el apartado 5º del Anexo se establece que el control puede ejercitarse tanto respecto al flujo de actividad como al contenido, ello no supone la contravención de norma alguna, desde el momento en que el artículo 87.2 de la LOPDGDD permite el acceso al contenido, si bien, como ya hemos señalado, deberá perseguirse con ello una de las finalidades habilitantes del control y haberse cumplido los presupuestos establecidos en el artículo 87.3 de la LOPGDD. Además, debe tenerse en cuenta que el propio Anexo establece que el control mediante el filtrado de metadatos se concibe como prioritario frente al control del contenido, al que se recurrirá "cuando exista una causa justificada, fundada o una alerta"o "cuando se realice en el marco de un control aleatorio, limitado y proporcional, bajo supervisión interna, con registro o auditoría del acceso".Es decir, pudiendo establecerse la monitorización mediante el control de contenido, por así permitirlo el artículo 87.2 LOPDGDD, se configura como subsidiario del control de metadatos que es menos invasivo que el control de contenidos.

En tercer lugar, en relación al establecimiento de un control aleatorio, regular, preventivo y generalizado, no puede obviarse que en su configuración también se da expresamente una justificación objetiva del mismo, derivada del "tamaño de la organización y al nivel de sensibilidad de la información gestionada por el grupo empresarial"que requiere este tipo de control para "verificar el uso adecuado del canal corporativo y prevenir posibles riesgos legales o reputacionales. Esta medida es necesaria y justificada como parte del Programa de Compliance de la organización y con el fin de proteger la seguridad de la información".No solo no puede desconocerse la realidad de dicha justificación que permite a la empresa recurrir a este tipo de control; sino que, además, debe tenerse presente que en el Anexo se prevé expresamente que este tipo de controles "no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia",y que si se tuviera que acceder al contenido se haría cuando resultase "estrictamente necesario para los fines indicados, y siempre con respeto a los principios de proporcionalidad, necesidad y minimización de datos".

En cuarto lugar, resulta determinante para apreciar la corrección de los criterios de monitorización y supervisión del apartado 5º de Anexo que atendiendo a lo establecido en el artículo 87.3 de la LOPDGDD que si bien otorga al empresario un amplio margen de actuación al fijar los criterios de utilización de los dispositivos digitales establece que deberá respetar "los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente",expresión genérica que plantea dudas sobre su alcance, pero que en cualquier caso, supone respetar los derechos fundamentales y la interpretación constitucional relativa a la interacción de los derechos fundamentales y la facultad de control empresarial, plasmada en el conocido test de proporcionalidad; se sujeta toda la actividad de monitorización y supervisión al "triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas",señalándose que "los controles se realizarán superando holgadamente el filtro"que constituye al antecitado juicio. Lo que se viene a establecer, en definitiva, es que cualquier medida de control se sujetará previamente al test de proporcionalidad, lo que se acomoda con lo previsto en el artículo 87.3 de la LOPDGDD, así como la interpretación constitucional precedente relativa a la valoración del equilibrio entre la vigencia de los derechos fundamentales y el control empresarial.

Lo anterior, no obsta, para que si la puesta en práctica de una medida de control no se ha sujetado previamente al test de proporcionalidad se pudiera incurrir en la lesión de un derecho fundamental y la contravención del artículo 87.3 de la LOPGDDD, pero desde el plano del análisis de la configuración de la monitorización y supervisión, debe reiterarse que ésta cumple con las previsiones legales y el respeto a los derechos fundamentales.

En quinto lugar, se alega la existencia de contradicción entre la afirmación previa "no expectativa de privacidad" y las declaraciones de "la protección de la dignidad y la privacidad de las Personas Usuarias es innegociable y primordial" y que el control se realizará conforme a "los principios de proporcionalidad, idoneidad y justificación de la medida, respetándose, cuando sea prevalente, la intimidad de las Personas Usuarias". Debemos reiterar lo razonado en el punto 1º de este Fundamento Jurídico, de suerte que la expresión "no expectativa de privacidad" se refiere al presupuesto habilitante del control, no a la negación de los derechos fundamentales por lo que resultan compatibles las expresiones contenidas en el apartado 4º del Anexo.

4. El último motivo de impugnación se centra en la criterios de Bring Your Own Device (BYOD)al sostener el sindicato demandante que también se establece que el empleado/a tampoco tendrá expectativa de privacidad en el manejo de dichas aplicaciones y se impugna "cualquier interpretación" que permita a la empresa extender el control más allá de las aplicaciones y datos estrictamente corporativos alojados en el dispositivos personal, limitándose aquel de forma taxativa a los contenidos y aplicaciones corporativas.

Tal y como se ha formulado este motivo de impugnación la Sala debe desestimarlo de plano por cuanto lo que realmente se impugna y así se dice literalmente son posibles interpretaciones futuras que pudiera realizar la empresa y no la propia configuración de los criterios contenidos en la política de BYOD recogida en el apartado 5º del Anexo, ni siquiera se impugnan hechos ya acaecidos en aplicación de la antecitada política.

5. La última pretensión de la demanda de CCOO se concreta en la solicitud de una indemnización para el sindicato demandante por la "vulneración del derecho fundamental a la intimidad, artículo 18 CE , de las personas trabajadoras destinatarias del Anexo".

Esta Sala no puede acoger tal pretensión, en primer lugar porque, como bien explicita el propio sindicato en el suplico de su demanda, la indemnización es para el sindicato, no por la existencia de lesión alguna de su derecho a la libertad sindical, sino por la vulneración del derecho fundamental a la intimidad de sujetos distintos a él, los trabajadores/as a los que se dirige el protocolo de uso de los dispositivos digitales; es decir, solicita para si una indemnización por la afectación de un derecho fundamental de otros sujetos, que podrán tener o no relación con él, en función de si están o no afiliados al mismo.

En segundo lugar, en este concreto proceso de conflicto colectivo estamos ante un conflicto de interpretación no de aplicación, de suerte que se ha llegado a la conclusión de que el Anexo se encuentra ajustado a lo establecido en el artículo 87 de la LOPDGDD, así como al artículo 18 de la CE y la interpretación constitucional existente en torno a la confrontación entre los derechos fundamentales y las facultades de control empresarial; no se ha verificado la existencia de una aplicación concreta del Anexo que haya producido una real y efectiva lesión de derechos fundamentales que requiera ser restituida via indemnizatoria. El conflicto, en resumen, se ha movido en el plano del ajuste interpretativo no en el plano de la verificación de concretas aplicaciones de la previsión declara contraria a Derecho.

SÉPTIMO.-1. La primera de las pretensiones formuladas en la demanda presentada por los sindicatos UGT, CSIF, CGT y USO consiste en solicitar la nulidad del Anexo por haberse vulnerado el derecho a la negociación colectiva de los sindicatos demandantes al implementarse aquel sin la participación de estos. Pretensión que siendo coincidente con una de las peticiones formuladas en la demanda presentada por el sindicato CCOO ha sido resuelta en el Fundamento Jurídico Tercero al que nos remitimos para concluir su desestimación.

2. Se solicita, como segunda petición, la declaración de nulidad de la totalidad del Anexo por vulnerar los derechos fundamentales a la intimidad, al secreto a las comunicaciones y a la protección de datos, petición que se haya huérfana de la más mínima argumentación que explicite porque la totalidad del Anexo lesiona los derechos mencionados, dado que solo se dice en el Hecho Primero de la demanda que "aún en un marco de control empresarial legítimo, el sistema de control implantado vulnera el derecho fundamental a la intimidad, al secreto de las comunicaciones y a la protección de datos personales de las personas trabajadoras, contraviniendo el canon constitucional de limitación de derechos fundamentales que exige que en estos supuestos se respeten los principios de proporcionalidad, necesidad e idoneidad",y en el Fundamento de Derecho IV de la demanda se hacen unas referencias generales, vagas e imprecisas que no afectarían a la totalidad del Anexo sino a aspectos concretos del mismo. Siendo los sindicatos demandantes sobre los que pesa la carga procesal de concretar qué contenido del Anexo resulta, por un lado, contrario a los derechos fundamentales y, especialmente, el porqué, entendido como un corolario argumental razonado de la vulneración alegada; y, por otro, explicitar cómo la afectación de dichos derechos supone la nulidad de la totalidad el Anexo; y, dado que lo único que se expone es una alegación y fundamentación jurídica genérica, debemos desestimar este segundo motivo de impugnación.

Ex abundantia, la única argumentación "concreta" que se articula para solicitar la nulidad de la totalidad del Anexo es que éste contraviene el canon constitucional de limitación de derechos fundamentales que requiere el respeto a los principios de proporcionalidad, necesidad e idoneidad. Siendo este el fundamento de pedir de los demandantes decae su estimación porque, como ya se ha señalado ut supra, la política de uso de los dispositivos digitales empresariales prevé expresamente como garantía que cualquier medida de control se sujetará, precisamente, al canon constitucional que aducen como vulnerado; de suerte que difícilmente puede declararse la nulidad del Anexo por contravenir el antecitado canon cuando éste está expresamente recogido como garantía.

3. Se formula a continuación la impugnación de una serie de previsiones concretas que son expuestas en los hechos probados sin que se ofrezca razonamiento especifico de porqué cada una de esas previsiones atentan a los derechos fundamentales, lo único que se hace por los demandantes es trascribir una serie de pasajes de los apartados 1º, 2º, 3º, 5º.2.1 y 6º, y subrayar una serie de frases dentro de esos párrafos, sin exponer a continuación argumento jurídico alguno relativo a porqué dichas previsiones subrayadas son lesivas de los derechos fundamentales. Esto debería llevar a esta Sala a desestimar de plano la petición de nulidad de dichas previsiones.

No obstante, como se contiene en la fundamentación jurídica de la demanda unas argumentaciones sucintas y genéricas predicables de todas estas previsiones particulares del Anexo, en aras de la búsqueda de ofrecer una solución fundamentada debemos realizar las siguientes consideraciones.

3.1. Se dice que se vulnera el derecho a la intimidad porque "la jurisprudencia constitucional ( STC 292/2000 , STC 170/2013 , STC 39/2016 ) que reconocen un ámbito irrenunciable de intimidad en el trabajo. Las demandadas han implantado un sistema de control del uso de dispositivos, para los que se reconoce el uso privado, que sin embargo vulnera los derechos fundamentales de las personas trabajadoras, en tanto que el control empresarial no se limita a datos corporativos, sino que se extiende al ámbito personal de aquéllas".

Ante la vaguedad con la que se expone la supuesta afectación por parte del Anexo impugnado al ámbito personal de los destinatarios/as del aquél, cabe realizar las siguientes apreciaciones, a saber:

a) Si se refiere a la previsión contenida en el apartado 1º del Anexo en relación al uso personal al establecerse que éste "estará sujeto a monitorización, acceso, supervisión, interceptación y controles, en los términos que se detallan en el presente Anexo",debe señalarse, en primer lugar, que el reconocimiento de un uso personal no impide, ni anula la facultad empresarial de control del dispositivo respecto a ese uso personal; sin perjuicio de que requerirá cumplir con la exigencias del artículo 87.3 de la LOPDGDD; en segundo lugar, porque como se desprende de la propia lectura de la expresión transcrita, dicho control del uso personal se somete a los términos previstos en el anexo, dentro de los cuales está prevista la garantía del respeto y cumplimiento del canon de constitucionalidad que supone la aplicación previa del test de proporcionalidad.

b) Si se refiere a la impugnación de la referencia general contenida en el apartado 2º en virtud de la cual "están sometidos a las facultades de control, organización, disciplina, disposición y corrección de la compañía, que podrá ejercer en cualquier momento, mediante la supervisión, monitorización, acceso, revisión, eliminación, bloqueo o retirada de los mismos, ya sea de forma cautelar, preventiva, temporal o definitiva. En consecuencia, las Personas Usuarias no pueden tener expectativa alguna de privacidad y/o de confidencialidad en su uso",debemos indicar que esta previsión se realiza porque previamente se establece -en el mismo párrafo- que "los Recursos TIC, la información contenida en los mismos, así como la propiedad intelectual e industrial de los trabajos resultantes de su uso en el marco de la relación laboral, son titularidad de Nestlé; en base a su condición de empleador y dado su carácter de instrumentos de trabajo";estamos por tanto ante una previsión la primera que es consecuencia lógica de esta última, dado que si se configura que los dispositivos digitales empresariales son instrumentos de trabajo, destinados como se dice en primer párrafo del apartado 2º del Anexo al desarrollo de las funciones profesionales, resulta coherente explicitar que va a ser objeto de control su uso, sin que dicha previsión suponga per se una lesión del derecho de intimidad.

Si la afectación de la intimidad se achaca a la negación de expectativa de privacidad/confidencialidad, debemos reiterar que dicha expresión se configura como presupuesto para habilitar el control, no como negación de la pervivencia del derecho de intimidad, dado que someter cualquier medida de control al test de proporcionalidad supone el mantenimiento de la eficacia de derecho fundamental en el uso de los dispositivos digitales porque solo es aplicable dicho test si se parte de la premisa de la existencia del derecho fundamental.

c) Si se refiere al criterio contenido en el apartado 3º del Anexo que prevé que "las Personas Usuarias deben abstenerse de incluir en sus correos electrónicos corporativos información que revele aspectos relacionados con su intimidad o su vida privada",estamos ante una especificación sobre lo que no debe hacer el empleado/a que encaja perfectamente en el artículo 87.3 de la LOPDGDD cuando señala, con carácter general, que será el empresario que el establezca los criterios de utilización, y, con carácter singular para el uso privado, que especifique de forma precisa los usos autorizados. Lo que hace esta previsión es precisar que no pueden alojarse en los dispositivos digitales empresariales información intima o privada, no apreciándose razón alguna de en qué modo dicha previsión afecta al derecho de intimidad.

d) Si se refiere a la impugnación del apartado 3º que establece que "las Personas Usuarias deben ser conscientes de que Nestlé podrá realizar controles aleatorios sobre dicha actividad, lo que incluye el posible acceso al contenido de correos salientes, con el objeto de verificar el uso adecuado de los sistemas de información y prevenir posibles riesgos legales o reputacionales",debemos reiterar lo dicho en el punto 2º del Fundamento Jurídico Sexto, para concluir que no se observa una afectación del derecho de intimidad de los destinatarios del Anexo.

e) Si se refiere a la previsión de la política de BYOD (Bring Your Own Device),contenida en el apartado 6º del Anexo, que establece que "la compañía podrá, si lo considera necesario, bloquear remotamente el acceso a las aplicaciones o utilidades corporativas que se hallasen almacenada en el dispositivo o eliminarlas, junto con los archivos adjuntos",debe destacarse que el recurso al BYOD, es decir, a la utilización de los medios personales de los trabajadores para el desarrollo de la prestación laboral se concibe como algo excepcional y siempre previa solicitud del empleado; solicitud que por si sola no le permite a éste último usar sus dispositivos personales ya que se requiere una ulterior autorización expresa de la empresa. Si la autorización se concede, el uso de los dispositivos personales para el trabajo requiere de la previa instalación de determinadas aplicaciones o utilidades empresariales y parece lógico que la empresa aclare, como así hace, que dichas aplicaciones permitirán controlar el adecuado uso que se realice de dichas aplicaciones corporativas.

Partiendo del hecho de que el uso de dispositivos personales para el trabajo requiere la previa instalación de aplicaciones corporativas, el apartado 5º no establece de forma general que el trabajador/a no tendrá una expectativa de privacidad en el uso de su dispositivo personal, como parece sostener el sindicato demandante, sino que expresamente se dice que no podrá esperar que exista una expectativa de privacidad "en el manejo de dichas aplicaciones"propiedad de la empresa e insertadas para posibilitar la prestación laboral; negación de la existencia de privacidad que se establece para posibilitar el control que se ha contemplado previamente y que se limita al uso de esas aplicaciones y no a todos los usos que pudiera hacer el trabajador con su dispositivo personal, tal y como se infiere de la expresión de "aplicaciones específicamente autorizadas por Nestlé, que permitirán controlar el adecuado uso de los contenidos relacionados con la compañía".

En relación con la posibilidad contemplada en la política BYOD de acceso remoto por parte de la empresa a los dispositivos personales se observa que se contempla en un supuesto concreto - producción de incidentes de seguridad, tales como la sustracción, extravío o pérdida de control sobre un dispositivo privado- y con una finalidad que debemos reputar legítima -salvaguardar la seguridad de las aplicaciones corporativas instaladas y la información en ellas contenidas, así como la información descargada en el dispositivo-; configurándose una medida de control que se circunscribe únicamente a las aplicaciones de la empresa e información empresarial alojada en el dispositivo, y que consiste en "bloquear remotamente el acceso a las aplicaciones o utilidades corporativas que se hallasen almacenada en el dispositivo o eliminarlas, junto con los archivos adjuntos que excepcionalmente se hubiesen descargado".De lo anterior se colige que el control se limita a bloquear o eliminar las aplicaciones y utilidades corporativas y a su contenido, no afecta al dispositivo personal por cuanto no se establece un acceso a cualquier otra aplicación o contenido alojado en él; además dicha facultad de bloqueo o eliminación no se configura de forma general, ni permanente, ni aleatoria, sino solo cuando se aprecie unas circunstancias concretas que supongan un incidente de seguridad.

3.2. Se argumenta respecto al secreto a las comunicaciones que "la previsión de la monitorización generalizada y el acceso al contenido de las comunicaciones vulnera el derecho fundamental a mantenerlas fuera de la vista de terceros y excede los límites establecidos en el art. 87.3 LOPDGDD, que exige que el acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados, requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, además de la exigencia de proporcionalidad, idoneidad y necesidad; todo ello en relación con la jurisprudencia española ( STS 119/2022 , STS 225/2024 ) y la europea (TEDH asunto Barbulescu vs. Rumanía) que prohíben controles masivos e indiscriminados".

En relación a la posible lesión del derecho al secreto a las comunicaciones, debemos efectuar las siguientes consideraciones:

a) Si la lesión del derecho al secreto de las comunicaciones se identifica con la posibilidad prevista en el apartado 5º.2.1 de hacer un control "aleatorio, regular, preventivo y generalizado",debe tenerse presente que en dicho apartado también se deja meridianamente claro que "los controles aleatorios no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia";lo que nos lleva a no apreciar afectación del derecho al secreto de las comunicaciones. Debemos tener presente que la facultad de control empresarial por definición tiene que ser regular en el sentido de que el empresario puede desarrollarla en cualquier momento, puede tener carácter preventivo para vigilar tanto el cumplimiento de las obligaciones laborales como evitar posibles incumplimientos, puede ser generalizado y aleatorio en el sentido que puede dirigirse respecto de cualquier faceta del ciclo productivo y respecto de cualquier persona trabajadora; y todo ello no es incompatible con un control concreto sobe un trabajador/a, que es lo que se analiza en las sentencias del TEDH, del Tribunal Constitucional y del Tribunal Supremo, que no puede ser, como señalan los demandantes, masivos e indiscriminados, y el protocolo deja bien claro que los controles no lo serán; es más el protocolo dice que tampoco serán "exhaustivos [...] permanentes, [...] continuos, ni intrusivos",añadiendo una garantía adicional al contemplar que se ajustarán a "criterios técnicos de proporcionalidad y pertinencia",y no olvidemos que también se sujetaran, puesto que no hay reserva de exclusión, al canon constitucional de proporcionalidad en el apartado 5º del Anexo.

b) Si se refiere del apartado 5º.3 (iii) que al enumerar de forma no exhaustiva posibles actuaciones de control, estableciendo, entre otras el "acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.)",debe advertirse que este acceso está sacado de contexto y que es necesario tener en cuenta la totalidad del apartado en cuestión que configura como posible actuación la obtención de "información detallada sobre el tráfico de datos desde o hacia los Recursos TIC de Nestlé (ej. mensajes enviados y recibidos, tamaño ('size') y extensiones de los archivos y de los contenidos incluidos, direcciones destinatarias, frecuencia de los envíos, volumen y naturaleza de los datos consumidos; acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.).De la lectura del antecitado apartado se desprende que la actuación no consiste en el acceso a cuentas de correo externas, incluso las personales o privadas, sino la obtención de información relativa al "tráfico de datos desde o hacia los recursos TICs"de la empresa entre otros aspectos de posibles accesos a cuentas externas personales o privadas, pero no se contempla el acceso a dichas cuentas como aducen los demandantes al extractar la posible actuación configurada en el apartado de referencia. En principio, en una configuración general de posibles criterios de uso de los dispositivos digitales empresariales, parece razonable que el control consista en recabar información de datos de tráfico, sin que ello suponga, en principio una afectación del derecho al secreto de las comunicaciones; sin perjuicio de su valoración en los supuestos concretos de aplicación del protocolo.

c) Si se refiere a la previsión del apartado 5º.3 (iv) de "acceso remoto, incluso forzado, a los Recursos TIC de Nestlé. Acceso a controladores, software, hardware o dispositivos integrados o no, cuando corresponda, borrado o formateado total o parcial a distancia de cualquier contenido, función o utilidad del dispositivo en caso de que tras detectarse o sospecharse que pudiera ser ilícito, inadecuado o comprometedor, así se decida en el oportuno procedimiento o en caso de incidentes de seguridad, brechas, pérdida o robo",tampoco cabe apreciar lesión del derecho del secreto a las comunicaciones.

En primer lugar, por cuanto que esta posible actuación supone acceder en remoto a elementos del dispositivo no a elementos personales de los trabajadores, que debe recordarse no deben estar alojados en el dispositivo porque el propio Anexo así lo ha establecido.

En segundo lugar porque permite borrar funciones o utilidades del dispositivo, lo que en nada afecta al secreto de las comunicaciones, pues son elementos no personales integrados en el dispositivo, no alcanzándose cómo y porqué quedaría afectado el derecho fundamental. Es cierto que también se permite el borrado de contenido, y que pudiera haberse alojado en el dispositivo contenido personal, pero no debe olvidarse que el Anexo expresamente prohíbe alojar información de carácter intima o privada, de suerte que la previsión parte de la premisa de que el borrado lo es de contenido estrictamente profesional.

En tercer lugar, este acceso remoto se configura como una actuación excepcional y causal, por cuanto solo se producirá si se detecta o sospecha de ilicitud, inadecuación o situación comprometedora o si se produce incidentes o brechas de seguridad, perdidas o robo de los dispositivos. Se conforma un acceso para supuestos concretos que, en principio, no comprometen el secreto a las comunicaciones, debiendo estar a cada concreto acceso para determinar si se supera o no el canon de ajuste constitucional.

3.3. Finalmente en relación a la protección de datos se argumenta que resulta lesionado porque "el acceso a cuentas externas personales supone una intromisión ilegítima en la esfera privada".Dada la vaguedad de su formulación, teniendo presente que las previsiones del Anexo que hablan del acceso a cuentas externas ya han sido objeto de análisis, debemos estar a lo dicho en el punto 2º del Fundamento Jurídico Sexto y punto 3.2 b) del Fundamento Jurídico Séptimo.

4. Como última petición se solicita una indemnización para cada uno de los sindicatos demandantes por haberse vulnerado su derecho a la libertad sindical, en su vertiente funcional ex artículo 28.1 de la CE, al haberse infringido lo previsto en el artículo 64 del ET. Solicitud que no puede ser atendida por cuanto, a tenor de lo previsto en el Fundamento Jurídico Tercero, no se ha acreditado lesión alguna del derecho de participación de los representantes de los trabajadores

OCTAVO.-En varios hechos y fundamentos de ambas demandas se viene, sin la más mínima concreción, a sostener que el Anexo es contrario a la doctrina contenida en la STEDH de 5 de septiembre de 2017 (Caso Barbulescu). Si bien dicha doctrina se elabora y se aplica para comprobar el ajuste de controles empresariales acaecidos -no hipotéticos- al artículo 8 del Convenio Europeo, de suerte que dichos parámetros se entienden respecto a situaciones fácticas ya actualizadas, no todos ellos son verificables cuando de lo que se trata es de enjuiciar el ajuste al artículo 8 del Convenio Europeo de un protocolo que establece unos criterios de uso de los dispositivos digitales. Dicho de otra manera, la doctrina del TEDH nace del enjuiciamiento de prácticas de control empresarial realizadas no del establecimiento de criterios de uso de los dispositivos digitales, lo que hace que alguno de los parámetros enumerados en la doctrina del TEDH no puedan ser objeto de valoración tal y como son se encuentran formulados por éste.

No obstante, en aras al cumplimiento de la propia doctrina del TEDH que mandata a los órganos jurisdiccionales internos valorar expresamente si se ha producido una lesión en la vida privada de los trabajadores contraria al artículo 8 del Convenio Europeo, esta Sala efectúa las siguientes consideraciones.

En primer lugar, en la presente controversia se ha acreditado que los trabajadores/as han sido informados de forma clara y previa de la posibilidad de efectuar controles y de su aplicación el 10 de septiembre de 2025, estando prevista su entrada en vigor el 15 de septiembre.

En segundo lugar, el Anexo informa de forma detallada sobre el alcance de la supervisión que va a llevar a cabo la empresa, así como los grados de intrusión en la vida privada del empleado, distinguiendo, por un lado, entre el control del flujo de comunicaciones y el de su contenido, configurando el control de flujo como modalidad primaria y el control del contenido como modalidad excepcional; además, como ya se ha observado, incluso el control aleatorio y regular se configura como un control no exhaustivo, ni masivo, ni permanente, ni continuo, ni intrusivo. Debe observarse que la doctrina del TEDH no prohíbe el acceso al contenido de las comunicaciones, lo que señala es que no es ajustado a derecho acceder a dicho contenido si no se ha informado previamente de tal posibilidad a la persona trabajadora (apartado 120 STEDH de 5 de septiembre de 2017).

En tercer lugar, si bien el parámetro utilizado en la doctrina del TEDH consiste en valorar quien ha tenido acceso a los resultados del control lo que lo hace difícilmente verificable en la presente controversia en la que no se analiza un concreto supuesto de control, debe advertirse que el Anexo específica en su apartado 5.5 qué personas pueden tener acceso a los resultados del control. En efecto se establece, por un lado, que "para proteger los derechos de las Personas Usuarias, con carácter general, tendrán conocimiento de los resultados de dichos controles, la Dirección de Legal y Compliance, la Dirección de RR.HH. y la Compliance Manager del grupo Nestlé en España, además de las personas del equipo de Forensics que participen en la realización de los mismos",y, por otro lado, que "en casos específicos y debidamente justificados, si así lo deciden conjuntamente la Dirección de Legal y Compliance, la Dirección de RR.HH. y la Compliance Manager, podrán tener acceso al resultado de tales controles, los miembros del Comité Ibérico de Compliance, y/o determinados miembros de la dirección, garantizando siempre el cumplimiento de las normativas vigentes en materia de privacidad y protección de datos".

En cuarto lugar se explicitan de forma clara los intereses legítimos a los que trata dar satisfacción la supervisión (verificar y controlar el cumplimiento de las obligaciones laborales de las Personas Usuarias y garantizar la integridad de los Recursos TIC; permitir el ejercicio de las facultades de dirección, organizativas y disciplinarias del empleador; proteger los activos sensibles de Nestlé, incluyendo los secretos empresariales, la información comercial, la información corporativa y la propiedad industrial e intelectual; prevenir fugas de información reservada o confidencial; prevenir o evitar usos indebidos, filtraciones de datos o posibles vulneraciones de los derechos de terceros; el cumplimiento normativo, la prevención y sanción de conductas inadecuadas, ilícitas, susceptibles de constituir delitos o infracciones civiles, penales o del orden laboral, contrarias a la ley, a los Principios Corporativos Empresariales, al Código de Conducta Empresarial y demás normativa interna de Nestlé; la salvaguarda de su imagen pública, intereses corporativos y reputacionales) y se define el posible alcance del control, configurando el acceso al contenido como posibilidad excepcional.

En quinto lugar, se establece una garantía general consistente en que cualquier medida de control deberá pasar previamente el filtro "del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas";además de una serie de garantías que se observarán, tal y como indica, el Anexo "en todo momento",como son a) la proporcionalidad del acceso, ponderando si el beneficio que obtiene la compañía al verificar el uso correcto de sus Recursos TIC (ya sea proteger su información o garantizar el cumplimiento de los deberes contractuales) resulta superior al sacrificio o afectación de la esfera individual de la Persona Usuaria (limitándolo a un período de tiempo concreto; a tipos determinados de archivos (imágenes, contratos, tablas de datos, listados), a un conjunto limitado de mensajes enviados a ciertos dominios, o relacionados con ciertos incidentes, etc.); b) una monitorización no indiscriminada (de ordinario, los controles se realizarán desde los servidores de la empresa, no desde los dispositivos asignados a la Persona Usuaria; c) que los parámetros de búsqueda intenten, en la medida de lo posible, limitar la invasión de cualquier intimidad; d) la minimización o eliminación inmediata de los datos o la información personal no relacionada con las finalidades protegidas a la que se acceda; y e) la ausencia de intromisión o afectación a la esfera íntima del trabajador.

Debe tenerse en cuenta, además, por un lado, que la adopción de una medida de control no corresponderá únicamente al Departamento de Recursos Humanos, dado que se establece que "en todo caso, cualquier control, supervisión, acceso y registro de los Recursos TIC de una Persona Usuaria en concreto para su revisión por parte de Nestlé deberá ser solicitado a y aprobado conjuntamente por: (i) la Dirección de Legal y Compliance; y (ii) la Dirección de RRHH";por otro lado, que se contempla que la posible imposición de una sanción se sujeta a un procedimiento contradictorio.

En sexto lugar, se contemplan expresamente las consecuencias que para el trabajador/a se pueden derivar del resultado del control, al establecerse que "podrán ser corregidas, disciplinadas o sancionadas en los términos ya previstos en los procedimientos y normativa establecida en la regulación interna de Nestlé y en la legislación vigente",también "con el fin de asegurar evidencias físicas o digitales que de otra manera pudieran ser destruidas"se "podrá impedir el acceso o apartar a las Personas Usuarias de los Recursos TIC que tenga asignados en cualquier momento y sin previo aviso; debiendo aquella abstenerse de utilizarlos y ponerlos inmediatamente a disposición de Nestlé",o "adoptar cualquier otra medida sumaria, anticipada o cautelar prevista en la legislación aplicable".

En séptimo lugar, se enumera en la doctrina del TEDH como parámetros a valorar si "habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado"y "de qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida".Es evidente que estos parámetros sólo pueden comprobarse respecto de un control empresarial ya realizado; pero como quiera que dichos parámetros no son sino los juicios de idoneidad y necesidad integrados en nuestro canon constitucional de proporcionalidad, debe considerarse que el Anexo se sujeta a ambos parámetros al sujetar cualquier control al referido canon.

Esta Sala, a la vista de lo expuesto, considera que el contenido del Anexo se ajusta a los parámetros elaborados por la doctrina del TEDH; sin perjuicio de que de la posible aplicación práctica que se haga del Anexo se pudiera afectar injustificadamente alguno de los derechos fundamentales con ocasión de la implementación de un concreto control.

NOVENO.-Contra esta sentencia, sin perjuicio de su ejecutividad, cabe recurso ordinario de casación conforme el art. 206.1 LRJS.

En virtud de lo expuesto y vistos los preceptos legales citados y demás de general aplicación

PRIMERO.-La Sala de lo Social de la Audiencia Nacional es competente para conocer del presente proceso de conformidad con lo dispuesto en los artículos 9.5 y 67 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, en relación con lo previsto en los artículos 2 g) y 8.1 de la Ley 36/2011, de 10 de octubre, Reguladora de la Jurisdicción Social.

SEGUNDO.-De conformidad con lo dispuesto en el artículo 97.2 de la Ley 36/2011, de 10 de octubre, Reguladora de la Jurisdicción Social, los hechos declarados probados se sustentan bien en hechos no controvertidos o pacíficos, bien en cada una de las fuentes de prueba incorporadas a través de los medios de prueba previstos legalmente, tal y como se expresa a continuación:

El Hecho Primero y el Tercero son hechos conformes al ser reconocidos por ambas partes.

El Hecho Segundo de la conformidad de las partes y de la prueba documental obrante en los descriptores 66 y 67.

El Hecho Cuarto de la fuente de prueba documental obrante en los descriptores 70 y 74.

El Hecho Quinto de la fuente de prueba documental obrante en el descriptor 69.

El Hecho Sexto de la fuente de prueba documental obrante en los descriptores 72 y 73.

El Hecho Séptimo de la fuente de prueba documental obrante en el descriptor 81.

El Hecho Octavo de la fuente de prueba documental obrante en el descriptor 82.

El Hecho Noveno de la fuente de prueba documental obrante en los descriptores 83 y 84.

El Hecho Décimo de la fuente de prueba documental obrante en el descriptor 84.

El Hecho Decimoprimero de la fuente de prueba documental obrante en el descriptor 87.

El Hecho Decimosegundo de la fuente de prueba documental obrante en el descriptor 90.

El Hecho Decimotercero de la fuente de prueba documental obrante en los descriptores 91 y 93.

El Hecho Decimocuarto de la fuente de prueba documental obrante en el descriptor 94.

El Hecho Decimoquinto y Decimosexto de la fuente de prueba pericial practicada en la persona de Doña María Inmaculada.

El Hecho Decimoséptimo de la fuente de prueba documental obrante en el descriptor 7.

TERCERO.-1. Las demandas contienen varias pretensiones cada una de ellas en parte coincidentes y en parte disimiles. Por meras razones de lógica procesal debemos abordar en primer lugar la pretensión común consistente en solicitar la nulidad del Anexo al considerar que este se ha establecido unilateralmente por la empresa sin la participación de la representación de los trabajadores, porque su estimación haría innecesaria entrar a analizar los otros motivos de impugnación.

La demanda presentada por CCOO solicita la nulidad del anexo al entender que la conducta de la empresa supone una vulneración de los apartados 5 y 6 del artículo 64 del ET que reconocen el derecho de la representación de los trabajadores a ser informados y consultados en el establecimiento de sistemas de control de trabajo; complementados con lo previsto en el artículo 87.3 de la LOPDGDD que atribuye a la representación de los trabajadores el derecho a participar en la elaboración de criterios de utilización de los dispositivos digitales. Considera que los preceptos antecitados se han incumplido porque la empresa solo ha conferido un plazo de quince días para realizar comentarios y no se ha realizado un proceso de consulta y negociación real y efectivo previo a la implantación de cualquier política sobre utilización de los dispositivos digitales de la empresa.

La demanda conjunta de UGT, CSIF, CGT Y USO sostienen la nulidad del Anexo al considerar que se han vulnerado su derecho a la negociación colectiva ex artículo 28 de la CE, en relación al artículo 64 del ET y el artículo 87.3 de la LOPDGDD; afirmando que resulta de aplicación al presente procedimiento la STS de 6 de febrero de 2024 (Rec. 263/2022) que declaró nula la política empresarial aprobada sin la participación de la representación de los trabajadores al considerar que el apartado 3º del artículo 87 LOPDGDD resulta de imperativa observancia en los supuestos en los que el trabajo se realice mediante dispositivos digitales. Entienden que la conducta de la empresa no cumple con las exigencias de los preceptos antecitados al limitarse a comunicar, en mayo de 2025, a la representación de los trabajadores el referido anexo, cuyo texto definitivo quedó fijado en julio, limitándose su intervención a un trámite de alegaciones, tras el cual el texto quedó prácticamente inalterado en su versión final respecto a la versión inicial

Sobre el incumplimiento de la obligación empresarial de contar con la participación de la representación de los trabajadores/as, las empresas demandadas manifiestan que el artículo 87 de LOPDGDD no concreta la fórmula participativa y no se puede imponer a la empresa una concreta formula, como es la negociación; tampoco se impone la necesidad de un acuerdo, ni el supuesto está contemplado tampoco en el artículo 64 del ET, ni se deduce de la norma comunitaria la concreta fórmula de participación. Se ha cumplido aquí de manera evidente con la participación porque, primero, en mayo de 2025 se elabora una primera versión y se notifica dando un plazo de 15 días para que se realicen alegaciones a todos los comités de empresa de la compañía. Se suspende la entrada en vigor de la política de seguridad, prevista para el 1 de julio, para interpretar entender y analizar las alegaciones, entrando en vigor el 15 de septiembre. Se realiza un segundo borrador, con incorporación de algunas aportaciones, se remite a la representación de los trabajadores y se da nuevo plazo de alegaciones.

2. Al aducirse la vulneración de la negociación colectiva ex artículo 28, en relación con el artículo 64 del ET y el artículo 87 de la LOPDGDD en la fijación de los criterios de utilización por parte de los trabajadores/as de los dispositivos digitales puestos a su disposición por la empresa, debe tenerse en cuenta que siendo este el objeto de controversia el precepto controvertido es el artículo 87 de la LOPDGDD y no el artículo 64 del ET, por constituir aquel una regla especial para un supuesto concreto como es el "derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral", a cuyo socaire se prevé una regla particular en materia de facultades de la representación de los trabajadores, frente a la regla general configurada en el artículo 64.5 del ET relativa a los derechos de información, consulta o emisión de informe en materia, entre otras, de implantación y revisión de sistemas de control del trabajo; sin perjuicio de que el artículo 64.5 del ET pueda servir para concordar el alcance del artículo 87 de la LOPGDD, como más adelante diremos. Se podría aducir que el articulo 64.5 f) del ET como norma general no sería de aplicación porque se refiere a sistemas de control y el artículo 87 de la LOPDGDD se refiere a criterios de utilización de dispositivos digitales, constituyendo dos realidades diferenciadas; sin embargo esa diferenciación es más aparente que real dado que estos protocolos de utilización de dispositivos digitales contienen reglas sobre el control de los dispositivos so pena de no ajustarse a la previsión legal así como a la interpretación jurisprudencial y del TEDH, lo que les convierte en protocolos que implementan sistemas de control, como es el caso del Anexo objeto de la presente controversia.

Que el artículo 87 de la LOPD constituye una regla especial en materia de usos de los dispositivos digitales ya lo ha evidenciado la STS de 6 de febrero de 2024 (Rec. 263/2022) al señalar que "el artículo 87.3 LOPD resulta una especificación, para un ámbito determinado, del genérico poder de dirección del artículo 20.3 ET ",y si bien la afirmación se hace en el plano de las previsiones contenidas en los artículos 20.3 del ET y 87.3 de la LOPDGDD en relación al control empresarial; mutatis mutandi es trasladable al plano de la participación de los representantes de los trabajadores en relación a la implementación o revisión de sistemas de control prevista en los artículos 64.5 f) del ET y 87.3 de la LOPDGDD.

Por tanto, el fundamento sobre el que ha de girar la resolución de la controversia se encuentra en el artículo 87 de la LOPDD. En efecto, el primer párrafo de su apartado 3º establece que "los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente"y, a continuación, en lo que resulta relevante determina que "en su elaboración deberán participar los representantes de los trabajadores".

La concreción del papel de los representantes de los trabajadores en la fijación de los criterios de utilización se ha efectuado por el legislador acudiendo a una formula amplia dado que el sentido literal del término "participar" puede englobar varias posibilidades, como la mera información -de acuerdo a la RAE participar puede significar dar noticia o comunicar-, audiencia previa, consulta, emisión de informe o negociación -estas cuatro encajarían en el significado de participar como tomar parte de algo-; por lo tanto, el artículo 87.3 de LOPDGDD no impone, desde una interpretación literal, una determinada posibilidad de actuación de los representantes de los trabajadores al ser una formula abierta. A diferencia de lo que ocurre, por ejemplo, en la misma norma al abordar la política empresarial de desconexión digital en el artículo 88.3 LOPDGDD que exige la audiencia previa de los representantes de los trabajadores; fórmula muchos más concreta que la utilizada el abordar los criterios de utilización de los dispositivos digitales.

No obstante lo anterior, esta Sala debe realizar una serie de precisiones que vienen a completar la anterior conclusión.

En primer lugar, al haberse alegado la existencia de un derecho de los representantes a negociar y acordar los referidos criterios, hemos de señalar que dicha posibilidad es admisible de acuerdo a la formula abierta utilizada en el artículo 87.3 de la LOPDGDD, pero no se deduce que sea esta la única forma de participar, ni que pueda identificarse el término "participar" con "negociar", pues una interpretación teleológica desmiente dicha conclusión dado que en la versión existente en el proceso de tramitación parlamentaria, fruto de una enmienda del Grupo Socialista, sí se concretaba el papel de la representación de los trabajadores en un derecho, no solo a negociar, sino a acordar dichos criterios, dado que el artículo 86.3 del proyecto -actual art. 87.3- establecía que "la empresa acordará con la representación de los trabajadores un protocolo de utilización de los dispositivos digitales facilitados a los trabajadores".En consecuencia, no existiendo previsión legal, ni convencional, que obligue a la empresa a negociar los criterios, difícilmente puede haberse lesionado el derecho a la negociación colectiva de los sindicatos demandantes.

En segundo lugar, si bien la mera interpretación literal del término "participar" en línea de principio admite, como ya hemos indicado, una pléyade de posibilidades en torno al papel que se otorga a la representación de los trabajadores, entre las que se encuentra la mera información, de suerte que se cumpliría con la exigencia del artículo 87.3 de la LOPD con informar la empresa de los criterios que va adoptar en el uso de dispositivos digitales, una interpretación sistemática ad intra y ad extra del apartado controvertido, nos lleva a considerar que la mera información no es suficiente. En efecto, ad intra del artículo 87.3 de la LOPDGDD, se establece que "en su elaboración deberán participar los representantes de los trabajadores",de suerte que participar en su "elaboración"requiere, al menos un cierto papel activo que no se cumple con el mero traslado de información que supone un rol pasivo; mal se puede elaborar algo cuando no se tiene, al menos, la posibilidad de ser oído, lo que sólo se cumple en distintos grados, con la emisión de informe, audiencia previa, consulta o negociación. Ad extra, si nos fijamos ahora en el artículo 64.5 f) del ET que, como ya se ha indicado, contiene la regla general relativa al papel de los representantes de los trabajadores en relación con los sistemas de control, reconoce un derecho a la emisión de informe previo, lo que supone excluir la mera información. Además la coherencia interna de ordenamiento laboral conduce a esta interpretación pues no resulta lógico admitir ex artículo 87.3 de la LOPDGDD la información como forma de cumplir con la participación de los representantes, cuando el artículo 64.5 f) del ET lo excluye al reconocer el derecho a emitir un informe previo.

En tercer lugar, se alega por los sindicatos demandantes que se ha vulnerado su derecho de consulta ex artículo 64.5 f) del ET. Aunque ya hemos dicho que se trata de una regla general que contiene una concreta regla de participación que debe ceder ante la regla especial y abierta contenida en el artículo 87.3 de la LOPDGDD, debe advertirse que del artículo 64.5 del ET no se deriva un derecho de consulta en materia de implementación o revisión de sistemas de control, sino únicamente un derecho de emisión de informe previo. Es verdad que en los dos primeros párrafos del apartado 5º del artículo 64 del ET se reconoce un derecho de información y consulta en una serie de materias entre las que no se encuentran ni los sistemas de control ni los protocolos de uso de dispositivos digitales, y, a continuación, en el párrafo tercero se establece un derecho de emisión de informes enumerando un elenco de materias solo parcialmente coincidentes con las materias de los dos primeros párrafos, lo que evidencia que se distingue entre consulta y emisión de informes.

En este sentido debemos traer aquí la STS de 13 de septiembre de 2016 (Rec. 206/2015), que señala que el artículo 64.5 del ET "distingue entre el derecho de consulta y el emitir informe previo, de forma que aquélla reviste los caracteres que le atribuye el apartado «1» y que le aproximan a la negociación colectiva [«... intercambio de opiniones y la apertura de un diálogo... con espíritu de cooperación...» ] y su obligatoriedad se concreta -en el ámbito estatutario- a los supuestos que detalla el apartado «5» [«... situación y estructura del empleo... cambios relevantes en cuanto a la organización del trabajo y a los contratos... eventuales medidas preventivas...»], en tanto que el derecho a emitir informe parece concebirlo de forma independiente, pues lo refiere a los concretos supuestos que cita el mismo apartado «5», y aunque los supuestos en que se impone obligatoriamente son casi todos ellos propios de consulta [reestructuraciones y cese de plantillas; reducciones de jornada; traslado de instalaciones; procesos de fusión, absorción...], otros que también reseña [planes de formación profesional; implantación y revisión de sistemas de organización y control de trabajo, estudios de tiempos, establecimiento de sistemas de primas e incentivos], escapan a los supuestos generales de la obligada consulta [«situación y estructura del empleo»; «cambios relevantes» en la organización del trabajo; medidas preventivas]".

En consecuencia, debe concluirse que en el artículo 64.5 f) del ET se reconoce a los representantes de los trabajadores un derecho a emitir informe previo pero no a ser consultados; sin perjuicio de que el convenio aplicable pudiera establecer otra fórmula de participación de mayor intensidad, como la consulta o la negociación.

Recapitulando esta Sala considera que el derecho de los representantes de los trabajadores/as a participar en la elaboración de los criterios de utilización de los dispositivos digitales ex artículo 87.3 de la LOPDGDD no se satisface con la mera información de dichos criterios por parte del empresario, sino que requiere como mínimo la emisión por parte de aquellos de informe previo, siendo admisible otros roles como la previa audiencia, consulta, la negociación o el acuerdo, ante el carácter abierto la formula contenida en el precepto legal.

3. En el presente procedimiento ha resultado probado que la empresa, entre los días 28 y 30 de mayo de 2025 se dirige a la representación de los trabajadores/as y les traslada un documento denominado Anexo a la Política Global de Seguridad de Usuarios Final, comunicándoles que entrará en vigor el 1 de julio y dándoles un plazo de quince días para que realicen "comentarios", es decir, alegaciones para que sean valoradas por la empresa. La representación de los trabajadores presentó durante los primeros días de junio de 2025 alegaciones diversas. Recibidas los comentarios/alegaciones la empresa entre el 18 y 20 de junio de 2025 manifiesta a la representación de los trabajadores que iba a valorar la posibilidad de hacer modificaciones y aclaraciones al Anexo, comunicando la postergación sin fecha de su entrada en vigor y la remisión de un segundo borrador del Anexo. La empresa entre el 22 y 24 julio de 2025 remite a la representación de los trabajadores/as un segundo borrador, comunicando un segundo plazo de quince días para que remitiera los comentarios/alegaciones que estimase oportunas; presentándose alegaciones por los distintos órganos de representación entre el 30 de julio y el 7 de agosto de 2025. Las empresas entre el día 3 y 9 de septiembre se dirigen a las distintas representaciones de los trabajadores/as, comunicándoles que el Anexo entrará en vigor el 15 de septiembre de 2025, adjuntándoles le versión definitiva del mismo.

La anterior cronología de hechos revela que las empresas antes de la aplicación del Anexo procedieron a solicitar no uno sino dos informes previos a la representación de los trabajadores/as; lo que constituye una forma de participación subsumible en la exigencia del artículo 87.3 de la LOPDGDD. Debemos llamar la atención de que se hubiera cumplido con el mandato del antecitado precepto con el requerimiento de un único informe previo.

Además, la secuenciación temporal deja ver que dicha petición de informe no fue una mera formalidad porque al entregarse la versión inicial se comunicó como fecha de aplicación el 1 de julio, formuladas las primeras alegaciones y la vista de las mismas, por un lado, las empresas entre los días 18 y 20 de junio comunicaron que aplazaban sine die su aplicación, y, por otro lado, el segundo borrador no se remitió hasta trascurrido un mes, entre el 22 y 24 de julio, para su nueva valoración; presentadas las segundas alegaciones a principios de agosto, entre el 30 de julio y 7 de agosto, tardaría otro mes en remitir ya la versión definitiva, entre el 3 y 9 de septiembre, fijando la fecha de aplicación en el 15 de septiembre. En definitiva, por un lado la fecha de aplicación se pospone dos meses y medio; así como el tiempo que trascurre entre la presentación de alegaciones y el segundo borrador y entre este segundo borrador y la versión definitiva, en ambos casos de un mes, revela que la empresa procedió a estudiar y analizar las alegaciones presentadas.

No resultando, a juicio de esta Sala, obligadas las empresas a recoger -total o parcialmente- las posibles alegaciones formuladas por la representación social y modificar el Anexo por cuanto de la fórmula de participación desarrollada por la empresa -emisión de informe previo- no se deriva dicha posibilidad y, en consecuencia, no cabe apreciar que la conducta de la empresa sea contraria al artículo 87.3 de la LOPDGDD. En este sentido, la ya citada STS de 13 de septiembre de 2016 (Rec. 206/2015), ante un supuesto de hecho en el que la empresa tras la evacuación del informe no modifica su protocolo señala claramente que si "el derecho que correspondía en la materia [...] es de simple informe previo y no el de consulta; [...] no haber acogido sugerencia alguna del informe ni modificado en nada el texto remitido, no comporta el incumplimiento del trámite".

Finalmente debemos descartar, como sostienen los sindicatos demandantes, que la aplicación de la interpretación inserta en la STS de 6 de febrero de 2024 (Rec. 263/2022) avalaría la nulidad del Anexo ahora controvertido porque estamos ante controversias con un planteamiento fáctico distinto que lleva a una distinta solución. En efecto, en dicha sentencia se declaró nula la revisión de la política empresarial porque se acreditó que se efectúo sin la participación de la representación de los trabajadores; cosa que no sucede en el presente procedimiento donde las empresas sí han dado participación a los representantes de los trabajadores, de modo que la doctrina de dicha sentencia del Tribunal Supremo conduce a desestimar la nulidad pretendida por los demandantes.

CUARTO.-Proceden los sindicatos demandantes a impugnar una parte del contenido del Anexo implementado por las empresas demandadas que consta de nueve apartados. No obstante, como quiera que cada una de las demandas solicitan pretensiones no coincidentes, desarrollando una argumentación tampoco coincidente plenamente, debemos proceder a un examen individualizado de cada una de las demandas.

Todos los motivos de nulidad construidos por los demandantes tienen como eje de controversia la confrontación entre los derechos fundamentales de las personas trabajadoras y las facultades de control empresarial derivadas del uso de las nuevas -y no tan nuevas- tecnologías de la comunicación e información, tradicionalmente los sistema de captación de imágenes y sonidos, modernamente el uso de dispositivos digitales de variada índole para el desarrollo de la actividad empresarial, la robotización y la inteligencia artificial. De forma sucinta podemos reconducir los supuestos de control empresarial a dos hipótesis: a) una vinculada al control de la actividad laboral en si misma considerada, siendo la utilización de cámaras de vigilancia, con o sin sistemas de audio incorporado, el dispositivo utilizado por antonomasia; b) la segunda consistente en el control del uso que hacen las personas trabajadoras de los instrumentos y avances tecnológicos que el empresario pone a su disposición para el desarrollo de la actividad profesional. Diferenciación que tiene su importancia, por un lado, desde el plano normativo y desde la perspectiva de la intimidad, porque cada uno de los supuestos tiene una distinta configuración jurídica, el primero viene actualmente regulado en el artículo 89 de la LOPDGDD, el segundo en el artículo 87 de la LOPDGDD; en segundo lugar, porque la forma de afrontar su valoración jurídica, si bien tiene como premisa coincidente la utilización de test de proporcionalidad en la búsqueda de equilibro en la confrontación entre el respeto a los derechos fundamentales y la operatividad del control empresarial, la forma de encauzar el análisis valorativo difiere por cuanto que si se trata del control de la actividad laboral la aplicación del test de proporcionalidad requiere la previa existencia de indicios que afloren una conducta inadecuada, mientras que si se trata del control del uso de los dispositivos digitales el test de proporcionalidad entrará en juego si y solo si no existe expectativa de privacidad/confidencialidad.

En las demandas acumuladas la controversia gira en torno al posible control por parte de las empresas demandadas de los dispositivos que pone a disposición de sus trabajadores/as con ocasión de implementación de las pautas establecidas en un documento Anexo para la utilización de los mismos, no tiene como controversia posibles lesiones de derechos fundamentales actualizadas o verificadas, sino potenciales lesiones a la vista de las pautas elaboradas, lo que resulta importante porque el juicio de esta Sala debe realizarse respecto al ajuste de dichos criterios a lo establecido en el artículo 87 de la LOPDGDD y la interpretación sobre la materia efectuada por el Tribunal Supremo, el Tribunal Constitucional y el Tribunal Europeo de Derechos Humanos.

QUINTO.-1. Aunque estamos ante una controversia relativa al control del uso de dispositivos digitales empresariales, para una comprensión de nuestro razonamiento, debemos evidenciar primeramente que las posibles tensiones entre la facultad de vigilancia y control y el respeto a los derechos fundamentales tuvieron una primera respuesta en clave constitucional a través de dos conocidas sentencias - STC 98/2000, de 10 de abril y STC 186/2000, de 12 de julio- que sentaron las pautas para la aplicación en la siguiente década del control empresarial, no en relación al uso de las herramientas tecnológicas sino en lo atinente al control de la actividad misma de los trabajadores/as. Proclamando nuestro Tribunal Constitucional la eficacia de los derechos fundamentales en el ámbito empresarial, no pudiendo despojarse a los trabajadores de los mismos al socaire de la existencia de un contrato de trabajo, afirma que no estamos ante derechos absolutos sino que pueden ceder «ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho» ; y en opinión del Tribunal Constitucional uno de esos fines legítimos lo encontramos en las facultades de vigilancia como parte integrante del poder de dirección que se reconoce al empresario como imprescindible para la buena marcha de la organización productiva.

Ahora bien nos recuerda también el Tribunal Constitucional que en la confrontación entre el ejercicio de la facultad empresarial de vigilancia y control y el respeto a los derechos fundamentales de los trabajadores se aprecia la existencia de una necesidad de equilibrios y limitaciones recíprocos que se derivan para ambas partes del contrato de trabajo y que suponen, de un lado, la admisión de la validez de dicho poder de vigilancia, y, de otro lado, la admisión de la limitación de dichas facultades organizativas empresariales por parte de los derechos fundamentales del trabajador, quedando obligado el empleador a respetarlos.

La dicotomía conflictiva entre respeto a los derechos fundamentales de los trabajadores y control empresarial de su actividad laboral se enjuició en sede constitucional mediante el conocido «test de proporcionalidad» en el uso de la facultad de vigilancia y control; de suerte que no habrá afectación de derechos fundamentales, apreciándose la proporcionalidad, cuando existiendo una concreta y previa justificación de la adopción de la medida, ésta es susceptible de alcanzar el objetivo que se propone, el denominado «juicio de idoneidad», es estrictamente imprescindible, no existiendo ninguna otra medida más moderada que permita conseguir el objetivo propuesto con igual eficacia, el calificado «juicio de necesidad», y es equilibrada y ponderada, por obtenerse con ella más beneficios o ventajas para el interés general que perjuicios sobre otros posibles bienes o valores en conflicto, el denominado «juicio de proporcionalidad en sentido estricto».

2. Con el trascurrir de los años la imparable irrupción en los entornos empresariales de las nuevas tecnologías como instrumentos de trabajo -señaladamente el correo electrónico e internet- plantearon la validez del control sobre el uso de dichas herramientas por parte de los trabajadores a la que tuvo que hacer frente inicialmente las instancias judiciales, el Tribunal Constitucional y el Tribunal Europeo de Derechos Humanos. No se trataba del ajuste legal y constitucional de los sistemas de vigilancia de la «actividad laboral», sino de dilucidar si el control del uso de las herramientas tecnológicas de trabajo era respetuoso con los derechos fundamentales de las personas trabajadoras.

La primera y primordial respuesta se formuló en la STEDH de 3 de abril de 2007 (Caso Copland), en la que se aborda el control del teléfono, correo electrónico y uso de internet de una trabajadora de un College, con naturaleza de autoridad pública a los efectos de concretar que la lesión se producía respecto a la obligación negativa contenida en el apartado 2º del artículo 8 del Convenio que reza que "no podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás".

Tras reiterar la protección del uso de las nuevas tecnologías en el ámbito laboral por parte de los trabajadores ya establecida en sentencias anteriores, por todas las SSTEDH de 25 de junio de 1997 (Caso Halford) y 16 de septiembre de 2000 (Caso Amman), el Tribunal Europeo de Derechos Humanos, entiende que al no existir previsión legal que avale el control y al no advertirse a la trabajadora que la utilización de dichos medios de trabajo podrían ser objeto de control empresarial, ésta «podía razonablemente esperar que se reconociera el carácter privado de las llamadas efectuadas desde el teléfono del trabajo» e igualmente «podía esperar lo mismo en lo que respecta al correo electrónico y la navegación por Internet». Y ante esta expectativa de privacidad concluye que el control empresarial mediante «la recogida y almacenamiento de información personal relativa a las llamadas telefónicas, correo electrónico y navegación por Internet de la demandante, sin su conocimiento, constituye una injerencia en su derecho al respeto de su vida privada y su correspondencia, en el sentido del artículo 8 del Convenio». Se consagró la premisa de que sí hay una expectativa/esfera de intimidad no puede quebrarse si no se ha advertido previamente al trabajador que el uso de las nuevas tecnologías va a ser objeto de control empresarial; en definitiva, se vino a sostener que si existía una esfera de privacidad no era posible el control empresarial.

En nuestro derecho interno, las primeras respuestas vinieron de la mano del Tribunal Supremo en su sentencia de 26 de septiembre de 2007 (Rec. 966/2006), confirmada posteriormente por las sentencia de 8 de marzo de 2011 (Rec. 1826/2010), matizada por la sentencia de 6 de octubre de 2011 (Rec. 4053, 2010).

La STS de 26 de septiembre de 2007 recepciona la doctrina establecida en la STEDH de 3 de abril de 2007, para establecer un límite al control empresarial que actúa como garantía de los derechos fundamentales del trabajador. En efecto, partiendo de la propia realidad social en la que se constata «un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores», sostuvo que dicho hábito social genera en el trabajador/a una expectativa generalizada de confidencialidad en la utilización de los medios tecnológicos que da lugar a una esfera de intimidad y privacidad que debe ser respetada por el empleador; advirtiendo, no obstante, que esa expectativa de intimidad no puede ser utilizada de coartada para proceder a un uso contrario a las pautas establecidas por el empleador.

Ahora bien, la STS de 6 de octubre de 2011 matiza que, constatada la inexistencia de una situación de tolerancia del uso personal, bien por la existencia expresa de una prohibición de uso o bien por una advertencia expresa o implícita de control, «tampoco existe ya una expectativa razonable de intimidad», de suerte que si el uso personal no es lícito «no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo», es más, el trabajador que, mediando una prohibición de uso personal, utiliza las nuevas tecnologías empresariales para fines particulares sabe que su acción «no es correcta y sabe también que está utilizando un medio que, al estar lícitamente sometido a la vigilancia de otro, ya no constituye un ámbito protegido para su intimidad». Y ahonda en esa reflexión al exponer la advertencia acerca de la existencia de actuaciones que suponen una minoración voluntaria de las barreras de protección de la intimidad o del secreto a las comunicaciones, siendo una de esas actuaciones «la utilización de un soporte que está sometido a cierta publicidad o a la inspección de otra persona», de suerte que «quien manda una postal, en lugar de una carta cerrada, sabe que el secreto no afectará a lo que está a la vista; quien entra en el ordenador sometido al control de otro, que ha prohibido los usos personales y que tiene ex lege facultades de control, sabe que no tiene una garantía de confidencialidad».

Aparte de considerar que una prohibición absoluta del uso personal conlleva, implícitamente, una advertencia sobre la posibilidad empresarial de controlarlo, la novedad de esta matización radica en aclarar que no puede apreciarse una expectativa razonable de intimidad en dos supuestos, cuando se haya formulado una prohibición expresa del uso personal de las nuevas tecnologías empresariales o, lo que resulta más novedoso todavía, cuando se declare que dicho uso personal queda sometido a la facultad de control empresarial. Por lo tanto, en este último pronunciamiento del Tribunal Supremo parece que se equipara, a los efectos de apreciar una esfera de privacidad del trabajador, la prohibición absoluta de uso y la advertencia de someter dicho uso al control empresarial.

Y en atención a lo anterior, los dos primeros pronunciamientos del Tribunal Supremo procedieron a concretar qué es lo que debe hacer el empleador si quiere desplegar su poder de control sobre los medios tecnológicos. De suerte que, al amparo de la buena fe, el empresario debe proceder a configurar previamente «las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va a existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones». No obstante, la STS de 6 de octubre de 2011 señalo que estas reflexiones se efectuaron «obiter dicta y en el marco de la buena fe o de la legalidad ordinaria [...] fuera del marco estricto de la protección del derecho fundamental, como obligaciones complementarias de transparencia», de suerte que las mismas serán válidas siempre que no exista prohibición expresa del uso personal, pues sí existe dicha prohibición «deja de haber tolerancia y ya no existirá esa expectativa, con independencia de la información que la empresa haya podido proporcionar sobre el control y su alcance, control que, por otra parte, es inherente a la propia prestación de trabajo y a los medios que para ello se utilicen, y así está previsto legalmente». En consecuencia, si existía prohibición de uso particular de las nuevas tecnologías, en la medida en que lleva implícita la posibilidad de control, no era necesario que se explicite expresamente, además, el sometimiento del uso de las herramientas tecnológicas a la facultad de control empresarial.

Consolidada la solución dada por el Tribunal Supremo, no tuvo que trascurrir mucho tiempo para que el Tribunal Constitucional se pronunciase sobre la cohonestación de los derechos fundamentales de los trabajadores y la concreta facultad empresarial de vigilancia del uso realizado por los éstos de las herramientas tecnológicas.

En la STC 241/2012, de 17 de diciembre, no se estaba cuestionando una acción de control empresarial, dado que quien descubre las conversaciones almacenadas en el ordenador es otro empleado que las pone en conocimiento de la empresa, se cuestiona sí al utilizarlas para sancionar al trabajador se había operado una lesión de derechos fundamentales del derecho a la intimidad y del derecho al secreto de las comunicaciones.

Ni al abordar la posible lesión del derecho a la intimidad de la trabajadora ni su derecho al secreto a las comunicaciones el Tribunal Constitucional utiliza el test de proporcionalidad, quizá porque, como ya he dicho, no se cuestiona una determinada acción de control empresarial. Se descarta que se haya producido una injerencia en la intimidad de la trabajadora merecedora de amparo dado que, a juicio del Tribunal Constitucional, fue ella quien con sus actos difuminó la privacidad de sus conversaciones «al incluirlas en el disco del ordenador en el cual podían ser leídas por cualquier otro usuario, pudiendo trascender su contenido a terceras personas», incluida la empresa; fue, por tanto, la trabajadora, con sus propios actos, quien posibilitó el conocimiento de las conversaciones por otro trabajador de la empresa, que casualmente y sin ninguna intencionalidad tuvo acceso a todo su contenido, quien, a su vez, lo comunicó a la empresa.

Lo relevante de esta sentencia se encuentra al afrontar la posible vulneración del derecho al secreto a las comunicaciones, dado que, por primera vez, se acoge la posible existencia de una expectativa de intimidad, así como cobra especial protagonismo la política empresarial sobre el uso de los medios tecnológicos empresariales. Tras reconocer que el empresario puede adoptar distintas soluciones -desde la prohibición absoluta de uso hasta la permisividad del uso personal-, y encontrarse recogías en diferentes instrumentos -ordenes, instrucciones, protocolos, códigos de conducta-, sin mención alguna al principio de proporcionalidad, afirma que para valorar si el acceso al contenido de los ordenadores u otros medios informáticos empresariales puestos a disposición de los trabajadores ha vulnerado un derecho fundamental «habrá de estarse a las condiciones de puesta a disposición, pudiendo aseverarse que la atribución de espacios individualizados o exclusivos puede tener relevancia desde el punto de vista de la actuación empresarial de control», de suerte que «el ejercicio de la potestad de vigilancia o control empresarial sobre tales elementos resulta limitada por la vigencia de los derechos fundamentales, si bien los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empresario a tal fin». En definitiva, la posible lesión de un derecho fundamental al desplegarse la facultad empresarial de vigilancia y control de las herramientas tecnológicas vendrá condicionada por la existencia de pautas de uso de dichos instrumentos, y, en su caso, por el alcance y solución contemplados en ellas.

Se estableció un pauta interpretativa, en sede constitucional, relativa al control empresarial de la actividad laboral, concretamente sobre el uso de las herramientas empresariales de carácter tecnológico que revela una nueva arista en la doctrina constitucional en la línea de la solución jurisdiccional acogida por el Tribunal Supremo.

La confirmación de la antecitada pauta interpretativa se va a producir en la STC 170/2013, al afirmar el Tribunal Constitucional que lo que «procede [es] determinar el régimen de uso por los trabajadores de las herramientas informáticas de titularidad empresarial que resultaba aplicable en la empresa demandada en el momento de producirse los hechos». Para el Tribunal Constitucional cualquier análisis de la posible existencia de lesión de un derecho fundamental de un trabajador al desplegarse la facultad empresarial de vigilancia y control sobre el uso de las herramientas tecnológicas tiene como punto de partida el régimen de utilización establecido por el empresario, de suerte que aclarado cuales sean las pautas existentes en la empresa se debe abordar la posible lesión de los derechos fundamentales. Es decir si existe la expectativa de privacidad/confidencialidad el control no es posible y, en consecuencia, no procede ponderar el respeto a los derechos fundamentales ante el control empresarial, sino ab initio apreciar la lesión del derecho fundamental; por el contrario, como sucede en el caso enjuiciado en la sentencia, descartada la existencia de expectativa de privacidad y afirmada la posibilidad de desplegarse el control empresarial sobre el uso de los medios tecnológicos, procede examinar si dicha facultad empresarial ha sido respetuosa con los derechos fundamentales del trabajador para lo cual retoma la aplicación del test de proporcionalidad.

De la interpretación jurisprudencial y constitucional se evidencia que una cosa es la existencia de expectativa de privacidad como premisa previa para admitir el control empresarial de los dispositivos digitales y otra cosa distinta es la pervivencia de los derechos fundamentales, lo que acaece en todo supuesto, sin perjuicio de su modulación y la posibilidad de que cedan ante la facultad de control siempre y cuando este supere el test de proporcionalidad. Dicho de otra manera, una cosa es que no exista expectativa de privacidad a efectos del control y otra cosa muy distinta es que esa falta de expectativa suponga también la negación de los derechos fundamentales, lo que no resulta admisible dado que éstos solo podrán ceder su eficacia ante el ejercicio del control empresarial si éste, insistimos, supera el test de proporcionalidad.

Con posterioridad la STEDH de 5 de septiembre de 2017 (Caso Barbulescu) vuelve a resolver la posible contravención de la obligación negativa establecida en el artículo 8.2 del Convenio Europeo de Derechos Humanos ante el control del correo electrónico de un trabajador, existiendo una normativa interna que establecía expresamente la prohibición de uso con fines personales de los medios tecnológicos empresariales, si bien no advertía de la posibilidad de control de dichos dispositivos. En este pronunciamiento, si bien es cierto que se parte de la premisa de que "la empresa empleadora tiene un interés legítimo en garantizar el buen funcionamiento de la empresa, lo que puede hacer mediante la creación de mecanismos que garanticen que sus empleados desempeñen sus funciones profesionales de manera adecuada y con la celeridad requerida",no es menos cierto que de forma indubitada se afirma que "el establecimiento por una empresa de medidas para vigilar la correspondencia y otras comunicaciones, sea cual sea su alcance y duración"debe ir "acompañado de garantías adecuadas y suficientes contra los abusos",situando a los parámetros de proporcionalidad y existencia de garantía procesales en el vértice necesario para evitar la arbitrariedad, lo que le lleva a formular una serie de factores -reiterados en la STEDH de 6 de noviembre de 2025 (Caso Guyvan)- a tener en cuenta a la hora de examinar si se ha producido o no una afectación injustificada de la privacidad al efectuar el empresario el control del uso de los dispositivos digitales empresariales, a saber:

- Si el trabajador/a ha sido informado de forma clara y previa de la posibilidad de que el empleador tome medidas para supervisar su correspondencia y otras comunicaciones, así como la aplicación de tales medidas.

- El alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada del empleado, distinguiendo, por un lado, entre el control del flujo de comunicaciones y el de su contenido; y, por otro lado, si la supervisión se ha realizado sobre la totalidad o sólo una parte de las comunicaciones y si ha sido o no limitado en el tiempo, así como el número de personas que han tenido acceso a sus resultados.

- La existencia de argumentos legítimos para justificar el control de las comunicaciones y el acceso a su contenido, requiriendo ese último justificaciones más fundamentadas.

- Posibilidad de establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado.

- Las consecuencias de la supervisión para el empleado afectado y de qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida

- Si al empleado se le ofrecieron garantías adecuadas, particularmente cuando las medidas de supervisión del empleador tenían carácter intrusivo; considerándose que son adecuadas si impidieran que el empleador tuviera acceso al contenido de las comunicaciones en cuestión sin que el empleado hubiera sido previamente notificado de tal eventualidad.

En la formulación de estos factores se aprecia que asoma, en primer, lugar la previa información del posible control, reiterándose que la ausencia de esta daba lugar a la conformación de una expectativa de privacidad que impediría el control empresarial -en el Asunto Barbulescu el TEDH concluyó que si bien se había informado de la prohibición de uso personal no se había informado del posible control, lo que supuso el mantenimiento de la expectativa de intimidad-. Solo si se ha producido la información previa sobre el control entraría a valorarse, como se hace en la sentencia, el resto de factores mediante un juicio valorativo coincidente con el test de proporcionalidad manejado por nuestro Tribunal Constitucional.

3. Actualmente nuestro ordenamiento tiene un precepto, el artículo 87 de la LOPDGDD, invocado por el demandante como vulnerado, relativo a la intimidad en el uso de dispositivos digitales en el ámbito laboral. Una de sus virtualidades es ofrecernos las posibles pautas de interacción entre esta modalidad de control empresarial y el respeto de los derechos fundamentales que hasta entonces se había venido estableciendo por nuestra jurisprudencia, doctrina constitucional y los pronunciamientos del TEDH; es más, esta regulación es en su mayor parte una consagración de los criterios esbozados por ellos.

Se afirma, en su apartado 1º, el derecho a la intimidad de los trabajadores en el uso de los dispositivos empresariales, que resulta compatible con el control empresarial de los mismos, incluso de su contenido, tal y como dispone su apartado 2º. No obstante el control solo es posible si se dan las siguientes circunstancias:

- Que la finalidad sea bien vigilar el cumplimiento de las obligaciones laborales o estatutarias o bien garantizar la integridad de los dispositivos.

- Que el empleador haya establecido criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente.

- Que en la elaboración hayan participado los representantes de los trabajadores.

- Se especifique de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores si se ha admitido el uso privado de los dispositivos digitales empresariales

- Se haya informado a los trabajadores de estos criterios.

En consecuencia, el artículo 87 de la LOPDGDD no solo establece como elemento para no apreciar la expectativa de intimidad la información previa, sino que adiciona otros presupuestos sin los cuales no es posible el control por existir dicha expectativa. A efectos de este motivo de impugnación lo relevante es que en dicho precepto encontramos también la diferencia entre la expectativa de privacidad a efectos de control y la pervivencia del derecho fundamental. En primer lugar, porque el control es posible si se observan los presupuesto enumerados en el precepto al desaparecer la expectativa de intimidad, pero esto no enerva la vigencia de los derechos fundamentales por cuanto de forma clara se nos dice que los criterios de utilización deberán respetar "los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente";expresión que, si bien es genérica, debe suponer que se está haciendo referencia, entre otros elementos de interpretación y valoración jurídica, al test de proporcionalidad, cuya aplicación supone la pervivencia del propio derecho fundamental aunque se haya descartado la expectativa de privacidad. En segundo lugar, porque cuando se permite el uso privado, el artículo 87.3 de la LOPDGDD permite el control también siempre que se especifique los usos autorizados y "se establezcan garantías para preservar la intimidad";luego incluso cuando se admite el control del dispositivo habiendo autorizado su uso privado, no existiendo expectativa de privacidad, se mantiene la vigencia del derecho fundamental.

SEXTO.-1. En la demanda articulada por CCOO se articula como primer motivo de impugnación la existencia de la contradicción que se aprecia en los apartados 1º y 2º del Anexo cuando se permite el uso privado y al mismo tiempo se establece que los trabajadores/as no pueden tener expectativa alguna de privacidad; indicándose que las etiquetas personales o privadas se tendrán por no puestas, lo que supondría una lesión del derecho a la intimidad ex artículo 18 CE y 87.1 LOPDGDD.

Este primer motivo debe ser resuelto teniendo en cuenta que el Anexo objeto de controversia no es sino la plasmación del mandato contenido en el artículo 87.3 de la LOPDGDD dirigido al empleador de establecer los criterios de uso de los dispositivos digitales puestos a disposición de las personas trabajadoras para desarrollar la prestación laboral.

En la fijación de esos criterios se parte en el apartado 2º del Anexo de la premisa general de que "los Recursos TIC son medios de producción y herramientas de trabajo que Nestlé proporciona a las Personas Usuarias, con la única y exclusiva finalidad de que puedan desempeñar, en nombre, por cuenta y en interés de la compañía, sus funciones profesionales",y es por ello que "dado su carácter de instrumentos de trabajo, están sometidos a las facultades de control, organización, disciplina, disposición y corrección de la compañía, que podrá ejercer en cualquier momento, mediante la supervisión, monitorización, acceso, revisión, eliminación, bloqueo o retirada de los mismos, ya sea de forma cautelar, preventiva, temporal o

Definitiva"; lo que lleva a establecer que "en consecuencia, las Personas Usuarias no pueden tener expectativa alguna de privacidad y/o de confidencialidad en su uso".

Sentada la regla general de la utilización profesional de los dispositivo digitales, el Anexo permite una utilización personal de los dispositivos digitales al establecer que "no se prohíbe absoluta y categóricamente un uso privado",si bien no lo hace de forma abstracta y genérica por cuanto somete dicho uso a una serie de presupuestos que son que sea un uso "moderado, razonable, limitado y puntual, de los Recursos TIC, en la medida en que no interfiera, menoscabe, comprometa, reduzca, ralentice o perjudique la actividad profesional, el desempeño de sus responsabilidades laborales ni la productividad de las Personas Usuarias, ni suponga un riesgo para la integridad de los sistemas de la compañía, la confidencialidad de la información de Nestlé, sus secretos empresariales (en los términos definidos por la normativa vigente), o exponga, dañe o desmerezca su imagen corporativa o su reputación".A continuación, se reitera también para este uso privado que "no generará derecho o expectativa alguna de privacidad, reserva o confidencialidad para las Personas Usuarias; ni será impedimento para que Nestlé pueda monitorizar, supervisar, acceder y/o revisar dichos recursos en los términos que se detallan en el apartado 5 de este Anexo".

En ambos supuestos la referencia a la falta de privacidad y/o confidencialidad se está refiriendo al presupuesto habilitante del control empresarial no a la privación o desaparición de derecho fundamental alguno.

En el supuesto de la premisa principal de uso profesional de los dispositivos digitales es evidente que, establecido cual es el uso principal de los dispositivos digitales -el profesional- y que el uso se someterá al control empresarial, la consecuencia es que no cabe esperar expectativa de privacidad que impida el control, sin que ello suponga la perdida de vigencia del derecho de intimidad o cualquier otro derecho fundamental. No puede entenderse la frase controvertida como una negación de los derechos fundamentales; si en la aplicación práctica de estos criterios así se produjera, sí habría una afectación injustificada, pero en el plano de la configuración de los criterios de uso concretados en el Anexo controvertido no resulta contradictoria dicha expresión.

En relación al uso privado que se permite, tampoco resulta contradictoria la afirmación de no generarse una expectativa de privacidad o confidencialidad, porque dicha expresión también se refiere al presupuesto habilitante del control, no a la negación de los derechos fundamentales, por cuanto, por un lado, ese uso privado está sometido a una serie de condicionamientos o presupuestos que deben ser comprobados; comprobación que se efectúa mediante el control y así se advierte expresamente cuando se dice que este uso privado no "será impedimento para que Nestlé pueda monitorizar, supervisar, acceder y/o revisar dichos recursos",por otro lado, porque dicho control se hará en los términos que se detallan en el apartado 5 de este Anexo", en el que -además de establecerse las finalidades y alcance del control, su metodología y tipología de los controles y las posibles actuaciones- se establece como garantías que "los controles se realizarán superando holgadamente el filtro del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas, observando la regulación interna de Nestlé y la legislación aplicable";lo que evidencia que no se enerva la eficacia de los derechos fundamentales desde el momento en que el control, a pesar de no existir expectativa de privacidad, se someterá al test de proporcionalidad, lo que permite deducir que esa referencia a la ausencia de expectativa de privacidad se refiere al presupuesto habilitante del control y no a los derechos fundamentales en sí mismo considerados.

Ex abundantia, se argumenta por el sindicato demandante que "la doctrina Barbulescu exige un juicio de proporcionalidad que esta cláusula ignora, resultando desproporcionada y abusiva",sin embargo, ese juicio de proporcionalidad sí se recoge expresamente como garantía en la adopción de cualquier medida de control en el antecitado ut supra apartado 5º del Anexo. En consecuencia, si el propio demandante sitúa el parámetro de licitud de la configuración del uso personal de los dispositivos digitales en relación con la negación de la expectativa de intimidad en el sometimiento al juicio de proporcionalidad, estando éste previsto en el propio Anexo, decae por si misma su argumentación para sostener este motivo de impugnación.

2. Se articula como segunda pretensión que se anule el control aleatorio de cuentas personales previsto en el apartado 3º del Anexo dedicado a regular el uso del correo electrónico al considerar que se trata de una medida desproporcionada que solo podría basarse en la existencia de un interés legítimo ex artículo 6.1 f) del RGPD, para lo cual debe superar un test de ponderación que demuestre que su interés es superior al derecho fundamental a la privacidad del trabajador, sosteniendo que dicho acceso al contenido de comunicaciones personales nunca superaría dicho test.

El apartado 3º al regular el uso del correo electrónico señala que el mismo "ha de hacerse exclusivamente con fines profesionales",estableciéndose expresamente que "se prohíbe, con carácter general, el uso del correo electrónico corporativo para finalidades lúdicas o para el registro en plataformas de terceros que no guarden relación con su actividad laboral en Nestlé (tales como la creación de cuentas y/o suscripción en redes sociales, newsletters, foros, webs de comercio electrónico o venta online)";prohibición que solo se enerva "en el supuesto de que ello resultase necesario",debiendo "la Persona Usuaria deberá solicitar autorización para registrar y utilizar su dirección de correo corporativo en dichos entornos a su People Manager".

A continuación al posibilitar a los empleados el acceso desde los dispositivos empresariales a cuentas de correos personales, a través de las cuales "es posible extraer, alojar y enviar archivos, ficheros o textos generados o ubicados en los dispositivos propiedad de Nestlé desde aquellas"?se podría dar lugar a "la fuga de información y su pérdida de control",lo que le lleva a fijar como criterio que la empresa "podrá realizar controles aleatorios sobre dicha actividad, lo que incluye el posible acceso al contenido de correos salientes, con el objeto de verificar el uso adecuado de los sistemas de información y prevenir posibles riesgos legales o reputacionales".

Siendo este último control objeto de impugnación, estamos en presencia no del control de un dispositivo empresarial, bien un ordenador o bien un teléfono, sino del control de una cuenta de correo electrónico personal a la que se accede desde un dispositivo empresarial. En la vista oral la perito de forma indubitada ha señalado que el control aleatorio y preventivo de esas cuentas personales se realiza sobre el tráfico de datos, es decir los metadatos, relativos a la fecha y hora de acceso, al remitente y el destinatario y, en su caso, al hecho de que se haya adjunto un documento, no se realiza sobre el contenido de dicho correo personal. Además sobre este posible control también se establece que, previamente se sujetará al canon constitucional de proporcionalidad. En consecuencia, desde el plano de la fijación de los criterios de uso, esta Sala considera que esta previsión resulta ajustada a Derecho, sin perjuicio de que en su aplicación práctica no se respete los términos del Anexo y, por ejemplo, no se aplique el canon constitucional, lo que daría lugar a su impugnación por el empleado/a afectado por el concreto control realizado sobre su cuenta personal.

3. Se impugna también el apartado 4º del Anexo, en primer lugar, en lo relativo al alcance de la monitorización, supervisión y registro de los recursos digitales empresariales al considerarlos extraordinariamente amplios por incluir el contenido de los dispositivos, los mensajes enviados, extensión y contenido, historiales de navegación o el acceso remoto o forzado; así como por el hecho de establecer una monitorización regular, preventiva aleatoria y generalizada; considerando el sindicato demandante que solo sería admisible en supuestos tasados, excepcionales y de extrema gravedad.

El artículo 87.2 de LOPDGDD reconoce la posibilidad de que el empresario acceda al "contenido" derivado del uso de los medios digitales, siempre que, entre los presupuesto ya referenciados ut supra, la finalidad sea bien vigilar el cumplimiento de las obligaciones laborales o estatutarias o bien garantizar la integridad de los dispositivos y que se haya establecido criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente.

En cumplimiento de la habilitación/obligación legal que se impone al empresario para acceder al contenido derivado de la utilización de los dispositivos digitales, el Anexo enumera una serie de finalidades subsumibles en las dos genéricas previstas en el artículo 87.3 de la LOPDGDD, así señala que con dicho control se trata de "verificar y controlar el cumplimiento de las obligaciones laborales de las Personas Usuarias y garantizar la integridad de los Recursos TIC; permitir el ejercicio de las facultades de dirección, organizativas y disciplinarias del empleador; proteger los activos sensibles de Nestlé, incluyendo los secretos empresariales, la información comercial, la información corporativa y la propiedad industrial e intelectual; prevenir fugas de información reservada o confidencial; prevenir o evitar usos indebidos, filtraciones de datos o posibles vulneraciones de los derechos de terceros; el cumplimiento normativo, la prevención y sanción de conductas inadecuadas, ilícitas, susceptibles de constituir delitos o infracciones civiles, penales o del orden laboral, contrarias a la ley, a los Principios Corporativos Empresariales, al Código de Conducta Empresarial y demás normativa interna de Nestlé; y la salvaguarda de su imagen pública, intereses corporativos y reputacionales".

A continuación determina el alcance del control que podrá ser del "flujo de actividad"lo que supone el control del "número de correos enviados o recibidos, número y tipología de los archivos adjuntos, volumen de los mensajes en byte, etc.",así como del "tipo de archivos y su potencial contenido",lo que implica el control de "imágenes, tablas de datos, listados, contratos etc.".A continuación se establece que "siempre que ello sea posible, los controles se limitarán inicialmente al filtrado de metadatos (remitente, destinatario, fecha, tamaño del mensaje, archivos adjuntos, etc.), y sólo se accederá al contenido de correos concretos cuando exista una causa justificada, fundada o una alerta (por ejemplo, palabras clave sensibles, coincidencia con los parámetros de búsqueda, fuga de información, etc.) o cuando se realice en el marco de un control aleatorio, limitado y proporcional, bajo supervisión interna, con registro o auditoría del acceso (esto es, documentar qué se revisa, cuándo y por qué).

Diseña dos tipos de controles, uno "aleatorio, regular, preventivo y generalizado tendente a identificar cualquier utilización de los Recursos TIC que pueda poner en riesgo los sistemas de la compañía, la seguridad y confidencialidad de la información, exponga, dañe o desmerezca su imagen corporativa o su reputación";advirtiendo que estos controles aleatorios "no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia",y se accederá "al contenido de los archivos y los correos si resulta estrictamente necesario para los fines indicados, y siempre con respeto a los principios de proporcionalidad, necesidad y minimización de datos".El otro "de carácter investigador y específico, cuando la compañía tenga indicios razonables, sospechas fundadas o evidencias objetivas de un potencial incumplimiento de la legislación aplicable y/o de la normativa interna de Nestlé por parte de una o varias Persona(s) Usuaria(s)".

A continuación explicita que el control y supervisión "puede implicar: el acceso al contenido de los dispositivos y la recogida de la información almacenada o tratada en dichos recursos; el tráfico, volumen y naturaleza de los datos enviados o recibidos; y otras intervenciones que, con el alcance y la intensidad que en cada momento se determine, una vez aplicados los criterios y garantías enunciados en el presente Anexo",efectuando una enumeración no exhaustiva de posibles intervenciones, a saber:

- Informac ión sobre los Recursos TIC facilitados por Nestlé a una Persona Usuaria (ej. los dispositivos que han sido entregados o puestos a su disposición, el ID del dispositivo, las direcciones, , los números de teléfono, etc.);

- Informac ión sobre el uso de los Recursos TIC (ej. información sobre el dispositivo y la conexión de las redes a las que accede; diagnósticos y rendimiento, incluidos informes de fallos y registros de rendimiento; ID de usuario asignados en su navegación por internet; uso de datos móviles, aplicaciones utilizadas, llamadas realizadas, duración de las llamadas, mensajes enviados, extensión y contenido, información disponible sobre los números destinatarios de las llamadas o los mensajes; actividad en Internet, páginas web visitadas, aplicaciones descargadas, cookies o tecnologías de rastreo alojadas en el dispositivo, historiales de navegación, etc.);

- Informac ión detallada sobre el tráfico de datos desde o hacia los Recursos TIC de Nestlé (ej. mensajes enviados y recibidos, tamaño ('size') y extensiones de los archivos y de los contenidos incluidos, direcciones destinatarias, frecuencia de los envíos, volumen y naturaleza de los datos consumidos; acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.);

- Acceso remoto, incluso forzado, a los Recursos TIC de Nestlé. Acceso a controladores, software, hardware o dispositivos integrados o no, cuando corresponda, borrado o formateado total o parcial a distancia de cualquier contenido, función o utilidad del dispositivo en caso de que tras detectarse o sospecharse que pudiera ser ilícito, inadecuado o comprometedor, así se decida en el oportuno procedimiento o en caso de incidentes de seguridad, brechas, pérdida o robo; y

- Análisis sistemático de la información recopilada sobre la actividad de las Personas Usuarias de los Recursos TIC, valoración, evaluación, propuesta y adopción de las medidas correctivas más adecuadas. La información puede almacenarse en cualquier formato y utilizarse en los procedimientos internos o externos del modo que se considere necesario o conveniente para la mejor defensa de los intereses de la compañía con pleno respecto a los derechos de las Personas Usuarias.

Finalmente se establece una garantía general en el ejercicio de la facultad de control consistente en que se realizarán los mismos "superando holgadamente el filtro del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas, observando la regulación interna de Nestlé y la legislación aplicable"y especificando una serie de garantías concretas que será cumplidas "en todo momento

? La proporcionalidad del acceso, ponderando si el beneficio que obtiene la compañía al verificar el uso correcto de sus Recursos TIC (ya sea proteger su información o garantizar el cumplimiento de los deberes contractuales) resulta superior al sacrificio o afectación de la esfera individual de la Persona Usuaria (limitándolo a un período de tiempo concreto; a tipos determinados de archivos (imágenes, contratos, tablas de datos, listados); a un conjunto limitado de mensajes enviados a ciertos dominios, o relacionados con ciertos incidentes, etc.).

? Una monitorización no indiscriminada. De ordinario, los controles se realizarán desde los servidores de la empresa, no desde los dispositivos asignados a la Persona Usuaria.

? Que los parámetros de búsqueda intenten, en la medida de lo posible, l imitar la invasión de cualquier intimidad.

? La minimización o eliminación inmediata de los datos o la información personal no relacionada con las finalidades protegidas a la que se acceda.

? La ausencia de intromisión o afectación a la esfera íntima del trabajador".

A la vista de lo expuesto esta Sala no aprecia que el apartado dedicado a la monitorización, supervisión y registro de recursos TIC produzca vulneración alguna de los preceptos indicados por el sindicato demandante.

En primer lugar, debemos tener presente que el empresario, de conformidad con lo establecido en el apartado 2º del artículo 87 de la LOPDGDD solo puede proceder al control del uso de los dispositivos si éste se basa en alguna de las dos finalidades previstas -control del cumplimiento de las obligaciones laborales o garantizar la integridad de los dispositivos- y esos objetivos con una mayor concreción aparecen reflejados en el apartado 5º del Anexo como frontispicio de las reglas de utilización y control que se desgranan a continuación, de suerte que éstas responden a finalidades admitidas por el precepto legal.

En segundo lugar, ante la invocada amplitud del control debe tenerse presente que si bien en el apartado 5º del Anexo se establece que el control puede ejercitarse tanto respecto al flujo de actividad como al contenido, ello no supone la contravención de norma alguna, desde el momento en que el artículo 87.2 de la LOPDGDD permite el acceso al contenido, si bien, como ya hemos señalado, deberá perseguirse con ello una de las finalidades habilitantes del control y haberse cumplido los presupuestos establecidos en el artículo 87.3 de la LOPGDD. Además, debe tenerse en cuenta que el propio Anexo establece que el control mediante el filtrado de metadatos se concibe como prioritario frente al control del contenido, al que se recurrirá "cuando exista una causa justificada, fundada o una alerta"o "cuando se realice en el marco de un control aleatorio, limitado y proporcional, bajo supervisión interna, con registro o auditoría del acceso".Es decir, pudiendo establecerse la monitorización mediante el control de contenido, por así permitirlo el artículo 87.2 LOPDGDD, se configura como subsidiario del control de metadatos que es menos invasivo que el control de contenidos.

En tercer lugar, en relación al establecimiento de un control aleatorio, regular, preventivo y generalizado, no puede obviarse que en su configuración también se da expresamente una justificación objetiva del mismo, derivada del "tamaño de la organización y al nivel de sensibilidad de la información gestionada por el grupo empresarial"que requiere este tipo de control para "verificar el uso adecuado del canal corporativo y prevenir posibles riesgos legales o reputacionales. Esta medida es necesaria y justificada como parte del Programa de Compliance de la organización y con el fin de proteger la seguridad de la información".No solo no puede desconocerse la realidad de dicha justificación que permite a la empresa recurrir a este tipo de control; sino que, además, debe tenerse presente que en el Anexo se prevé expresamente que este tipo de controles "no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia",y que si se tuviera que acceder al contenido se haría cuando resultase "estrictamente necesario para los fines indicados, y siempre con respeto a los principios de proporcionalidad, necesidad y minimización de datos".

En cuarto lugar, resulta determinante para apreciar la corrección de los criterios de monitorización y supervisión del apartado 5º de Anexo que atendiendo a lo establecido en el artículo 87.3 de la LOPDGDD que si bien otorga al empresario un amplio margen de actuación al fijar los criterios de utilización de los dispositivos digitales establece que deberá respetar "los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente",expresión genérica que plantea dudas sobre su alcance, pero que en cualquier caso, supone respetar los derechos fundamentales y la interpretación constitucional relativa a la interacción de los derechos fundamentales y la facultad de control empresarial, plasmada en el conocido test de proporcionalidad; se sujeta toda la actividad de monitorización y supervisión al "triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas",señalándose que "los controles se realizarán superando holgadamente el filtro"que constituye al antecitado juicio. Lo que se viene a establecer, en definitiva, es que cualquier medida de control se sujetará previamente al test de proporcionalidad, lo que se acomoda con lo previsto en el artículo 87.3 de la LOPDGDD, así como la interpretación constitucional precedente relativa a la valoración del equilibrio entre la vigencia de los derechos fundamentales y el control empresarial.

Lo anterior, no obsta, para que si la puesta en práctica de una medida de control no se ha sujetado previamente al test de proporcionalidad se pudiera incurrir en la lesión de un derecho fundamental y la contravención del artículo 87.3 de la LOPGDDD, pero desde el plano del análisis de la configuración de la monitorización y supervisión, debe reiterarse que ésta cumple con las previsiones legales y el respeto a los derechos fundamentales.

En quinto lugar, se alega la existencia de contradicción entre la afirmación previa "no expectativa de privacidad" y las declaraciones de "la protección de la dignidad y la privacidad de las Personas Usuarias es innegociable y primordial" y que el control se realizará conforme a "los principios de proporcionalidad, idoneidad y justificación de la medida, respetándose, cuando sea prevalente, la intimidad de las Personas Usuarias". Debemos reiterar lo razonado en el punto 1º de este Fundamento Jurídico, de suerte que la expresión "no expectativa de privacidad" se refiere al presupuesto habilitante del control, no a la negación de los derechos fundamentales por lo que resultan compatibles las expresiones contenidas en el apartado 4º del Anexo.

4. El último motivo de impugnación se centra en la criterios de Bring Your Own Device (BYOD)al sostener el sindicato demandante que también se establece que el empleado/a tampoco tendrá expectativa de privacidad en el manejo de dichas aplicaciones y se impugna "cualquier interpretación" que permita a la empresa extender el control más allá de las aplicaciones y datos estrictamente corporativos alojados en el dispositivos personal, limitándose aquel de forma taxativa a los contenidos y aplicaciones corporativas.

Tal y como se ha formulado este motivo de impugnación la Sala debe desestimarlo de plano por cuanto lo que realmente se impugna y así se dice literalmente son posibles interpretaciones futuras que pudiera realizar la empresa y no la propia configuración de los criterios contenidos en la política de BYOD recogida en el apartado 5º del Anexo, ni siquiera se impugnan hechos ya acaecidos en aplicación de la antecitada política.

5. La última pretensión de la demanda de CCOO se concreta en la solicitud de una indemnización para el sindicato demandante por la "vulneración del derecho fundamental a la intimidad, artículo 18 CE , de las personas trabajadoras destinatarias del Anexo".

Esta Sala no puede acoger tal pretensión, en primer lugar porque, como bien explicita el propio sindicato en el suplico de su demanda, la indemnización es para el sindicato, no por la existencia de lesión alguna de su derecho a la libertad sindical, sino por la vulneración del derecho fundamental a la intimidad de sujetos distintos a él, los trabajadores/as a los que se dirige el protocolo de uso de los dispositivos digitales; es decir, solicita para si una indemnización por la afectación de un derecho fundamental de otros sujetos, que podrán tener o no relación con él, en función de si están o no afiliados al mismo.

En segundo lugar, en este concreto proceso de conflicto colectivo estamos ante un conflicto de interpretación no de aplicación, de suerte que se ha llegado a la conclusión de que el Anexo se encuentra ajustado a lo establecido en el artículo 87 de la LOPDGDD, así como al artículo 18 de la CE y la interpretación constitucional existente en torno a la confrontación entre los derechos fundamentales y las facultades de control empresarial; no se ha verificado la existencia de una aplicación concreta del Anexo que haya producido una real y efectiva lesión de derechos fundamentales que requiera ser restituida via indemnizatoria. El conflicto, en resumen, se ha movido en el plano del ajuste interpretativo no en el plano de la verificación de concretas aplicaciones de la previsión declara contraria a Derecho.

SÉPTIMO.-1. La primera de las pretensiones formuladas en la demanda presentada por los sindicatos UGT, CSIF, CGT y USO consiste en solicitar la nulidad del Anexo por haberse vulnerado el derecho a la negociación colectiva de los sindicatos demandantes al implementarse aquel sin la participación de estos. Pretensión que siendo coincidente con una de las peticiones formuladas en la demanda presentada por el sindicato CCOO ha sido resuelta en el Fundamento Jurídico Tercero al que nos remitimos para concluir su desestimación.

2. Se solicita, como segunda petición, la declaración de nulidad de la totalidad del Anexo por vulnerar los derechos fundamentales a la intimidad, al secreto a las comunicaciones y a la protección de datos, petición que se haya huérfana de la más mínima argumentación que explicite porque la totalidad del Anexo lesiona los derechos mencionados, dado que solo se dice en el Hecho Primero de la demanda que "aún en un marco de control empresarial legítimo, el sistema de control implantado vulnera el derecho fundamental a la intimidad, al secreto de las comunicaciones y a la protección de datos personales de las personas trabajadoras, contraviniendo el canon constitucional de limitación de derechos fundamentales que exige que en estos supuestos se respeten los principios de proporcionalidad, necesidad e idoneidad",y en el Fundamento de Derecho IV de la demanda se hacen unas referencias generales, vagas e imprecisas que no afectarían a la totalidad del Anexo sino a aspectos concretos del mismo. Siendo los sindicatos demandantes sobre los que pesa la carga procesal de concretar qué contenido del Anexo resulta, por un lado, contrario a los derechos fundamentales y, especialmente, el porqué, entendido como un corolario argumental razonado de la vulneración alegada; y, por otro, explicitar cómo la afectación de dichos derechos supone la nulidad de la totalidad el Anexo; y, dado que lo único que se expone es una alegación y fundamentación jurídica genérica, debemos desestimar este segundo motivo de impugnación.

Ex abundantia, la única argumentación "concreta" que se articula para solicitar la nulidad de la totalidad del Anexo es que éste contraviene el canon constitucional de limitación de derechos fundamentales que requiere el respeto a los principios de proporcionalidad, necesidad e idoneidad. Siendo este el fundamento de pedir de los demandantes decae su estimación porque, como ya se ha señalado ut supra, la política de uso de los dispositivos digitales empresariales prevé expresamente como garantía que cualquier medida de control se sujetará, precisamente, al canon constitucional que aducen como vulnerado; de suerte que difícilmente puede declararse la nulidad del Anexo por contravenir el antecitado canon cuando éste está expresamente recogido como garantía.

3. Se formula a continuación la impugnación de una serie de previsiones concretas que son expuestas en los hechos probados sin que se ofrezca razonamiento especifico de porqué cada una de esas previsiones atentan a los derechos fundamentales, lo único que se hace por los demandantes es trascribir una serie de pasajes de los apartados 1º, 2º, 3º, 5º.2.1 y 6º, y subrayar una serie de frases dentro de esos párrafos, sin exponer a continuación argumento jurídico alguno relativo a porqué dichas previsiones subrayadas son lesivas de los derechos fundamentales. Esto debería llevar a esta Sala a desestimar de plano la petición de nulidad de dichas previsiones.

No obstante, como se contiene en la fundamentación jurídica de la demanda unas argumentaciones sucintas y genéricas predicables de todas estas previsiones particulares del Anexo, en aras de la búsqueda de ofrecer una solución fundamentada debemos realizar las siguientes consideraciones.

3.1. Se dice que se vulnera el derecho a la intimidad porque "la jurisprudencia constitucional ( STC 292/2000 , STC 170/2013 , STC 39/2016 ) que reconocen un ámbito irrenunciable de intimidad en el trabajo. Las demandadas han implantado un sistema de control del uso de dispositivos, para los que se reconoce el uso privado, que sin embargo vulnera los derechos fundamentales de las personas trabajadoras, en tanto que el control empresarial no se limita a datos corporativos, sino que se extiende al ámbito personal de aquéllas".

Ante la vaguedad con la que se expone la supuesta afectación por parte del Anexo impugnado al ámbito personal de los destinatarios/as del aquél, cabe realizar las siguientes apreciaciones, a saber:

a) Si se refiere a la previsión contenida en el apartado 1º del Anexo en relación al uso personal al establecerse que éste "estará sujeto a monitorización, acceso, supervisión, interceptación y controles, en los términos que se detallan en el presente Anexo",debe señalarse, en primer lugar, que el reconocimiento de un uso personal no impide, ni anula la facultad empresarial de control del dispositivo respecto a ese uso personal; sin perjuicio de que requerirá cumplir con la exigencias del artículo 87.3 de la LOPDGDD; en segundo lugar, porque como se desprende de la propia lectura de la expresión transcrita, dicho control del uso personal se somete a los términos previstos en el anexo, dentro de los cuales está prevista la garantía del respeto y cumplimiento del canon de constitucionalidad que supone la aplicación previa del test de proporcionalidad.

b) Si se refiere a la impugnación de la referencia general contenida en el apartado 2º en virtud de la cual "están sometidos a las facultades de control, organización, disciplina, disposición y corrección de la compañía, que podrá ejercer en cualquier momento, mediante la supervisión, monitorización, acceso, revisión, eliminación, bloqueo o retirada de los mismos, ya sea de forma cautelar, preventiva, temporal o definitiva. En consecuencia, las Personas Usuarias no pueden tener expectativa alguna de privacidad y/o de confidencialidad en su uso",debemos indicar que esta previsión se realiza porque previamente se establece -en el mismo párrafo- que "los Recursos TIC, la información contenida en los mismos, así como la propiedad intelectual e industrial de los trabajos resultantes de su uso en el marco de la relación laboral, son titularidad de Nestlé; en base a su condición de empleador y dado su carácter de instrumentos de trabajo";estamos por tanto ante una previsión la primera que es consecuencia lógica de esta última, dado que si se configura que los dispositivos digitales empresariales son instrumentos de trabajo, destinados como se dice en primer párrafo del apartado 2º del Anexo al desarrollo de las funciones profesionales, resulta coherente explicitar que va a ser objeto de control su uso, sin que dicha previsión suponga per se una lesión del derecho de intimidad.

Si la afectación de la intimidad se achaca a la negación de expectativa de privacidad/confidencialidad, debemos reiterar que dicha expresión se configura como presupuesto para habilitar el control, no como negación de la pervivencia del derecho de intimidad, dado que someter cualquier medida de control al test de proporcionalidad supone el mantenimiento de la eficacia de derecho fundamental en el uso de los dispositivos digitales porque solo es aplicable dicho test si se parte de la premisa de la existencia del derecho fundamental.

c) Si se refiere al criterio contenido en el apartado 3º del Anexo que prevé que "las Personas Usuarias deben abstenerse de incluir en sus correos electrónicos corporativos información que revele aspectos relacionados con su intimidad o su vida privada",estamos ante una especificación sobre lo que no debe hacer el empleado/a que encaja perfectamente en el artículo 87.3 de la LOPDGDD cuando señala, con carácter general, que será el empresario que el establezca los criterios de utilización, y, con carácter singular para el uso privado, que especifique de forma precisa los usos autorizados. Lo que hace esta previsión es precisar que no pueden alojarse en los dispositivos digitales empresariales información intima o privada, no apreciándose razón alguna de en qué modo dicha previsión afecta al derecho de intimidad.

d) Si se refiere a la impugnación del apartado 3º que establece que "las Personas Usuarias deben ser conscientes de que Nestlé podrá realizar controles aleatorios sobre dicha actividad, lo que incluye el posible acceso al contenido de correos salientes, con el objeto de verificar el uso adecuado de los sistemas de información y prevenir posibles riesgos legales o reputacionales",debemos reiterar lo dicho en el punto 2º del Fundamento Jurídico Sexto, para concluir que no se observa una afectación del derecho de intimidad de los destinatarios del Anexo.

e) Si se refiere a la previsión de la política de BYOD (Bring Your Own Device),contenida en el apartado 6º del Anexo, que establece que "la compañía podrá, si lo considera necesario, bloquear remotamente el acceso a las aplicaciones o utilidades corporativas que se hallasen almacenada en el dispositivo o eliminarlas, junto con los archivos adjuntos",debe destacarse que el recurso al BYOD, es decir, a la utilización de los medios personales de los trabajadores para el desarrollo de la prestación laboral se concibe como algo excepcional y siempre previa solicitud del empleado; solicitud que por si sola no le permite a éste último usar sus dispositivos personales ya que se requiere una ulterior autorización expresa de la empresa. Si la autorización se concede, el uso de los dispositivos personales para el trabajo requiere de la previa instalación de determinadas aplicaciones o utilidades empresariales y parece lógico que la empresa aclare, como así hace, que dichas aplicaciones permitirán controlar el adecuado uso que se realice de dichas aplicaciones corporativas.

Partiendo del hecho de que el uso de dispositivos personales para el trabajo requiere la previa instalación de aplicaciones corporativas, el apartado 5º no establece de forma general que el trabajador/a no tendrá una expectativa de privacidad en el uso de su dispositivo personal, como parece sostener el sindicato demandante, sino que expresamente se dice que no podrá esperar que exista una expectativa de privacidad "en el manejo de dichas aplicaciones"propiedad de la empresa e insertadas para posibilitar la prestación laboral; negación de la existencia de privacidad que se establece para posibilitar el control que se ha contemplado previamente y que se limita al uso de esas aplicaciones y no a todos los usos que pudiera hacer el trabajador con su dispositivo personal, tal y como se infiere de la expresión de "aplicaciones específicamente autorizadas por Nestlé, que permitirán controlar el adecuado uso de los contenidos relacionados con la compañía".

En relación con la posibilidad contemplada en la política BYOD de acceso remoto por parte de la empresa a los dispositivos personales se observa que se contempla en un supuesto concreto - producción de incidentes de seguridad, tales como la sustracción, extravío o pérdida de control sobre un dispositivo privado- y con una finalidad que debemos reputar legítima -salvaguardar la seguridad de las aplicaciones corporativas instaladas y la información en ellas contenidas, así como la información descargada en el dispositivo-; configurándose una medida de control que se circunscribe únicamente a las aplicaciones de la empresa e información empresarial alojada en el dispositivo, y que consiste en "bloquear remotamente el acceso a las aplicaciones o utilidades corporativas que se hallasen almacenada en el dispositivo o eliminarlas, junto con los archivos adjuntos que excepcionalmente se hubiesen descargado".De lo anterior se colige que el control se limita a bloquear o eliminar las aplicaciones y utilidades corporativas y a su contenido, no afecta al dispositivo personal por cuanto no se establece un acceso a cualquier otra aplicación o contenido alojado en él; además dicha facultad de bloqueo o eliminación no se configura de forma general, ni permanente, ni aleatoria, sino solo cuando se aprecie unas circunstancias concretas que supongan un incidente de seguridad.

3.2. Se argumenta respecto al secreto a las comunicaciones que "la previsión de la monitorización generalizada y el acceso al contenido de las comunicaciones vulnera el derecho fundamental a mantenerlas fuera de la vista de terceros y excede los límites establecidos en el art. 87.3 LOPDGDD, que exige que el acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados, requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, además de la exigencia de proporcionalidad, idoneidad y necesidad; todo ello en relación con la jurisprudencia española ( STS 119/2022 , STS 225/2024 ) y la europea (TEDH asunto Barbulescu vs. Rumanía) que prohíben controles masivos e indiscriminados".

En relación a la posible lesión del derecho al secreto a las comunicaciones, debemos efectuar las siguientes consideraciones:

a) Si la lesión del derecho al secreto de las comunicaciones se identifica con la posibilidad prevista en el apartado 5º.2.1 de hacer un control "aleatorio, regular, preventivo y generalizado",debe tenerse presente que en dicho apartado también se deja meridianamente claro que "los controles aleatorios no serán exhaustivos, masivos ni permanentes, tampoco continuos, ni intrusivos, y su ejecución se limitará a muestras representativas, siempre conforme a criterios técnicos de proporcionalidad y pertinencia";lo que nos lleva a no apreciar afectación del derecho al secreto de las comunicaciones. Debemos tener presente que la facultad de control empresarial por definición tiene que ser regular en el sentido de que el empresario puede desarrollarla en cualquier momento, puede tener carácter preventivo para vigilar tanto el cumplimiento de las obligaciones laborales como evitar posibles incumplimientos, puede ser generalizado y aleatorio en el sentido que puede dirigirse respecto de cualquier faceta del ciclo productivo y respecto de cualquier persona trabajadora; y todo ello no es incompatible con un control concreto sobe un trabajador/a, que es lo que se analiza en las sentencias del TEDH, del Tribunal Constitucional y del Tribunal Supremo, que no puede ser, como señalan los demandantes, masivos e indiscriminados, y el protocolo deja bien claro que los controles no lo serán; es más el protocolo dice que tampoco serán "exhaustivos [...] permanentes, [...] continuos, ni intrusivos",añadiendo una garantía adicional al contemplar que se ajustarán a "criterios técnicos de proporcionalidad y pertinencia",y no olvidemos que también se sujetaran, puesto que no hay reserva de exclusión, al canon constitucional de proporcionalidad en el apartado 5º del Anexo.

b) Si se refiere del apartado 5º.3 (iii) que al enumerar de forma no exhaustiva posibles actuaciones de control, estableciendo, entre otras el "acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.)",debe advertirse que este acceso está sacado de contexto y que es necesario tener en cuenta la totalidad del apartado en cuestión que configura como posible actuación la obtención de "información detallada sobre el tráfico de datos desde o hacia los Recursos TIC de Nestlé (ej. mensajes enviados y recibidos, tamaño ('size') y extensiones de los archivos y de los contenidos incluidos, direcciones destinatarias, frecuencia de los envíos, volumen y naturaleza de los datos consumidos; acceso desde los dispositivos TIC a cuentas de correo externas de Nestlé, incluso si son privadas o personales, trasferencia de datos, carga y descarga de archivos con dichas cuentas, etc.).De la lectura del antecitado apartado se desprende que la actuación no consiste en el acceso a cuentas de correo externas, incluso las personales o privadas, sino la obtención de información relativa al "tráfico de datos desde o hacia los recursos TICs"de la empresa entre otros aspectos de posibles accesos a cuentas externas personales o privadas, pero no se contempla el acceso a dichas cuentas como aducen los demandantes al extractar la posible actuación configurada en el apartado de referencia. En principio, en una configuración general de posibles criterios de uso de los dispositivos digitales empresariales, parece razonable que el control consista en recabar información de datos de tráfico, sin que ello suponga, en principio una afectación del derecho al secreto de las comunicaciones; sin perjuicio de su valoración en los supuestos concretos de aplicación del protocolo.

c) Si se refiere a la previsión del apartado 5º.3 (iv) de "acceso remoto, incluso forzado, a los Recursos TIC de Nestlé. Acceso a controladores, software, hardware o dispositivos integrados o no, cuando corresponda, borrado o formateado total o parcial a distancia de cualquier contenido, función o utilidad del dispositivo en caso de que tras detectarse o sospecharse que pudiera ser ilícito, inadecuado o comprometedor, así se decida en el oportuno procedimiento o en caso de incidentes de seguridad, brechas, pérdida o robo",tampoco cabe apreciar lesión del derecho del secreto a las comunicaciones.

En primer lugar, por cuanto que esta posible actuación supone acceder en remoto a elementos del dispositivo no a elementos personales de los trabajadores, que debe recordarse no deben estar alojados en el dispositivo porque el propio Anexo así lo ha establecido.

En segundo lugar porque permite borrar funciones o utilidades del dispositivo, lo que en nada afecta al secreto de las comunicaciones, pues son elementos no personales integrados en el dispositivo, no alcanzándose cómo y porqué quedaría afectado el derecho fundamental. Es cierto que también se permite el borrado de contenido, y que pudiera haberse alojado en el dispositivo contenido personal, pero no debe olvidarse que el Anexo expresamente prohíbe alojar información de carácter intima o privada, de suerte que la previsión parte de la premisa de que el borrado lo es de contenido estrictamente profesional.

En tercer lugar, este acceso remoto se configura como una actuación excepcional y causal, por cuanto solo se producirá si se detecta o sospecha de ilicitud, inadecuación o situación comprometedora o si se produce incidentes o brechas de seguridad, perdidas o robo de los dispositivos. Se conforma un acceso para supuestos concretos que, en principio, no comprometen el secreto a las comunicaciones, debiendo estar a cada concreto acceso para determinar si se supera o no el canon de ajuste constitucional.

3.3. Finalmente en relación a la protección de datos se argumenta que resulta lesionado porque "el acceso a cuentas externas personales supone una intromisión ilegítima en la esfera privada".Dada la vaguedad de su formulación, teniendo presente que las previsiones del Anexo que hablan del acceso a cuentas externas ya han sido objeto de análisis, debemos estar a lo dicho en el punto 2º del Fundamento Jurídico Sexto y punto 3.2 b) del Fundamento Jurídico Séptimo.

4. Como última petición se solicita una indemnización para cada uno de los sindicatos demandantes por haberse vulnerado su derecho a la libertad sindical, en su vertiente funcional ex artículo 28.1 de la CE, al haberse infringido lo previsto en el artículo 64 del ET. Solicitud que no puede ser atendida por cuanto, a tenor de lo previsto en el Fundamento Jurídico Tercero, no se ha acreditado lesión alguna del derecho de participación de los representantes de los trabajadores

OCTAVO.-En varios hechos y fundamentos de ambas demandas se viene, sin la más mínima concreción, a sostener que el Anexo es contrario a la doctrina contenida en la STEDH de 5 de septiembre de 2017 (Caso Barbulescu). Si bien dicha doctrina se elabora y se aplica para comprobar el ajuste de controles empresariales acaecidos -no hipotéticos- al artículo 8 del Convenio Europeo, de suerte que dichos parámetros se entienden respecto a situaciones fácticas ya actualizadas, no todos ellos son verificables cuando de lo que se trata es de enjuiciar el ajuste al artículo 8 del Convenio Europeo de un protocolo que establece unos criterios de uso de los dispositivos digitales. Dicho de otra manera, la doctrina del TEDH nace del enjuiciamiento de prácticas de control empresarial realizadas no del establecimiento de criterios de uso de los dispositivos digitales, lo que hace que alguno de los parámetros enumerados en la doctrina del TEDH no puedan ser objeto de valoración tal y como son se encuentran formulados por éste.

No obstante, en aras al cumplimiento de la propia doctrina del TEDH que mandata a los órganos jurisdiccionales internos valorar expresamente si se ha producido una lesión en la vida privada de los trabajadores contraria al artículo 8 del Convenio Europeo, esta Sala efectúa las siguientes consideraciones.

En primer lugar, en la presente controversia se ha acreditado que los trabajadores/as han sido informados de forma clara y previa de la posibilidad de efectuar controles y de su aplicación el 10 de septiembre de 2025, estando prevista su entrada en vigor el 15 de septiembre.

En segundo lugar, el Anexo informa de forma detallada sobre el alcance de la supervisión que va a llevar a cabo la empresa, así como los grados de intrusión en la vida privada del empleado, distinguiendo, por un lado, entre el control del flujo de comunicaciones y el de su contenido, configurando el control de flujo como modalidad primaria y el control del contenido como modalidad excepcional; además, como ya se ha observado, incluso el control aleatorio y regular se configura como un control no exhaustivo, ni masivo, ni permanente, ni continuo, ni intrusivo. Debe observarse que la doctrina del TEDH no prohíbe el acceso al contenido de las comunicaciones, lo que señala es que no es ajustado a derecho acceder a dicho contenido si no se ha informado previamente de tal posibilidad a la persona trabajadora (apartado 120 STEDH de 5 de septiembre de 2017).

En tercer lugar, si bien el parámetro utilizado en la doctrina del TEDH consiste en valorar quien ha tenido acceso a los resultados del control lo que lo hace difícilmente verificable en la presente controversia en la que no se analiza un concreto supuesto de control, debe advertirse que el Anexo específica en su apartado 5.5 qué personas pueden tener acceso a los resultados del control. En efecto se establece, por un lado, que "para proteger los derechos de las Personas Usuarias, con carácter general, tendrán conocimiento de los resultados de dichos controles, la Dirección de Legal y Compliance, la Dirección de RR.HH. y la Compliance Manager del grupo Nestlé en España, además de las personas del equipo de Forensics que participen en la realización de los mismos",y, por otro lado, que "en casos específicos y debidamente justificados, si así lo deciden conjuntamente la Dirección de Legal y Compliance, la Dirección de RR.HH. y la Compliance Manager, podrán tener acceso al resultado de tales controles, los miembros del Comité Ibérico de Compliance, y/o determinados miembros de la dirección, garantizando siempre el cumplimiento de las normativas vigentes en materia de privacidad y protección de datos".

En cuarto lugar se explicitan de forma clara los intereses legítimos a los que trata dar satisfacción la supervisión (verificar y controlar el cumplimiento de las obligaciones laborales de las Personas Usuarias y garantizar la integridad de los Recursos TIC; permitir el ejercicio de las facultades de dirección, organizativas y disciplinarias del empleador; proteger los activos sensibles de Nestlé, incluyendo los secretos empresariales, la información comercial, la información corporativa y la propiedad industrial e intelectual; prevenir fugas de información reservada o confidencial; prevenir o evitar usos indebidos, filtraciones de datos o posibles vulneraciones de los derechos de terceros; el cumplimiento normativo, la prevención y sanción de conductas inadecuadas, ilícitas, susceptibles de constituir delitos o infracciones civiles, penales o del orden laboral, contrarias a la ley, a los Principios Corporativos Empresariales, al Código de Conducta Empresarial y demás normativa interna de Nestlé; la salvaguarda de su imagen pública, intereses corporativos y reputacionales) y se define el posible alcance del control, configurando el acceso al contenido como posibilidad excepcional.

En quinto lugar, se establece una garantía general consistente en que cualquier medida de control deberá pasar previamente el filtro "del triple juicio de idoneidad, necesidad, proporcionalidad y justificación de las medidas";además de una serie de garantías que se observarán, tal y como indica, el Anexo "en todo momento",como son a) la proporcionalidad del acceso, ponderando si el beneficio que obtiene la compañía al verificar el uso correcto de sus Recursos TIC (ya sea proteger su información o garantizar el cumplimiento de los deberes contractuales) resulta superior al sacrificio o afectación de la esfera individual de la Persona Usuaria (limitándolo a un período de tiempo concreto; a tipos determinados de archivos (imágenes, contratos, tablas de datos, listados), a un conjunto limitado de mensajes enviados a ciertos dominios, o relacionados con ciertos incidentes, etc.); b) una monitorización no indiscriminada (de ordinario, los controles se realizarán desde los servidores de la empresa, no desde los dispositivos asignados a la Persona Usuaria; c) que los parámetros de búsqueda intenten, en la medida de lo posible, limitar la invasión de cualquier intimidad; d) la minimización o eliminación inmediata de los datos o la información personal no relacionada con las finalidades protegidas a la que se acceda; y e) la ausencia de intromisión o afectación a la esfera íntima del trabajador.

Debe tenerse en cuenta, además, por un lado, que la adopción de una medida de control no corresponderá únicamente al Departamento de Recursos Humanos, dado que se establece que "en todo caso, cualquier control, supervisión, acceso y registro de los Recursos TIC de una Persona Usuaria en concreto para su revisión por parte de Nestlé deberá ser solicitado a y aprobado conjuntamente por: (i) la Dirección de Legal y Compliance; y (ii) la Dirección de RRHH";por otro lado, que se contempla que la posible imposición de una sanción se sujeta a un procedimiento contradictorio.

En sexto lugar, se contemplan expresamente las consecuencias que para el trabajador/a se pueden derivar del resultado del control, al establecerse que "podrán ser corregidas, disciplinadas o sancionadas en los términos ya previstos en los procedimientos y normativa establecida en la regulación interna de Nestlé y en la legislación vigente",también "con el fin de asegurar evidencias físicas o digitales que de otra manera pudieran ser destruidas"se "podrá impedir el acceso o apartar a las Personas Usuarias de los Recursos TIC que tenga asignados en cualquier momento y sin previo aviso; debiendo aquella abstenerse de utilizarlos y ponerlos inmediatamente a disposición de Nestlé",o "adoptar cualquier otra medida sumaria, anticipada o cautelar prevista en la legislación aplicable".

En séptimo lugar, se enumera en la doctrina del TEDH como parámetros a valorar si "habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado"y "de qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida".Es evidente que estos parámetros sólo pueden comprobarse respecto de un control empresarial ya realizado; pero como quiera que dichos parámetros no son sino los juicios de idoneidad y necesidad integrados en nuestro canon constitucional de proporcionalidad, debe considerarse que el Anexo se sujeta a ambos parámetros al sujetar cualquier control al referido canon.

Esta Sala, a la vista de lo expuesto, considera que el contenido del Anexo se ajusta a los parámetros elaborados por la doctrina del TEDH; sin perjuicio de que de la posible aplicación práctica que se haga del Anexo se pudiera afectar injustificadamente alguno de los derechos fundamentales con ocasión de la implementación de un concreto control.

NOVENO.-Contra esta sentencia, sin perjuicio de su ejecutividad, cabe recurso ordinario de casación conforme el art. 206.1 LRJS.

En virtud de lo expuesto y vistos los preceptos legales citados y demás de general aplicación