CORREO CORPORATIVO: ¿Puede el empresario controlar los emails de sus empleados?

Se trata de una de esas dudas que rondan a cualquier trabajador que alguna vez haya enviado un email privado desde su cuenta de correo corporativa: ¿Pueden enviarse correos privados desde ella? ¿Puede la empresa revisar el contenido de esos emails y usarlos como prueba para justificar, por ejemplo, un despido por usar el tiempo de trabajo para fines personales? Son muchas las sentencias que se han dictado en este sentido desde hace algunos años, y la última de ellas viene de la mano del Tribunal Europeo de Derechos Humanos (TEDH). El resultado, en este caso, favorece a la empresa: la Sentencia, con fecha de 12 de enero de 2016, avala que el empresario pueda revisar el contenido de las comunicaciones de sus empleados -en este caso, un sistema de mensajería instantánea-, incluso cuando se realicen desde una cuenta privada, y aunque no exista un perjuicio a la empresa que justifique el control.

En el supuesto enjuiciado, que hace referencia a un caso ocurrido en Rumanía, el empleado abrió una cuenta de mensajería instantánea privada a instancias de su empleador para responder consultas con sus clientes, desde un ordenador de la empresa y en horas de trabajo. Tras controlar durante nueve días el contenido de los mensajes, el empresario comunicó al empleado que sabía que estaba utilizando la cuenta con fines personales. Éste rechazó la acusación y afirmó que tan sólo le daba fines profesionales, mostrándole las transcripciones de sus mensajes. Finalmente, el empleado fue despedido por usar parte de su tiempo de trabajo para fines personales.

Llevado el caso a los tribunales, éstos rechazaron que se hubiera producido una injerencia en la vida privada del trabajador y sus comunicaciones, protegidas por el artículo 8 de la Convención Europea de Derechos Humanos (CEDH). El TEDH lo tiene claro: en un supuesto como el descrito, debe valorarse la existencia de un “justo equilibrio” entre el respeto de la vida privada y la correspondencia, “y los intereses del empleador”. Así, en este caso, “el empleador actuó dentro de sus facultades disciplinarias”, ya que accedió a la cuenta bajo la suposición de que únicamente era empleada para fines profesionales.

Además, la sentencia deja claro que no es necesario que exista un perjuicio previo que justifique la intervención del empresario. Sin embargo, la sentencia cuenta con el voto discrepante de un magistrado que niega que el empresario pueda actuar “como un Gran Hermano desconfiado” con sus empleados, “como si éste hubiera vendido no sólo su trabajo, sino también su vida personal”. “Una prohibición general de uso personal de Internet por los empleados es inadmisible, al igual que cualquier política de control generalizado, automático y continuo”, argumenta el voto particular.

¿Qué dice la jurisprudencia en España?

La sentencia del TEDH va en la misma línea que algunas sentencias dictadas en España durante los últimos años. Uno de los ejemplos más relevantes es un fallo dictado el pasado 9 de octubre de 2013 por el Tribunal Constitucional, en el que dejó claro que debe descartarse que la intervención de los mensajes por parte del empresario pueda lesionar el derecho del trabajador al secreto de las comunicaciones (artículo 18.3 CE) y a la intimidad (artículo 18.1 CE) si se le ha comunicado previamente que la empresa podrá controlar los medios informáticos ofrecidos a los empleados y que su uso para fines distintos a los laborales constituirá una falta.

Es, por tanto, relevante, haber informado previamente al trabajador, algo que muchas empresas llevan a cabo automáticamente para garantizarse ese derecho a revisar esas comunicaciones en caso de sospecha de alguna infracción.

Sin embargo, el criterio no siempre es uniforme. Si hablamos de sentencias dictadas en el ámbito laboral, la Sala de lo Social del Tribunal Supremo –y también el Tribunal Constitucional- aseguran que es posible el registro de ordenadores sin orden judicial cuando se trate del chequeo de cuentas de correo corporativas. Pero si hablamos de procesos penales, el mismo Tribunal Supremo asegura lo contrario, y lo hace basándose en la Constitución, que es “clara y tajante” cuando afirma categóricamente que “se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial”.

Por tanto, si de lo que se trata es de acusar al trabajador de un delito, se hace necesario obtener una orden judicial para controlar las comunicaciones del sospechoso.

Más sobre el nuevo reglamento Europeo de Protección de Datos

El pasado viernes 12, dentro de la ponencia realizada en el VIII foro de la Privacidad, por D.Thomas Zerdick, Deputy Head of Unit, Data Protection, DG Justice,  European Commission,  D. Jacob Kohnstamm, Chairman of the Dutch Data Protectio Authority and former Chairman of the article 29 data protection Working Party y D. Rafael García Gozalo, vocal Asesor Jefe del Area Internacional de la Agencia Española de Protección de Datos, se desvelaron de primera mano algunas particularidades sobre el nuevo reglamento europeo de protección de datos.
Por ejemplo, el texto ya aprobado se encuentra en fase de traducción a las diferentes lenguas de la UE. La publicación definitiva del Reglamento, está prevista para finales de Junio de este año y este entrará en vigor al cabo de dos años. Este plazo aunque parece largo en realidad no lo es debido a la cantidad de novedades que trae la norma.
Como novedad a destacar, desaparecerá la inscripción de ficheros en el Registro General de la AEPD y aunque esto a priori parece que va a suponer una dificultad para los profesionales que nos dedicamos a dar asesoramiento en materia de protección de datos, no es así, ya que se incorporan otra serie de obligaciones para los responsables de fichero.
Como elementos importantes del nuevo reglamento;

  1. Responsabilidad del Responsable del tratamiento de datos
  2. Evaluación de Impacto sobre tratamiento de datos personales
  3. Oficial/Delegado de Protección de Datos (DPO)
  4. Notificación de brechas de seguridad
  5. Sanciones/multas administrativas hasta dos millones de euros o el 4% de la facturación global para multinacionales
  6. Ventanilla unica
  7. Consentimiento inequívoco que debe plasmar el carácter afirmativo del mismo
  8. Derecho al olvido y a la portabilidad
  9. Responsabilidad activa.
  • Obligación de adoptar medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el reglamento (documento de seguridad puesto al día) El Reglamento considera INSUFICIENTE  "no incumplir". La no existencia de estas medidas es sancionable.
  • Tipos de medidas:
  1. mantener documentación
  2. aplicar medidas de seguridad adecuadas
  3. medidas de protección de datos desde el diseño
  4. medidas de protección de datos por defecto
  5. llevar a cabo evaluaciones de impacto
  6. autorización previa o consultas con agencia de protección de datos
  7. designación de delegado de protección de datos
  8. notificación de brechas de seguridad
  9. códigos de conducta y esquemas de certificación

   10. Enfoque de riesgo

  • determinadas medidas aplicables en función del riesgo para los derechos y libertades de los interesados
  1.  alto riesgo vs. riesgo estándar
  2.  el riesgo como criterio de ponderación
  3.  el caso de la notificación de quiebras de seguridad

  11. Transferencias internacionales

  •  El Reglamento parte del criterio clásico de que los datos de los europeos solo pueden enviarse a países que ofrezcan un nivel adecuado de protección.
  • Se amplían y flexibilizan los instrumentos de garantía.
  1. instrumentos jurídicamente vinculantes y ejecutables entre autoridades u organismos públicos
  2. BCR (de responsables y encargados)
  3. cláusulas contractuales estándar aprobadas por la comisión
  4. cláusulas contractuales estándar aprobadas por una autoridad nacional y aceptadas por la comisión
  5. códigos de conducta y esquemas de certificación, junto a compromisos vinculantes y ejecutables del responsable o encargado en el tercer país para aplicar las salvaguardas apropiadas, incluidos los derechos del interesado
  6. ampliación de excepciones para casos basados en interés legitimo del responsable

 

Publicado por Asociacion Profesional de Consultores en Proteccion de Datosen 22.02.2016