Cuando se habla de uso privado del correo de empresa, no se trata solo de reservar una cita médica, escribirle a un amigo o acceder a una página para comprar un regalo de última hora. En los casos más graves se puede producir la sustracción de información confidencial o el intento de derivar clientes a otra empresa.
Las empresas pueden intentar acciones legales o tener que justificar un despido y, a veces, necesitan acceder al correo laboral del trabajador para fundamentar sus razones. ¿Pueden hacerlo? La normativa establece que la empresa puede acceder al correo corporativo, pero el empleado tiene que saberlo.
Este concepto no es nuevo: “por un criterio jurisprudencial que tenemos en España desde el 2007, si la empresa no ha informado al trabajador de los controles, no le puede sancionar en base a lo que se haya encontrado a través de estos”.
Establecido esto, hace dos años hubo una sentencia que marcó un antes y un después en este ámbito. Es la emitida por la Gran Sala del Tribunal Europeo de Derechos Humanos (TEDH), el 5 de septiembre de 2017. Es la llamada ‘Sentencia Barbulescu II’, por el apellido del trabajador rumano
La ‘Sentencia Barbulescu II’ marcó un antes y un después
El ingeniero rumano fue despedido porque le sorprendieron usando el correo corporativo para fines personales, pese a que la regulación interna prohibiese expresamente cualquier uso privado de las herramientas de la empresa. Barbulescu alegó una injerencia injustificada en su vida privada y, por lo tanto, una violación de la ley de privacidad.
El caso es que la empresa registró en tiempo real sus comunicaciones, que también fueron transcritas. Además, la intervención comprendió tanto la cuenta empresarial, donde se encontraron conversaciones privadas con su hermano, como una cuenta privada, de la que se extrajeron cinco mensajes enviados a su novia.
La sentencia de la Gran Sala dio la razón al ciudadano rumano y dictó que el correo empresarial puede estar sujeto a controles por parte del empleador, sin constituir una violación de la Convención sobre los Derechos Humanos, siempre y cuando se respeten ciertas condiciones recogidas en lo que ahora es el llamado ‘Test Barbulescu’. Los controles deben ser idóneos, proporcionales, justificados y necesarios, es decir que no existan alternativas menos intrusivas.
El Tribunal dictaminó que la vida privada del trabajador no puede reducirse a cero, por lo que las comunicaciones transmitidas en el lugar de trabajo, tanto las emitidas desde cuentas privadas como de las proporcionadas por la empresa, entran en el concepto de ‘vida privada’ y de ‘correspondencia’, ambos protegidos por el art. 8 de la Convención Europea de Derechos Humanos.
“Nosotros -cuando asesoramos a una empresa o un trabajador, miramos que en el contrato u otro documento posterior se ponga claramente que el correo electrónico, el ordenador o el teléfono móvil pueden ser inspeccionados por la empresa. Es muy importante el concepto de advertencia previa”. Fundamental, pero no suficiente.
En muchos casos, las compañías realizan controles preventivos, seleccionando al azar algunos correos de los empleados. La sentencia Barbulescu avisa de que debe haber una proporción entre el propósito y la invasión de la privacidad. Básicamente, los controles masivos son ilegítimos, cuando activados en ausencia de una justificación específica o un peligro concreto.
Lo más importante es que se explique muy bien al empleado qué controles se van a hacer, cómo y por qué. No tiene por qué saber el momento en qué se hacen, pero sí que puede pasar. Además, la empresa debe permitir la trazabilidad de los controles para aclarar cuántos y qué correos electrónicos se han monitoreado, durante cuánto tiempo y cuántas personas han tenido acceso a los resultados de la vigilancia.
Los controles suelen ir a cargo de los departamentos de sistemas, que son los que técnicamente pueden hacerlo.
La proporcionalidad es un requisito presente desde hace tiempo en la jurisprudencia española y es aplicable a cualquier medida intrusiva, como el registro de un domicilio. Aun así, es un concepto subjetivo que depende del criterio del juez, para hacer las cosas bien, no se deberían leer todos los cinco mil correos de los últimos años del trabajador, sino llevar a cabo búsquedas por palabras clave a fin de encontrar lo que realmente interesa.
Algo más de objetividad se introdujo con la llegada, en mayo de 2018, del Reglamento General de Protección de Datos (RGPD), y, sobre todo, con la entrada en vigor, el pasado 6 de diciembre, de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. La ley española comprende un artículo, el 87, que habla concretamente de derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral.
El 6 de diciembre de 2018, entró en vigor la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales que define unos principios y propugna el sentido de autorresponsabilidad del empresario, la Ley Orgánica hace referencia muy especial a los derechos digitales de los trabajadores, por lo tanto, refuerza muchos conceptos jurisprudenciales que antes eran interpretaciones”.
Muchas empresas españolas no conocen este cuadro normativo y se encuentran en la situación de no poder usar el correo laboral como prueba en un juicio. Nuestra experiencia nos dice que existe una falta generalizada de conocimientos en este ámbito, al menos a nivel de pymes, que no se dan cuenta de la relevancia de estas cuestiones hasta que no se produzca el hecho”.
El trabajador cuyo correo corporativo haya sido utilizado indebidamente por la empresa podría incluso pedir un resarcimiento, aunque esto sería complicado porque estaríamos hablando de daños morales muy difíciles de acreditar, siendo el correo de empresa y no el privado. Por otro lado, el acceso ilegítimo al correo privado, evidentemente, entraría ya en el ámbito penal.
La jurisprudencia contempla también la posibilidad del ‘hallazgo casual’ de una evidencia de infracción y, últimamente, varias empresas están intentando obviar a los límites en los controles preventivos, implementando sistemas de denuncia interna. Sin embargo, la delación, o chivatazo, más allá de las evaluaciones éticas, es un elemento probatorio muy frágil.
Es conveniente reunir pruebas más completas, la simple denuncia de un tercero puede ser refutada en un juicio”. Además, coger de un servidor de correos unos cuantos mails e imprimirlos es algo fácilmente modificable y por lo tanto impugnable en un juicio, habría que hacerlo con determinadas garantías técnicas.
El 17 de noviembre 2017, en la sentencia del Juzgado de lo Social nº17 de Madrid, se aplicó por primera vez el ‘Test Babulescu’ en un tribunal español, declarando nulo un despido, entre otras cosas porque el acceso al correo de empresa intentaba determinar la carga de trabajo de la empleada y su dedicación al mismo durante la jornada laboral. El Juzgado consideró que existían medios más idóneos para averiguarlo.
Además, pese a existir una política de uso de medios informáticos previamente comunicada, el Tribunal consideró desproporcionada la medida de monitorización durante 3 días de los correos de la trabajadora y que hubo una vulneración de los derechos fundamentales a su intimidad y al secreto de sus comunicaciones. La constancia del ingeniero rumano marcó un punto de inflexión en las relaciones laborales en Europa.
EN RESUMEN
Para ver la legalidad de cada caso, tendríamos que ver las políticas de la empresa y si de verdad se ha incluido una que regule este tipo de situaciones. En caso positivo, tendríamos que entrar a mirar las condiciones que se encuentran en la política correspondiente, pudiendo ver en qué situaciones pueden los jefes acceder a los correos corporativos de los empleados.
De no haber especificado ninguna cláusula o política con respecto a este tema se podría generar un problema como el comentado anteriormente, ya que no hay ninguna norma escrita que limite el uso del correo de la empresa a la actividad laboral.
En resumen, para evitar cualquier tipo de problema relacionado con la privacidad de los trabajadores, es aconsejable que todas las empresas diseñen una política que regule el uso de los correos corporativos, donde recojan las condiciones de uso y las obligaciones del trabajador con respecto a ellas.
Si necesitas ayuda en esta materia, en Datcon Norte son expertos en protección de datos de los trabajadores.