Practice areas:
14.09.2021

Un empresario es condenado a un año de prisión por descubrimiento y revelación de secretos al acceder en reiteradas ocasiones al correo electrónico de un trabajador (II)

Cada vez son más los deberes y obligaciones legales que recaen sobre los administradores de las sociedades mercantiles y que amplían de manera notable el contenido del deber de diligencia de un ordenado empresario que incluye el deber de adoptar aquellas medidas necesarias para la buena dirección y control de la sociedad.

En el último artículo de actualidad jurídica del área de Compliance analizábamos la Sentencia de Tribunal Supremo que condenaba a un empresario por el acceso al correo personal de un trabajador. Con este artículo pretendemos abundar en la legislación vigente y la jurisprudencia que se ha dictado al respecto.

Cada vez son más los deberes y obligaciones legales que recaen sobre los administradores de las sociedades mercantiles y que amplían de manera notable el contenido del deber de diligencia de un ordenado empresario que incluye el deber de adoptar aquellas medidas necesarias para la buena dirección y control de la sociedad (art. 225.3 de la Ley de Sociedades de Capital). Los administradores no solo deben rendir cuentas de los resultados de negocio, sino también de la consecución de aquellos defendiendo los activos de la sociedad y cumpliendo con una serie de requisitos normativos cuya vulneración puede derivar no solo en responsabilidad personal para el administrador, sino también en duras sanciones para la sociedad que gestiona, incluida, desde el año 2010, la responsabilidad penal de las personas jurídicas.

Lo anterior, junto con la digitalización de las empresas y la mayor injerencia y control que permiten las nuevas tecnologías, ha redimensionado el escenario de conflicto entre la capacidad del empresario para adoptar medidas que aseguren un uso responsable y adecuado de los medios digitales puestos a disposición de los trabajadores y el derecho a la intimidad y el derecho al secreto de las comunicaciones de los que aquellos son titulares, también en el ámbito laboral.

En el artículo anterior ya mencionamos que la facultad de organización y control del empresario encuentra amparo legal en el artículo 20.3 del Estatuto de los Trabajadores (ET), que faculta al empresario para adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, entre los que se incluyen, de conformidad con los artículos 5.c y 20.2 ET, los deberes de diligencia y colaboración, así como el deber de cumplir con las órdenes, instrucciones y medidas acordadas por el empresario en el ejercicio regular de sus facultades de dirección y organización.

Esta facultad vendría justificada, además de para verificar el cumplimiento de las obligaciones y deberes laborales por parte de los trabajadores, (i) por la necesidad de coordinar y garantizar la continuidad de la actividad operativa en supuestos de ausencia de los trabajadores (bajas, vacaciones, extinción relación laboral), (ii) por la necesidad de proteger la integridad de los sistemas y medios informáticos, así como de la información confidencial almacenada en los mismos, y (iii) por la necesidad de prevenir, detectar y reaccionar adecuadamente ante un uso inadecuado y ilícito de los medios digitales por parte de los trabajadores que pudiera derivar en responsabilidades frente a terceros.

Ahora bien, esta facultad del empresario no es absoluta, sino que en su ejercicio debe respetar los derechos fundamentales a la intimidad y al secreto de las comunicaciones de los trabajadores.

La sentencia de la Sala de lo Penal del Tribunal Supremo, sec. 1ª, de 22 de abril de 2021, nº 328/2021, rec. 715/2020, introduce una novedad importante respecto a la licitud probatoria de la principal fuente de prueba con la que el empresario puede, por un lado, justificar la intromisión en los medios digitales y, por otro lado, fundamentar la corrección-sanción impuesta al trabajador. La novedad consiste en equiparar para la jurisdicción laboral y penal los criterios aceptados para considerar legítima la injerencia por el empresario en del derecho a la intimidad y el derecho a la inviolabilidad de las comunicaciones.

Hasta esta sentencia, el Tribunal Supremo seguía criterios distintos según se actuara ante la jurisdicción laboral o ante la jurisdicción penal. Así, las sentencias de la Sala 2ª de lo Penal del Tribunal Supremo 528/2014, de 16 de junio y 2844/2014, de 16 de junio, afirmaban que los criterios jurisprudenciales utilizados por la Sala 4ª de los Social del Tribunal Supremo, avalados por el Tribunal Constitucional, para considerar correcta la injerencia en el derecho a la inviolabilidad de las comunicaciones de los trabajadores, solo eran aplicables a la jurisdicción laboral, siendo insuficientes para la jurisdicción penal, en la que respecto al derecho de la inviolabilidad de las comunicaciones se exigía autorización judicial, si bien solo para los correos electrónicos no abiertos y no leídos, para otorgar validez probatoria a la prueba obtenida por el empresario mediante la intromisión en los medios digitales. A partir de esa premisa, la Sala 1ª de lo Penal del Tribunal Supremo proclamaba el carácter indispensable de la autorización judicial para acceder a las comunicaciones personales del trabajador. Ahora bien, quedaban excluidos de esa exigencia los denominados datos de tráfico o el uso de medios para para acceder a otros servicios de red, los mensajes que una vez recibidos y abiertos por su destinatario, ya no forman parte de la comunicación propiamente dicha, y respecto a los cuales se aplica la normativa de protección de datos y derecho a la intimidad, así como los criterios de la Sala 4ª de lo Social del Tribunal Supremo.

Así las cosas, mientras en la jurisdicción laboral el derecho a la intimidad y a la inviolabilidad de las comunicaciones eran susceptibles de “negociación” por el empresario y el trabajador, en la jurisdicción penal el derecho a la inviolabilidad de las comunicaciones del trabajador solo podía quedar limitado por una autorización judicial.

La Sala 2ª de lo Penal del Tribunal Supremo, haciéndose eco de la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) (en concreto, de las sentencias 12/01/2016, caso Barbulescu I y 05/09/2017, caso Barbulescu II), ha modulado sus criterios equiparándolos a la jurisdicción laboral.

A día hoy, en ambas órdenes jurisdiccionales -laboral y penal- se admite la fiscalización del derecho a la intimidad y del derecho a la inviolabilidad de las comunicaciones, excluyéndose la exigencia de la autorización judicial, en el orden penal, para justificar la intromisión del empresario.

Admitida la facultad de intromisión del empresario en el derecho a la intimidad y en el derecho a la inviolabilidad de las comunicaciones de los trabajadores, el ejercicio de dicha facultad debe cumplir con una serie de requisitos para que pueda ser considerada una acción lítica y con valor probatorio, es decir, que no vulnere los derechos del trabajador.

 

¿Cuáles son los pasos a seguir?

El punto de partida y presupuesto inexcusable para la legitimidad de la intromisión y consiguiente valor probatorio es limitar o excluir la expectativa de privacidad e intimidad en el uso de los dispositivos digitales por parte del trabajador. No es lícito el acceso a los dispositivos digitales si el trabajador no ha sido advertido previamente de esa posibilidad y/o además no ha sido limitado el uso del dispositivo -total o parcialmente- creándose una expectativa de privacidad que no puede ser vulnerada. De manera que el empresario debe comunicar de manera clara, sencilla y expresa (i) los usos permitidos de los dispositivos -limitación o prohibición de uso personal, limitación de horarios, etc-, (ii) las medidas de supervisión y control sobre los dispositivos que se utilizarán, (iii) las finalidades y base legítima de la supervisión y control y (iv) las consecuencias del incumplimiento.

Con ello, el trabajador conoce y acepta la facultad de supervisión del empresario, estando advertido de la limitación o prohibición de los usos de los dispositivos, estando obligado, de conformidad con los artículos 5.c y 22.2 ET a cumplir con las instrucciones del empresario.

Además, en la determinación de las medidas a adoptar y, especialmente, en su ejecución, se debe realizar un el denominado juicio de proporcionalidad, consistente en aplicar criterios de ponderación relacionados con la utilidad, necesidad y la inexistencia de otras medidas menos invasivas, así como la existencia de sospechas fundadas.

Dicho proceso tiene ahora amparo normativo al ser recogido en la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales que en su artículo 87 dispone:

“1. Los trabajadores y empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador. 2. El empleador podrá acceder a los contenidos derivados del uso de los medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos. 3. Los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. El acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los periodos en que los dispositivos podrán utilizarse para fines privados. Los trabajadores deberán ser informados de los criterios de utilización”.

En conclusión, el empresario dispone a día de hoy de un marco normativo y jurisdiccional completo para ejercitar diligentemente su facultad de organización, vigilancia y control sobre los dispositivos digitales puestos a disposición de sus trabajadores, teniendo valor y fuerza probatoria contra el trabajador que vulnere e infrinja sus deberes y obligaciones laborales respecto al uso de los dispositivos digitales.

 

El departamento de Compliance y Protección de Datos Personales de Toda & Nel-lo cuanta con amplia formación y experiencia en asesorar a empresas en la implementación de procesos de supervisión, vigilancia y control de los dispositivos digitales. 

 

Para más información: Jordi Dapeña, abogado senior del área de Compliance de Toda & Nel-lo.