CONTROL DEL E-MAIL CORPORATIVO

Muchas organizaciones empresariales tienen incorporada una política interna que regula el uso de los recursos tecnológicos corporativos (Normas TIC).

Esta facultad de control del empresario viene legitimada por el artículo 20.3 del Estatuto de Trabajadores y por el artículo 31.bis.2 del Código Penal, que establece la necesidad de adoptar mecanismos de vigilancia y control debido para la prevención de delitos.

Por ello, el empresario está legitimado para articular los mecanismos de vigilancia y control necesarios para controlar el uso diligente por parte de sus trabajadores de los recursos tecnológicos corporativos y de la información en ellos contenida, respetando en cualquier caso los derechos fundamentales de intimidad, privacidad y secreto de las comunicaciones del personal, en aras de garantizar, en primer lugar la productividad de la empresa (verificar el cumplimiento de las obligaciones y deberes laborales), y en segundo lugar, prevenir, detectar y reaccionar ante un uso indebido o un ilícito con posible relevancia penal para la Empresa. Por ello, las mencionadas Normas TIC deben reflejar el equilibrio justo entre las exigencias de control del propietario de los recursos TIC y los derechos a la intimidad, dignidad y secreto de las comunicaciones de los usuarios, de acuerdo con la doctrina actual del Tribunal Supremo y del Tribunal Constitucional.

A lo largo de los últimos años ha habido una evolución jurisprudencial en relación con el uso del correo electrónico corporativo por parte del personal, y control sobre este correo y demás recursos tecnológicos corporativos de las organizaciones.

El Tribunal Supremo, en Sentencia de 26 de septiembre de 2007, unificó la dispar doctrina existente hasta entonces sobre el control empresarial de los recursos tecnológicos corporativos, estableciendo los siguientes principios:

1.- El ordenador es un instrumento de producción propiedad del empresario como propietario o por otro título. Por dicho motivo, ostenta facultades de control sobre su utilización, facultades que incluyen su examen.

2.- Con el ordenador se ejecuta la prestación de trabajo, de manera que el empresario puede ejercer control y verificación de la correcta prestación de trabajo a través del ordenador.

3.- La potestad de control viene igualmente justificada por los siguientes motivos, (i) por la necesidad de coordinar y garantizar la continuidad de la actividad laboral en supuestos de ausencias de los trabajadores (bajas, vacaciones, extinción relación), (ii) por la protección del sistema informático de la empresa y de la información confidencial contenida en el mismo, así como (iii) por la prevención de responsabilidades frente a terceros que para la empresa pudieran derivarse de un uso ilícito de los recursos por parte de los trabajadores.

(Actualmente, debería añadirse la prevención y detección de ilícitos penales derivados de un uso ilícito de los recursos tecnológicos.)

Posteriormente, también debe destacarse la Sentencia del Tribunal Constitucional de 7 de octubre de 2013, en la cual se establece que no existe vulneración del secreto de las comunicaciones por el acceso de la empresa a correos profesionales de sus empleados, por cuanto se realiza base a su facultad de control, en conexión con la prohibición de uso extra-laboral de los recursos informáticos, recogida en el convenio colectivo aplicable y tampoco considera el Tribunal que el derecho a la intimidad del trabajador se hubiera vulnerado, por cuanto el acceso a los mensajes, cuya obtención tuvo lugar mediante el registro del ordenador propiedad de la empresa en presencia de un Notario, se ajustaba al juicio de proporcionalidad al que deben someterse las medidas restrictivas de derechos fundamentales.

En este caso, el Tribunal considera que la medida de acceder a los mensajes (i) está justificada, si existen sospechas fundadas, (ii) es idónea, si es susceptible de conseguir el objetivo propuesto, (iii) es necesaria, si no existe otra medida más moderada para la consecución del propósito con igual eficacia y (iv) es ponderada y equilibrada, si de su ejecución se derivan más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

En este mismo sentido se pronunció la Agencia Española de Protección de Datos (AEPD) en su Informe 0464/2013, en el que reconoció la facultad del empresario para acceder a los recursos tecnológicos, en especial, al correo electrónico, en base al artículo 20.3 del Estatuto de Trabajadores.

La AEPD estableció unas reglas de uso de dicha facultad del empresario, afirmando que el derecho a la intimidad, al secreto de las comunicaciones y la protección de datos de carácter personal estarían garantizados, cuando: (i) dicho acceso se encuentra fundamentado en una finalidad, en un fin legítimo, tal y como lo es el control empresarial, la prevención de delitos y la continuidad del negocio, (ii) el acceso sea proporcional, idóneo, necesario y ponderado, y (iii) poder acreditar que, de manera previa, se ha informado al trabajador del carácter corporativo de los recursos tecnológicos, de su uso como fines profesionales y no personales, de los mecanismos de control establecidos sobre aquellos y de los medios tecnológicos utilizados para llevarlos a cabo.

En definitiva, a la luz de la jurisprudencia anterior a la Sentencia del Tribunal Supremo de 16 de Junio de 2014 y los criterios de la AEPD, el empresario debe cumplir con los siguientes requisitos para  el correcto control de los recursos tecnológicos:

A.     LEGITIMACIÓN: El acceso a la información disponible en los recursos TIC deberá enmarcarse en una finalidad fundamentada y fundada en la consecución de un fin legítimo como el control empresarial (20.3 Estatuto de Trabajadores), la prevención de delitos (31 bis.2 Código Penal) o la tutela judicial efectiva (14 Constitución Española).

B.     PROPORCIONALIDAD: Juicio de proporcionalidad en sus tres vertientes, (i) Idónea, la medida de control debe ser susceptible de conseguir el objetivo perseguido; (ii) Necesaria, no existe otro control más moderado que pueda conseguir el mismo objetivo con la misma eficacia y (iii) Ponderada o equilibrada, derivarse del medio de control más beneficios o ventajas para el interés general, que perjuicios para el bien o valor en conflicto.

C.    TRANSPARENCIA Y DEBER DE INFORMACIÓN: Obligación por parte del empresario de proporcionar al trabajador información sobre la política de la empresa respecto al uso de las TIC, respecto a las medidas de control y vigilancia sobre aquellas, respecto a los motivos y finalidades de la vigilancia y control, así como de las sanciones disciplinarias.

Es importante destacar que, en todas las Sentencias antes enunciadas se pronuncian sobre la necesidad de informar previamente al personal de forma acreditable y efectiva de la prohibición de uso de las TIC para fines ajenos a la actividad laboral, de los mecanismos de control y de los medios utilizados para ello.

La Sentencia del Tribunal Supremo del 16 de junio de 2014 (STS 2844/2014) supone un punto de inflexión. Dicha sentencia viene a afirmar que los criterios jurisprudenciales fijados hasta ese momento para considerar como correcto el control empresarial sobre el correo electrónico corporativo, sólo son aplicables a la jurisdicción laboral, pero no serían suficientes para la jurisdicción penal, en la que se exigirá autorización judicial, aunque sólo para los correos no abiertos o no leídos, para poder otorgar validez probatoria a los correos obtenidos mediante la intervención de las TIC.

No obstante, es significativo destacar que la propia sentencia afirma que, la autorización judicial sólo opera con respecto a lo que estrictamente constituye el secreto de las comunicaciones, quedando excluidos los datos de tráfico y los mensajes que, una vez recibidos y abiertos por su destinatario, ya no forman parte de la comunicación propiamente dicha. Es decir, a los mensajes ya abiertos les son de aplicación los criterios de control de recursos corporativos establecidos en la doctrina anterior.

La sentencia STS 2844/2014 no permite ninguna injerencia en el contenido del secreto de las comunicaciones sin la necesaria autorización judicial, no actuando como excepción la titularidad del ordenador y del correo electrónico, ni el uso personal, ni el uso durante la jornada laboral, ni la naturaleza corporativa del cauce empleado (correo corporativo). Tampoco considera el Tribunal Supremo que la renuncia tácita del empleado a su derecho pueda justificar la ausencia de autorización judicial, pues dicha renuncia no resulta operativa al no encontrarse recogida en la Constitución Española como supuesto habilitante para la injerencia.

En definitiva, para otorgar valor y eficacia probatoria en sede penal al resultado de una intervención del correo electrónico del trabajador será necesaria la autorización judicial.

En base a esta última doctrina nos planteamos la siguiente pregunta: ¿comete un delito la empresa que abre un mensaje de correo electrónico cerrado de un trabajador?

Existen argumentos para dar una respuesta negativa puesto que, en primer lugar, el artículo 197 del Código Penal recoge un tipo penal en el que el consentimiento del interesado elimina la posibilidad de incurrir en un delito.

Para que ello sea factible, y relacionado con las Normas TIC, resultará más que necesario tener evidencia escrita del consentimiento del trabajador al firmar las normas de uso de los recursos TIC corporativos, en las que se prohíba expresamente el uso personal de los mismos y se acepte su control, vigilancia y eventual intercepción.  Además, el objeto de la injerencia regulado en las mencionadas Normas TIC debe alcanzar los datos de carácter personal y de la intimidad, de manera que fijar en la normativa interna la prohibición de un uso personal de las TIC resulta más que conveniente. Debemos tener en cuenta que ello no supone ningún inconveniente para los trabajadores, pues hoy en día son pocas las personas que no disponen de un Smartphone con el que comunicarse privadamente.

Asimismo, para evitar problemas de interpretación, se recomienda que el consentimiento del trabajador plasmado en las normas de uso de los recursos TIC corporativos, regule también de forma específica supuestos de acceso a las cuentas de correo electrónico en los casos de baja o ausencia temporal y extinción del vínculo laboral o mercantil, a los efectos de garantizar la continuidad del negocio.

Un último argumento por el que no se podría considerar delito el que la empresa abra un mensaje de correo electrónico cerrado de un trabajador, es que la empresa, en realidad, es parte en las comunicaciones que se generan entre ella, a través de sus trabajadores, y cualquier otra persona física o jurídica, de manera que no se estaría vulnerando el secreto de las comunicaciones de las que la empresa misma es titular de su secreto. Este argumento vendría reforzado si en las normas de uso de los recursos TIC se recoge la prohibición absoluta del uso personal del correo electrónico corporativo y recursos tecnológicos de la información, o cuanto menos para actividades personales restringidas en las que pueda haber alguna expectativa de privacidad o secreto en las comunicaciones. Las expectativas de intimidad, privacidad y secreto de los trabajadores al utilizar los recursos TIC corporativos deben quedar reducidas al mínimo.

En segundo lugar, es criticable el término utilizado en la Sentencia del Tribunal Supremo “mensaje no abierto o no leído”, puesto que en la práctica cabe la posibilidad técnica que, desde el servicio de control la empresa marque como abierto y leído un mensaje que desea intervenir antes de aplicar el protocolo de intervención. Y al contrario, las aplicaciones técnicas permiten también al trabajador, marcar como no leído los mensajes ya abiertos, con la única intención de proteger una eventual intervención de la empresa. Por ello, es aconsejable que por la empresa se anule o desactive del sistema la posibilidad de cambiar el marcado de leído a marcado de no leído. (Es conveniente que la empresa disponga de herramientas que le permitan acreditar que un mensaje no ha sido manipulado puesto que, en definitiva, es lo que dará valor y credibilidad a la prueba.)

A raíz del cambio de la doctrina del Tribunal Supremo, debería considerarse realizar las siguientes actuaciones:

1. Prohibir el uso personal del correo electrónico corporativo. Las expectativas de intimidad, privacidad y secreto de los trabajadores al utilizar los recursos TIC corporativos deben quedar reducidos al mínimo. Todos los trabajadores disponen de dispositivos Smartphone particulares que les permite estar comunicados en caso que sea necesario de su entorno personal y familiar.
2. Disponer de una norma interna de uso de los recurso TIC y que sea entregada a todos los usuarios obteniendo su firma, acreditándose que han sido debida y diligentemente informados y consienten las medidas de vigilancia y control, así como eventuales intercepciones de sus comunicaciones.
3. Prohibir o anular la conversión de los mensajes leídos en no leídos.
4. Disponer de un plan de actuación o protocolo de investigación interna e intervención de las comunicaciones en el que se garanticen los derechos de los trabajadores, la integridad de la información y la cadena de custodia de las pruebas obtenidas.
5. Disponer de herramientas que permiten recuperar la actividad registrada en el sistema con el alcance que se considere necesario (a efectos del plazo de conservación de las evidencias).

Finalmente, y como hecho relevante en todo el historial relacionado con el uso de los recursos TIC corporativos, debemos mencionar que el Tribunal Europeo de Derechos Humanos ha avalado el control de la empresa sobre el correo electrónico de los trabajadores. Efectivamente, la Sentencia del Tribunal Europeo de Derechos Humanos de 12 de enero de 2016, va en sentido contrario al criterio fijado por nuestro Tribunal Supremo en lo que se refiere al derecho al secreto de las comunicaciones de los trabajadores.  

El Tribunal Europeo de Derechos Humanos considera que el trabajador no podía tener una expectativa razonable de privacidad cuando se comunicaba a través de su cuenta de Yahoo Messenger personal en horario laboral y utilizando las herramientas informáticas propiedad de la compañía, cuando la normativa interna establecía una prohibición expresa y absoluta de la utilización de aquellas para fines personales. Y concluye afirmando que la injerencia en las comunicaciones por parte de la empresa no constituye ninguna vulneración del derecho a la vida privada y familiar, ni del derecho al secreto o inviolabilidad de la correspondencia, recogidos en el artículo 8 del Convenio Europeo de Derechos Humanos.

Por tanto, abre la puerta a que el empresario en el ejercicio regular de sus facultades de dirección y organización, adopte medidas de vigilancia y control sobre el uso que de los recursos TIC corporativos hagan los trabajadores, incluyéndose la monitorización de las comunicaciones privadas, siempre que la normativa interna de la empresa impida abrigar al trabajador de toda expectativa razonable de privacidad.

En cualquier caso, habrá que estar atentos a las próximas resoluciones judiciales que sobre este asunto dicten, en especial las del Tribunal Supremo y del Tribunal Constitucional.