Mandar correos electrónicos desde el trabajo (Getty Images/iStockphoto)
Algunas importantes sentencias y normativas europeas y españolas establecen límites precisos a los controles
Cuando se habla de uso privado del correo de empresa, no se trata solo de reservar una visita al médico, escribirle a un amigo o acceder a una página para comprar un regalo de última hora. En los casos más graves se puede producir la sustracción de información confidencial o el intento de derivar clientes a otra empresa.
Las empresas pueden intentar acciones legales o tener que justificar un despido y, a veces, necesitan acceder al correo laboral del trabajador para fundamentar sus razones. ¿Pueden hacerlo? Xavi Saula, socio de Auris Advocats y especialista en derecho de las nuevas tecnologías, advierte de que “la normativa establece que la empresa puede acceder al correo corporativo, pero el empleado tiene que saberlo”.
“La empresa puede acceder al correo corporativo, pero el empleado tiene que saberlo”
Este concepto no es nuevo, como reconoce Jordi Ferrer, vocal de la Comisión de Transformación digital del Colegio de Abogacía de Barcelona: “por un criterio jurisprudencial que tenemos en España desde el 2007, si la empresa no ha informado al trabajador de los controles, no le puede sancionar en base a lo que se haya encontrado a través de estos”.
Establecido esto, hace dos años hubo una sentencia que marcó un antes y un después en este ámbito. Es la emitida por la Gran Sala del Tribunal Europeo de Derechos Humanos (TEDH), el 5 de septiembre de 2017. Es la llamada ‘Sentencia Barbulescu II’, por el apellido del trabajador rumano que se enfrentó a cuatro grados de juicio para demostrar la ilegitimidad de su despido.
La ‘Sentencia Barbulescu II’ marcó un antes y un después
El ingeniero rumano fue despedido porque le sorprendieron usando el correo corporativo para fines personales, pese a que la regulación interna prohibiese expresamente cualquier uso privado de las herramientas de la empresa. Barbulescu alegó una injerencia injustificada en su vida privada y, por lo tanto, una violación de la ley de privacidad.
El caso es que la empresa registró en tiempo real sus comunicaciones, que también fueron transcritas. Además, la intervención comprendió tanto la cuenta empresarial, donde se encontraron conversaciones privadas con su hermano, como una cuenta privada, de la que se extrajeron cinco mensajes enviados a su novia.
La sentencia de la Gran Sala dio la razón al ciudadano rumano y dictó que el correo empresarial puede estar sujeto a controles por parte del empleador, sin constituir una violación de la Convención sobre los Derechos Humanos, siempre y cuando se respeten ciertas condiciones recogidas en lo que ahora es el llamado ‘Test Barbulescu’. Los controles deben ser idóneos, proporcionales, justificados y necesarios, es decir que no existan alternativas menos intrusivas.
El Tribunal dictaminó que la vida privada del trabajador no puede reducirse a cero, por lo que las comunicaciones transmitidas en el lugar de trabajo, tanto las emitidas desde cuentas privadas como de las proporcionadas por la empresa, entran en el concepto de ‘vida privada’ y de ‘correspondencia’, ambos protegidos por el art. 8 de la Convención Europea de Derechos Humanos.
Los controles deben ser idóneos, proporcionales, justificados y necesarios
“Nosotros - relata Xavi Saula - cuando asesoramos a una empresa o un trabajador, miramos que en el contrato u otro documento posterior se ponga claramente que el correo electrónico, el ordenador o el teléfono móvil pueden ser inspeccionados por la empresa. Es muy importante el concepto de advertencia previa”. Fundamental, pero no suficiente.
En muchos casos, las compañías realizan controles preventivos, seleccionando al azar algunos correos de los empleados. La sentencia Barbulescu avisa de que debe haber una proporción entre el propósito y la invasión de la privacidad. Básicamente, los controles masivos son ilegítimos, cuando activados en ausencia de una justificación específica o un peligro concreto.
Debe haber una proporción entre el propósito y la invasión de la privacidad
Según Saula, “lo más importante es que se explique muy bien al empleado qué controles se van a hacer, cómo y por qué. No tiene por qué saber el momento en qué se hacen, pero sí que puede pasar”. Además, la empresa debe permitir la trazabilidad de los controles para aclarar cuántos y qué correos electrónicos se han monitoreado, durante cuánto tiempo y cuántas personas han tenido acceso a los resultados de la vigilancia.
Los controles suelen ir a cargo de los departamentos de sistemas, que son los que técnicamente pueden hacerlo, aunque a veces temen incumplir la ley por falta de preparación específica. Como advierte Saula, “nosotros recomendamos que sea dirección general quién mande la orden por escrito a sistemas”.
“La proporcionalidad es un concepto subjetivo que depende del criterio del juez”
La proporcionalidad es un requisito presente desde hace tiempo en la jurisprudencia española y es aplicable a cualquier medida intrusiva, como el registro de un domicilio. Aún así, “es un concepto subjetivo que depende del criterio del juez”, reconoce Ferrer, quien matiza: “para hacer las cosas bien, no se deberían leer todos los cinco mil correos de los últimos años del trabajador, sino llevar a cabo búsquedas por palabras clave a fin de encontrar lo que realmente interesa”.
Algo más de objetividad se introdujo con la llegada, en mayo de 2018, del Reglamento General de Protección de Datos (RGPD), y, sobre todo, con la entrada en vigor, el pasado 6 de diciembre, de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. La ley española comprende un artículo, el 87, que habla concretamente de derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral.
El 6 de diciembre de 2018, entró en vigor la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales
Como explica el abogado Pere Rius, socio director de Ticjuris Advocats y experto en derecho de las tecnologías de la información, “el reglamento europeo define unos principios y propugna el sentido de auto-responsabilidad del empresario, la Ley Orgánica hace referencia muy especial a los derechos digitales de los trabajadores, por lo tanto refuerza muchos conceptos jurisprudenciales que antes eran interpretaciones”.
Muchas empresas españolas no conocen este cuadro normativo y se encuentran en la situación de no poder usar el correo laboral como prueba en un juicio. “Mi experiencia - reconoce Rius - es que existe una falta generalizada de conocimientos en este ámbito, al menos a nivel de pymes, que no se dan cuenta de la relevancia de estas cuestiones hasta que no se produzca el hecho”.
“Existe una falta generalizada de conocimientos en este ámbito, al menos a nivel de pymes”
El trabajador cuyo correo corporativo haya sido utilizado indebidamente por la empresa podría incluso pedir un resarcimiento, aunque esto sería complicado porque “estaríamos hablando de daños morales muy difíciles de acreditar, siendo el correo de empresa y no el privado. Por otro lado, el acceso ilegítimo al correo privado, evidentemente, entraría ya en el ámbito penal”, aclara Pere Rius.
La jurisprudencia contempla también la posibilidad del ‘hallazgo casual’ de una evidencia de infracción y, últimamente, varias empresas están intentando obviar a los límites en los controles preventivos, implementando sistemas de denuncia interna. Sin embargo, la delación, o chivatazo, más allá de las evaluaciones éticas, es un elemento probatorio muy frágil.
”El acceso ilegítimo al correo privado entraría ya en el ámbito penal”
Como explica Jordi Ferrer ,“es conveniente reunir pruebas más completas, la simple denuncia de un tercero puede ser refutada en un juicio”. Además, avisa el colegiado, “coger de un servidor de correos unos cuantos mails e imprimirlos es algo fácilmente modificable y por lo tanto impugnable en un juicio, habría que hacerlo con determinadas garantías técnicas”.
El 17 de noviembre 2017, en la sentencia del Juzgado de lo Social nº17 de Madrid, se aplicó por primera vez el ‘Test Babulescu’ en un tribunal español, declarando nulo un despido, entre otras cosas porque el acceso al correo de empresa intentaba determinar la carga de trabajo de la empleada y su dedicación al mismo durante la jornada laboral. El Juzgado consideró que existían medios más idóneos para averiguarlo.
Además, pese a existir una política de uso de medios informáticos previamente comunicada, el Tribunal consideró desproporcionada la medida de monitorización durante 3 días de los correos de la trabajadora y que hubo un vulneración de los derechos fundamentales a su intimidad y al secreto de sus comunicaciones. La constancia del ingeniero rumano marcó un punto de inflexión en las relaciones laborales en Europa.
https://www.lavanguardia.com/tecnologia/20060324/461157075492/correo-electronico-ley-trabajo-email-derecho-privacidad.html
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.