983 337 998 info@ntabogados.com

Tag Archives: email

Acceso al correo electrónico corporativo de un empleado amparándose en el Convenio Colectivo

Ayer multitud de titulares de prensa informaban de que el Tribunal Constitucional avalaba que la empresa revisara el correo electrónico de sus empleados, sin más. Hasta ahora la jurisprudencia del Tribunal Supremo consideraba que si el trabajador tiene una expectativa de privacidad, es decir, que no tiene motivos para pensar que la empresa puede acceder a su correo, esta no puede hacerlo.

La novedad de esta sentencia del Constitucional radica en que considera suficiente que el Convenio Colectivo prohíba la utilización de los medios informáticos de la empresa para usos particulares. Comento más en profundidad la sentencia en Descargas Legales.

Despedido por usar el ordenador para fines particulares

La Sala de lo Social del Tribunal Supremo ha dictado una sentencia, resolviendo un recurso de casación para unificación de doctrina, que confirma las sentencias del Juzgado de lo Social del Valencia y del Tribunal Superior de Justicia de la Comunidad Valenciana. Se declara la procedencia de un despido disciplinariocontra una trabajadora por realizar un uso abusivo del ordenador de la empresa para cuestiones personales dentro del horario de trabajo, incluyendo el envío a su correo electrónico personal de valiosa información comercial de la empresa.

Según consta en la sentencia, la empresa había  entregado “a todos los trabajadores y en concreto a la aquí demandante, una carta que ésta recibió y firmó, en la que se le comunicaba que quedaba terminantemente prohibido el uso de medios de la empresa (ordenadores, móviles, Internet, etc..) para fines personalestanto dentro como fuera del horario de trabajo”. Con posterioridad a esa información, se comenzó a monitorizar la actuación de la empleada, comprobándose el uso particular del ordenador.

En este tipo de conflictos siempre han de tenerse en cuenta varios aspectos, pero fundamentalmente la información previa y el alcance del control realizado por parte de la empresa. De la sentencia podemos sacar las siguientes conclusiones de cara a dejar claro el asunto:

  • El artículo 20 del Estatuto de los Trabajadoresreconoce el derecho de dirección y control de la actividad laboral del empresario, del que se deriva que puede “imponer lícitamente al trabajador la obligación de realizar el trabajo convenido dentro del marco de diligencia y colaboración […] y el sometimiento a las órdenes o instrucciones que el empresario imparta […] y, consecuentemente, la facultad empresarial para vigilar y controlar el cumplimiento de tales obligaciones por parte del trabajador”.
  • Aspecto clave es la expectativa razonable de confidencialidad que puede tener el trabajador respecto a su actuación, ya recogida en otras sentencias del Supremo. A este respecto, la sentencia es muy clara: “si no hay derecho a utilizar el ordenador para usos personales, no habrá tampoco derecho para hacerlo en unas condiciones que impongan un respeto a la intimidad o al secreto de las comunicaciones, porque, al no existir una situación de tolerancia del uso personal, tampoco existe ya una expectativa razonable de intimidad y porque, si el uso personal es ilícito, no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo”. 
  • Para que no exista esa expectativa de confidencialidad es imprescindible informar de las condiciones y prohibiciones de utilización de los medios de la empresa. Por eso es fundamental redactar correctamente estas condiciones e informar de forma fehaciente de ellas a todos los trabajadores.

El empresario puede acceder al ordenador del trabajador, pero no al correo electrónico

La Sección Tercera de la Audiencia Provincial de Madrid acaba de dictar un auto por el que se sobreseen las actuaciones contra un empresario que accedió al ordenador de uno de sus empleados, considerando que no hay delito de descubrimiento y revelación de secretos en su actuación. La noticia que ha salido en la prensa, sin embargo, habla del acceso al correo electrónico, pero en el auto en cuestión no se dice nada respecto al acceso al correo electrónico, sino exclusivamente al ordenador del trabajador, lo cual es bastante diferente. La resolución judicial sería muy novedosa en ese caso, puesto que sin consentimiento del empleado, o sin haber establecido previamente las condiciones de utilización y control del correo electrónico profesional, no se puede acceder al correo electrónico del trabajador.

En muchas ocasiones se ha apelado a la analogía por la cual se aplica lo dispuesto en el artículo 18 del Estatuto de los Trabajadores (ET) a los medios informáticos de la empresa. En consecuencia, sólo podría procederse a su registro cuando fuera necesario «para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible».

El auto comentado se apoya entre otras, en la Sentencia de la Sala de lo Social del Tribunal Supremo, de 26 de septiembre de 2007, en la que se considera que lo dispuesto en el artículo 18 ET supone una excepción a la protección del ámbito privado del trabajo, mientras que el control de los medios informáticos no entra dentro de la excepción, sino que está dentro de los poderes de dirección y control del artículo 20 ET. Considera el juez que «el ordenador es un instrumento de protección del que es titular el empresario como propietario o por otro título y éste tiene, por tanto, facultades de control de su utilización, que incluyen lógicamente su examen». Así pues, el empresario puede acceder sin problemas al ordenador del trabajador en ejercicio del mencionado poder de control.

Pero, insistimos en lo que decíamos al principio, estamos ante un caso de acceso al ordenador (al menos por lo que dice el auto) y no específicamente al correo electrónico, el cual sí que puede estar limitado al acceso por parte del empresario si antes no se ha establecido correctamente una política de uso conocida por los trabajadores, puesto que el correo electrónico está protegido por el secreto de las comunicaciones (artículo 18.3 de la Constitución).

El registro en foros no recoge datos personales, ni siquiera el correo electrónico

Cualquiera que conozca mínimamente la normativa sobre Protección de Datos pensará que no tenemos ni idea de la materia o que, directamente, nos hemos vuelto locos al escribir el título de esta entrada. Pues bien, atendiendo a una resolución de la Agencia Española de Protección de Datos (AEPD) que nos han hecho llegar, podemos afirmar esto sin ningún problema.

En la resolución mencionada se recoge que, para efectuar el registro en un foro, se recogen apartados como «nombre de usuario», «confirmar dirección de email» y «contraseña». Sin embargo, para la AEPD, «los datos que se solicitan no tienen por qué hacer identificables a la persona que los facilita hecho que normalmente ocurre en este tipo de foros en los que el afectado se ampara en un alias o en datos identificables discrepantes con los del titular». De esta frase digna de ser enmarcada debemos considerar dos aspectos:

– Por un lado entiende la Agencia que, dado que «normalmente» «en este tipo de foros» el afectado se ampara en un alias, no se puede hacer identificable a la persona que facilita. Es bastante curioso que en la propia frase se está aceptando la posibilidad contraria: si «normalmente» se utiliza un alias, quiere decir que habrá ocasiones, aunque sean anormales, en las que se puede facilitar un nombre real. Es decir, la misma resolución concede la posibilidad (completamente real, por otra parte) de que se utilicen, por ejemplo, el nombre y apellidos de la persona, respecto de los cuales no creo que sea necesario entrar en su capacidad identificativa respecto a una persona.

– Por otro lado, como hemos señalado antes, uno de los datos que se facilita en el registro del foro es la dirección de correo electrónico. Es una interpretación más que consolidada de la Agencia Española de Protección de Datos el considerar a la dirección de correo electrónico como un dato de carácter personal, incluso en aquellos casos en los que directamente la dirección no pueda identificar a una persona (por ejemplo, en una dirección del tipo arhkjdfasd@gmail.com). Así lo viene afirmado «desde siempre», como se puede leer en este archiconocido informe jurídico, en el que se dice que, «incluso en aquellos casos en los que la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta […] la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación». Sin embargo, volviendo a la resolución que estamos comentando, ahora resulta que la dirección de correo electrónico «no tiene por qué hacer identificable a la persona». Y se quedan tan anchos, por decirlo de alguna manera.

Aún no repuesto de mi asombro, no obstante esta extravagante resolución, recomiendo a los responsables de foros que consideren que la recogida de datos que realizan para el registro en sus foros se encuentra dentro del ámbito de aplicación de la LOPD y, en consecuencia, tomen las medidas oportunas.

¿Vía libre al «spam»?

Hemos tenido conocimiento de una resolución de la Agencia Española de Protección de Datos (AEPD) por la cual se archiva una denuncia con motivo de la recepción de un correo electrónico no solicitado («spam«). El artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI)  establece la prohibición de enviar «comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas». Por tanto, con carácter general (hay una excepción que no entra en aplicación en este caso) el envío de una comunicación comercial no solicitada supone una infracción, tipificada en el art. 38.4.d de la misma norma.


En el caso que nos ocupa, habiéndose acreditado el envío de una comunicación comercial no solicitada, la AEPD acuerda no incoar actuaciones inspectoras ni procedimiento sancionador, basándose en dos aspectos:


1.- La presunción de inocencia. Estima la AEPD que, puesto que «en la página web del presunto infractor figura un procedimiento para poder solicitar información facilitando la dirección de correo electrónico, […] cabe concluir que existe una duda razonable acerca de la forma en que se obtuvo la dirección de correo del ahora recurrente y, en consecuencia, de la existencia de consentimiento para la remisión del correo».


2.- Los principios de intervención mínima y proporcionalidad. La AEPD considera necesario que se agoten otras fórmulas procedimentales alternativas a la apertura de un procedimiento sancionador. En este caso, puesto que en el correo electrónico enviado constaba información sobre el procedimiento habilitado para oponerse al envío de nuevas comunicaciones comerciales, y no se ha acreditado haber ejercitado el derecho de oposición, la Agencia estima que no se han agotado las mencionadas fórmulas procedimentales alternativas.

Vaya por delante nuestro total acuerdo con el respeto a los principios de presunción de inocencia y de intervención mínima y proporcionalidad, que quede claro. No obstante, la aplicación de estos principios, llevados al límite (como, en nuestra opinión, hace la AEPD en este caso) permite que, cumpliendo sólo parcialmente con los requisitos exigidos para poder enviar comunicaciones comerciales no solicitadas (como lo es el habilitar un procedimiento para la oposición al envío de nuevas comunicaciones comerciales, tal y como establece el art. 22 de la LSSI) se pueda escapar de la comisión de una infracción.

En consecuencia, si nos atenemos a lo recogido en esta resolución, la AEPD no sancionará el envío de comunicaciones comerciales no solicitadas si:

– Se dispone en la página web de un formulario de solicitud de información.
– Se cumple con la obligación dispuesta en el art. 22 de la LSSI respecto a la habilitación del procedimiento de oposición.

En fin, que parece se pone muy fácil el envío indiscriminado de spam. No obstante, conociendo los cambios doctrinales a los que nos tiene acostumbrados la AEPD, mi recomendación es que sólo se envíen comunicaciones comerciales por vía electrónica, tal y como dice el art. 21 de la LSSI, cuando se tenga el consentimiento del destinatario o la dirección de este se haya obtenido de forma lícita en el marco de una relación contractual previa y la comunicación comercial se refiera a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.