El correo electrónico en la empresa

por

publicado el 20 abril 2010

Categorías: Abogados LOPD / Abogados nuevas tecnologías / Agencia Proteccion Datos / Derecho Laboral / Estudios e informes / Intimidad / Jurisprudencia / LOPD / Protección de Datos

Desde el año 2007 existe jurisprudencia sobre el acceso al correo electrónico (y a los medios informáticos) de los trabajadores por parte de la empresa, recordemos que la Sala Social del Tribunal Supremo en Sentencia de 26 de Septiembre de 2007 para la unificación de doctrina puso las bases para poder equilibrar estos 2 derechos como son la intimidad y el control de los medios informáticos por parte de las empresas.

Un informe de la Agencia Española de Protección de Datos del año 2009 en respuesta a una consulta jurídica planteada sobre la legalidad de un sistema empresarial de redireccionamiento del correo eléctronico de los trabajadores recoge lo establecido (como no podía ser de otra forma) en la comentada Sentencia del Tribunal Supremo. En la consulta se planteaba la legalidad del sistema mediante el cuál ante una ausencia del trabajador, éste debe hacerlo constar en el programa informático, que automáticamente redirecciona el correo electrónico de éste al otro compañero que debió señalar como sustituto o al responsable del departamento. Este sistema permitiría el tratamiento de datos personales del trabajador ausente por la empresa contenidos en su correo electrónico, datos que podrían incluir informaciones de tipo sindical y relativas a la actividad de los representantes de los trabajadores, es decir, que dicho sistema podría comportar el acceso de terceros a datos sensibles o especialmente protegidos.

La Agencia, en el referido informe, destripa la Sentencia del Tribunal Supremo y concluye estableciendo que, a su entender, el artículo 20. 3 del Estatuto de los Trabajadores habilita al empresario a controlar el correo electrónico que él otorga a sus trabajadores para el desarrollo exclusivo de sus funciones, pero siempre que previamente haya informado sobre dicho extremo y cumpla con el deber de información previsto en el artículo 5.1 de la LOPD.

No queda ningún margen de duda que, para cualquier acceso al correo electrónico de los trabajadores debe haber siempre una información previa al respecto, que debe incluir también en su caso el principio de información del artículo 5.1 de la LOPD.

  • Pingback: Bitacoras.com()

  • Vamos que lo mejor es no redireccion nada, eliminar la cuenta del ex trabajador y punto.

  • Álvaro Del Hoyo

    Buenas, Jorge

    Se han de tener en cuenta los casos de las ausencias, así como el de la baja de los trabajdores.

    No creo que redireccionar el correo a la persona suplente o sustituta sea una medida proporcionada, pues considero que es menos lesivo establecer una regla de respuesta automática indicando los datos de contacto alternativos.

    Otra cosa será el acceso por motivos de trabajo al buzón de correo de la persona ausente o que ha causado baja en caso de necesidad y urgencia. En estos casos se ha de respetar la intimidad de la persona, de modo que la búsqueda y el acceso a los datos evite indagar en la intimidad, cosa que es difícil.

    Lo recomendable es que las empresas redacten y divulguen códigos de conducta sobre el tratamiento de información estableciendo instrucciones al respecto del uso de archivos de papel, ordenadores de sobremesa y portátiles, correo electrónico, acceso a Internet, teléfonos móviles, soportes informáticos removibles o soportes de todo tipo, servicios de acceso remoto,…, así como informarles del tratamiento de sus datos personales, recordarles sus obligaciones de secreto de información, datos personales o no, así como sus obligaciones de seguridad, de nuevo no sólo con respecto a datos personales.

    Y en estos códigos se ha de valorar si prohibir totalmente el uso privado de los medios de la empresa, o permitir un uso privado razonable y que no perjudique el correcto funcionamiento de los medios corporativos. Sinceramente, creo que la primera opción no es viable, por difícil de controlar, y ante la tolerancia que implicará la ineficacia o falta de supervisión, se acabaría por entender consentido el uso privado.

    El desarrollo de este tipo de códigos de conducta es uno de los servicios adicionales que suelo ofrecer a mis clientes en proyectos de adecuación o auditoría de protección de datos personales.

    De nuevo, interesante post.

    Un saludo

  • Jorge Campanillas Ciaurriz

    Además, si como en el caso del informe se va a tener acceso a información sindical, etc. ¿no sería necesario el consentimiento por escrito del trabajador? A mi juicio no bastaría solo con informar…

    Alvaro, al final te tendrás que abrir un blog 😉

  • Vamos que lo mejor es no redireccion nada, eliminar la cuenta del ex trabajador y punto jeje

  • Javier

    Hola,

    en mi caso me he ido de la empresa hace 4 meses y estoy solicitando que me den una copia completa de mi correo electrónico en CD o DVD, dado que en él tengo correos profesionales y privados de mi etapa en dicha empresa que considero valiosos para un futuro (como por ejemplo, contactos).

    Me dicen que por política interna de empresa, no se facilita dicha información. ¿Pueden hacer eso? ¿En base a qué Ley o sentencia podría reclamar el acceso a dicha información que estoy solicitando?

    Gracias

  • Álvaro Del Hoyo

    Buenas, Javier

    En cuanto a los correos profesionales me temo que, en condiciones normales, están en su derecho de no facilitarte tal copia de seguridad. En esos correos puede que haya secretos industriales o comerciales, lo normal será que se contenga información confidencial de todo tipo tanto de la propia empresa como de terceros. Entregar esos correos podría suponer un incumplimiento del deber de secreto sobre informaciones confidenciales (ya no formas parte de la empresa), lo normal es que ni siquiera goces de derecho de propiedad intelectual alguno sobre aquellos documentos generados durante el desempeño de tu trabajo,… No obstante, sí que hay gente que opina que pudiera ser que tengas derecho a ese conocimiento y, por tanto, a poder tener copia de las informaciones desarrolladas durante tu trabajo, pero yo no lo veo así.

    Ya en lo que se refiere a tus correos privados la cosa cambia. Deberían facilitártela sino que además deberían borrar de forma segura toda ella una vez que has causado baja de la empresa. Sin embargo, dado que lo normal será que correos profesionales y privados se encuentren entremezclados, la labor no será sencilla y con total seguridad sería necesario que el trabajo de localización requiriese un trabajo conjunto entre tú y un administrador de su red.

    Es bien complicado regular adecuadamente lo que se puede y lo que no se puede hacer con los medios de tratamiento de información provistos por la empresa, pero desde luego que sí que es posible prever y regular este problema y muchos otros recurrentes que existiendo como existe, y de forma muy generalizada, un uso dual de tales medios. Y creo que las empresas aún no son verdaderamente conscientes de la importancia que ello tiene, un pues un código de conducta al respecto ayuda a regular cuestiones conflictivas como propiedad intelectual, libertad sindical, protección de datos, secreto de las comunicaciones, intimidad, seguridad de la información (confidencialidad, integridad y disponibilidad de informaciones), aseguramiento de admisibilidad en juicio de evidencias electrónicas obtenidas en investigaciones forenses,…

    Un saludo

  • Mario

    Hola,
    Te comento mi caso:
    Era socio de una sociedad S.L.P. que teníamos un dominio con cuentas de correo cada uno de los socios. Me salí de la sociedad vendiendo mis participaciones.
    ¿Tengo algún derecho sobre la que era mi cuenta de correo?
    ¿Podría obligar a anularla?

  • Steph

    Que interesante! Por lo que comentais una empresa no podria usar la cuenta de correo de una persona que ha causado baja en la misma, no por un tema de etica ni, ni suplantacion de identidad, nada parecido, es solo porque puede ver datos personales.

    Steph

  • Álvaro Del Hoyo

    Buenas, Mario y Steph

    La cuestión es que existe un conflicto de derechos que ha de resolverse con respecto a los principios de congruencia (objeto-fin-medida) y proporcionalidad (idoneidad-necesidad-proporcionalidad).

    Ello obliga a que tales conflictos se estudien caso por caso, si bien no obstante y como ya se dejó claro en la STS del año 2007 que vino a unificar la doctrina al respecto es muy recomendable que las empresas desarrollen políticas de buen uso o códigos de conducta con respecto al uso de los medios de tratamiento de información puestos a disposición de los trabajadores, sean plantilla, autónomos dependientes o incluso plantilla de proveedores que reciban en sus instalaciones, y alcanzando hoy en día a cuestiones tales como el uso de redes sociales.

    Contestando a las cuestiones de los dos.

    Ni la empresa está obligada a perder los correos electrónicos de vuestros buzones, ni vosotros estáis condenados a perderla. Ambos debierais poder seguir manteniendo el acceso a la misma, y cada uno de vosotros habrá de hacer un uso diligente de la misma respetando las obligaciones aplicables a la misma, esto es, propiedad intelectual o industrial, secretos comerciales o industriales, confidencialidad, no competencia,… que variará según los casos.

    Lo que se suele hacer en estos casos, o al menos es lo que yo recomiendo, es que previa a la baja definitiva de la persona se le pida a ésta separe los datos profesionales de los privados, si no lo estuvieran ya, de modo que la empresa pueda trasladar la información profesional a la persona que sustituya a quien abandona la empresa, y que incluso se le entregue a ésta cuanta información se le pueda entregar, cosa que no siempre será posible.

    Pensemos por ejemplo que la entrega de información con datos personales incluidos en los ficheros de las personas podrán tratarse por el ex-empleado a título personal, pero también profesional (autónomo o ex-empleado como empleado de otra empresa y para fines de ésta), pero en tales casos se puede estar acabando por incurrir en vulneraciones de propiedad intelectual o industrial de terceros, obligaciones de confidencialidad (por ejemplo de datos personales), cesiones de datos personales no autorizadas,…

    Es por ello que lo normal sería que se pueda entregar a quien causa baja toda aquella información por él clasificada como privada (con el riesgo de poder ser engañados), así como informaciones específicas que fuera de su interés mantener y sobre las que no exista conflicto de derechos, o de existir éste se entienda que procede la entrega de información porque prime algún derecho del ex-empleado, si bien lo normal suele ser que primen los derechos de la empresa.

    Insisto en que no son cuestiones sencillas y que se han de resolver caso por caso, y casi que documento a documento, de ahí que por prudencia y dada la exigencia de diligencia a los empresarios deban éstos anular o limitar al máximo la puesta a disposición de informaciones a las personas que causan baja, sin perjuicio de que identificadas adecuadamente y valorado el caso concreto, no es que se pueda llegar a entregar la información, sino es que además sea obligado en base al derecho de acceso a los datos personales en caso de que deba primar el derecho a la intimidad, a la protección de datos o incluso a la propiedad sobre las informaciones de las persona que causan baja.

    En relación al mantenimiento en el uso del buzón de correo electrónico, números de teléfono móvil,… lo que se suele recomendar es el establecimiento por tiempo prudencial de una respuesta automática indicando la baja y los datos de contacto de la persona con la que poder tratar los asuntos profesionales. Eso hará que quienes escriban o llamen a la persona por temas personales eviten enviar correos, SMS, MMS o incluso dejar mensajes de voz de tipo privado.

    Ello tiene un problema en el caso del correo electrónico: se está indicando a los spammers que esa cuenta está activa. Si bien no obstante por ejemplo GMail (versión personal, versión Google Apps) ya permite indicar que esta respuesta automática sólo se remita a las direcciones de correo incluidas en la lista de contactos.

    Un saludo

  • Steph

    Es muy interesante lo que comentas Alvaro pero bajo mi punto de vista siempre haces referencia a los datos de la empresa y a los intereses de la empresa y presuponiendo que la información que contiene o que recibe la cuenta de correo es estrictamente profesional o personal “sin transcendencia” Pero yo me planteo otra cosa, la privacidad de los datos personales que puede contener o seguir recibiendo esa cuenta de correo están siendo visualizados y/o almacenados por una persona ajena y no autorizada.
    Si esa cuenta de correo ha sido dada de baja no habrá ningún problema, el servidor de correo devuelve un msj de error y nadie ve esa información, ahora bien, y como es práctica habitual, si esa cuenta de correo la empresa la ha redireccionado a otro empleado para que pueda seguir recibiendo los correos que me envían a mí, esa otra persona puede estar teniendo acceso a mí información privada, personal y protegida, por lo cual está vulnerando mi intimidad, he incluso puede darse el caso que estén suplantando mi persona al capacitar a esa tercera persona para utilizar la cuenta de correo que yo usaba y que lleva mi nombre.
    Me explico con un ejemplo, mi médico, o mi abogado, por error o por desconocimiento que ya no trabajo en esta empresa me mandan información sobre mi salud o mi enfermedad o sobre la sentencia de mi divorcio, o mi madre sobre mis actividades religiosas en la parroquia de barrio o cualquier otra información especialmente sensible.
    Esa información la está recibiendo y viendo una persona a la que yo no he autorizado y creo que eso si es grave. No solo están vulnerando mi derecho a la intimidad, constituye una intromisión en el secreto de las comunicaciones y quizás estén recabando información especialmente protegida por la LOPD sobre mi persona sin mi autorización.

  • Álvaro Del Hoyo

    Buenas, Steph

    El ejercicio de la libertad, de los derechos supone una responsabilidad.

    Eres muy libre también de subir los informes médicos a tu perfil en Facebook y configurar tu privacidad para que incluso te indexen los buscadores, pero ¿por qué no lo haces?

    ¿Y qué me dices de compartir la contraseña de acceso al ordenador y si acaso al correo electrónico de tus compañeros más próximos, o casi hasta apuntarla en un post-it,…? Eso sí, si luego la empresa necesita entrar a nuestro correo están vulnerando nuestra intimidad.

    Y con eso tampoco descarto casos en los que la empresa accede al correo o nuestro disco duro con fines ilícitos, que también las hay.

    Nuestro comportamiento marca nuestra expectativa de intimidad e incluso de privacidad.

    El problema es que se ha creado un uso social en el que todos utilizamos la cuenta de correo del trabajo para temas personales además de los profesionales. Y ese es nuestro gran error.

    Si tanta importancia le damos al hecho de que los administradores, la empresa pueden vulnerar nuestra intimidad o nuestra privacidad accediendo a nuestro correo cuando sabemos además que en muchos casos lo normal será que accedan porque necesitan un correo o un adjunto para fines concretos (evidencias en un juicio, seguimiento comercial,…), ¿por qué no lo evitamos nosotros mismos?

    En pocas empresas se prohíbe el uso de cuentas de correo electrónico tipo Hotmail, GMail,…, incluso a sabiendas de que supone una vía abierta para fugas de información, además hoy en día cada vez más tenemos correo electrónico en nuestros móviles, ¿realmente ves necesario emplear la dirección de trabajo para cosas tan personales como las que apuntas, e incluso para asuntos de bagatela?

    Esto se puede resolver de antemano por parte de la empresa con esas políticas de buen uso o códigos de conducta. Con respecto al prohibir el uso del correo electrónico corporativo para temas personales, como autorizar el uso racional del mismo hay opiniones de todos los colores, pero la experiencia me dice que al final todo el mundo hace lo que le parece, la empresa no puede monitorizarnos en todo momento (y ay de ella si lo hace) y luego nos quejamos.

    Créeme, un administrador cada vez que le piden que acceda al correo electrónico de un empleado por lo general se tira de los pelos, y normalmente suele dar lugar a un enfrentamiento con su jefe, el jefe del titular del buzón e incluso el abogado de la empresa. Intervenir en esto puede tener consecuencias personales graves, hasta figurar como imputado en un proceso penal, siempre y cuando las cosas no se hagan como es debido, y el problema es que saber que es debido no es del todo sencillo, aunque el sentido común puede ayudar bastante.

    Estando esa información disponible y habiendo una necesidad lícita, no queda más que aplicar el sentido común y saber que se ha de obrar con respecto a los principios de congruencia y de proporcionalidad y no enredar en todo lo que parezca personal, de no ser que no quede más remedio (por ejemplo, porque hay evidencias de ilícitos por parte del usuario del ordenador, cuenta de correo,…).

    Un saludo

  • aku

    Os comento mi situación a ver si me podeis orientar.

    En mi empresa anterior, hubo un momento a partir del cual, se utilizó mi cuenta de email para enviar de forma automática una especie de resúmenes mensuales. De esta manera, la respuesta que hicieran a estos correos la gestionaría yo personalmente.

    Sin embargo, causé baja en la empresa en el mes de febrero y por unos ex-compañeros me he enterado que la empresa no ha redirigido esos correos automáticos para que sean enviados desde otro correo corporativo, no se si por olvido, desidia, o por incompetencia pura y dura.

    Por lo tanto, hace ya más de 10 meses que no estoy en la empresa pero se siguen siendo enviados desde mi antiguo correo corporativo y que contienen mi nombre y apellidos en la firma. Según me cuentan mis ex-compañeros, siguen llamando preguntando por mi cuando reciben esos correos. No se si lo hacen para usarme de “chivo expiatorio” pero no me parece ético que se apropien de mi identidad y mi nombre cuando ya no trabajo para ellos.

    No se si este uso, que a mi me parece de dudosa legalidad, está recogido en alguna parte y que consejo me podeis dar, pero quiero saber a que atenerme antes de mandarles una advertencia o emprender acciones legales.

  • Jorge Campanillas Ciaurriz

    Estimado Aku

    Muchas gracias por tu visita al blog y tu comentario. Entiendo, ciñéndome exclusivamente a los datos que aportas que puedes oponerte al uso de tus datos personales. Si bien para una mejor resolución o asesoramiento del mismo puedes ponerte en contacto directamente con nosotros a través de info(arroba)iurismatica.com

    Un cordial saludo

  • wixi

    Hola, Tengo una pregunta sobre el tema que estais tratando,
    cuando una persona se va de la empresa y envía correos personales y cadenas de email a las direcciones de correo de sus compañeros, esto es legal? Satura la banda ancha de la empresa y no me parece que te envien cadenas a un correo corporativo, puesto la única finalidad de esta cuenta es fines profesionales. ¿recae alguna responsabilidad sobre el extrabajador por utilizar direcciones de correo de empresa?Puesto que son contactos que conoce por su condición de ex trabajador.

    Gracias

  • Jorge Campanillas Ciaurriz

    Estimado Wixi

    Muchas gracias por la visita y el comentario en el blog.

    Depende del uso de esos correos electrónicos, me explico una cosa es que se permitan ciertos usos personales, que podríamos incluir esas cadenas de email, o comunciaciones privadas, a que esa BBDD de emails se utilice para enviar SPAM o comunicaciones comerciales, que no estaría permitido.

    No sé si me explico.

    Un saludo

  • Mata-Hari

    pues mi empresa se ha metido en mi hotmail, ha manipulado la informacion y me dicen de mandar informacion confidencial (articulos de prensa) a la competencia (mi novio). Que opinais?

  • Cogiva

    A ver si me podéis ayudar. Resulta que estoy de baja médica y mi empresa (una universidad) me ha cerrado el acceso a mi correo electrónico y a quien me los envia le son devueltos con un mensaje de error. ¿Es eso legal? Ya que normalmente también recibo comunicaciones sindicales y otras informaciones de la empresa que me interesan, ademas de que represento a mis compañeros en los órganos de gobierno y tampoco me llegan las convocatorias. En este último caso proponen que me lo enviaran a mi cuenta de gmail que es personal. Creo que por el hecho de estar de baja medica no debo perder ninguno de mis derechos. Que puedo hacer. Gracias

  • LOLA

    Hola, estoy haciendo un trabajo sobre la utilización de los medios informáticos en la empresa. ¿hay algún módelo de cogido de conducta a seguir?, me refiero al contenido que debe tener ese código.
    Gracias.

  • Karluris

    Hola, me han despedido de la empresa y a parte de que me han prohibido el acceso a los poquísimos doc personales que tenia en el escritorio del PC para borrarlos, me han informado que mi buzón del correo corporativo (con mi nombre y apellido) ha sido desviado al de una ex compañera. Es esto legal? He ejercido mi derecho a la cancelación de mis datos personales, incluyendo aquellos que me identifican como persona física como la dirección de correo electrónico. No me importan los mails anteriores porque no usaba esta cuenta para fines personales, pero no quiero que siga activa con mis datos. Que puedo hacer?

  • Susana Martin

    A ver si podeis ayudarme. En la organización existen empleados que abandonan la empresa. Hay obligación de eliminar las cuentas de correo de google de esos empleados que abandonan o por el contrario,no es obligatorio?? En qué normativa nos basamos para justificarlo??