A menudo nos consultan los clientes si es lícito que el empresario acceda al correo electrónico corporativo de los trabajadores.
El empresario tiene la facultad de establecer medidas de control laboral, y así viene reconocido en el art. 20.3 del Estatuto de los Trabajadores cuando refiere: «El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad»
Esta facultad no es absoluta, sino que encuentra un límite en el respeto a los derechos fundamentales de los trabajadores (a la intimidad, al secreto de las comunicaciones y a la protección de datos en el entorno digital). Entre la facultad del empresario y los derechos fundamentales suele existir una tensión que debe ser gestionada adecuadamente para evitar conflictos.
¿Puede el empresario acceder al correo corporativo de sus trabajadores?
El empresario sí puede acceder al correo corporativo del trabajador, pero solo si de dan determinadas circunstancias que convierten este acceso en lícito, impidiendo que se configure como una intromisión ilegítima. Lo que debe quedar claro es que este acceso no puede ser desproporcionado, arbitrario, sino que debe justificarse en fines lícitos, por ejemplo, enmarcándose dentro del ámbito del control laboral o la necesidad de dar continuidad a la actividad de negocio, y, además debe venir precedido del deber de información y transparencia.
Desde luego no es lícito es el acceso del empresario al correo corporativo para cotillear, rebuscar, cuando no existe un objetivo lícito o una necesidad que lo ampare, además tampoco sería lícito si es un acceso que no se ha informado previamente, y atenta contra la expectativa de privacidad del empresario.
¿Qué dice la jurisprudencia sobre el acceso del empresario al correo corporativo de sus trabajadores?
Existe muchísima jurisprudencia al respecto, y muchas sentencias son contradictoras, porque es muy delgada la línea que separa el acceso lícito y justificado, del arbitrario y excesivo.
Cabe destacar la Sentencia del Tribunal Supremo (STS) núm. 489/2018, de 23 de octubre que, como novedad, resta importancia al hecho de que los correos a los que acceda el empresario estén o no leídos, algo que se había tenido en cuenta en sentencias anteriores. El Alto Tribunal expresa que esto es de difícil determinación y no puede constituir la piedra angular sobre la que gira la solución a la controversia. En cambio, la STS pone el acento en la ausencia de toda expectativa de confidencialidad por parte del trabajador que sufre la intromisión, circunstancia que constituirá la diferencia entre la injerencia legítima y la que no lo es.
Entonces ¿Cómo debe producirse este acceso al correo corporativo —nunca al personal— para que sea lícito?
El juez dice textualmente en la STS referida: «allí donde exista acuerdo expreso de fiscalización se estará excluyendo toda expectativa de privacidad. Pero la exclusión de esa expectativa ha de ser expresa y consciente, sin que pueda equipararse a ésta una pretendida renuncia derivada de la voluntad presunta del trabajador».
De esto deprende que debes informarlo de forma clara y acreditable a tus trabajadores, cumpliendo así el principio de transparencia, ya sea indicando en qué situaciones se producirá este acceso, o informando sobre cada acceso concreto que se va a producir.
2 Casos prácticos, y lo que dicen las sentencias y resoluciones sobre esto:
1º caso (es el caso de la STS antes comentada): Se condenó al propietario y administrador único de una empresa como autor de un delito de descubrimiento y revelación de secretos, tipificado en el artículo 197.1 del Código Penal, a 1 año de cárcel, por haber accedido al ordenador corporativo de un trabajador, a su correo electrónico corporativo y a su correo electrónico personal, el cual había sido instalado en el ordenador de la empresa, pese a la prohibición prevista en el Convenio Colectivo. El acceso al correo personal no tiene desperdicio, es una clara intromisión ilegitima. En el acceso al correo corporativo, se entendió que tampoco se cumplió el requisito de transparencia, es decir, no se informó al trabajador antes, por lo que no existía expectativa por su parte y el resultado fue que lo sintiera como una “intromisión”.
1º caso (es el caso de una resolución reciente de la AEPD AI/34/24): El reclamante, miembro del comité de empresa, denunció que, durante una huelga sectorial en diciembre de 2022, su superior accedió a su correo electrónico corporativo y envió tres correos en su nombre. La Inspección de Trabajo y Seguridad Social (ITSS) investigó el caso e inició un procedimiento sancionador contra la empresa por posible vulneración del derecho de huelga. La empresa argumentó que tenía base legal para acceder al correo corporativo del empleado, citando el interés legítimo (artículo 6.1.f del RGPD) y el derecho del empleador a controlar los dispositivos digitales (artículo 87 de la LOPDGDD).
La Agencia de Protección de datos concluyó que la empresa sí tenía legitimación para acceder al correo corporativo del reclamante porque:
- Se trataba de un correo corporativo, no personal.
- Existía un interés legítimo de la empresa para continuar su actividad comercial.
- No había otro medio menos intrusivo disponible.
- Los empleados estaban informados de esta posibilidad según la política de seguridad de la empresa.
Se nota que en el 2º caso la empresa había actuado en la prevención, y estaba correctamente asesorada en materia de RGPD.
¿Ahora entiendes por qué es tan importante asesorarte para cumplir el RGPD antes de que llegue el problema?