Correo corporativo y secreto de las comunicaciones : ECIJA

6 noviembre, 2014

El objeto de este artículo sobre el correo corporativo y su protección por el secreto de las comunicaciones es analizar la sentencia del Tribunal Supremo 2844/2014, de 16 de junio. Con esta nueva sentencia, en esta ocasión de la Sala de lo Penal), se vuelve a modular el concepto de derecho fundamental al secreto de las comunicaciones reconocido por el artículo 18.3 de la Constitución Española, en relación con el control empresarial del uso de los medios tecnológicos puestos a disposición de los empleados, entre ellos las cuentas de correo electrónico corporativo, y especialmente en lo que respecta a la intervención empresarial de las comunicaciones realizadas por sus empleados.

Esta importante sentencia viene a delimitar, en el ámbito Penal, pero en opinión del que escribe estas líneas extrapolable también al laboral -como comentaremos más adelante-, los parámetros en los que operará el “secreto de las comunicaciones” y lo que determinará la licitud o ilicitud de las pruebas electrónicas obtenidas en la fiscalización del uso de los medios de comunicación empleados por los trabajadores en el marco de una relación laboral, como es el correo corporativo.

Resumen de la doctrina judicial del TC sobre la restricción de Derechos Fundamentales

Con carácter previo al estudio detallado de estos nuevos parámetros, es importante recordar que, de acuerdo con la tradicional doctrina judicial del Tribunal Constitucional (TC), el ejercicio de cualquier derecho fundamental consagrado en nuestra Constitución (CE), no es de carácter absoluto, sino que se debe contraponer con el ejercicio de otros derechos o bienes jurídicos protegidos, siendo la función de los órganos jurisdiccionales, y en concreto del TC, preservar el equilibrio necesario ante una posible colisión de intereses contrapuestos.

Al respecto, para comprobar si una medida, en este caso empresarial, es restrictiva de un determinado derecho fundamental, ésta deberá superar, lo que el TC denomina el juicio de proporcionalidad, es decir, que la medida sea susceptible de conseguir el objetivo propuesto (juicio de idoneidad), que no exista otra medida más moderada para la consecución de tal propósito (juicio de necesidad) y finalmente, que la misma sea proporcional de acuerdo con los bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto) (SSTC 96/2012, de 7 de mayo y 241/2012, de 17 de diciembre, 170/2013, de 7 de octubre de 2013).

Derechos Fundamentales afectados por el uso de nuevas tecnologías en el ámbito laboral

Este juicio de proporcionalidad también se deberá efectuar en el ámbito laboral donde es particularmente habitual el conflicto que se produce como consecuencia del uso por los trabajadores de las nuevas tecnologías de información y comunicación o TIC (ordenador, dispositivos móviles, correo corporativo, internet, etc.) puestas a su disposición por el empresario y el control ejercido por éste sobre el uso que se hace de las mismas en el desempeño laboral. Se hace necesaria, por tanto, una delimitación de determinados bienes e intereses de relevancia constitucional en el marco de estas relaciones laborales, donde se encuentran especialmente afectados los derechos del trabajador a la intimidad (art. 18.1 CE) y el secreto de las comunicaciones (art. 18.3 CE), frente al poder de dirección y organización del empresario (arts. 33 y 38 CE). Esta delimitación la realizan los órganos jurisdiccionales, y más concretamente, como decimos, el TC en su labor de interpretación suprema de la norma constitucional, aplicando el mencionado juicio de proporcionalidad.

Por lo tanto, y como tiene reconocido el TC, “la inserción en la organización laboral modula aquellos derechos en la medida estrictamente imprescindible para el correcto y ordenado desenvolvimiento de la actividad productiva”, debiéndose considerar la relación laboral como un marco en el que ha de valorarse “hasta qué punto ha de producirse la coordinación entre el interés del trabajador y el de la empresa que pueda colisionar con él” (STC 170/2013, de 7 de octubre).

Derecho fundamental a la intimidad

Concretamente, en lo que respecta al derecho fundamental a la intimidad del trabajador, éste viene siendo considerado por el TC como un concepto de carácter objetivo o material, mediante el cual el ordenamiento jurídico designa y otorga protección al área que cada persona se reserva para sí misma o para sus íntimos, un “ámbito reservado de la vida de las personas excluido del conocimiento de terceros”, en contra de su voluntad (STC 10/2002, de 17 de enero, 127/2003, de 30 de junio o 189/2004, de 2 de noviembre). En este punto lo verdaderamente esencial, como veremos a continuación, es la “expectativa de confidencialidad o intimidad” que pueda generar el empleado a la hora de utilizar los medios tecnológicos para enviar o recibir información y mantener comunicaciones en el desarrollo de su trabajo, como es el caso del correo corporativo.

Así, el TS, determinó, en sus SSTS 26 de septiembre y 6 de octubre de 2011, confirmadas recientemente por el propio TC, que si bien el empresario puede controlar el uso por parte de los empleados de estos medios informáticos y tecnológicos puestos a su disposición en el marco del artículo 20.3 del Estatuto de los Trabajadores, esta vigilancia se encuentra sometida a que se hayan establecido previamente unas reglas de uso sobre los mismos (con prohibiciones totales o parciales), que exista una información expresa y fehaciente a los trabajadores sobre la existencia del posible control empresarial y de los medios de control que se van a utilizar para efectuar dicho control y, en su caso, acceso a la información generada, emitida o consultada por los empleados con los medios facilitados por el empresario.

Con carácter general, la falta de esta información previa sobre las normas de uso o la posibilidad de control sobre los medios informáticos, como el correo corporativo, que van a utilizar los empleados para el desarrollo de su trabajo genera la mencionada expectativa de intimidad sobre el contenido de las comunicaciones o archivos que se utilicen a través de estos medios informáticos, determinando en consecuencia la ilicitud de la intromisión empresarial y vulneración del derecho a la intimidad. Si bien esta es la norma general, el TC en su reciente sentencia STC 170/2013, de 7 de octubre de 2013, ha admitido la inexistencia de expectativa de intimidad de un trabajador, que si bien no había recibido información previa por parte de la empresa, la prohibición del uso privado de las herramientas informáticas propiedad de la empresa si venía expresamente regulada en el convenio colectivo aplicable a la empresa.

Derecho fundamental al secreto de las comunicaciones

En lo que respecta al derecho fundamental del secreto de las comunicaciones, muy al contrario que el derecho a la intimidad, es considerado por el TC como un “concepto rigurosamente formal”, garantizado por la CE, salvo autorización judicial, el cual se “predica de lo comunicado, sea cual sea su contenido” (SSTC 114/1984, de 29 de noviembre; 34/1996, de 11 de marzo).

Dado su fundamento, no se dispensa el secreto en virtud del contenido de la comunicación, ni se garantiza el secreto porque lo comunicado sea necesariamente íntimo (desconectado inicialmente del derecho a la intimidad), reservado o personal, sino debido a la evidente vulnerabilidad de las comunicaciones, incluidas las electrónicas, realizadas en “canal cerrado” a través del acceso de un tercero.

Por lo tanto, el objeto de protección en este caso, no será el contenido mismo de la comunicación, cuyo contenido puede ser de carácter personal, íntimo o de interés profesional, sino el propio proceso de comunicación (STC 170/2013) en si mismo considerado, a través de canales o medios cerrados y con respecto a injerencias de terceros, incluyéndose también dentro la noción constitucional de secreto de las comunicaciones otros aspectos de la misma, como puede ser la identidad subjetiva de los interlocutores. Sin embargo, por no considerarse injerencia de terceros, se excluye del secreto de las comunicaciones a quien pudiera haber tomado parte en dichas comunicaciones.

En lo que se refiere específicamente a las comunicaciones en el ámbito laboral, y más concretamente a las comunicaciones electrónicas, como el correo corporativo por ejemplo, el TC, en su sentencia STC 241/2012, ha validado igualmente la ordenación y control del uso de los medios informáticos de titularidad empresarial por parte del trabajador, valorándose las medidas empresariales de vigilancia en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que se hayan podido impartir por el empresario para este fin.

A mayor abundamiento, recuerda la STC 170/2013 que el secreto de comunicaciones no quedará vulnerado si existe una prohibición expresa previa del uso privado o personal de la cuenta de correo corporativo facilitada al empleado, y por ende, no existirá “una expectativa fundada y razonable de confidencialidad respecto al conocimiento de las comunicaciones mantenidas por el trabajador a través de dicha cuenta de correo”, llevando implícita dicha prohibición “la facultad de la empresa de controlar su utilización, al objeto de verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”, al considerarse el canal de comunicación empleado por el trabajador abierto al ejercicio del poder de inspección reconocido al empresario.

Revisión judicial del contenido del secreto de las comunicaciones. Valoración de la prueba electrónica en el ámbito penal. Distinción de la jurisdicción social

Ahora, la Sala de lo Penal del TS, en la sentencia 2844/2014, de 16 de Junio, objeto del presente artículo, si bien respeta los criterios contenidos en la jurisprudencia social del TS, y avalados por el TC (comunicación e información previa, prohibición expresa de usos propios o extralaborales, proporcionalidad en las medidas de vigilancia y control, etc.), mantiene que para entender lícita la prueba electrónica en la verificación empresarial del uso de los medios tecnológicos por los empleados en su cometido laboral, mencionados al inicio de esta exposición, parte de la premisa de que dichos criterios no pueden extenderse al enjuiciamiento penal, donde será necesaria, con las excepciones que veremos, la autorización judicial para la intervención de las comunicaciones.

Así, en el ámbito del procedimiento penal, con independencia de quien sea el propietario del medio de comunicación utilizado o de que exista una relación laboral, para que pueda otorgarse valor y eficacia probatoria al resultado de la prueba consistente en la intervención de las comunicaciones protegidas por el derecho consagrado en el artículo 18.3 CE, y por ende para que no se produzca una injerencia en el correspondiente secreto de las comunicaciones del empleado, resultará necesaria la intervención judicial.

Sin embargo, y esto es lo importante, el Supremo, en esta sentencia, modula esta protección y establece que esta necesidad de autorización judicial sólo operará en lo que estrictamente constituye el secreto de las comunicaciones, es decir, que se excluirá de esta garantía judicial, y por lo tanto no constituirá secreto de las comunicaciones, los “denominados ‘datos de tráfico’ o incluso de la posible utilización del equipo informático para acceder a otros servicios de la red como páginas web, etc., de los mensajes que, una vez recibidos y abiertos por su destinatario, no forman ya parte de la comunicación propiamente dicha, respecto de los que rigen normas diferentes como las relativas a la protección y conservación de datos (art. 18.4 CE) o a la intimidad documental en sentido genérico y sin la exigencia absoluta de la intervención judicial (art. 18.1 CE)”.

Conclusión en referencia al correo corporativo

Si bien aparentemente esta sentencia sugiere que lo que se podría considerar una prueba lícita en el proceso laboral podría no serlo en el ámbito del proceso penal, realizando un análisis más cuidadoso del razonamiento judicial, en realidad, esta interpretación debería complementar lo dicho para las pruebas electrónicas obtenidas y practicadas en un juicio laboral.

En este sentido, en caso de considerarse una injerencia en el secreto de las comunicaciones del empleado en el ámbito penal, sin perjuicio de la consideración probatoria que tuviese en la jurisdicción social, dicha conducta, si no se hubiera efectuado con las debidas garantías y de acuerdo con los criterios jurisprudenciales comentados, podría constituir delito conforme a lo establecido en el artículo 197 del Código Penal, el cual condena a penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses a los “que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación”.

En conclusión, la vigilancia y control de los medios tecnológicos puestos a disposición de los empleados, en especial la cuenta de correo electrónico corporativo entendido como medio de comunicación electrónica, se podrá realizar por el empresario, obteniendo las pruebas oportunas en acreditación del uso que del mismo este realizando el empleado, sin que suponga injerencia ilícita o antijurídica, siempre que se realice en el marco normativo del artículo 20.3 del Estatuto de los Trabajadores (“Dirección y Control de la actividad laboral”), con respecto a la dignidad del trabajador y teniendo en cuenta los criterios establecidos por la doctrina judicial comentada anteriormente:

– Establecimiento concreto de reglas de uso de los medios tecnológicos puestos a disposición de los empleados (en el contrato de trabajo o en políticas corporativas).

– Información previa de la existencia de control empresarial y de los medios que se emplearán para efectuar dicho control.

– Prohibición expresa (total o parcial) de usos privados o extralaborales.

– Proporcionalidad de la medida de control (idónea, necesaria y proporcional).

– Intervención sobre contenidos excluidos del secreto de las comunicaciones: datos de tráfico, accesos a internet y/o mensajes una vez recibidos y abiertos por su destinatario.

Cuestión que merece distinto análisis, y sería objeto de otro artículo, es el tratamiento o control sobre dispositivos personales del trabajador que aporta al proceso productivo para la prestación laboral a través de lo que se denomina Bring your Own Device (BYOD), fenómeno de moda en el que no sólo se debe tener en cuenta el propio dispositivo sino también el software desde el cual el empleado tiene acceso a bases de datos, archivos y otros recursos tecnológicos como el propio correo electrónico.

Por Raúl Rojas, socio de laboral de ECIJA

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa