+34 619 814 326
eugenio@peritoinformatico.es
Ámbito de actuación NACIONAL
Eugenio Picon peritos ingenieros informaticos
BLOG PERITO INFORMÁTICO

Análisis forense del correo electrónico y los medios informáticos corporativos en procesos judiciales

correo electrónico

Sentencias fundamentales referentes al acceso al correo electrónico y medios informáticos corporativos como medio de prueba informática en la jurisdicción laboral y penal.

  • TS 6128/2007, de 26 de septiembre, de la Sala de lo Social.
  • TC 241/2012, de 17 de diciembre, de la Sala 1ª.
  • TC 170/2013, de 7 de octubre, de la Sala 1ª.
  • Sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos, de 5 de septiembre de 2017.
  • TS 119/2018, de 8 de febrero, de la Sala de lo Social.
  • TS 489/2018, de 23 de octubre, de la Sala de lo Penal.

Acceso al correo electrónico y medios informáticos corporativos como medio de prueba informática en la jurisdicción laboral y penal

¿El empresario necesita de una orden judicial para inspeccionar el correo electrónico y los medios informáticos corporativos de un trabajador? ¿Se violan los derechos y libertades fundamentales del trabajador si el empresario inspecciona el correo electrónico y los medios informáticos corporativos de un empleado?

Las nuevas tecnologías pueden provocar enfrentamientos en el terreno laboral: los trabajadores con frecuencia utilizan el correo electrónico y los medios informáticos corporativos para su uso particular y el empresario es lógico que quiera controlar el cumplimiento de la tarea de los trabajadores, pues la jornada laboral es para trabajar.

Esta situación provoca un conflicto de intereses, chocan frontalmente:

  • el derecho a la intimidad personal de los trabajadores y el secreto de las comunicaciones del trabajador (art. 18 de la Constitución Española), así como, el derecho a la vida privada (art. 8 del Convenio de Derechos Humanos).
  • con el poder de dirección de la empresa y la facultad que se concede al empresario de adoptar medidas de vigilancia y control del cumplimiento laboral de los trabajadores, (artículo 20.3 del Estatuto de los Trabajadores). Además del derecho a la propiedad y libertad de empresa que asiste a los empresarios (arts. 33 y 38 de la Constitución Española).

En consecuencia, el control que la empresa puede hacer del uso del correo electrónico y los medios informáticos por los trabajadores tiene su límite en los mencionados derechos fundamentales de los trabajadores (intimidad personal y secreto profesional).

banner perito informático

En la jurisdicción laboral y penal, el control empresarial queda sujeto a los siguientes límites para que resulte lícito inspeccionar el correo electrónico y los medios informáticos corporativos

  • El empresario debe establecer las reglas de uso del correo electrónico corporativo y los medios informáticos. Se tiene que formular una prohibición expresa (total o parcial) para usos privados. Ante la falta de la prohibición expresa, habría que revisar si viene en el convenio colectivo.
  • Avisar a los trabajadores de que va a existir un control empresarial sobre el uso de los medios informático.
  • Informar a los trabajadores de los métodos de control a usar para verificar que se cumplen las normas dadas.
  • La decisión de control debe ser proporcionada.

¿Cómo comprobar si una decisión de control es proporcionada para inspeccionar el correo electrónico y los medios informáticos corporativos?

  • La decisión de control debe estar “justificada”: Como por ejemplo, que exista la sospecha de una irregularidad del trabajador.
  • Debe ser “idónea” para el fin pretendido: Verificar si el trabajador comete la irregularidad sospechada.
  • Que sea “necesaria”: Para justificar el despido disciplinario de cara a una impugnación judicial.
  • Tiene que ser “ponderada y equilibrada”: Se debe usar una metodología de trabajo que garantice se accede únicamente a información relevante a lo que se examina al inspeccionar el correo electrónico corporativo. Puede revisar el siguiente artículo «Cadena de custodia y análisis forense de ordenadores en procesos judiciales» para ver una metodología de trabajo.

Doctrina de La Gran Sala del Tribunal Europeo de Derechos Humanos: comentarios a la sentencia de 5 de septiembre de 2017

El 5 de septiembre de 2017, La Gran Sala del Tribunal Europeo de Derechos Humanos amparó a un trabajador despedido. Le amparó porque el empresario revisó las comunicaciones electrónicas sin el debido aviso previo.

La Gran Sala del Tribunal Europeo de Derechos Humanos dictamina que las autoridades rumanas «no han alcanzado un justo equilibrio entre los intereses en juego» y «no han protegido correctamente» el derecho fundamental del trabajador respeto de su vida privada y su correspondencia. Ese derecho está protegido por el artículo 8 del Convenio Europeo de Derechos Humanos.

La sentencia señala que los juzgados rumanos no verificaron si el trabajador había sido advertido por el empresario de la posibilidad de que sus comunicaciones fueran controladas, ni de la naturaleza y el alcance de esa vigilancia. Se precisa de una comunicación previa de control.

Se considera que los jueces no analizaron si el empresario podía haber optado a una «medidas menos intrusivas» para la privacidad. Así como, si inspeccionar la comunicación electrónica es posible sin conocimiento del demandante.

La sentencia en absoluto dice que un empresario no pueda inspeccionar el correo electrónico corporativo de los trabajadores. La clave es que el control se acompañe de garantías adecuadas y suficientes contra los abusos.

El empresario debe comunicar que existirá un control antes de que se inicie la vigilancia del correo electrónico corporativo. Sobre todo, si afecta al contenido de las comunicaciones de los trabajadores. Cuestión que para nada sucedió en este caso, según la sentencia.

Breve resumen para que se entienda mejor el conflicto de intereses existente en el caso Barbulescu contra Rumanía

El empresario sospechaba que su empleado venía utilizando medios informáticos propiedad de la empresa para fines privados dentro de su jornada laboral. Para ello, monitorizó las comunicaciones efectuadas por el trabajador y controló el uso de “Yahoo Messenger”. Y todo ello, sin previo aviso al trabajador afectado.

Confirmadas sus sospechas, el empresario procedió a comunicar el despido disciplinario al trabajador.

En este sentido, el conflicto de intereses se encuentra en el derecho al respeto de la vida privada del empleado y el derecho del empresario a adoptar medidas de vigilancia y control del cumplimiento laboral.

A pesar de que la empresa prohibía el uso de Internet en horario de trabajo mediante un protocolo interno, el TEDH considera que los derechos del trabajador fueron violados porque el empresario no avisó previamente del alcance y naturaleza de tales medidas de control.

Además, para garantizar el éxito en el procedimiento de despido el empresario deberá valerse de medios de prueba eficaces. Por ejemplo, haciendo uso de la figura del perito judicial informático auténtico porque es la garantía de éxito en un juicio.

Sobre este asunto puedes ampliar más información en el artículo que publiqué en El Derecho: Prueba pericial informática que garantiza el éxito en un procedimiento laboral.

Test Barbulescu: el control de los medios informáticos en el trabajo

La Sentencia dictada el 5 de septiembre de 2017 por el Tribunal Europeo de los Derechos Humanos (conocida como caso Barbulescu contra Rumanía) resuelve el conflicto de intereses suscitado entre el empresario y el trabajador despedido.

La Sentencia Barbulescu, ha marcado las líneas del protocolo de actuación que deben seguir los empresarios ante despidos laborales. Que es la misma que marca nuestro Tribunal Constitucional.

Dicho protocolo de actuación recogido en la DOCTRINA BARBULESCU ha sido bautizado como TEST BARBULESCU. Y es en lo que me voy a centrar en este artículo.

Según el TEDH, el estado rumano no respetó el artículo 8 del Convenio de Derechos Humanos:

Artículo 8 Derecho al respeto a la vida privada y familiar

  1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.
  2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.

Doctrina Barbulescu

Con la nueva doctrina del Tribunal Europeo de los Derechos Humanos, DOCTRINA BARBULESCU, el TEDH impone a los órganos jurisdiccionales (incluyendo al TC) la observancia de unos mínimos en los casos relativos a la vigilancia de las comunicaciones en el correo corporativo de la empresa.

Se trata pues de ciertos factores básicos que el juez deberá tener presente en estos casos para asegurar la proporcionalidad y garantías procedimentales.

Información previa

El empresario debe comunicar al trabajador la posibilidad de vigilar su correspondencia. Tal comunicación deberá realizarse con carácter previo al comienzo de las medidas de control.

En este sentido, el empresario deberá informar de los siguientes extremos:

  • Alcance y naturaleza de la vigilancia.
  • Posibilidad de acceder al contenido de las comunicaciones.

Alcance y proporción de las medidas de control

Los tribunales deberán ponderar la adecuación entre el alcance de la vigilancia y el grado de intromisión en la vida privada del trabajador. Por tanto, se deberá valorar:

  • Si los medios utilizados en la vigilancia son proporcionales para el fin perseguido por el empresario en la adopción de tales medidas.
  • Igualmente, los tribunales verificarán si los motivos del empresario para empezar a practicar medidas de vigilancia están justificados.
  • Y considerar si el sistema de vigilancia podría haberse adoptado utilizando medidas menos intrusivas para la intimidad del trabajador. Por ejemplo, sin que sea necesario acceder directamente al contenido de las comunicaciones.

Consecuencias de la vigilancia

Los tribunales tendrán en cuenta la adecuación entre la sanción impuesta al trabajador y el incumplimiento de éste.

En el caso Barbulescu el empresario adoptó la medida más gravosa para el empleado, como lo es un despido.

Momento del acceso al contenido

Cuando haya tenido el empresario acceso al contenido de las comunicaciones es también un hecho relevante. Lo que se pretende con este dato es valorar el respeto del principio de transparencia. Contemplado en la Recomendación CM/REC/2015/ del comité de ministros de los Estados miembros sobre el tratamiento de datos personales en el marco del empleo.

Bautizado como TEST BARBULESCU, ¿qué cuestiones deberán valorar los órganos jurisdiccionales?

  • ¿El trabajador ha sido informado de la posibilidad de que el empresario adopte medidas de vigilancia de su correspondencia y de sus otras comunicaciones, así como de la puesta en práctica de tales medidas?
  • ¿Cuáles han sido el alcance de la vigilancia realizada por el empresario? y ¿el grado de intrusión en la vida privada del empleado?
  • ¿El empresario ha proporcionado motivos que justifiquen la vigilancia de las comunicaciones del trabajador?
  • ¿Hubiera sido posible emplear un sistema de vigilancia conforme a medios y medidas menos intrusivas que el acceso directo al contenido de las comunicaciones del empleado?
  • ¿Cuáles han sido las consecuencias de la vigilancia para el trabajador que ha sido objeto de las mismas?
  • ¿El trabajador ha recibido las debidas garantías, en particular cuando las medidas de vigilancia del empresario tenían un carácter intrusivo?

Teniendo en cuenta todo lo anterior, el empresario antes de imponer una sanción ante un incumplimiento deberá preguntarse si los medios de prueba utilizados para justificar la sanción (ya sea un despido, multa, inhabilitación, etc.) y las medidas adoptadas para obtener esa prueba son proporcionados.

Doctrina de nuestro Tribunal Supremo, sala de lo Social: comentarios a la sentencia de 8 de febrero de 2018

Esta Sentencia analiza la doctrina sentada por la citada Sentencia del TEDH de 5 de septiembre de 2017 y la Sentencia de nuestro Tribunal Constitucional número 170/2013, de 7 de octubre, en relación con la posibilidad de revisar los correos electrónicos de un trabajador.

En el supuesto debatido, el Tribunal Supremo da la razón al empresario y declara procedente el despido de un trabajador por incumplimiento grave de su código ético, incumplimiento que quedó acreditado con la revisión de determinados correos electrónicos del trabajador.

El Tribunal Supremo, basándose en los criterios del máximo intérprete de la Constitución y en la doctrina sentada por el Tribunal de Estrasburgo, tiene en cuenta las siguientes circunstancias concurrentes que avalan el adecuado control empresarial del correo electrónico del trabajador:

  • En la empresa demandada existe una concreta normativa empresarial «de los sistemas de información» y de «política de seguridad de la información», que limita el uso de los ordenadores de la empresa a los estrictos fines laborales y que prohíbe su utilización para cuestiones personales.
  • Los empleados de la empresa demandada siempre que acceden con su ordenador a los sistemas informáticos de la empresa, de forma previa, deben aceptar la Política de Seguridad de la Información de la compañía, en la que se señala que el acceso lo es para fines estrictamente profesionales, reservándose la empresa el derecho de adoptar las medidas de vigilancia y control necesarias para comprobar la correcta utilización las herramientas que pone a disposición de sus empleados, respetando en todo caso las legislación laboral y convencional sobre la materia y garantizando la dignidad e intimidad del empleado.
  • El examen del ordenador utilizado se acordó por el hallazgo casual de unas fotocopias del correo enviado a la fotocopiadora general de todos los trabajadores de la empresa.

La teoría del «fruto del árbol envenenado»

Apunta el Supremo, que la referida prueba documental excluye la aplicación de la doctrina del «fruto del árbol envenenado», en cuya virtud al juez se le veda valorar no sólo las pruebas obtenidas con violación de un derecho fundamental, sino también las que deriven de aquéllas.

  • Se examinó el contenido de ciertos correos electrónicos de la cuenta de correo corporativo del trabajador, utilizando palabras clave. Ello pudo determinar en qué correos existía información relevante para la investigación.
  • El control se ejerció sobre el correo corporativo de la empresa mediante el acceso al servidor alojado en las propias instalaciones de la compañía; nunca se accedió a ningún aparato o dispositivo particular del trabajador.

Afirma el Supremo que «si no hay derecho a utilizar el ordenador para usos personales, no habrá tampoco derecho para hacerlo en unas condiciones que impongan un respeto a la intimidad o al secreto de las comunicaciones, porque, al no existir una situación de tolerancia del uso personal, tampoco existe ya una expectativa razonable de intimidad y porque, si el uso personal es ilícito, no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo».

Control empresarial del correo electrónico y los medios informáticos con garantías

En definitiva, el empresario podrá controlar y vigilar las herramientas informáticas que pone a disposición de los trabajadores. Sin olvidar que previamente debe advertirles del alcance y finalidad de la vigilancia.

Asimismo, deberán utilizarse las medidas de control proporcionales al objetivo perseguido y aquellas que sean menos invasivas para el trabajador.

Concluye el Tribunal Supremo:

Y al efecto -resumimos- son decisivos factores a tener en cuenta:

  1. a) el grado de intromisión del empresario;
  2. b) la concurrencia de legítima razón empresarial justificativa de la monitorización;
  3. c) la inexistencia o existencia de medios menos intrusivos para la consecución del mismo objetivo;
  4. d) el destino dado por la empresa al resultado del control;
  5. e) la previsión de garantías para el trabajador.

Factores que se reconducen, en palabras del Supremo, a los tres sucesivos juicios de «idoneidad», «necesidad» y «proporcionalidad» requeridos para que la medida de control empresarial sea legítima y no atente a los derechos fundamentales del trabajador.

Resumen y conclusión

El empresario puede inspeccionar el correo electrónico corporativo y los medios informáticos de los trabajadores, pero no de cualquier manera:

  • Se han de respetar escrupulosamente los requisitos exigidos por la jurisprudencia constitucional.
  • Se han de superar los juicios de idoneidad, necesidad y proporcionalidad.

Puede ampliar la información en el siguiente artículo: El empresario puede vigilar y controlar los medios informáticos puestos a disposición de los trabajadores.

Si eres trabajador, ¿en alguna ocasión te ha vigilado tu empresa? ¿consideras que han violado tu derecho a la intimidad?

Si eres empresario, ¿te has planteado controlar la cuenta profesional de correo electrónico de tus trabajadores?

Ponte en contacto con nosotros y buscaremos la solución que mejor satisfaga tus necesidades. Puede necesitar un perito informático.

Entrada anterior
Perito informático en Barcelona
Entrada siguiente
Fases de la prueba pericial informática forense

Entradas recientes

Categorías