¿Qué ha cambiado en el Derecho Laboral español en cuanto al control del correo electrónico por parte del empresario?
En octubre de 2013, me ocupé en el post que enlazo aquí del control del correo electrónico por parte del empresario.
En aquel momento comentaba una sentencia clave del Tribunal Constitucional de 7 de octubre de 2013, en la que el Tribunal no apreciaba vulneración del derecho a la intimidad y al secreto de las comunicaciones en el control del correo electrónico corporativo por una empresa, y avalaba el despido de un trabajador que envió información sensible a la competencia.
El argumento del TC era que el uso del correo electrónico para fines no profesionales estaba expresamente sancionado en el convenio colectivo de aplicación, por lo que consideraba que, siendo previsible dicho control, no podía haber lesión del derecho a la intimidad y, por otra parte, la prohibición del uso del correo electrónico para fines profesionales llevaba implícita la facultad de la empresa de controlar su utilización para verificar su cumplimiento.
Desde aquel lejano 2013 el marco jurídico del control empresarial del correo electrónico y de los medios digitales ha evolucionado de forma muy relevante. Para ello, han sido fundamentales la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y la sentencia del Tribunal Europeo de Derechos Humanos de 5 de septiembre de 2017, (Caso Barbulescu).
En 2013, la regulación sobre el control del correo electrónico por parte del empresario se encontraba principalmente en el artículo 20.3 del Estatuto de los Trabajadores, que reconocía (y reconoce) la facultad empresarial de vigilancia y control para verificar el cumplimiento de las obligaciones laborales, siempre dentro del respeto a la dignidad del trabajador:
3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad
En el año 2018, se añade por la disposición final 13 de la Ley Orgánica 3/2018, de 5 de diciembre un artículo 20.bis en el Estatuto de los Trabajadores, cuyo contenido es precisamente el relativo a los Derechos de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión, y que dispone lo siguiente:
Los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales.
Posteriormente, la Ley 10/2021, de 9 de julio, de trabajo a distancia, reconoce expresamente la facultad empresarial de adoptar medidas de vigilancia y control, incluyendo el uso de medios telemáticos, pero exige que se respete la dignidad del trabajador y se tengan en cuenta sus circunstancias personales, como la discapacidad, en su artículo 22:
La empresa podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, incluida la utilización de medios telemáticos, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, sus circunstancias personales, como la concurrencia de una discapacidad.
Esta ley introduce una referencia explícita al control de medios digitales y establece límites claros en cuanto a la forma y el alcance de dicho control.
Jurisprudencia sobre control del correo electrónico y medios digitales
El Tribunal Supremo ha tenido ocasión de resolver, en la STS 119/2018, de 8 de febrero (Sala 4ª, rec. 1121/2015), el despido disciplinario de un trabajador al que la empresa imputó transgresión de la buena fe y abuso de confianza, al aceptar ventajas económicas de un proveedor y utilizar medios informáticos de la empresa para fines personales.
El Tribunal destaca que la empresa tenía una política interna que limitaba el uso de los medios informáticos a fines profesionales, conocida por la plantilla, lo que reduce la expectativa de privacidad sobre el correo corporativo y la navegación, y entiende que el acceso al correo y al historial de navegación fue proporcionado, dirigido a verificar incumplimientos concretos y no un control general e indiscriminado, por lo que no vulnera la intimidad ni el secreto de las comunicaciones, y la prueba es válida. En definitiva, considera válido el acceso al correo y al historial de navegación cuando:
- Existe una política interna clara que limita el uso de los medios informáticos a fines profesionales, conocida por la plantilla.
- El control se dirige a comprobar incumplimientos concretos, sin convertirse en una monitorización general e indiscriminada.
- La medida es proporcionada y respetuosa con la dignidad del trabajador.
En paralelo, la STC 119/2022, de 29 de septiembre, aunque referida a un supuesto de utilización como prueba de grabaciones de cámaras de videovigilancia, recoge los criterios de la STEDH de 5 de septiembre de 2017 ya mencionada. Esta sentencia del TEDH abordó el enjuiciamiento de una eventual vulneración del art. 8 del Convenio europeo de derechos humanos (CEDH) —derecho a la «vida privada»—, derivada de la monitorización por el empresario de las comunicaciones mantenidas por el trabajador a través de la aplicación informática de mensajería denominada Yahoo Messenger, y su uso con fines disciplinarios.
La STC 119/2022, recoge así la doctrina Barbulescu:
«(i) Si se ha notificado al empleado la posibilidad de que el empresario adopte medidas para supervisar la correspondencia y otras comunicaciones, y la implementación de esas medidas. Si bien en la práctica los empleados pueden ser notificados de diversas maneras en función de las circunstancias fácticas particulares de cada caso, el Tribunal considera que para que las medidas se consideren compatibles con los requisitos del artículo 8 del Convenio, la notificación debería normalmente ser clara sobre la naturaleza de la supervisión y darse con antelación; (ii) El alcance de la supervisión por parte del empresario y el grado de intrusión en la intimidad del empleado. A este respecto, debe distinguirse entre la monitorización del flujo de comunicaciones y de su contenido. También debe tenerse en cuenta si se han monitorizado todas las comunicaciones o solo parte de ellas, así como la cuestión de si la monitorización fue limitada en el tiempo y el número de personas que tuvieron acceso a los resultados […]. Lo mismo se aplica a los límites espaciales de la monitorización; (iii) Si el empresario ha proporcionado razones legítimas para justificar la monitorización de las comunicaciones y el acceso a su contenido real […]. Dado que la monitorización del contenido de las comunicaciones es, por naturaleza, un método claramente más invasivo, requiere una justificación más ponderada; (iv) Si hubiera sido posible establecer un sistema de supervisión basado en métodos y medidas menos intrusivos, que el acceso directo al contenido de las comunicaciones del empleado. A este respecto, debería evaluarse, a la luz de las circunstancias particulares de cada caso, si el objetivo perseguido por el empresario podría haberse logrado sin haber accedido directamente al contenido completo de las comunicaciones del empleado; (v) Las consecuencias del control para el empleado sometido a él […]; y la utilización por el empresario de los resultados de la operación de monitorización, en particular si los resultados se utilizaron para alcanzar el objetivo declarado de la medida […]; (vi) Si se habían proporcionado al empleado las garantías adecuadas, especialmente cuando las operaciones de supervisión del empresario eran de carácter intrusivo. Esas garantías deben garantizar, en particular, que el empresario no pueda acceder al contenido real de las comunicaciones en cuestión a menos que el empleado haya sido notificado con antelación de esa eventualidad”.
Requisitos prácticos para un control empresarial lícito
Todo lo anterior significa que, en la práctica, el empresario puede controlar el uso del correo electrónico y otros medios digitales proporcionados al trabajador, pero debe cumplir con los siguientes requisitos:
- Informar de manera clara y previa al trabajador sobre la posibilidad y naturaleza del control, así como sobre los medios que se utilizarán.
- Justificar la necesidad del control por razones legítimas, como la protección de los intereses empresariales o la prevención de conductas ilícitas.
- Aplicar el principio de proporcionalidad, utilizando medios menos intrusivos siempre que sea posible y limitando el acceso al contenido de las comunicaciones a los casos estrictamente necesarios.
- Garantizar la participación de los representantes de los trabajadores en la elaboración de los criterios de uso de los dispositivos digitales.
- Respetar el derecho a la desconexión digital.
- Adoptar medidas que respeten la dignidad del trabajador y tengan en cuenta sus circunstancias personales, como la discapacidad.
El incumplimiento de estos requisitos puede dar lugar a la ilicitud del control y a la vulneración de los derechos fundamentales del trabajador, con las consecuencias legales correspondientes.
Si eres empresa y quieres implantar un protocolo de control del correo electrónico y de los dispositivos digitales que sea eficaz y respetuoso con los derechos fundamentales, o si eres trabajador y dudas de la licitud del control al que estás sometido, puedo ayudarte a analizar tu caso y diseñar la mejor estrategia.
Contáctame para una consulta personalizada y revisamos juntos políticas internas, cláusulas informativas, protocolos de uso de medios digitales y la validez de las pruebas en un eventual procedimiento de despido.
