Planteamiento del supuesto de hecho

 correo electronicoImaginemos una herramienta que nos ayudara a rastrear el tráfico de correos electrónicos dentro de nuestra empresa. ¿Cuál sería el objetivo de crear este software? ¿Qué indicadores podríamos obtener con la observación del tráfico?

Con la observación de los flujos del tráfico podríamos valorar desde el uso de las tecnologías dentro de la propia empresa, a aspectos económicos, e incluso, desde un punto de vista de los recursos humanos, podríamos ver quién o qué empleados son los que realmente generan mayor tráfico y, por tanto, podrían ser los que producen un mayor rendimiento de la información y del desarrollo de los departamentos y del crecimiento del modelo de negocio de la empresa.

¿Podríamos también utilizar una herramienta de rastreo de correos electrónicos que hiciera una estadística acerca del uso de herramientas de trabajo colaborativas?

Como poder, se puede. Las herramientas técnicas existen pero, legalmente o jurídicamente ¿se considera como algo permitido?

Big Data y la vulneración de los Derechos Fundamentales

chipEstamos en lo que llamamos la Era del Big Data, es decir, el conjunto de herramientas informáticas dedicadas al tratamiento, administración y gestión de inmensas cantidades de datos.
El problema real que existe en todas las herramientas de control o rastreo del tráfico de datos es la vulneración de los Derechos Fundamentales de los individuos como el Derecho a al Intimidad y a la propia imagen de las personas.

En el caso propuesto, nos centraremos en la posibilidad del control del tráfico de los correos electrónicos, imaginando que sólo conoceremos, de entre todos los datos generados en la transmisión, el remitente y el destinatario, y no su contenido que, podríamos considerarlo como una interceptación de las comunicaciones.

Análisis conceptual
El avance imparable de las tecnologías de la información y las comunicaciones está empezando a producir una transformación dentro de las organizaciones empresariales que, en ciertos momentos dará origen a un nuevo tipo de empresa, con nuevas responsabilidades jurídicas, tanto del empresario como del trbajador, con una nueva organización y que, en todos los supuestos, va a plantear la aparición de nuevas relaciones laborales digitales e incluso nuevas relaciones contractuales.

Las Nuevas Tecnologías y su implantación, así como la regulación legal consecuente, afectará inevitablemente a las condiciones de trabajo de las empresas respecto a:
– El flujo de la información a través de las intranets corporativas
– La disponibilidad del know how empresarial
– El uso de las tecnologías facilitadas por las corporaciones empresariales
– El nacimiento de las clausulas de no competencia y de permanencia.

Derechos protegidos21427530_s
Las herramientas tecnológicas de que se dota actualmente la empresa generan un doble debate jurídico:
1. Regulación de su uso por parte de los trabajadores
2. Regulación de la capacidad o la posibilidad del empresario de acceder al correo electrónico del trabajador y conocer cuáles o cuántos son sus accesos a Internet.
En este ámbito, el derecho constitucional al secreto de las comunicaciones, en su artículo 18.3 de la CE, se aplicará al correo electrónico de los trabajadores:
18.3. “Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.”
Deberemos tener en cuenta, directamente vinculado con el anterior, el artículo 197 del Código Penal por cuanto hace referencia a las limitaciones de los instrumentos de la empresa por el control de los trabajadores.
197.1 “El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.”

31.bis “En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho.”

Protección del Derecho a la Intimidad y Secreto de las Comunicaciones
El derecho constitucional a la intimidad y el derecho constitucional al secreto de las comunicaciones se entiende y se proyecta sobre:
1. Las comunicaciones telefónicas y el correo electrónico
2. Los archivos personales del trabajador que se encuentren en su ordenador
3. Los archivos temporales, como las cookies, que se guarden de manera automática en el disco duro de los lugares visitados a través de Internet, aunque estemos hablando de rastros de la propia navegación en la Red, pero no de informaciones de carácter personal y que se guardan con carácter reservado.
4. Control del ordenador

Protección de los datos de carácter personal de los trabajadores
El empresario, dado el supuesto planteado y de modo genérico, debe tener especial atención con:

a. Respecto a los datos recogidos para el mantenimiento y seguimiento de la relación laboral sin consentimiento y, como responsable del fichero de datos, tendrá:
– el deber de información acerca de la existencia del mismo
– la obligación de facilitar el ejercicio de los derechos de control sobre el fichero (Derechos ARCO)

b. Respecto a los datos recogidos con otras finalidades en el ejercicio del poder de control y organización del empresario, será necesario atender igualmente al cumplimiento de los derechos y principios de protección de datos y, específicamente a la necesidad o no necesidad de solicitar el consentimiento para su tratamiento.

La Sentencia del Tribunal Supremo de 26 de septiembre de 2007, pone de manifiesto que algunas de las garantías legales aplicables que habilitarían al empresario para el control del ordenador del trabajador son:
1) El establecimiento de normas de uso interno de los sistemas de información y comunicación
2) La información al trabajador del tipo de controles realizados, que tendrá que incluir unas normas de uso específicas para cada uno de los servicios y sistemas de comunicación corporativos
3) La protección de los sistemas de información y sistemas informáticos de la empresa, por ejemplo de un virus informático.
4) La prevención de responsabilidad de la empresa por el uso de las herramientas informáticas por parte de los trabajadores.
5) La existencia de sospechas sobre conductas contra la propia empresa por parte del trabajador.
6) La posibilidad de la continuidad del trabajo en caso de ausencias y vacaciones.

Deberes de los trabajadores vs Derechos de los Empresarios

nube
Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (Vigente hasta el 01 de Enero de 2015).
Artículo 5 Deberes laborales
Los trabajadores tienen como deberes básicos:
a) Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia.
b) Observar las medidas de seguridad e higiene que se adopten.
c) Cumplir las órdenes e instrucciones del empresario en el ejercicio regular de sus facultades directivas.
d) No concurrir con la actividad de la empresa, en los términos fijados en esta Ley.
e) Contribuir a la mejora de la productividad.
f) Cuantos se deriven, en su caso, de los respectivos contratos de trabajo.

Artículo 20 Dirección y control de la actividad laboral
3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

Sobre la normativa anteriormente citada, la Jurisprudencia intenta compatibilizar el control empresarial previsto en el artículo 20 del Estatuto de los Trabajadores con el Derecho de los Trabajadores a su intimidad personal, garantizada en el artículo 18.1 de la Constitución o con el Derecho al Secreto de las comunicaciones garantizado en el artículo 18.3 de la Constitución cuando se trate del control a su correo electrónico.

Este control empresarial se podrá realizar cumpliendo con ciertas garantías ya expuestas y sintetizadas en :
1. establecimiento de normas de uso de las herramientas tecnológicas de la empresa
2. establecimiento de un protocolo de actuación en caso de aplicación de los controles

Valoración por la Agencia de Protección de Datos
Informe 615/2009
“La consulta plantea si resulta conforme a la normativa de protección de
datos el Reglamento de utilización de bienes informáticos aprobado por el Ayuntamiento al que pertenece el comité de empresa consultante. Al citado Reglamento, se prevén medidas de supervisión aplicables a la utilización de los sistemas de información del Ayuntamiento, haciendo referencia a aspectos como el uso del correo electrónico y acceso a Internet por los empleados, entre otras cuestiones.
Según el artículo 6.1 de la LOPD 15/1999 de 13 de diciembre, de Protección de datos de carácter personal, requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga lo contrario. No sería necesario este consentimiento cuando el tratamiento ya formara parte del contrato laboral.
Para la Administración Pública, según la ley 11/2007 de 22 de junio en su artículo 1.2, se dispone que las AAPP utilizarán las tecnologías de la información de acuerdo con lo dispuesto en la ley, asegurándose su posibilidad de acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.
El artículo 42.2 de la llamada ley, es el punto de partida de la creación del Esquema Nacional de Seguridad con el objetivo de la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, mediante las medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos ya las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes mediante estos medios.

El Esquema Nacional de Seguridad viene regulado en el Real Decreto 3/2010 de 8 de enero. En su artículo 14 – “todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus derechos y obligaciones en materia de seguridad”

Según el artículo 4 de la LOPD, la supervisión debe ser adecuada a los principios de finalidad y proporcionalidad previstos en la ley. “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como ser sometidos a este tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
La finalidad determinada, explícita y legítima vendrá dada en el presente caso por la necesidad de garantizar la seguridad de los sistemas informáticos.

Respecto a la proporcionalidad la STConstitucional 207/1996 determina que se trata de una “exigencia común y constante por la constitucionalidad de cualquier medida restrictiva de derechos fundamentales, entre ellas las que supongan una injerencia en los derechos a la integridad física ya la intimidad, y más en particular de las medidas restrictivas de derechos fundamentales adaptadas en el curso de un proceso penal, viene determinada por la estricta observación del principio de proporcionalidad “.
Para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones:
– Si la medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad)
– Si es necesario, en el sentido de que no existe otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad)
– Si la misma es ponderada o equilibrada por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).
(…)

Estudio Jurisprudencialdelitos informaticos 2

Sentencia Tribunal Europeo de Derechos Humanos

Esta Sentencia señala que están incluidos en la protección del artículo 8 del Convenio Europeo de Derechos Humanos “la información derivada del seguimiento del uso personal de Internet”, ya que estos archivos pueden contener datos sensibles para la intimidad, en la medida en que pueden incorporar informaciones reveladoras sobre determinados aspectos de la vida privada; y ello aunque ni el ordenador ni el despacho del trabajador tengan clave de acceso, ya que esta situación no supone por sí misma una aceptación por parte del trabajador de un acceso abierto a la información contenida en su ordenador.
La lesión a la intimidad se produce porque no había existido aviso o advertencia al trabajador sobre las medidas de control del ordenador.

Consejo de Europa / Tribunal Europeo de Derechos Humanos,
Asunto COPLAND c. REINO UNIDO (Demanda no 62617/00) SENTENCIA Estrasburgo 3 de Abril de 2007

13. El Gobierno señal que el Seguimiento de los correos Electrónicos consistió en el análisis de las direcciones de correo electrónico, las Fechas y horas en las que se enviaban los correos Electrónicos (…)

(…) 15. No existía, razón alguna, ni política Vigente en el College referente al Seguimiento del uso del teléfono, correo electrónico o Internet a los Empleados.
42. A la demandante no se le advirtió, en el presente caso, de que sus llamadas podían ser objeto de Seguimiento, por lo que el Tribunal considera que ella podía razonablemente esperar que se reconociera el carácter privado de las llamadas efectuadas desde el teléfono del Trabajo (Sentencia Halford, ap. 45). La demandante podía esperar lo mismo en lo que respecta al correo electrónico y la navegación por Internet.
44. En consecuencia, el Tribunal considera que la recogida y almacenamiento de información personal relativa a las llamadas telefónicas, correo electrónico y navegación por Internet de la demandante, sin su conocimiento, constituye una injerencia en su derecho a la vida privada y secreto a las comunicaciones, en el sentido del artículo 8 del Convenio.
47. Al Tribunal no le convence la alegación del Gobierno acerca de que los poderes del College le facultan porque ofrecía formación superior y el control era necesario , siendo ese argumento poco convincente. Además, el Gobierno no ha argumentado que existiese a la sazón alguna disposición en la legislación interna o las reglas que regían en el College, que regulase las circunstancias en las que se pudiese hacerse un seguimiento del uso del teléfono, correo electrónico o Internet de los Trabajadores.

Sentencia del Tribunal Constitucional 142/2012

En el Fundamento Jurídico 3, se determina que, siguiendo la Sentencia del Tribunal Europeo de Derechos Humanos anteriormente citada, extiende el concepto de medios de comunicación, y por tanto, el ámbito de protección
del artículo 18.3 de la Constitución Española no sólo a los mensajes en curso y no abiertos sino a todos los mensajes y los datos de tráfico.

(a mayor abundamiento Sentencia del Tribunal Constitucional de 7 de octubre de 2013)

Conclusiones
El conflicto real se centra en la determinación del momento en el que se va a producir el registro de esos logs:
– en el servidor
– en el mismo momento en el que se producen las comunicaciones
– o tras producirse las comunicaciones, acudo al servidor para analizar ese flujo de las comunicaciones.

Si el cliente del supuesto inicialmente planteado sobre el rastreo de los correos electrónicos fuera la Administración, no sería muy viable si se considera lo que se llama el Esquema Nacional de Seguridad dado que es condición prioritaria de la Administración facilitar el uso de las tecnologías de la información y la comunicación entre el administrado y la Administración, así como dentro de la propia Administración, promoviendo, al mismo tiempo, de todos los medios garantistas en su uso.

Podríamos acogernos, en este caso en la resolución del Tribunal Europeo haciendo un análisis de la finalidad de los registros de los logs informáticos donde una empresa, sea Administración o empresa privada, no tiene facultades de investigación pero sí tiene facultades de garantizar el buen uso de los medios de producción y su eficiencia con fines empresariales, sobre todo, para garantizar la viabilidad de la propia empresa donde siempre debe ponderarse derechos y garantizar la defensa de los derechos fundamentales de los trabajadores de forma estricta.

Es esencial la necesidad de definir una finalidad legítima en la instalación de este software de análisis del tráfico de correo electrónico, a fin de proteger tanto a trabajador como empresario en el desarrollo de sus actividades de forma proporcional.

Por tanto, desde el punto de vista del empresario, deberíamos actuar del siguiente modo:

– Revisión del Plan de Seguridad de la empresa teniendo presente si los contratos de los trabajadores se ha hecho la advertencia del posible control del uso del correo y de las herramientas de comunicación internas, así como del uso de herramientas de trabajo compartido.

– En caso de no ser incluido proceder a:
1. confección de documentación de seguridad ampliatoria explicando estas nuevas condiciones
2. comunicación a los empleados mediante documentación anexada a su contrato de trabajo donde se acepte de forma expresa las nuevas condiciones de control de tráfico en las comunicaciones, que no su contenido.
Los empleados deberán dar su consentimiento informado de manera expresa, dado que supone una renuncia voluntaria a su intimidad.
Se debería comunicar en este documento el límite de conservación de estos logs, que no podría exceder de 3 meses.
3. Hacer una formación al personal para entender y conocer el Plan de Seguridad dentro de la empresa y derechos y obligaciones tanto de empleados como de empresarios.

Ruth Sala Ordóñez
Col.ICAB 26.017

(Artículo realizado con la aportación de Iñaki Pariente, Director de la Agencia Vasca de Protección de Datos)

Referencias estudiadas:

Francisco Ramón González-Calero

Acceso al correo electrónico del trabajador: ¿legal o ilegal?