PROTECCIÓN DE DATOS, UTILIZACIÓN DEL CORREO ELECTRÓNICO POR LOS TRABAJADORES Y CONTROL EMPRESARIAL. Alfonso Ortega Giménez Profesor de Derecho internacional privado de la Universidad Miguel Hernández de Elche [email protected] José Antonio González Martínez Profesor de Derecho Financiero de la Universidad Miguel Hernández de Elche y Profesor de Derecho de la Seguridad Social de la Escuela Universitaria de Relaciones Laborales de Elda, adscrita a la Universidad de Alicante [email protected] Sumario: I. Planteamiento: uso y abuso de los recursos informáticos de la empresa.- II. Derecho a la protección de datos y utilización del correo electrónico por los trabajadores.- III. Respuesta judicial a la utilización del correo electrónico por los trabajadores.- IV. Posibilidad de control empresarial.- V. Conclusiones.- VI. Bibliografía consultada. 1 RESUMEN / ABSTRACT Cuatro de cada diez internautas se conectan a la red desde su puesto de trabajo. Las nuevas tecnologías de la información y comunicación, que hace ya tiempo que se han instalado en los procesos productivos de las empresas, han dado un giro de 360º en la relación empresario-trabajador. Cuando la Sociedad de la información se introduce en el lugar de trabajo, surgen diversos problemas jurídicos, tan variados como complejos, todos ellos encaminados a enfrentar el derecho empresarial a limitar y controlar el uso de las tecnologías de la información y comunicación de la empresa con fines personales, y el derecho de los trabajadores al uso de las mismas con dichos fines. El empresario, hoy día, se ve obligado a ejercer un control y una vigilancia sobre sus trabajadores, con el fin de garantizar la seguridad de los datos de carácter personal que contienen los ficheros de su empresa y evitar un uso extralaboral de los medios informáticos –ordenador, Internet, correo electrónico, etc.–, propiedad de la empresa, puestos al servicio de los trabajadores para utilizarlos en el cumplimiento de la prestación laboral. Por el contrario, los trabajadores se muestran recelosos ante el ejercicio de ese control, lo aceptan con reticencias, tratando de proteger su intimidad. ---------------------------------------------------------------------------------------------------------- Four out of ten internet users connect to the network from their jobs. The new information technologies and communication, which long have been installed in the production processes of enterprises, have a 360º on the employer-employee relationship. When the Information Society is introduced into the workplace, there are various legal issues, ranging from complex, all designed to address corporate law to limit and control the use of information technologies and communication of company personal purposes, and the right of workers to use them for these purposes. The employer, now is forced to exercise control and supervision over their workers, to ensure the security of personal data files that contain your company and avoid the use non-working of data –computer, Internet, email, etc. – owned by the company, serving the workers for use in compliance with the provision of work. By contrast, workers are wary to exercise such control, reticence to accept it, trying to protect their privacy. 2 I. Planteamiento: uso y abuso de los recursos informáticos de la empresa. 1. Revolución tecnológica al servicio del empresario. Las nuevas tecnologías de la información y comunicación (en adelante, las NTIC), que hace ya tiempo que se han instalado en los procesos productivos de las empresas, han dado un giro de 360º en la relación empresario-trabajador. Es conocido que el impacto de dicho proceso en las relaciones laborales presenta numerosas vertientes. De entre todos ellos, el que sin duda ha generado mayor controversia doctrinal y judicial ha sido y es el relativo al uso laboral y extralaboral –y correlativo control–, de las NTIC, en general, e Internet, en particular. Cuando la Sociedad de la información se introduce en el lugar de trabajo, surgen diversos problemas jurídicos, tan variados como complejos, todos ellos encaminados a enfrentar el derecho empresarial a limitar y controlar el uso de las TIC de la empresa con fines personales, y el derecho de los trabajadores al uso de las mismas con dichos fines. El empresario, hoy día, se ve obligado a ejercer un control y una vigilancia sobre sus trabajadores, con el fin de garantizar la seguridad de los datos de carácter personal que contienen los ficheros de su empresa y evitar un uso extralaboral de los medios informáticos –ordenador, Internet, correo electrónico, etc.–, propiedad de la empresa, puestos al servicio de los trabajadores para utilizarlos en el cumplimiento de la prestación laboral. Por el contrario, los trabajadores se muestran recelosos ante el ejercicio de ese control, lo aceptan con reticencias, tratando de proteger su intimidad. 2. Abuso de los recursos informáticos de la empresa: “absentismo virtual”. El disponer en tu puesto de trabajo de un ordenador con conexión a Internet es, para algunos trabajadores, una “tentación”. Se acaba consultando el correo electrónico personal, chateando, navegando por webs de ocio, leyendo en periódico en versión digital, consultando la cartelera, el resultado del horóscopo e incluso llenando el carro de la compra “virtual”; y, todo ello, en horario laboral y utilizando los medios y herramientas puestos a su disposición por el empresario. Cuatro de cada diez internautas se conectan a la red desde su puesto de trabajo. El horario más frecuente de navegación se da entre las ocho de la mañana y las tres de la tarde (el 35,8 % del total). Entre las actividades más comunes que realizan se hallan la búsqueda de información general (39,7 %), seguida de la consulta del correo electrónico (37,4%) y la consulta de noticias de actualidad (6,8%), según el Estudio General de 3 Internet (EGI). Según Optenet, firma especializada en el filtraje de contenidos on-line, el 49% de las consultas en horario laboral son ajenas a su actividad profesional. Y otro estudio de la consultora Domeus señala que el 74% de los trabajadores que disponen de e-mail en su puesto laboral lo utiliza para comunicaciones personales. El estudio de Domeus señala también que la mayoría de los empleados (91,1%) defiende su derecho al uso privado del correo de la empresa, aunque admiten que se debe realizar “con moderación”1. El uso irracional de los medios informáticos por parte de los trabajadores implica que la productividad del trabajador baja y, en consecuencia, la de la empresa baja también, produciéndose un incumplimiento contractual por parte del trabajador, como consecuencia de su disminución deliberada y reiterada en su rendimiento. El empresario, ante este abuso, ha respondido, con mayor o menor acierto, utilizando programas informáticos de espionaje laboral –programas informáticos de monitorización–, sancionando a aquellos trabajadores que usan los medios informáticos puestos a su disposición de una forma indebida. 3. Ausencia de respuesta jurídica al uso de los medios informáticos en la empresa. El impacto de las nuevas tecnologías no se ha traducido en una nueva legislación, específicamente laboral destinada a disciplinar las particularidades que el uso y control de herramientas laborales como los programas de gestión de correo electrónico, la revisión de los ordenadores o el uso de programas de navegación a través de Internet. El ordenamiento jurídico laboral actualmente vigente no ha dado respuesta a los problemas jurídicos que esta relación “amor-odio” entre el empresario y el trabajador plantea el uso y control de los medios informáticos en la empresa. Así pues, como veremos, continúan aplicándose los preceptos dedicados a disciplinar el control del empresario en el entorno laboral (los artículos 20.3 y 18 de nuestro Estatuto de los Trabajadores –en adelante, ET–)2. Europa está dividida ante el tema de la inviolabilidad del correo electrónico de 1 Vid. DELGADO, Ana, “Absentismo nada virtual: normativa, problemas y soluciones del uso de Internet durante la jornada laboral”, en Emprendedores: las claves de la economía y el éxito profesional, Nº. 116, 2007 , p. 79. 2 Vid., en sentido amplio, MARTÍNEZ FONS, D. y OTROS, “El uso laboral y sindical del correo electrónico e Internet en la empresa: aspectos laborales”, Tirant lo Blanch, Valencia, 2007. 4 los trabajadores y así, mientras el Reino Unido ya ha legislado en contra, Francia y Alemania están a favor de proteger el email de los trabajadores. En EEUU, por su parte, un Proyecto de Ley podría obligar a las empresas a notificar a sus empleados si espían su correo electrónico. Pese a existir un amplio debate al respecto, el vacío normativo que la caracteriza es común a la mayoría de los países de nuestro entorno. Además, las escasas normas europeas que han entrado a regular esta materia están siendo bastante contestadas: si la Ley finlandesa sobre la protección de la vida privada en el trabajo ha sido considerada insuficiente por el propio Parlamento finlandés que ha instado al Gobierno para que elabore una legislación específica sobre el control del uso del correo electrónico de los trabajadores, la ley inglesa –Regulation of Investigatory Powers Act 2000–, que concede a los empresarios determinados poderes de supervisión e interceptación de las comunicaciones que realicen los trabajadores en la empresa, ha sido cuestionada en el propio Reino Unido, a la luz del artículo 8 de la Convención Europea de Derechos Humanos. II. Derecho a la protección de datos y utilización del correo electrónico por los trabajadores. 4. Derechos fundamentales de los trabajadores en el uso del correo electrónico. La protección de la intimidad y el secreto de las comunicaciones son derechos constitucionalmente reconocidos, cuya relevancia nadie pone en duda. Se encuentran entre los considerados derechos fundamentales, en relación con los que el artículo 10.1 de nuestra Constitución Española (en lo sucesivo, CE) señala que “la dignidad de la persona, los derechos inviolables que le son inherentes, el libre desarrollo de la personalidad, el respeto a la ley y a los derechos de los demás son fundamento del orden político y de la paz social”; además, en los apartados 3 y 4 del artículo 18 de la CE se establece que “se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial” y que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Si, básicamente, el derecho a la intimidad personal reconocido en el artículo 18 CE es el que puede resultar más directamente afectado por este tipo de controles, también lo puede ser el secreto de las comunicaciones. El derecho al secreto de las 5 comunicaciones se suele presentar por la doctrina como una manifestación del derecho a la intimidad, pero, si bien el carácter autónomo del primero respecto del segundo se ha discutido, lo cierto es que en la actualidad se reconoce su existencia como derecho independiente. A pesar de que en alguna ocasión se ha señalado que el correo electrónico es similar a una postal y, que, por su propia naturaleza, no contiene ningún elemento amparado por el secreto. Una postal es un “canal abierto”, en el sentido de que en ellas no hay “expectativa de secreto”, esta postura no se puede mantener y el correo electrónico está amparado por el derecho al secreto de las comunicaciones. Basta analizar cuál es el funcionamiento del mismo para llegar a esta conclusión: el mensaje de correo electrónico parte de una cuenta de correo y llega a otra cuenta identificada como la del destinatario. En la transmisión el mensaje se divide en varios paquetes que viajan a su destino por distintos canales. Cuando llega al buzón del destinatario, el mensaje se sitúa en una lista donde aparece el remitente y, si éste ha querido hacerlo constar, la materia sobre la que versa el mensaje, así como la hora y fecha del envío. Para acceder a su buzón el destinatario debe introducir su clave personal y, una vez hecho eso, abrir el mensaje concreto para conocer su contenido (si bien en este segundo momento es cierto que en algunos sistemas se puede ver el mensaje sin necesidad de abrirlo)3. 5. Facultad de dirección empresarial y control del uso del correo electrónico. El poder de dirección del empresario, reconocido expresamente en el artículo 20 del ET, atribuye al empresario, entre otras facultades, la de “adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a la dignidad humana y teniendo en cuenta la capacidad real de los 3 Desde un punto de vista técnico, no obstante, es sencillo para el proveedor del servicio abrir y leer los mensajes, tanto enviados como recibidos, pero para hacerlo tiene que llevar a cabo un acto consciente de intromisión que es contrario a derecho y, respecto de las demás personas, que no son los operadores, y que, en consecuencia, no tienen facilidad para acceder al correo electrónico, la cuestión no se plantea de manera distinta a como se planteaba, por ejemplo, con la correspondencia postal. Es decir, en relación con ellos es evidente que para acceder al correo ajeno deben realizar un acto positivo de injerencia que debe ser considerado ilícito. 6 trabajadores disminuidos, en su caso”. Ahora bien, se impone una vez más la necesidad de proceder a una adecuada ponderación de los bienes y derechos constitucionalmente protegidos, que dilucide si el eventual recorte que se produce a través de esos medios de vigilancia y control resulta justificado y proporcional en los términos recogidos por el Tribunal Constitucional (SSTC 98/2000, de 10 de abril y 186/2000, de 10 de julio). Para lo cual habrá que atender, como veremos más adelante, no sólo al concreto medio utilizado sino también a otros elementos de juicio: si se ha autorizado o no la utilización de las TIC para fines extralaborales, si los sistemas de control son conocidos o han sido instalados subrepticiamente, o si existen razones de seguridad por el tipo de actividad que se desarrolla. III. Respuesta judicial a la utilización del correo electrónico por los trabajadores. 6. Utilización del correo electrónico como motivo de despido. La doctrina judicial en materia de control del correo electrónico debe calificarse de contradictoria y poco pacífica. Soluciones claramente opuestas a las que, en no pocas ocasiones, se añaden razonamientos inconcretos, cuando no confusos. En este sentido, buena parte del debate judicial se centra fundamentalmente en la determinación de las competencias empresariales de acceder al contenido de los correos electrónicos registrados en el ordenador o en el servidor de la empresa. A ello se añade un tratamiento claramente inadecuado de la naturaleza de la correspondencia electrónica. Esta doctrina se construye sobre, en primer lugar, sobre la diferenciación entre los elementos externos de la correspondencia electrónico y su contenido. No se admite, como regla general, el registro del control del ordenador con la finalidad de conocer los mensajes personales recibidos y/o emitidos. Excepcionalmente, de nuevo, se admite que se pueda acceder al contenido de los referidos mensajes cuando: a) se identifique la necesidad de un propósito específico, explícito y legítimo (causalidad e imprescindibilidad); b) la supervisión sea una respuesta proporcionada a un patrón de riesgo (indispensabilidad); c) se garantice la mínima repercusión sobre la intimidad del trabajador afectado (proporcionalidad); y, d) se proceda a la apertura del correo en presencia del trabajador y de sus representantes (legalidad). 7 Es consolidada la doctrina judicial que entiende que la utilización de los medios de trabajo para fines particulares constituye actuar abusivo grave e ilegal, contrario a las exigencias del artículo 54.2, en relación con el artículo 20 del ET. En este sentido, la STSJ de Cataluña de 14 de noviembre de 2000 (AS/3444) declaró procedente el despido de un trabajador “que –sin conocimiento ni autorización de la empresa– envió a través del correo electrónico que le tiene asignado la compañía 140 mensajes a 298 destinatarios. Dichos mensajes “ajenos a la prestación de servicios (y de naturaleza obscena, sexista y humorística) se remitieron en horario laboral; (...) la empresa demandada sólo permite utilizar el referido sistema de comunicación por motivos de trabajo”. Anteriormente el Tribunal Superior de Justicia de la Comunidad Valenciana, en Sentencia de 24 de septiembre de 1996 (AS/2877) sostuvo “que la utilización desviada que el trabajador despedido realiza de los instrumentos facilitados por el Banco, como en este caso el correo electrónico, para fines distintos de los ligados a la actividad productiva, durante el horario laboral y sin autorización de la empresa, constituye en sí misma una infracción del principio de buena fe y un abuso de confianza” 4. 4 En la misma línea se ha pronunciado el Tribunal Superior de Justicia de Madrid en Sentencia de 16 de octubre de 1998 (AS. 3780) que considera lícito el control y conocimiento por parte de la empresa de las conexiones realizadas por un trabajador a páginas de ocio, compras o contenido sexual o pornográfico. En el supuesto enjuiciado la actividad de la empresa dependía de sus comunicaciones con el exterior, tanto con sus clientes como con las empresas del grupo, y disponía para ello de una red interna a la que estaban conectados los ordenadores de la empresa, red que se conectaba con el exterior con Internet a través de unos ordenadores especiales (“Proxis”) ubicados en Holanda que registraban todas las conexiones. Al haberse detectado importantes retrasos en las conexiones y perdida de calidad de la red de comunicación, entre otros motivos por el elevado tráfico de conexiones, la empresa solicitó datos a los “Proxis” de los usuarios que más tiempo pasaban conectados a Internet y procedió a analizar los destinos de las conexiones, resultando que el trabajador se conectaba habitualmente en horas de trabajo a las páginas en Internet de los diarios “El Mundo”, “El País” y “Marca”, y visitaba otras de ocio, de caza o páginas de contenido sexual. Comportamiento del trabajador que se consideró ilícito y que determinó el despido que posteriormente el tribunal considera procedente en la medida en que “la empresa había manifestado ya un año antes su intención de sancionar disciplinariamente las navegaciones irregulares en la red de Internet que efectuaran los trabajadores”. Por el contrario, cuando en las normas reguladoras del uso del correo electrónico y de Internet se autoriza al trabajador a utilizar estos medios en las condiciones y con los límites que se pacten también para usos personales, el conocimiento de los mensajes debe quedar absolutamente vedado al empresario. El mero hecho de que el empresario haya suministrado la cuenta de correo electrónico no le autoriza a acceder a 8 IV. Posibilidad de control empresarial. 7. Control empresarial vs. derechos de los trabajadores. Es la autonomía colectiva, particularmente, en el ámbito de la empresa, la encargada de aportar las pautas de formación a los espacios creados por las nuevas tecnologías, pues no existe una regulación específica en este sentido. No obstante, no estamos ante una total ausencia de respuesta jurídica, pues son los jueces y tribunales los que han comenzado a introducir los criterios de regulación en las controversias, a la espera de dicha regulación. Lo que se discute es, en último término, la existencia o no de un derecho del trabajador a usar con fines personales las TIC de la empresa y, en consonancia con ello, la sancionabilidad de las indicadas conductas. Hoy por hoy, difícilmente puede afirmarse la existencia de un derecho de los trabajadores al uso de las nuevas tecnologías con fines personales que implique un uso ilimitado e incondicional a las referidas tecnologías. Cosa distinta es que no pueda existir un ámbito lícito de uso extralaboral de las nuevas tecnologías. La Sentencia del Tribunal Constitucional 281/2005, ha venido a consagrar el uso de los sistemas comunicación empresarial para finalidades extralaborales –la remisión de información de los sindicatos a los trabajadores–, desechando la posibilidad de que la mera propiedad del medio de comunicación sea suficiente para justificar la limitación del uso extraproductivo. Igualmente, se exige que no se afecte a la actividad normal de la empresa, que no desnaturalice la finalidad de la herramienta de trabajo y, en fin, que no comporte costes económicos adicionales para la misma. La cuestión se reconducirá a la proporcionalidad de la sanción disciplinaria derivada de la violación de la buena fe contractual. Unido a la sanción del comportamiento ilícito del trabajador, se plantea la dichas misivas atípicas o extralaborales, pues tal vigilancia sobrepasaría los límites fijados en el ya citado artículo 20.3 del ET. En este contexto las soluciones tecnológicas pueden resultar especialmente útiles. Existen dispositivos “software” denominados discriminadores que, dependiendo de la naturaleza del mensaje (analizando el remitente), depositan éste en una u otra localización del equipo informático, aunque otra posibilidad es suministrar al trabajador dos cuentas de correo distintas, una profesional y otra particular, la primera sería auditable por la empresa, mientras que la segunda sólo podría examinarse si lo determinase la autoridad judicial. 9 cuestión de cómo se obtiene el conocimiento de los ilícitos contractuales cometidos por trabajador empleando o valiéndose de los medios productivos dispuestos por empresario; esto es, valorar la extensión de las facultades de control y vigilancia empresariales en relación con el uso de las TIC de la empresa. Como se podrá observar, se pueden dar diversos supuestos de control o de “cibervigilancia” en el lugar de trabajo: - Registro del contenido de los ficheros de los ordenadores o servidores de la empresa (para poder verificar, por ejemplo, la introducción por el trabajador de un programa informático que produce fallos en la red informática de la empresa). - Control de la conexión irregular a internet, verificando la navegación a través de la red y los ficheros registrados (comprobando así las visitas a las webs de ocio). - Control del correo electrónico (para comprobar la correspondencia electrónica personal del trabajador). - Instalación previa de programa informático con la finalidad de controlar el uso del ordenador, o instalación de filtros que restringen el acceso a internet en le sistema informático de todos los ordenadores de la empresa. Con independencia de que el control de las herramientas informáticas engloba las posibles situaciones de registro de ordenador y servidor, instalación de programas espía, control de la navegación irregular, nos centramos en el análisis del control del correo electrónico. A pesar de la diversidad de la casuística de los pronunciamientos de la doctrina de suplicación es posible individualizar diversos principios que permiten evaluar la gravedad de la conducta y la proporcionalidad de la sanción aplicada. Los criterios hermenéuticos que pueden identificarse son los siguientes: a) Los costes para el empresario: dado que los costes económicos directos para la empresa acostumbran a ser bajos, cuando no prácticamente nulos, la valoración del perjuicio económico para la empresa acostumbra a identificarse con los gastos indirectos; esto es, con los gastos derivados del tiempo de trabajo dedicado a actividades extralaborales. No existe, sin embargo, un criterio claro en la valoración de los costes que representa la utilización de las NTIC de la empresa (la navegación indebida de una media de 30 minutos diarios durante 13 días trabajados, la conexión durante más de 73 10 horas en un espacio temporal de 15 días, de cinco horas durante dos días consecutivos, la conexión en tres días consecutivos a páginas web extralaborales y chats o “infinidad de ocasiones durante el tiempo de trabajo”, descargarse películas de Internet provocando la práctica imposibilidad de que se conectaran otros trabajadores de la empresa, los daños provocados por un virus informático derivado de la conexión a Internet, revisten la suficiente gravedad para justificar el despido). En la calificación de la gravedad es indiferente la naturaleza o valoración moral que merezcan las páginas web visitadas, y, en particular, el acceso y descarga de archivos de contenido pornográfico; salvo cuando la navegación indebida pueda ser tipificada penalmente como ocurre en relación con la pornografía infantil. En relación con el uso extralaboral del correo electrónico o de programas de mensajería instantánea, la doctrina judicial acostumbra a tomar en consideración, bien el número de mensajes electrónicos enviados (y en algún caso recibidos), bien la naturaleza del contenido de los mensajes remitidos por el trabajador. b) El destino dado a las herramientas informáticas y de comunicación: se estima procedente el despido por haber empleado el ordenador, la conexión a Internet o, en fin, el correo electrónico para realizar prestaciones a favor de terceras personas cuando no para la competencia directa de la empresa. Pero la mera existencia de archivos personales en el ordenador del trabajador no es suficiente para acreditar que el incumplimiento laboral, salvo que pueda probarse que efectivamente se realiza una prestación a favor de tercero durante el tiempo de trabajo. En otros supuestos, las conductas son lo suficientemente graves para ser consideradas transgresiones de la buena fe contractual justificativas del despido disciplinario. Así, por ejemplo, cuando el trabajador remite datos confidenciales a la empresa competidora a través de Internet; suplanta la personalidad de otro trabajador enviando correos electrónicos desde la cuenta de correo del trabajador suplantado; accede al ordenador de otros trabajadores burlando los sistemas de seguridad informática de la empresa. Por el contrario, no se considera proporcional el despido del trabajador el acceso a datos confidenciales de la empresa (sueldos de todos los trabajadores), sin divulgarlos a terceros. c) La seguridad de los sistemas informáticos: la existencia de ordenadores de uso personal pero no exclusivo de manera individualizada, el hecho de que el ordenador estuviera siempre encendido pudiendo acceder cualquier otro trabajador de la empresa y el acceso a Internet se producía a través de un canal común para todos los trabajadores de la empresa, la conexión en red de los tres ordenadores de la empresa, su utilización 11 indistinta por los trabajadores, la ausencia de contraseñas de acceso individualizadas impiden atribuir el uso indebido de las NTIC al trabajador. En sentido contrario, la presencia de un login y password confidenciales o contraseña personal para cada trabajador, justifican de manera indubitada la atribución de la conducta al trabajador. Burlar las medidas de seguridad informática dispuestas por la empresa para poder emplear las herramientas informáticas en beneficio propio viene considerándose que la conducta del trabajador merece la sanción del despido disciplinario. d) La eventual existencia de un marco regulador del uso de las NTIC de la empresa: bien de su reglamentación expresa través de la autonomía colectiva o del poder de organización del empresario (handbooks empresariales), bien de la propia práctica o tolerancia empresarial. Así pues, se estima la procedencia del despido cuando el trabajador tenía expresamente prohibido el acceso a Internet en horas de trabajo, el uso del ordenador para actividades distintas de las estrictamente profesionales, la instalación de passwords personales para acceder al ordenador que empleaba en exclusiva. Sin embargo, de existir una cierta tolerancia por parte del empresario a lo largo del tiempo, asumiendo el uso personal de los equipos informáticos por parte del trabajador no procederá el despido disciplinario. En sentido similar, si la empresa no había dado ordenes o instrucciones particulares sobre la utilización de los equipos informáticos, el hecho conectarse a alguna pagina web no relacionada con el trabajo, “sin constancia del número de veces y el tiempo invertido en tales conexiones o el que existieran restos medios borrados del programa Messenger de Microsoft con una cuenta de correo instalada, no son conductas que revelen una grave trasgresión de la buena fe contractual ni un uso abusivo de los medios informáticos puestos por la empresa a disposición de la trabajadora”. Destaca la enorme variedad casuística que enmarca en cada caso la actividad de control empresarial. Así, por ejemplo, la introducción de programas destinados a controlar el uso del equipo informático y del sistema de comunicación, el registro a posteriori del contenido del ordenador, la naturaleza de los archivos o programas instalados por el trabajador en el ordenador, la existencia de claves personales de acceso a los equipos informáticos, entre otros, serán determinantes en la solución del conflicto. Por otro lado, no es extraño que, a partir de medidas de control generales, se aborde de manera conjunta el análisis del proceder empresarial. Son habituales los supuestos en los que el registro del equipo informático del trabajador tiene como resultado la obtención de pruebas sobre el uso indebido del ordenador, de la conexión a Internet y el 12 correo electrónico o “chats”. Sin embargo, y a pesar de las claras diferencias, no son pocas las resoluciones judiciales que atribuyen un tratamiento unitario a la actividad de control considerada de manera unívoca, sin diferenciar los distintos derechos fundamentales implicados en uno y otro caso. Efectivamente, no se aplica el principio de jerarquía de los derechos fundamentales sobre cualquier otro derecho por su lugar privilegiado en la carta magna, sino que el sistema de garantía debe basarse en el principio de proporcionalidad y equilibrio entre todos los derechos reconocidos constitucionalmente. Así pues, la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad, y para superar este juicio de proporcionalidad se han de cumplir tres condicionantes: a) Finalidad: si la medida es idónea, susceptible de conseguir el objetivo propuesto. b) Necesidad: si la medida es necesaria, pues la limitación ha de ser la menos agresiva de todas (ingerencia mínima posible). c) Proporcionalidad: si la medida es equilibrada, con más ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto. Por otro lado, el acceso al contenido de los mensajes de correo electrónico, recibidos o enviados, entra en el ámbito de los actos de comunicación del artículo 18.3 de la CE, que protege la comunicación y el mensaje, y como indica el Tribunal Constitucional5, “no hay ninguna razón que permita excluir la mensajería electrónica del concepto constitucional de comunicación”. 8. Manual de uso para el control empresarial. Piedra angular a la hora de pronunciarse sobre la legitimidad o no de estos controles será la naturaleza y las condiciones de uso que se hayan establecido respecto de los instrumentos informáticos puestos a disposición de los trabajadores, ya sea en convenio colectivo, en el contrato individual de trabajo –bien en el momento inicial, bien mediante pacto ad hoc posterior– o en un código de conducta redactado por la empresa, en ejercicio de su poder de dirección que alcanza el dictado de instrucciones generales. Cuando en el 5 Vid. STC 70/2002, de 3 de abril; en la misma el TC indica que los avances tecnológicos en el ámbito de las telecomunicaciones hacen necesario un nuevo entendimiento del concepto de comunicación y del objeto de protección del derecho fundamental. 13 convenio colectivo, en el contrato de trabajo o en las normas de operativa interna de la empresa (códigos de conducta) se establece que los medios informáticos de la misma se facilitan como herramienta de trabajo, y en cuanto tal sólo pueden ser utilizados para soportar los servicios y tratamientos previstos y autorizados por la dirección, la previsión de adopción con carácter sistemático de medidas de verificación de estos sistemas o su fiscalización puntual y excepcional cuando se haya detectado un uso irregular de los mismos, podrá entenderse incluida, bajo ciertas condiciones, en el artículo 20.3 del ET. El conocimiento por el trabajador de las condiciones de uso – exclusivamente profesionales– y de la posibilidad de acceder a los sistemas de comunicaciones por parte del empresario será garantía suficiente: en la medida en que la expectativa de secreto no nace, el derecho a la intimidad, según su moderna concepción de derecho a controlar el flujo de información que sobre uno mismo circula, no corre riesgo. Se trata de reconocer a los trabajadores el derecho a conocer exactamente y en todo momento cuál es la política de la empresa para que éstos, al utilizar los instrumentos de trabajo que la empresa pone a su disposición sepan a qué atenerse, por ejemplo mediante ventanas de información. Además de que, como se ha señalado, el trabajador otorga el consentimiento para que el empleador ejerza el control sobre los mensajes electrónicos cuando, advertido acerca de la posibilidad de que la comunicación sea controlada, decide iniciarla o mantenerla. Dicha información deberá versar sobre los tipos de uso permitidos y prohibidos, las consecuencias de violar estas políticas, el tipo de supervisión que se realiza, las razones en que se fundamenta, y, en su caso, las condiciones de recogida, almacenamiento y uso de las informaciones registradas y los mecanismos existentes para garantizar su confidencialidad. V. Conclusiones. Primera.- Uso racional de los recursos informáticos de la empresa. La solución no debe ser radical y consistir en la limitación o prohibición a los trabajadores del uso de los medios informáticos, sino que habría que buscar un punto de equilibrio – entre el poder de dirección empresarial y el derecho a la intimidad de los trabajadores– y de consenso entre las partes en aras a un uso racional por parte de los trabajadores de los recursos informáticos propiedad de la empresa. 14 Segunda.- Derecho de los trabajadores al secreto de las comunicaciones. A pesar de que es cierto que, en ocasiones, el secreto de las comunicaciones puede chocar con la potestad de vigilancia y control del empresario, eso no justifica la injerencia sin ningún tipo de control, sin que quepa alegar que es relevante a estos efectos a quien corresponde la propiedad del ordenador desde el que se enviaron los mensajes, ya que el derecho fundamental del trabajador no está subordinado a la propiedad por el individuo que realiza la comunicación del medio que utiliza. Sea cual sea la respuesta a esta cuestión específica de las relaciones laborales lo que no cabe negar hoy día es que el correo electrónico está también incluido entre las comunicaciones a que se refiere el artículo 18.3 de la CE. En consecuencia, el principio del secreto de las comunicaciones para los correos electrónicos está claro, y por tanto la protección, por esta vía, de los datos de carácter personal que podrían figurar en ellos, por lo que se debe garantizar al usuario que sus datos personales que figuran en los correos electrónicos serán protegidos al mismo título que el correo postal. Tercera.- Fiscalización del control empresarial. La posibilidad de fiscalizar por parte de la empresa la utilización del correo electrónico de sus empleados habría de revestirse además de determinados límites, cautelas y garantías: a) En primer lugar, los eventuales controles en ningún caso pueden resultar infundados, discriminatorios o vejatorios. Debe siempre existir una causa justificada para la utilización de estos medios de control, pero además los criterios de selección de los trabajadores a controlar no pueden ser contrarios al principio de igualdad (por ejemplo, los trabajadores afiliados a un determinado sindicato), ni resultar tampoco arbitrarios, de suerte que cuando la instalación de estos programas de seguimiento y monitorización no sea sistemática para todas las comunicaciones o transacciones realizadas deberán incluirse criterios de aleatoriedad o fundamentarse en razones objetivas como el acceso a informaciones confidenciales por parte de determinados trabajadores6. 6 Es precisamente la falta de indicios o razones fundadas lo que en la STSJ de Madrid de 26 de abril de 2001 justifica la declaración de nulidad del despido padecido por un representante sindical. Y es que afirma la sentencia- “la decisión de monitorizar su puesto de trabajo vulneraría (...) su derecho a la libertad sindical en relación con la finalidad perseguida, al sometérsele a una investigación excepcional 15 b) En segundo lugar, dada la enorme potencialidad de la vigilancia informática y para evitar que el trabajador se vea sometido a una presión insoportable, los controles a realizar deben ser lo menos incisivos posible, recurriendo para ello a las aplicaciones informáticas ad hoc. c) En tercer lugar, en la medida en que la monitorización de los accesos a Internet o el almacenamiento de los correos electrónicos laborales generan un registro de datos personales, dichos controles quedan como es obvio sujetos a las previsiones de la LOPD. El trabajador tiene derecho a acceder a los datos personales que le conciernen tratados por su empleador y cuando proceda a la rectificación, la suspensión o bloqueo de los datos. Además de que la facultad empresarial de fiscalizar el uso del correo electrónico no comprende, por supuesto, la publicación o difusión de los correos controlados, ni la conservación de los mismos más allá del tiempo estrictamente necesario para realizar las comprobaciones oportunas. d) En cuarto lugar, si para controlar el uso que un determinado trabajador realiza de las TIC se debiera efectuar un registro de su ordenador no estaría de más adoptar las garantías establecidas en el apartado tercero del artículo 18 ET referido al registro sobre la persona, taquilla y efectos particulares del trabajador, esto es, deben existir fundados motivos para realizarlo, y contar con la asistencia de un representante legal de los trabajadores o en su ausencia del centro de trabajo, de otro trabajador de la empresa. e) En quinto lugar, elementales exigencias de seguridad jurídica reclaman que la implantación de un sistema de control de la utilización de cualquier medio de comunicación electrónica en la empresa incluya un sistema de identificación fiable de todos los usuarios del mismo. La manipulación de los dispositivos informáticos es muy fácil y el hecho de que una dirección de correo electrónica aparezca como emisora de un correo no implica que el sujeto titular de dicha dirección sea necesariamente el sin otras razones que su afiliación o actividad sindical, por cuanto la proporción de trabajo efectivo, así como su realización o no por parte del demandante, no requería de ninguna manera constatar si se conecta o no a Internet, bastando (...) identificar el trabajo, lo que era perfectamente factible en una empresa totalmente informatizada”. En el mismo sentido, el Tribunal Superior de Justicia de Cataluña ha declarado la nulidad de la prueba obtenida en un caso en que la monitorización se realizó sin alegar o justificar la existencia de causa legítima alguna, poniendo en evidencia que la intervención de la empresa “sólo se produce cuando se interpone la demanda por la trabajadora para la extinción del contrato y denuncia la situación de mobbing” y en defensa del patrimonio o de los intereses de la empresa (STSJ Cataluña de 11 de junio de 2003). 16 remitente7. f) En sexto lugar, se hace necesaria la intervención de la representación colectiva en la adopción de los medios de control en garantía de los sistemas de comunicación dispuestos por el empresario. Cuarta.- Necesidad de un código de conducta. La Sala de lo Social del Tribunal Supremo, en Sentencia de 26 de Septiembre de 2007, ha puesto definitivamente las bases para poder equilibrar dos derechos como son la intimidad y el control de los medios informáticos por parte de las empresas. Por tanto, se debería de formalizar un documento (= código de conducta), firmado por las partes, que recogiera los siguientes puntos: - Objeto y finalidad del documento. - Definiciones. - Propiedad y especificaciones del sistema informático (hardware y software). - Posición de la empresa en cuanto al uso de herramientas informáticas. Riesgos y ventajas. - Acceso a los equipos y medidas de seguridad: asignación de claves y política de contraseñas; gestión de incidencias; gestión de copias de seguridad y respaldo; seguridad, confidencialidad y protección de datos personales. 7 En este sentido, el Tribunal Superior de Justicia de Madrid, en sentencia de 12 de junio de 2001, consideró debidamente acreditada la autoría de los hechos -incorrecta utilización del correo electrónico de la empresa al enviar a través del mismo y en horas de trabajo material pornográfico a otro empleado de una sucursal norteamericana- “habida cuenta las medidas de seguridad de control de acceso a los ordenadores de trabajo que la empresa Societé Génerale tiene instaladas y que exigen hasta cuatro claves de acceso distintas para cada usuario, siendo (cada) una de ellas imprescindible para acceder a su buzón de correo para lectura o envío de mensajes, claves personales y necesariamente intransferibles, que deben ser cambiadas cada noventa días”. En la STSJ de Cataluña de 11 de junio de 2003 el tribunal entendió que no quedó suficientemente acreditado que la navegación en determinadas páginas web fuera realizada por la trabajadora sancionada puesto que la contraseña de su ordenador era conocida por otros trabajadores. Mientras que la STSJ de Andalucía -sede Granada- de 22 de abril de 2003 considera acreditado que, aunque el ordenador hubiera sido utilizado por otros compañeros, quien se introdujo en las páginas pornográficas fue el trabajador despedido por haber tenido lugar durante el periodo en que se encontraba solo en la empresa. 17 - Correo electrónico: uso del correo personal y del correo de empresa; status legal de los mensajes; información que debe incluirse en el mensaje y firma; gestión de los mensajes; corrección y tono de los mensajes (tratamiento de mensajes inapropiados). - Restricciones a la navegación por Internet. - Programas y dispositivos de control y monitorización. - Procedimiento para el control y registro de equipos y transmisiones de datos por la red. - Uso de soportes y dispositivos portátiles de almacenamiento. - Uso de equipos informáticos fuera de la empresa. - Deberes y responsabilidades del usuario. - Implantación de la Política, medidas de seguimiento y consecuencias de su incumplimiento. En definitiva, debemos apostar por la elaboración de un código de conducta que regulase expresamente la utilización del correo electrónico exclusivamente como herramienta de trabajo, prohibiendo su uso extralaboral. Este código de conducta no debe suscribirse con valor o forma contractual, sino que se debe fundamentar como las instrucciones que el empresario le da a sus trabajadores. El código de conducta debe cumplirse realmente, no debiendo existir tolerancia empresarial frente a su incumplimiento (= “tolerancia 0”), haciendo, periódicamente, recordatorios de su vigencia y efectividad, así como, haciendo comprobaciones periódicas y aleatorias de la utilización del correo electrónico. VI. Bibliografía consultada. ALAMEDA CASTILLO, María Teresa, “Derecho social: Uso del correo electrónico e internet en el trabajo y medios de control del empresario”, en Revista de Contratación Electrónica, núm. 63, Dykinson, Septiembre 2005, Madrid, pp. 39-58. ARAGÜEZ GUERRERO, Juanjo, “Intimidad en el trabajo”, en Revista TOGA, nº 4, Editorial Navarcorp, Navarra, pp. 47-54. 18 BELLIDO ASPAS, Manuel, “La utilización del correo electrónico como motivo de despido laboral”, en Empresa y prueba informática, Bosch, Barcelona, enero 2007, pp. 85-127. DELGADO, Ana, “Absentismo nada virtual: normativa, problemas y soluciones del uso de Internet durante la jornada laboral”, en Emprendedores: las claves de la economía y el éxito profesional, Nº. 116, 2007 , pp. 78-82. GARRIDO, Amaya y LARRAURI, Unai, “Medios de control ejercidos por el empresario y vulneración de derechos fundamentales del trabajador: dónde está el límite”, en Economist & Jurist, nº 127, Difusión Jurídica, Barcelona, febrero 2009, pp. 42-47. MARÍN ALONSO, Inmaculada, El poder de control empresarial sobre el uso del correo electrónico en la empresa. Su limitación en base al secreto de las comunicaciones, Tirant lo Blanch, Valencia, 2005. ORTEGA GIMÉNEZ, Alfonso, “El Derecho Fundamental a la Protección de Datos de Carácter Personal en España”, en Alfa–Redi: Revista de Derecho Informático, Nº 121, Agosto 2008, pp. 01-31, disponible en www.alfa-redi.org. ORTEGA GIMÉNEZ, Alfonso (Coord.) y otros, Guía práctica sobre protección de datos de carácter personal para abogados, Grupo Difusión, Barcelona, 2007. ORTEGA GIMÉNEZ, Alfonso y HEREDIA SÁNCHEZ, Lerdys, “Algunos interrogantes en torno a la Protección de Datos de Carácter Personal”, en Revista Economist & Jurist, Número 105, Difusión Jurídica, Barcelona, Noviembre 2006, pp. 28-38. ORTEGA GÓMEZ, Eduardo y CARRASCO LINARES, Juan, “El uso de los medios informáticos en la empresa: conflicto y regulación”, en Revista de Derecho vLex, núm. 16, abril 2004, pp. 1-3. 19 ROIG BATALLA, Antoni (Coord.), El uso laboral y sindical del correo electrónico e Internet en la empresa. Aspectos constitucionales, penales y laborales, Tirant lo Blanch, Valencia, 2007. THIBAULT ARANDA, Javier, “Relaciones laborales e Internet”, en VV.AA., Principios de Derecho de Internet, Tirant lo blanch, Valencia, 2005, 546-590. VALDÉS DE LA VEGA, Berta, “La utilización de las tecnologías de la información: un derecho sindical y un límite a la libre disposición empresarial sobre los instrumentos de trabajo. Comentario a la STC 281/2005”, en Revista de Derecho Social, nº 33, Editorial Bomarzo, Albacete, 2006, pp. 129-142. 20