El desarrollo de las funciones atribuidas a muchos puestos de trabajo hace indispensable la atribución de una cuenta de correo corporativa para poder llevar a cabo de una forma eficaz las funciones encomendadas. La atribución de esta cuenta de correo se hace por motivos estrictamente laborales. Dichas cuentas son propiedad de la empresa o institución en la cual se presta servicios, quien determina tanto el usuario como el proveedor y el dominio, y también las finalidades y condiciones de uso a que está sometido.
¿Pero qué ocurre en aquellos casos en que la persona trabajadora ha causado baja laboral o ha dejado de prestar servicios en la entidad? ¿Podemos seguir teniendo acceso a dichas cuentas de correo? ¿Quién puede acceder? ¿Por cuánto tiempo? ¿Qué implicaciones tiene desde el punto de vista de la protección de datos?
Aunque a priori, podamos pensar que lo habitual cuando una persona causa baja en una empresa bien motu proprio o por causa de despido, es que el acceso a su cuenta de correo electrónico corporativa sea bloqueado, no siempre es así. Sobre todo, en aquellos casos en que no queremos perder correos profesionales importantes para la continuidad de nuestro negocio.
Pues bien, precisamente han sido dos autoridades europeas en protección de datos (la belga y la italiana) las que han sancionado a dos entidades por conservar la cuenta activa del buzón de email corporativo de un exempleado tras causar baja en la empresa, imponiéndoles sendas multas por importe de 20.000 y 15.000 euros respectivamente.
Haciendo un análisis comparativo de las dos resoluciones sancionadoras, las dos coinciden en cuanto al fondo, en la medida en que los extrabajadores (ahora denunciantes) no fueron informados con anterioridad al tratamiento de su cuenta de correo electrónico corporativa, de cómo se iba a gestionar la misma por parte de la empresa tras la extinción de la relación laboral, manteniéndolas activas durante un período de tiempo irrazonable y desproporcionado.
Estas direcciones de correo electrónico corporativas creadas en el contexto de las actividades laborales, ya sea que estén compuestas por el apellido y el nombre de las personas a las que se han atribuido, o sólo del nombre de éstas, constituyen datos de carácter personal en el sentido del artículo 4 .1. del Reglamento Europeo de Protección de datos (en adelante, RGPD) y, por tanto, datos relacionados a una persona física identificada o identificable.
¿Qué preceptos se han incumplido?
Se imputa a las entidades reclamadas la infracción de los siguientes principios:
Principio de licitud del tratamiento artículo 6. del RGPD:
El artículo 6 del RGPD exige que todo tratamiento de datos se base en la legalidad. En otras palabras, el responsable del tratamiento no puede iniciar, ni continuar como en este caso, un tratamiento de datos de la cuenta de correo electrónico del trabajador tras causar baja en la empresa sin basarse en una de las bases de legitimación enumeradas en el mencionado artículo, el cual concreta el principio de licitud recogido en el artículo 5.1 a) del RGPD.
Principio de limitación de la finalidad del tratamiento artículo 5.1 b) del RGPD:
Los datos deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. Es por ello por lo que, la finalidad para la cual se procesaron los datos que constituyen la dirección de correo electrónico, caduca con la extinción de la relación laboral. Sí bien persiguiendo un interés legítimo del empleador, de conformidad con las condiciones del artículo 6.1 f) del RGPD, la dirección de correo electrónico puede permanecer activa durante cierto período de tiempo para garantizar la continuidad del negocio, pero no más allá de un periodo prudencial de entre 1 y tres meses.
Principio de limitación de los plazos de conservación artículo 5.1 e) del RGPD:
Se permite la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales. Aunque uno de los demandados explica que, el propósito de mantener estas direcciones era para no perder mensajes profesionales importantes, dadas las funciones del cargo que desempeñaba como director.
El tratamiento de estos datos debería haber cesado en la fecha en la que causó baja o, como máximo, teniendo en cuenta el cargo de alta responsabilidad que ejercía el denunciante, en un plazo razonable, y, pasado este tiempo, el correo debe ser eliminado.
Principio de transparencia e información (artículo 13 RGPD):
No consta, que el extrabajador hubiera sido informado con anterioridad acerca del tratamiento de su cuenta de correo electrónico por parte de la empresa tras la extinción de la relación laboral, constituyendo este hecho una clara violación del art. 13 del RGPD, según el cual el titular responsable de los datos está obligado a facilitar al interesado –antes del inicio de los tratamientos– toda la información relativa a las características esenciales del propio tratamiento. Igualmente, en el marco de la relación laboral, la obligación de informar al interesado es también expresión del principio general de lealtad en el tratamiento, sancionado por el art. 5. 1a) del RGPD.
Además de estos principios, no debemos olvidar los derechos del exempleado que como interesado le corresponden, en particular, en aplicación del artículo 17.1 a) del RGPD, el interesado tiene derecho a obtener del responsable del tratamiento la supresión de los datos que le conciernen cuando estos datos ya no sean necesarios en cuanto a los fines para los que fueron recopilados o procesados.
¿Entonces, qué pautas debemos seguir para acceder a las cuentas de correo corporativas de un exempleado sin infringir la normativa de protección de datos?
En primer lugar traemos a colación la RecomendaciónCM/Rec(2015)5 del Comité de Ministros de los Estados miembros sobre el tratamiento de datos personales en el ámbito laboral que nos da las siguientes pautas a seguir:
Parte II – Formas particulares de tratamiento
14. Uso de Internet y comunicaciones electrónicas en el lugar de trabajo
14.3. El acceso de los empleadores a las comunicaciones electrónicas profesionales de sus empleados que hayan sido informados con antelación de la existencia de esa posibilidad solo podrá producirse, cuando sea necesario, por motivos de seguridad u otros motivos legítimos. En caso de ausencia de empleados, los empleadores deben adoptar las medidas necesarias y prever los procedimientos adecuados destinados a permitir el acceso a las comunicaciones electrónicas profesionales solo cuando dicho acceso sea de necesidad profesional. El acceso debe llevarse a cabo de la manera menos intrusiva posible y solo después de haber informado a los empleados afectados.
14.4. El contenido, envío y recepción de comunicaciones electrónicas privadas en el trabajo no debe ser monitoreado bajo ninguna circunstancia.
14.5. A la salida de un empleado de una organización, el empleador debe tomar las medidas organizativas y técnicas necesarias para desactivar automáticamente la cuenta de mensajería electrónica del empleado. Si los empleadores necesitan recuperar el contenido de la cuenta de un empleado para el funcionamiento eficiente de la organización, deben hacerlo antes de su partida y, cuando sea posible, en su presencia.
Además de lo señalado en la citada Recomendación, la resolución de la autoridad belga proporciona unas consideraciones prácticas que toda entidad debería seguir ante la salida de un empleado de su organización:
1.-Deber de información: La entidad debe contar con un procedimiento interno relativo al uso de herramientas tecnológicas donde se informe de forma previa al bloqueo del buzón de correo electrónico de su gestión en supuestos de dimisión, despido o cualquier otra forma de cese de actividad.
2.-Creación de un mensaje de respuesta automática previo al bloqueo: para el correo entrante que indique la nueva dirección a la cual se pueden dirigir los mensajes por razones profesionales. Este mensaje automático alertará a los destinatarios de los correos, indicando que la cuenta anterior ha causado baja y la dirección de contacto de la persona a la que tiene que dirigirse a partir de ahora en su lugar.
La autoridad belga hace un inciso e insiste en que, esta forma de proceder es preferible al reenvío automático de correos electrónicos a otra dirección de correo electrónico de la empresa, ya que, en el caso de una transferencia automática, no hay control sobre los correos entrantes y la información privada potencialmente sensible podría divulgarse sin el conocimiento de las partes intervinientes en la comunicación.
3.-Recuperación de los mensajes personales: La empresa tiene que facilitar a la persona trabajadora la obtención de los mensajes privados de la cuenta de correo. En este caso, se accederá a los mismos en presencia de la persona trabajadora, con el fin de identificar los mensajes de carácter exclusivamente personal.
En el caso de que deban recuperarse mensajes para asegurar el buen funcionamiento del negocio, deberá hacerse antes de su partida y en su presencia y, en caso de disputa, es recomendable la intervención de un tercero de confianza.
4.-Bloqueo de la cuenta de correo: Cuando una persona trabajadora deje de prestar servicios en la empresa, el órgano competente en materia de gestión de personal tiene que comunicarlo inmediatamente al responsable de seguridad para que se inutilicen los códigos de usuario y las contraseñas. Dicho bloqueo, deberá llevarse a cabo preferiblemente el día del cese de la persona. Si bien, de acuerdo con el contexto y, en particular, el grado de responsabilidad del exempleado en la empresa, se puede aceptar un período de tiempo razonable (a priori 1 mes), prorrogable, no superior a 3 meses. Esta prórroga deberá ser motivada y realizarse con el acuerdo del interesado o, al menos, después de avisarle.
5.-Eliminación de la cuenta de correo: Transcurridos los plazos anteriormente indicados, el correo electrónico deberá ser eliminado.
Atendiendo a lo anteriormente analizado y como reflexión final, las empresas sólo pueden acceder a las cuentas de correo electrónico corporativo de las personas trabajadoras cuando el acceso esté justificado y no haya ningún otro mecanismo que permita alcanzar el objetivo perseguido sin necesidad de acceder a las mismas.
El medio y el alcance del control tiene que ser proporcionado a la finalidad que se persiga. Este acceso se debe llevar a cabo de acuerdo con las normas de uso del correo electrónico que apruebe la empresa, las cuales deben advertir sobre los mecanismos de control del uso de las tecnologías que puedan afectar a la privacidad de las personas, de las consecuencias que se pueden derivar del control y de las garantías para las personas trabajadoras, en especial su derecho a ser informado.
En todo caso Las personas trabajadoras podrán ejercer sus derechos en materia de protección de datos respecto de la información que haya obtenido la empresa, a través de las medidas de control implantadas.
Para terminar os dejamos aquí dos entradas anteriores en nuestro Blog sobre el uso del correo electrónico en el marco de las relaciones laborales aquí y aquí.