¿Es posible despedir a un trabajador al detectar una irregularidad ante un registro de su ordenador o correo electrónico corporativo? Recientemente se ha publicado una sentencia del Tribunal Superior de Justicia de Cataluña (en adelante TSJC) en la que se ha declarado nulo un despido disciplinario a un trabajador precisamente relacionado con esta cuestión. En esta sentencia se ha puesto de manifiesto que no todos los métodos y formas de acceso a los dispositivos y herramientas corporativas de los empleados por parte las entidades son válidos para justificar un despido ante una posible desobediencia de un empleado.
Efectivamente, cabe la resolución unilateral del contrato de trabajo por decisión del empresario en caso de incumplimiento grave y culpable del trabajador cuando concurran alguna de las causas establecidas en el artículo 54 del Estatuto de los Trabajadores (en adelante ET), entre las que se encuentran la de indisciplina o desobediencia en el trabajo. No obstante, la ley exige para el despido determinadas exigencias, cuyo defecto u omisión transforma en improcedente el acto resolutorio empresarial, supuesto que se nos presenta en este caso en concreto y que pasamos a analizar.
En la sentencia se expone que, en el momento de la entrada del trabajador en la empresa, ésta ponía a disposición del empleado todos los medios de transmisión necesarios para llevar a cabo su actividad laboral (como pueden ser teléfonos, ordenador, correo electrónico y acceso a Internet). Dichas herramientas se facilitaban para que el empleado realizara con una mayor eficacia su trabajo y la utilización de éstos para fines particulares o personales se encontraba prohibida. Precisamente para poder verificar el correcto uso de la utilización de estas herramientas de trabajo y hacer efectiva esta restricción de los dispositivos al uso estrictamente laboral, se establecía en una cláusula contractual del contrato de trabajo la adopción de las medidas de vigilancia y control precisas dispuestas en el artículo 20 del ET por parte de la empresa al trabajador.
Es cierto que estas medidas de control laboral (que ya han sido analizadas en otro artículo del blog de forma más amplia y aparecen contempladas en la Guía de la AEPD sobre la protección de datos en las relaciones laborales) son válidas siempre que cumplan con la normativa actual y vigente pero, en materia de garantías constitucionales, también deben respetar el contenido esencial del derecho fundamental a la intimidad y el secreto de las comunicaciones proclamados en el artículo 18 de la Constitución Española. Igualmente tal derecho se reconoce en el ámbito de la protección de datos en el artículo 87 apartado 1 y 2 de la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (en adelante LOPDGDD) donde se dispone que “los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.”
Pues bien, los hechos que motivaron este procedimiento judicial se reducen a que uno de los empleados de la empresa observó cómo otro trabajador abría una aplicación con emoticonos en uno de los dispositivos proporcionados por la entidad, lo que produjo que se pusiera en conocimiento de la dirección de la empresa.
Esto causó la decisión de dirección de registrar el ordenador de este trabajador a fin de verificar la comisión de algún tipo de irregularidad que hubiera podido transgredir la buena fe contractual. Dicho registro se llevó a cabo “un sábado, en ausencia de los trabajadores y sin que fueran advertidos”. Sin embargo, el ingeniero informático encargado de este registro tuvo un incidente con este examen porque el sistema estaba protegido con un mecanismo de doble verificación que se encontraba conectado al teléfono móvil del empleado en cuestión. Tras contactar con éste y obtener las contraseñas necesarias facilitadas por él mismo, se accedió al contenido de las cuentas del correo y de las aplicaciones vinculadas, navegador de internet y documentos de trabajo, detectando que algunos mensajes habían sido eliminados. Esta fue la razón por la que la compañía decidió examinar los equipos de otros trabajadores sin su consentimiento.
A consecuencia de esta actuación, se comunicó al trabajador finalmente por parte de la compañía su despido disciplinario por “una serie de hechos de los que era responsable directo” al considerar que se había producido una utilización no autorizada y para usos no profesionales de los equipos y terminales informáticos con una clara infracción de los términos del contrato.
En la sentencia, tras el análisis de la prueba practicada en el proceso judicial, se constata que “en lo concerniente a las herramientas informáticas no se discute que los ordenadores eran propiedad exclusiva de la empresa (…) y consta también el uso por parte de los trabajadores de lo que ahora se llama aplicación «hang out», que es una herramienta de mensajería multiplataforma desarrollada por Google y que permite conversaciones con fotos, emoticonos e incluso videollamadas grupales gratuitas”. En lo que respecta a el modo de realizar la auditoría informática, también se comprueba que “se verificó un sábado, en ausencia de los trabajadores y sin advertencia a ninguno de ellos” por parte del ingeniero informático y la responsable del departamento de recursos humanos.
La clave de todos estos hechos expuestos radica, en todo caso, en la forma en la que se produjo la auditoría informática y la relación con el derecho a la intimidad y al secreto a las comunicaciones. Es importante tener en cuenta en este caso “los tres sucesivos juicios de «idoneidad», «necesidad» y «proporcionalidad» requeridos por el Tribunal Constitucional«, y así lo expresa la sentencia, en que es necesario «la ponderación de los intereses en juego al objeto de alcanzar un justo equilibrio entre el derecho del trabajador al respeto de su vida privada y de su correspondencia, y los intereses de la empresa empleadora para los cuales decisivo tener en cuenta:
- a) el grado de intromisión del empresario;
- b) la concurrencia de legitima razón empresarial justificativa de la monitorización;
- c) la inexistencia o existencia de medios menos intrusivos parala consecución del mismo objetivo;
- d) el destino dado por la empresa al resultado del control y
- e) a la previsión de garantías para el trabajador.»
Con todo esto se llega a la conclusión en la resolución judicial que el quid de la cuestión se encuentra en el modo en el que se desarrolló el registro del ordenador y del correo electrónico del empleado. Partiendo de lo dispuesto en el apartado 3 del artículo 20 del ETdonde se establece que “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad” y del artículo 87 de la LOPDGDD, se concluye que el registro fue «un registro aleatorio e indiscriminado, en busca de cualquier posible incumplimiento laboral, y no se siguió –ni consta que exista– un protocolo para la investigación de los sistemas informáticos”. Además, dicho registro se verificó “en ausencia del usuario habitual del ordenador de la empresa (en un día de descanso), sin que fuera inicialmente advertido, sin presencia de nadie de la representación legal de los trabajadores, constituyendo una búsqueda masiva sin ningún tipo de control”.
Correlativamente, se considera por parte del TSJC que la auditoría informática constituye un medio probatorio que se obtuvo con la vulneración de los derechos fundamentales de la intimidad (artículo 18.1 de la Constitución Española) y del secreto de las comunicaciones (artículo 18.3)”, lo que hace que el efecto probatorio de esta prueba sea inexistente en el presente proceso.
Finalmente, las consecuencias de la terminación de este procedimiento han sido la declaración como improcedente del despido disciplinario, así como la opción de la readmisión del trabajador en las mismas condiciones que regían con anterioridad al despido o bien el abono de una indemnización de 8.109 euros.
A mayor abundamiento, esta sentencia cita una serie de directrices pronunciadas por el Tribunal Europeo de Derechos Humanos en el asunto “Bârbulescu” a tener muy presentes entre las que destacamos las siguientes:
- Las comunicaciones que se emiten desde el puesto de trabajo, así como las del domicilio, pueden incluirse en las nociones de «vida privada» y de «correspondencia» cuando el trabajador puede «razonablemente suponer que su privacidad estaba protegida y era respetada».
- Los Tribunales Nacionales deben velar porque el establecimiento por una empresa de medidas para vigilar la correspondencia y otras comunicaciones sea cual sea su alcance y duración, vaya acompañado de garantías adecuadas y suficientes contra los abusos.
- Es necesario que el empleado haya sido informado de la posibilidad de que el empleador tome medidas para supervisar su correspondencia y otras comunicaciones.
- Es posible establecer un sistema de vigilancia por parte del empresario basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado.
Así pues, el acceso al ordenador o al correo electrónico corporativo de los empleados por parte de la empresa en ningún caso puede ser ilimitado, sino que está supeditado al cumplimiento de las condiciones que, los artículos20.3 ET y 97 LOPDGDD, imponen para que la entidad pueda ejercer su legítimo derecho, respetando también los derechos del trabajador. Para ello han de concurrir los siguientes requisitos:
- Delimitar la expectativa de privacidad de la persona trabajadora, mediante una clara instrucción de limitar el uso del dispositivo digital a tareas profesionales. Cuestión que se establece en el contrato de trabajo.
- Autorizar a la empresa a llevar a cabo el acceso de que se trate, mediante una disposición conocida y asumida consciente y voluntariamente por el trabajador. En el presente caso tal disposición es la concreta cláusula contractual firmada a tal efecto en el contrato de trabajo.
- En caso de que el acceso finalmente se lleve a cabo, debe producirse con el máximo respeto a la dignidad e intimidad de la persona. En concreto, el acceso deberá ser, en todo caso, proporcional. Para determinar si existe proporcionalidad habrá que constatar, a su vez, la concurrencia de tres condiciones:
- Que la medida sea susceptible de conseguir el objetivo propuesto (juicio de idoneidad).
- Que, además, sea necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad).
- Que, por último, sea ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).
Superado el test de proporcionalidad, el empleador podrá adoptar la medida de control, debiendo respetar en todo caso el derecho a la intimidad personal y, en particular, el derecho a la protección de datos, en el caso de que se produzca un tratamiento de datos personales.
En conclusión, con el presente supuesto se admite la realidad de la facultad de control y vigilancia del empresario, la ordenación y regulación del uso de los medios informáticos de titularidad empresarial por parte del trabajador, así como la licitud de una prohibición absoluta de la utilización de las herramientas corporativas para uso personal. Pero, al mismo tiempo, se refuerza la importancia de la idea del cómo y el modo de proceder a realizar los registros a las herramientas de trabajo teniendo en cuenta siempre su causa, la forma de hacerlo y el uso de sus resultados.