Improcedente el despido de un trabajador de ALSA porque ejercía sus funciones de superadministrador de seguridad

El Tribunal Superior de Justicia de Madrid (TSJM) ha confirmado la improcedencia del despido de un trabajador de seguridad de ALSA al que la empresa le imputó haber realizado consultas en los registros del sistema y, en concreto, respecto al envío y recepción de correos de personal directivo, cuando, en realidad, ejercía sus funciones de superadministrador.

La Sala de lo Social considera, al igual que la sentencia de instancia, que lo realizado por este trabajador «constituye la esencia de las funciones de su puesto de trabajo, para lo que estaba efectivamente autorizado».

ALSA tiene acreditada la certificación ISO-27001 desde 2019, habiendo sido renovada por periodo trianual en 2022 y, además, Aenor realiza una auditoría externa todos los primeros trimestres del año, en cuya preparación participa este trabajador como responsable de coordinación.

«Esta interesante sentencia nos lleva a diversas reflexiones. En primer lugar, la importancia de disponer en las organizaciones de una política de seguridad que defina de forma clara todos los perfiles y las funciones de los responsables de la seguridad de la información», declara a Economist & Jurist el abogado Ramón Arnó Torrades, especialista en aspectos jurídicos de la sociedad de la información y transformación digital y CEO de La Familia Digital, quien ha dado a conocer hoy la resolución en sus redes sociales.

En segundo lugar señala «que los trabajadores que asumen esas competencias deben reportar por escrito cuál es la actividad que llevan cabo, idealmente en un comité de seguridad al que por otra parte obliga la propia norma ISO 27001, pues como informa la sentencia la empresa estaba certificada desde el año 2019».

El abogado Ramón Arnó Torrades. (Imagen: Archivo)

Podía realizar consultas y acceder al envío y recepción de correos

Los magistrados destacan que el demandante «tenía acceso a las funciones de superadministrador, con capacidad para efectuar consultas en los registros del sistema y acceder al envío y recepción de correos de los usuarios del mismo».

«La carta de despido parte de esa consideración, esto es que él es un usuario con acceso a funciones de superadministrador, lo que significa capacidad y autorización para efectuar consultas en los registros del sistema que comprende correos electrónicos, mensajes de Chat y calendario», razonan.

«Y ello lo reitera cuando tras hacer una comparativa entre cuatro usuarios, entre los que están» él, «de las consultas realizadas por estos en los últimos seis meses asevera que «el número de consultas y contenido de las mismas se corresponden con las funciones asignadas a cada puesto», precisa el tribunal.

El TSJ añade que «dichas consultas se distribuyen a lo largo del tiempo y de acuerdo a peticiones de usuario o incidentes previamente detectados que pueden trazarse mediante información recibida o tickets abiertos por los usuarios, dando de esa forma la conformidad con las acciones y consultas realizadas» por este trabajador en los seis meses anteriores que incluyen las cuestionadas.

Elucubraciones y conjeturas

Respecto a las conclusiones alcanzadas en la carta de despido que se le imputan, como son obtener información confidencial perteneciente a la esfera de la privacidad profesional de ciertos directivos, el TSJ sentencia que «no son más que elucubraciones y conjeturas», como también lo es «concluir que a través del ‘asunto’ puede extraer información sobre las conversaciones».

En cualquier caso, los magistrados destacan que «ni se le ha imputado el acceso a las conversaciones ni tampoco filtrar información ni hacer uso de ella en su caso de su beneficio», y que, «como con acierto señala la sentencia de instancia, la carta de despido no concreta ni una sola desviación del accionante, al margen de dichas consultas autorizadas, que permitan concluir que ha quebrantado la buena fe contractual».

(Imagen: E&J)

No existe transgresión de la buena fe empresarial

ALSA defendía que que aunque un super administrador tenga capacidad para efectuar consultas en los registros del sistema y acceder al envío y recepción de correos de los usuarios del sistema, sólo se pueden llevar a cabo tales consultas cuando tengan una razón de ser, como puede ser que lo solicite el propio usuario o que se trate de actuaciones propias dentro de los protocolos previstos en un plan de ciberseguridad corporativo para la detección de ataques informáticos, lo cual afirmaba que no ocurre en este caso.

A esto el TSJ responde que no hay prueba de que todas y cada una de las consultas que haga este trabajador en su condición de responsable de seguridad de la Información y en el desempeño de sus funciones deban seguir ese «protocolo», y que la circunstancia que se dice en la carta respecto a que sus patrones de consulta no coinciden con el resto de consultas efectuadas por los otros tres usuarios comparados y analizados, «no deja de ser una manifestación sin prueba al no aportar elemento comparativo».

En definitiva, según el alto tribunal de Madrid ALSA «no ha logrado desvirtuar los acertados razonamientos de la sentencia de instancia», lo que impide que pueda ser confirmada la decisión empresarial «al no existir la transgresión de la buena fe empresarial», porque el demandante, «máximo responsable de seguridad de la información de la empresa, se ha limitado a efectuar consultas, a las que está autorizado» en su condición de superadministrador, que no pueden presumirse realizadas con interés ilícito», recalcan los magistrados, indicando también que, en todo caso, no se le imputa este interés ilícito.

En consecuencia, la Sala de lo Social desestima el recurso de suplicación de la empresa contra la sentencia del Juzgado de lo Social número 36 de Madrid que en enero de 2024 declaró improcedente el despido. Resolución que confirma.

La sentencia es la número 885/2024, de 1 de noviembre, dictada por los magistrados Rafael Antonio López Parada (presidente), Virginia García Alarcón y Concepción del Brío Carretero (ponente), y está disponible en el botón ‘Descargar resolución’. Condena a ALSA a las costas del recurso y al abono de 700 euros, más IVA, al demandante, en concepto de honorarios de su asistencia letrada.