Monitorizar el email del trabajador sí, pero cumpliendo el “test Barbulescu”

Es perfectamente lícito monitorizar el email o el ordenador corporativo de los trabajadores pero para ello, al poder entrar en colisión con derechos fundamentales, como es el derecho a la intimidad y el secreto de las comunicaciones, las empresas deben cumplir una serie de requisitos y superar el denominado “test Barbulescu”.

¿En qué consiste el denominado “Test Barbulescu”?

Según la Sentencia del Tribunal Europeo de Derechos Humanos (TEDH), de fecha 5 de septiembre de 2017 (Barbulescu II), el “Test Barbulescu” ha de cumplir una serie de parámetros, partiendo de que debe tratarse de medios corporativos puestos por la empresa a disposición de los trabajadores para el desempeño de sus funciones. Dichos parámetros son:

1. La empresa debe acreditar que el trabajador ha sido informado expresamente de la posibilidad de que el empresario puede adoptar medidas para controlar la correspondencia u otras comunicaciones, así como de la puesta en práctica de las medidas, debiendo ser la información previa, precisa, transparente y específica.
2. No es suficiente con que la empresa tenga protocolos o reglas internas que prohíban el uso de los medios corporativos para fines personales, sino que será necesario, además, que la empresa previamente avise sobre los controles que pudiera llevar a cabo.
3. También hay que analizar cuál ha sido el alcance de la vigilancia y su grado de intromisión en la vida privada del trabajador. En este sentido, entre los elementos señalados por el TEDH para realizar el análisis se encuentran: distinguir entre el control de las comunicaciones o frecuencia y su contenido; también si han estado sujetas a vigilancia todas las comunicaciones o solo parte de ellas; otro aspecto relevante es también si la fiscalización de las mismas fue o no por tiempo limitado; y, por último, el número de personas que tuvieron conocimiento del resultado de la vigilancia.
4. Hay que someter el control (monitorización) al test de proporcionalidad. En este sentido, hay que examinar si la empresa ha proporcionado previamente un motivo legítimo que justificara la vigilancia de las comunicaciones y el control de su contenido, teniendo en cuenta que el control del contenido de las comunicaciones requiere de una justificación más fundamentada. En este sentido, hay que calibrar si hubiera sido posible utilizar un sistema de control menos invasivo que el hecho de acceder directamente al contenido de las comunicaciones.
5. Sobre la vigilancia del contenido de las comunicaciones (correo electrónico, ordenador corporativo…), el TEDH ha distinguido entre el control del flujo de comunicaciones y el de su contenido, de modo que el acceso al segundo debe estar justificado por necesario, idóneo y proporcional, es decir, puede ser realizado sobre la totalidad o sólo una parte de ellas, por un tiempo limitado, estableciendo también un número limitado de personas que pueden tener acceso a sus resultados.

(Foto: E&J)

Del TEDH a los tribunales españoles

En el caso de que se superase el “Test Barbulescu”, la monitorización es lícita, y prueba de ello son estas cuatro sentencias dictadas por tribunales españoles.

Sentencia del Tribunal Supremo, del 8 de febrero de 2018

En la sentencia del Tribunal Supremo, de 8 de febrero de 2018, se atribuye plena validez procesal a la prueba derivada del examen del correo electrónico existente en ordenador del trabajador (monitorización lícita), puesto que se han cumplido los requisitos fijados por el TEDH (Test Barbulescu”).

El Tribunal Supremo “recuerda” en esta sentencia los criterios fijados por el TEDH. Dichos criterios, a modo de preguntas que una empresa debe poder responder antes de sancionar (llegando al despido) a un empleado, son éstos:

1. Información previa: ¿El empleado ha sido informado de la posibilidad de que la empresa tome medidas para supervisar su correspondencia y otras comunicaciones, así como la aplicación de tales medidas?
2. Alcance de la monitorización: ¿Cuál fue el alcance de la supervisión realizada por la empresa y el grado de intrusión en la vida privada del empleado? En este sentido, entre otras cuestiones, hay que analizar si la supervisión de las comunicaciones se ha realizado sobre la totalidad o sólo una parte de ellas y si ha sido o no limitado en el tiempo y el número de personas que han tenido acceso a sus resultados.
3. Justificación: ¿La empresa ha presentado argumentos legítimos para justificar la vigilancia de las comunicaciones y el acceso a su contenido…?
4. La existencia de otros medios menos invasivos: ¿Habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado? A este respecto, es necesario evaluar, en función de las circunstancias particulares de cada caso, si el objetivo perseguido por el empresario puede alcanzarse sin que éste tenga pleno y directo acceso al contenido de las comunicaciones del empleado.
5. Consecuencias de la supervisión. ¿Cuáles fueron las consecuencias de la supervisión para el empleado afectado … con las referencias citadas? ¿De qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida…?
6. Garantías. ¿Al empleado se le ofrecieron garantías adecuadas, particularmente cuando las medidas de supervisión de la empresa tenían carácter intrusivo? En particular, estas garantías debían impedir que el empleador tuviera acceso al contenido de las comunicaciones en cuestión sin que el empleado hubiera sido previamente notificado de tal eventualidad.

En el caso concreto enjuiciado (despido de trabajador al haber aceptado de una entidad proveedora y a la que había realizado compras por importe de 15.734.080 dólares en el periodo 2008/2013, dos transferencias bancarias por importe -respectivamente- de 11.000 y 39.000 euros), en la empresa existía una concreta normativa empresarial “de los sistemas de información” y de “política de seguridad de la información” que limitaba el uso de los ordenadores de la empresa a los estrictos fines laborales y con prohibición expresa de su utilización para cuestiones personales.

Además, en este caso los empleados, cada vez que accedían con su ordenador a los sistemas informáticos de la compañía, y de forma previa a dicho acceso, debían aceptar las directrices establecidas en la Política de Seguridad de la Información de la compañía. En dichas directrices se hacía constar que el acceso lo es para fines estrictamente profesionales, reservándose la empresa el derecho de adoptar las medidas de vigilancia y control necesarias para comprobar la correcta utilización de las herramientas que pone a disposición de sus empleados.

En este sentido, en la sentencia del Supremo se establece claramente que el empleado “era conocedor de que no podía utilizar el correo para fines particulares y que la empresa podía controlar el cumplimiento de las directrices en el empleo de los medios informáticos por ella facilitados”.

En este caso, argumenta el TS, se examinó el contenido de ciertos correos electrónicos de la cuenta de correo corporativo del empleado, pero no de modo genérico e indiscriminado, sino tratando de encontrar elementos que permitieran seleccionar que correos examinar, utilizando para ello palabras clave que pudieran inferir en qué correos podría existir información relevante para la investigación, atendiendo a la proximidad con la fecha de las transferencias bancarias.

Además, razona el Supremo, son relevantes dos circunstancias: la primera, que el contenido extraído se limitó a los correos relativos a las transferencias bancarias que en favor del trabajador le había realizado -contrariando el Código de Conducta- un proveedor de la empresa; y, la segunda, que el control fue ejercido sobre el correo corporativo del demandante, mediante el acceso al servidor alojado en propias instalaciones de la empresa.

Tribunal Supremo. (Foto: Wikipedia)

Tribunal Superior de Justicia de Cantabria, de 26 de julio de 2023

El Tribunal Superior de Justicia de Cantabria ratificó la declaración de procedencia del despido de un trabajador que tenía en su ordenador corporativo archivos de fotografías de los glúteos de su compañera de trabajo, entre otros. En concreto, la carpeta “Milagros xx” contenía 10 archivos con fotografías pornográficas de D. ª Milagros, esposa del empleador, y dentro de la carpeta “Azucena”, 67 archivos de fotografías de los glúteos de su compañera de trabajo.

La monitorización se hizo motivada por un problema en la conexión a internet y en los ordenadores de los trabajadores. Debido a los problemas informáticos, se informó a los trabajadores de que, en el ejercicio de las funciones organizativas, la Empresa había encargado “la revisión de todos los dispositivos pertenecientes a la referida red, de lo que se les informa a los efectos que de que pueda estar presente”. Tras descubrir las carpetas con los archivos, la empresa procedió al despido disciplinario del trabajador por trasgresión de la buena fe contractual y abuso de confianza y de conformidad con lo establecido en el art. 36 del Convenio Colectivo.

Se ratificó la procedencia del despido, ya que los hechos revestían de la suficiente gravedad como para despedir, y en cuanto a la prueba (monitorización del ordenador) se ratificó su licitud al superarse el “test Barbulescu”.

En este caso, no solo ha existido conocimiento, sino también consentimiento previo. Además, la monitorización ha sido actuación concreta y rápida y debida a un motivo justificado (problemas en la conexión a internet y problemas informáticos). En concreto, tras un análisis de la red y del parque informático (hardware, escritorio y cables, sin entrar a los archivos personales), no se había logrado solucionar el problema identificado, por lo que el proveedor informático aconsejó al cliente una revisión más exhaustiva de todos los terminales.

Al haberse detectado un fallo de seguridad en la red que pudiera estar relacionado con un intruso en alguno de los ordenadores de la asesoría, era necesario analizar uno por uno en busca de software malicioso o corrupto que pudiera estar causándolo.

Palacio de Justicia de Cantabria (Foto: Wikipedia)

Tribunal Superior de Justicia de Cataluña, 20 de febrero de 2023

Se ratifica la declaración de procedencia del despido. La prueba (registro del ordenador) es lícita por cuanto supera los juicios de idoneidad, necesidad y proporcionalidad (aplicando la doctrina Barbulescu).

En 2020, tras la vuelta a su despacho la trabajadora después del periodo de COVID, se encontraron unos documentos de los que, sin duda alguna por su contenido, se podía sospechar que la trabajadora estaba utilizando información de la empresa (baremos de precios) para favorecer en el mercado a la empresa de su compañero -pareja sentimental- incurriendo en concurrencia desleal y transgresión de la buena fe contractual.

Ante la existencia de esa sospecha, la única forma que tenía la empresa era el registro y control del ordenador que la empresa le había facilitado a la trabajadora, y del que consta que conocía como el resto de los empleados que no se podía usar de forma privada o para cualquier otra finalidad diferente al desempeño de sus funciones, como también era conocedora que podía ser en cualquier momento registrado y en ese sentido así fue advertida de que los ficheros de carácter personal que dicho ordenador pudiera contener deberían estar protegidos mediante un código y una contraseña de usuario y por tanto, a los que no pudiera acceder libremente la empresa ejerciendo su derecho de control sobre el grado de incumplimiento de sus obligaciones.

Tampoco puede haber duda que era necesaria la intervención de la empresa en el ordenador, y además, se hizo la mínima intromisión en su vida privada, como refleja que previamente a realizar la misma, se acudió al análisis de su nivel de facturación observando que había sido prácticamente nulo y la causa era ajena a la situación derivada de la crisis sanitaria por lo que la sospecha de que se dedicaba a trabajar para su compañero sentimental en vez de trabajar para su empleadora se hacía cada vez más real.

Además, la intervención del ordenador se hizo por una empresa especializada, que más tarde elaboró el correspondiente informe pericial, que fue presentado y validado en juicio.

TSJ de Cataluña. (Foto: Archivo)

Juzgado de lo Social de Vigo, 30 de diciembre de 2022

También en un supuesto de competencia desleal, se declara lícita la monitorización del email de una trabajadora. El control de las cuentas de correos electrónico nace ante las alertas y el temor fundado y más tarde confirmado de que la trabajadora pudiera estar traspasando material informativo sensible a un empleado de una empresa de la competencia y con quien sus empleados o asesores externos habían mantenido negociaciones.

El acceso al ordenador ha respetado escrupulosamente las directrices pautadas por el TEDH en la conocida como Doctrina Barbulescu II y que la decisión extintiva ha sido ajena a la endeble acusación de acoso formulada por la trabajadora como reacción a una evaluación realizada por su superior jerárquica.

La trabajadora había firmado digitalmente la política de confidencialidad de la empresa ocupándose una empresa externa de velar por que se firmase y de certificarlo, como eran esos cursos sobre código de conducta y política de confidencialidad en febrero de 2020 y mayo de 2021. Además, al conectarse a los sistemas informáticos aparece un enlace que lleva al trabajador a la política de privacidad y que se generan advertencias cada vez que se accede a cuentas externas ajenas la empresa.

Finalmente, del examen de la cuenta de correo electrónico de la trabajadora (cuya monitorización fue lícita) han quedado corroborados cada uno de los envíos que se detallan en la carta de despido. Por todo ello, se desestima la demanda de despido interpuesta por la trabajadora.

(Foto: E&J)

Conclusión: monitorización sí pero cumpliendo el «test Barbulescu»

En definitiva, la monitorización del email y/o del ordenador corporativo es perfectamente lícita para recabar pruebas que justifiquen una sanción, llegando al despido disciplinario. Ahora bien, al entrar en juego derechos fundamentales hay que cumplir escrupulosamente el “test Barbulescu”.

En este sentido, es fundamental que exista una política clara de uso de los medios corporativos puestos a disposición de las personas trabajadoras y circunscribir dicho uso a fines profesionales. Además, no basta con que exista esa política. La empresa deberá acreditar, llegado el caso, que las personas trabajadoras conocían dicha política y su contenido, para ello, es aconsejable firmar una cláusula contractual, ya sea incluida en el propio contrato de trabajo o bien en un anexo al mismo.

A lo anterior se suma que es fundamental informar previa y expresamente a las personas trabajadoras de que la empresa se reserva la posibilidad de controlar y monitorizar el uso del email y/o del ordenador corporativo (u otros dispositivos puestos a disposición de los empleados como puedan ser el teléfono corporativo, una Tablet, etc.).

En caso de ser necesaria la monitorización, hay que intentar asegurarse de que esa monitorización se acota lo máximo posible al objetivo que ha provocado esa monitorización y acotar la monitorización (alcance de la misma).

Y finalmente, unido a lo anterior, cuidado con la denominada “tolerancia empresarial”, es decir, si por ejemplo en la empresa, aunque exista una política de uso exclusivo para fines profesionales, se viene admitiendo un cierto uso personal, si la empresa luego sanciona “sorpresivamente” podría declararse la improcedencia del despido.

Jurisprudencia

Sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos (TEDH) de 5 de septiembre 2017. Caso Barbulescu contra Rumanía.

Tribunal Supremo. Sala de lo Social de 08/02/2018. Nº de Recurso: 1121/2015 Nº de Resolución: 119/2018.

Sentencia del Tribunal Superior de Justicia de Cantabria de 26/07/2023 Nº de Recurso: 485/2023 Nº de Resolución: 578/2023.

Sentencia del Tribunal Superior de Justicia. Sala de lo Social de Cataluña de 20/02/2023. Nº de Recurso: 6314/2022. Nº de Resolución: 1208/2023.

Juzgado de lo Social de Vigo. Sección: 5. Fecha: 30/12/2022. Nº de Recurso: 842/2021. Nº de Resolución: 564/2022.