¿Posible delito por acceso al ordenador y al correo electrónico del trabajador/a?

2021-06-01T16:35:00
España

Breve comentario a la sentencia del Tribunal Supremo (Sala de lo Penal) núm. 328/2021, de 22 de abril

¿Posible delito por acceso al ordenador y al correo electrónico del trabajador/a?
1 de junio de 2021

Breve comentario a la sentencia del Tribunal Supremo (Sala de lo Penal) núm. 328/2021, de 22 de abril

Entre la facultad empresarial de acceso a los dispositivos digitales puestos a disposición de la plantilla y los derechos fundamentales de los trabajadores (a la intimidad, al secreto de las comunicaciones y a la protección de datos en el entorno digital) existe una tensión que debe ser adecuadamente gestionada para evitar serias contingencias que pueden ser incluso de índole penal.

Sobre esta materia existe una abundante doctrina laboral de la Sala de lo Social del Tribunal Supremo (desde la conocida sentencia de 26 de septiembre de 2007, Rec. 966/2006 hasta la sentencia núm. 594/2018, de 8 de febrero, caso Inditex) y del Tribunal Constitucional (entre otras, la núm. 241/2012, de 17 de diciembre y la núm. 170/2013, de 7 de octubre), así como del TEDH (entre las más recientes, sentencias Barbulescu I y II de 12 de enero de 2016 y de 5 de septiembre de 2017), siendo más escasos los precedentes en la jurisdicción penal. Por ello resulta de especial relevancia la reciente sentencia de la Sala de lo Penal del Tribunal Supremo núm. 328/2021, de 22 de abril, a que se refiere este breve análisis.

Hasta esta última sentencia, las dos resoluciones más significativas dictadas en el orden penal habían sido la sentencia del Tribunal Supremo núm. 528/2014, de 16 de junio y la núm. 489/2018, de 23 de octubre. En la primera de ellas, el Alto Tribunal sostuvo que el acceso a los correos electrónicos no leídos del trabajador requería como requisito inexcusable la autorización judicial por cuanto afecta al derecho al secreto de las comunicaciones.

Tras la citada sentencia, se han producido cambios normativos (como el operado por la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica) y se han dictado resoluciones muy relevantes (como las sentencias del TEDH en los asuntos Barbulescu I y II) que han afectado a esta cuestión. De ambas novedades se hizo eco la segunda de las sentencias de la Sala de lo Penal del Tribunal Supremo a que se ha hecho referencia (la núm. 489/2018, de 23 de octubre). En dicha resolución, el Alto Tribunal ha matiza la sentencia dictada en 2014, restando importancia al hecho de que los correos estén o no leídos, algo que, según apunta, es de difícil determinación y no puede constituir la piedra angular sobre la que gira la solución a la controversia. En cambio, la sentencia pone el acento en la ausencia de toda expectativa de confidencialidad por parte del trabajador que sufre la intromisión, circunstancia que constituirá la diferencia entre la injerencia legítima y la que no lo es.

En el supuesto al que se refiere la última sentencia aquí analizada se condena al propietario y administrador único de una empresa como autor de un delito de descubrimiento y revelación de secretos, tipificado en el artículo 197.1 del Código Penal, por haber accedido al ordenador corporativo de un trabajador, a su correo electrónico corporativo –cuyas contraseñas eran conocidas por otros trabajadores– y a su correo electrónico personal, el cual había sido instalado en el ordenador de la empresa, pese a la prohibición prevista en el Convenio Colectivo.


El delito referido tutela el derecho fundamental a la intimidad personal y sanciona conductas muy diversas entre las que se encuentra el apoderamiento de papeles, cartas o mensajes de correo electrónico y la utilización de medios de escucha o grabación de sonido o imagen. Este delito se encuentra dentro del catálogo de los que pueden derivar en responsabilidad penal para las personas jurídicas si no establecen medidas adecuadas para prevenir su comisión.

En el caso analizado, los accesos se llevaron a cabo al existir sospechas de que el empleado podía estar realizando obras en las que no participaba la empresa y que, además, podía estar utilizando para ello recursos de la compañía. A fin de aportar pruebas de la conducta del empleado en cuestión en un procedimiento penal por delito de hurto, entre otros delitos, el administrador imprimió determinados correos electrónicos remitidos y recibidos por el trabajador, sin que constara que el trabajador hubiera prestado consentimiento para el acceso del ordenador o correo electrónico

Según palabras textuales utilizadas por el Tribunal, «allí donde exista acuerdo expreso de fiscalización se estará excluyendo toda expectativa de privacidad. Pero la exclusión de esa expectativa ha de ser expresa y consciente, sin que pueda equipararse a ésta una pretendida renuncia derivada de la voluntad presunta del trabajador».

En este caso, ni la prohibición contenida en el Convenio Colectivo de uso particular del ordenador, ni el hecho de que se compartieran las claves de acceso al correo corporativo, justifican la intromisión en la cuenta de correo particular del trabajador, por lo que se confirma la condena de un año de prisión al empresario por un delito de descubrimiento y revelación de secretos, precisamente porque la prohibición de instalar o acceder al correo particular del trabajador a través del ordenador corporativo no es suficiente para legitimar el acceso empresarial a los correos electrónicos privados del trabajador.

Así pues, el acceso al ordenador o al correo electrónico corporativo de los empleados por parte de la empresa en ningún caso puede ser ilimitado, sino que está supeditado al cumplimiento de una serie de requisitos necesarios, definidos tanto judicial como legislativamente, que además han sido refrendados por la Guía de la AEPD (ver Post) el pasado 18 de mayo de 2021:

1. Delimitar la expectativa de privacidad de la persona trabajadora, mediante una instrucción clara de limitar el uso del dispositivo digital a tareas profesionales.

2. Autorizar a la empresa -mediante una disposición conocida por ambas partes- a llevar a cabo el acceso de que se trate, mediante una disposición asumida consciente y voluntariamente por el trabajador, no siendo suficiente la previsión contenida en el convenio colectivo de aplicación.

3. En caso de que el acceso se lleve a cabo, éste debe producirse con el máximo respeto a la dignifica e intimidad de la persona y, en particular, el acceso deberá ser proporcional. Para determinar si existe proporcionalidad habrá que constatar, a su vez, la concurrencia de tres requisitos:

  • Que la medida sea susceptible de conseguir el objetivo propuesto (juicio de idoneidad).
  • Que, además, sea necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad).
  • Que, por último, sea ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

Superado el test de proporcionalidad, el empleador podrá adoptar la medida de control, debiendo respetar en todo caso el derecho a la intimidad personal y, en particular, el derecho a la protección de datos, si se produce un tratamiento de datos personales de la persona.

En este contexto, no cabe duda de que el uso generalizado de medios telemáticos y el incremento exponencial del teletrabajo hacen que resulte más importante que nunca la revisión de las políticas internas de aplicación en las empresas y tomar en consideración el estado de la jurisprudencia a la hora de llevar a cabo investigaciones internas.

1 de junio de 2021