Cuando surgen problemas con algún empleado (y créanme que esto llega tarde o temprano) es posible que sea necesario, para poder confirmar determinados extremos, proceder a investigar su equipo informático o su dispositivo móvil para la constitución de pruebas fiables. En nuestro país tenemos ejemplos de casos de fraude por empleados, corrupción entre particulares, sobre todo con proveedores, así como apropiaciones indebidas y otras actitudes de deslealtad.
Actualmente cualquier empleado, por muy cuidadoso que sea, siempre deja un rastro de su actividad, bien sea en su ordenador de empresa o en el terminal móvil que la empresa le entrega, etc. Sin embargo, el acceso a un equipo informático asignado a un empleado, aunque sea propiedad de la compañía, requiere de ciertos requisitos:
- En primer lugar, la empresa debe elaborar una Política de uso de dispositivos informáticos y de dispositivos móviles a “medida” de sus necesidades y dadas sus concretas circunstancias. De hecho, esta parte es esencial y justifica en gran medida por qué los trabajos en materia de privacidad deben hacerse por un abogado y que tenga una cierta experiencia.
- En segundo lugar, dicha Política debe ser conocida por todos los empleados. Es más, de acuerdo con el principio de accountability debemos demostrar como empresa que los trabajadores conocen este documento.
- En tercer lugar, la política debe establecer, entre otras muchas cuestiones, el uso exclusivamente profesional de los equipos, e incluso si es un BYOD (bring your own device) establecer limitaciones a su uso, así como la posibilidad de realizar auditorías en los mismos, e incluso su investigación.
- En cuarto lugar, realizar el acceso con las máximas garantías de transparencia, de forma profesional (por un técnico especialista) y en presencia de una persona que pueda garantizar o constatar cómo se produce dicha intervención. Si es posible se debería también informar al propio trabajador.
- Por último, no se debe realizar un análisis indiscriminado del equipo informático o dispositivo móvil, sino que se ha de realizar con unos criterios determinados con el objetivo de buscar determinados datos relevantes para el esclarecimiento del caso, siempre respetando el principio de proporcionalidad en su triple vertiente según la doctrina del Supremo.
Si no hacemos caso a estas advertencias nos encontraremos con una nulidad de la prueba practicada como ha sucedido en la reciente STS 489/2018, de 23 de octubre, dictada por la Sala 2ª, en la que actuó como ponente D. Antonio del Moral García, un Magistrado muy conocedor de la metodología de Compliance. Esta Sentencia sigue la doctrina del TEDH dictada en el conocido como caso “Barbulescu II” que declaró que se había vulnerado la intimidad del trabajador y se había violado el secreto de las comunicaciones, ya que el trabajador desconocía que estaba sometido a esta posibilidad.
La Sentencia TEDH de 5 de septiembre de 2017 (Gran Sala), caso Barbulescu contra Rumania establece un test para comprobar la corrección de la actuación empresarial en la vigilancia del correo electrónico:
- si el empleado ha sido informado de la posibilidad de que el empleador tome medidas para supervisar su correspondencia
- el alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada;
- si habría sido posible establecer un sistema de vigilancia basado en medios menos intrusivos (vertiente de subsidiariedad).
Es por ello que, si contamos con el asesoramiento adecuado, sí es posible realizar este tipo de auditorías o prácticas periciales. Citamos como ejemplo donde se actuó correctamente la STS, Sala de lo Social, de 8 febrero 2018, donde se procedió al examen del correo electrónico de un trabajador de forma que no fue indiscriminado, sino tratando de encontrar elementos que permitieran seleccionar que correos examinar y el contenido extraído se limitó a los correos relativos a las transferencias bancarias controvertidas, y siempre desde el servidor de la empresa, no directamente desde el ordenador del trabajador, por lo que el Tribunal Supremo admite como prueba los mails aportados por la empresa que demuestran como un trabajador aceptaba sobornos de un proveedor que le compró un Mercedes. En este caso lo esencial fue:
- en la empresa existía una concreta normativa que limitaba el uso de los ordenadores a los estrictos fines laborales y prohibía su utilización para cuestiones personales.
- de forma previa al acceso al Sistema de Información, los trabajadores debían de aceptar las directrices establecidas en la Política de Seguridad de la Información del Grupo que expresamente limitaba el acceso para fines estrictamente profesionales, reservándose la empresa el derecho de adoptar las medidas de vigilancia y control necesarias para comprobar la correcta utilización de las herramientas que pone a disposición de sus empleados.
- El examen del ordenador se produjo tras el «hallazgo casual» de fotocopias de ciertas transferencias bancarias irregulares, efectuadas por un proveedor de la empresa en favor del trabajador; esto también estaba expresamente prohibido en el Código de Conducta de la empresa. Este último extremo fue la justificación para proceder a dicha comprobación. (vertiente de idoneidad)
Diego Estévez García
Abogado especializado en Derecho Administrativo y TIC
Adenda. Vigo