A pesar de que este es un tema sobre el que existen abundantes resoluciones de la Agenica Española de Protección de Datos (AEPD) y de los Tribunales, es cierto que muchas empresas y organizaciones siguen utilizando correos electrónicos personales o números de teléfono particulares de sus empleados para la realización de comunicaciones empresariales o incluso por motivos de seguridad.
El art. 4.2.e) del Estatuto de los Trabajadores establece que los trabajadores, en la relación laboral, tienen derecho al respeto de su intimidad. Del mismo modo la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) en su artículo 87 garantiza la derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.
Este derecho a la intimidad tiene determinados límites, ya que la organización puede (y debe) establecer unos criterios de utilización de los dispositivos digitales, que es lo que normamente se traduce en una política de seguridad en el uso de dispositivos y sistemas de información, en cuya elaboración deben participar los representantes de los trabajadores. Es por ello que, la organización puede (y debe) facilitar a sus empleados los dispositivos necesarios para el desempeño de sus funciones: ordenador, cuenta de correo electrónico, numero de telefono corporativo, etc. En este tipo de dispositivos corporativos, de propiedad de la empresa, la organización puede, a través de estas políticas, destruir todo atisbo de expectativa de intimidad del trabajador, prohibiendo usos privados y estableciendo la dedicación para usos profesionales estrictamente. De hecho pueden establecerse obligaciones de someterse a auditorías, incluso remotas, de los dispositivos para garantizar la seguridad. (vease STS de 8 de febrero de 2018 Inditex o STSJ Asturias 2017 sobre control a través de la tablet de empresa).
El problema sin embargo se produce cuando la empresa, muchas veces por falta de recursos, no puede (o no quiere) ofrecer a sus empleados una cuenta de correo electrónico empresarial, o un teléfonoo con un numero corporativo, en supuestos donde es necesario la comunicación con estos fines. Es precisamente en estos casos donde existen diversos pronunciamientos de la AEPD y de los Tribunales señalando que no es posible para el empleador exigir al empleado el uso de cuenta de correo o numeros privados para su comunicación con el empleado.
En algunos casos, las empresas han tratado de justificar esta utilizacion en el consentimiento o autorización del propio trabajador. Sin embargo esta cuestión es compleja ya que el Dictamen 2/2017 del Grupo de Trabajo del artículo 29, de 8 de Junio de 2017 sobre tratamiento de datos en el trabajo, establece que «es muy poco probable que el consentimiento constituya una base jurídica para el
tratamiento de datos en el trabajo, a no ser que los trabajadores puedan negarse sin
consecuencias adversas».
Por otro lado, también debemos conjugar esta problemática con el deseo, cada vez mas extendido, del propio trabajador para usar su propio terminal movil (por ejemplo) y así no tener que usar dos dispostivos. Para ello será necesario aprobar una poítica BYOD (Bring your own device) que establezca claramente como se utilizarán estos terminales y que medidas de seguridad se implementarán, como por ejemplo un MDM (mobile device managment).
Centrándonos en el título de este artículo, debemos citar una de las Sentencias más completas sobre esta cuestión, dictada por la Audiencia Nacional (SAN 3073/2022) que en su fundamento jurídico tercero indica que la ajenidad propia del contrato de trabajo implica, entre otras cosas, la ajenidad en los medios, lo que implica que es el empleador el que tiene que proporcionar al trabajador los medios necesarios para el desenvolvimiento de su relación laboral, citando a su vez otra Sentencia del Tribunal Supremo (STS de 8-2-2.021- rec 84/2.019).
Definitva sobre este aspecto es la STS de 21-9-2015 (dictada en el rec259/2014) que consideró contrario a la entonces vigente normativa materia de protección de datos que el trabajador se viese obligado a proporcionar su correo y su número de teléfono personal a la empresa, razonando que si los mismos resultasen esenciales para el desenvolvimiento del contrato tanto uno como otro debían ser proporcionados por la empresa al trabajador. El fallo resume la postura jurisprudencial del siguiente modo:
- es contraria a derecho la práctica patronal de requerir la puesta a disposición del correo electrónico personal en determinadas actuaciones u operativas de la relación laboral, así como la cláusula del contrato de teletrabajo por la que se obliga al trabajador a poner a disposición de la empresa el correo personal.
- existe el derecho a que ponga a disposición del personal de operaciones y en teletrabajo una cuenta de correo corporativo en cuanto medio necesario para la actividad.
- existe el derecho a que se pongan a disposición los elementos precisos para el desarrollo de su actividad representativa entre la RLT y las personas trabajadoras a distancia en la empresa, así como los correos corporativos ya implantados.
- Es contraria a derecho la exigencia empresarial de poner a disposición el correo electrónico personal para completar la operativa de gestión de actividad y recursos humanos, así como las cláusulas de los contratos de teletrabajo que obligan a las personas trabajadoras a la puesta a disposición de este medio, la obligación de la empresa de poner a disposición del personal en teletrabajo un correo corporativo como medio necesario para el desarrollo de la actividad y contraria a derecho la negativa empresarial a suministrar los recursos precisos para garantizar la comunicación entre la representación social y la plantilla en la modalidad de teletrabajo.
También debemos citar la SAN 487/2024, 5 de febrero de 2024 (recurso núm. 297/2023) que establece que la empresa no puede exigir a sus trabajadores el uso de su movil personal para la configuración de un doble factor de autentificación (M2F) aunque lo haga por motivos de ciberseguridad y control de acceso a sistemas. Concluye la Sentencia indicando que «El trabajador no debe facilitar a la empresa su número de teléfono móvil para la recepción de SMS y/o para acceder a aplicaciones que permiten confirmar la identidad. Si la empresa lo quiere implementar lo ha de hacer vía consentimiento libre al ser dispositivo personal para uso corporativo« En todo caso, recuerdese lo ya comentado respecto al consentimiento en las relaciones laborales.
Muy reciente también es la Resolución sancionadora de la AEPD que impone una multa de 15.000 euros a una empresa por seguir usando el correo electrónico personal de una empleada que había solicitado la eliminación de sus datos personales, tanto teléfono como mail. Sin embargo la empresa enviaba correos sin copia oculta a esta empleada junto a los otros 129 trabajadores, lo que implica una cesión de datos inconsentida asi como una brecha de seguridad.
En definitva, mucha cautela con la utilización del correo electrónico y numero privado de un empleado para cuestiones laborales, ya que las autoridades administrativas y judiciales están insistiendo en la necesidad de proporcionar cuentas y numeros corporativos salvo determinadas excepciones, basadas en un consentimiento que no siempre se va a considerar libre.
Diego Estévez García, abogado especialista en Derecho Administrativo y Protección de Datos.