Resumen: La reciente Sentencia 2844/2014, de
16 de junio, de la Sala Segunda de lo Penal del Tribunal Supremo, entra a
matizar la licitud de las pruebas obtenidas mediante el control del correo
electrónico corporativo al amparo del artículo 20.3 de la LET, cuando nos
encontramos ante la jurisdicción penal. Recordemos que para la jurisdicción
social, la Sentencia de la Sala 1ª del Tribunal Constitucional, de 7 de
julio de 2013, había considerado previamente la admisión de esa tipología de
pruebas de forma más permisiva.
Autor del artículo
|
Colaboración
|
|
José
Luis Colom Planas
|
||
Actualizado
|
10 de septiembre de 2014
|
|
1. LEYES HABILITADORAS
2. TESITURA ENTRE CONSIDERAR AL EMAIL
COMUNICACIÓN O FICHERO3. LA JURISDICCIÓN SOCIAL (LABORAL) Y EL CONTROL DEL EMAIL
4. PREVALENCIA DE LA JURISDICCIÓN PENAL
5. LA JURISDICCIÓN PENAL Y EL CONTROL DEL EMAIL
6. CUADRO RESUMEN
7. BIBLIOGRAFÍA CONSULTADA
8. DERECHOS DE AUTOR
1. LEYES HABILITADORAS
“3.
El empresario podrá adoptar las medidas que estime más oportunas de
vigilancia y control para verificar el cumplimiento por el trabajador de sus
obligaciones y deberes laborales, guardando en su adopción y aplicación la
consideración debida a su dignidad humana y teniendo en cuenta la capacidad
real de los trabajadores disminuidos, en su caso”.
(Vid. STC 98/2000, de 10 de abril; STC 186/2000, de 10 de
julio; STC 241/2012, de 17 de diciembre).
No obstante, el control queda sujeto a los siguientes límites
para que resulte lícito:
- Que se hayan establecido previamente las reglas de uso de los medios puestos a disposición del trabajador, ya sean prohibiciones absolutas o parciales.
- Que se informe a los trabajadores de que va a existir control de dichos medios.
- Que igualmente se informe a los trabajadores de los métodos de control que van a ser usados para fiscalizar el uso de esos medios.
Si bien el tercer límite no siempre ha sido recogido por la
jurisprudencia o la doctrina, considero que, en caso de duda la legitimación debería ser objeto de
consideración restrictiva, prevaleciendo la interpretación proclive a la
protección de los derechos fundamentales, conforme establece reiterada
jurisprudencia del Tribunal Constitucional.
No obstante veremos que estos límites son adecuados para
la admisión de pruebas en la jurisdicción social, mientras que para la jurisdicción penal no serán
suficientes.
2.
TESITURA ENTRE CONSIDERAR AL EMAIL COMUNICACIÓN O FICHERO
La cuestión se plantea para llegar a discernir en que
momentos, o diferentes estadios en los que se puede encontrar, un correo
electrónico debe considerarse un fichero, o bien, una comunicación de datos.
Esta tesitura es importante ya que determinará la Ley
aplicable en el hipotético caso de producirse su violación.
Podríamos contemplar esquemáticamente diferentes topologías
de red, para el proceso de gestionar los correos electrónicos en un entorno
empresarial, que nos ayudarán a entender las diferentes fases durante su
tránsito:
- Servidor de Correo corporativo local. En este caso, los mensajes circulan directamente desde el emisor hasta el servidor de correo corporativo. Éste está instalado normalmente en el CPD de la compañía (aunque podría estar externalizado). El encaminamiento de los correos se logra gracias al registro “MX”, asociado al nombre de dominio que es utilizado en la empresa (por ejemplo “empresa.es”), dónde se le vincula la dirección IP pública de su propio servidor de correo. Los usuarios mediante una “App cliente de correo” o “un navegador” se conectarán al servidor de correo corporativo en modo local, desde la propia red local de la empresa, o en modo remoto, a través de Internet desde fuera del perímetro de la empresa.
- Servicios de correo contratados a un Internet Services Provider (ISP). En este caso, los correos electrónicos procedentes del emisor, se direccionan hacia un “Servidor virtual”, por ejemplo en el CLOUD, propiedad del ISP donde se almacenan los buzones asociados a las cuentas contratadas de correo. Los usuarios, mediante una “App cliente de correo” o “un navegador”, se conectarán al servidor de correo corporativo siempre en modo remoto a través de Internet, no importando que estén dentro o fuera del perímetro de la empresa. Una vez conectados visualizarán, replicarán o extraerán los correos de su cuenta, en función de la configuración establecida.
Cabe considerar que puede existir una combinación de ambas topologías básicas, aunque estos entornos combinados eran más habituales en el pasado pretérito que ahora.
En relación al estadio concreto en que se encuentran los
correos electrónicos, podemos discernir:
- Tránsito desde el emisor hasta el Servidor de correo virtual del ISP que actúa como prestador de servicios de correo o hasta el Servidor de correo local. Es evidente que se trata de una comunicación pura de datos, pese a que se almacene transitoriamente en posibles nodos intermedios encaminadores de Internet que no consideraremos en este estudio.
- Almacenamiento en el Servidor de correo virtual del ISP en espera de ser capturado o accedido por el destinatario de ese correo, que es el usuario de la cuenta de correo corporativo que le ha sido asignada. Podría considerarse comunicación de datos, dado que mientras no se contacte con el Servidor del ISP no será posible recibir, o simplemente leer, de forma fehaciente el mensaje. Deberá estudiarse con detenimiento cada caso concreto así como el contrato de servicios suscrito. Podríamos equipararlo a una carta en el correo postal ordinario que se encuentre almacenada en una cesta de la oficina de correos. Igualmente se considera “en tránsito” aunque esté retenida en espera del reparto previsto para el día siguiente o hasta el momento en que el interesado vaya personalmente a buscarla. En consecuencia la intervención del buzón de correos en el ISP podría llegar a considerarse violación del secreto de las comunicaciones, a no ser que tuviéramos la certeza de que los mensajes ya hubieran sido leídos por el destinatario. Esto último es muy difícil de instrumentar.
- Almacenamiento en el Servidor de correo corporativo. Es análogo al anterior, pero con una “oficina de correos privada” en la propia empresa. Será el caso que requerirá de mayor atención para discernir si los consideramos ficheros de datos o correos en tránsito equiparables a comunicación de datos. Lo que es innegable es que allí se almacenan previamente todos los correos en espera de ser leídos y, durante determinado período de retención configurado, los que ya lo han sido.
- Tránsito desde el Servidor de correo (ISP o privado) hasta la App de correo o el navegador. Se considerará comunicación de datos por lo que toda injerencia desde la red podría considerarse una violación de las comunicaciones.
- Almacenamiento en la App de correo (por ejemplo en el archivo tipo “.pst” de un cliente tipo Outlook) de los correos importados quedando registrados en el disco duro o la memoria, según la tecnología, del equipo terminal (PC, tableta, Smartphone…). Cuando el e-mail queda almacenado en el equipo operado por el trabajador cabría pensar que ha experimentado una metamorfosis jurídica, pasando de considerarse “comunicación” a hacerlo como “fichero de datos”. Ante tal circunstancia no podrá considerarse sujeto a la Ley 9/2014, de 9 de mayo, de Telecomunicaciones (LT) estándolo, si acaso, a la LO 15/1999, de 13 de diciembre, de protección de datos personales (LOPD). Tal afirmación veremos que no es literalmente aplicable cuando nos encontremos ante la jurisdicción penal, en cuyo caso deberá matizarse un poco más.
3. LA
JURISDICCIÓN SOCIAL (LABORAL) Y EL CONTROL DEL EMAIL
Partiremos de la Sentencia de la Sala 1ª del TC a 7 de julio
de 2013, en el recurso de amparo 2907/2011. [3]
Según ha tenido ocasión de reiterar el Tribunal
Constitucional, el contrato de trabajo no puede considerarse como un título
legitimador de recortes en el ejercicio de los derechos fundamentales que
incumben al trabajador como ciudadano. No obstante, la inserción en la
organización laboral modula aquellos derechos en la medida estrictamente
imprescindible para el correcto y ordenado desenvolvimiento de la actividad
productiva de forma proporcional y adecuada a la consecución de tal finalidad.
Los grados de intensidad o rigidez con que deben ser
valoradas las medidas empresariales de vigilancia y control son variables en
función de la propia configuración de las condiciones de disposición y uso de
las herramientas informáticas y de las instrucciones que hayan podido ser
impartidas por el empresario a tal fin a los trabajadores.
Ante una prohibición expresa del uso extra-laboral del correo
electrónico corporativo, y de acreditarse haber informado fehaciente a los
trabajadores de que va a existir control efectivo sobre el correo electrónico
propiedad de la empresa y que ésta ha puesto a disposición de los mismos con la
finalidad exclusiva de facilitar su desempeño profesional, cabe entender que no
puede existir una expectativa fundada y razonable de confidencialidad respecto
al conocimiento de las comunicaciones mantenidas por el trabajador a través de
la cuenta de correo proporcionada por la empresa.
De todo lo anterior se
desprende que, en la jurisdicción social [ámbito laboral], la adscripción
fehaciente del trabajador a unas normas de uso que habiliten a la empresa para implantar
las medidas acordadas en ellas de vigilancia y control, legitimarán la
obtención de correos electrónicos como prueba.
4.
PREVALENCIA DE LA JURISDICCIÓN PENAL
Aunque solo afecte de forma tangencial a esta línea
argumental, es jurídicamente reconocido en relación a las cuestiones
prejudiciales, que se incluyan en el sistema de separación jurisdiccional
aquellas cuestiones prejudiciales relevantes para la resolución de la causa
principal. Si surge la existencia de una vía penal abierta deberá suspenderse
el procedimiento principal, hasta que recaiga resolución de los órganos penales,
dejando patente con ello la prevalencia de la jurisdicción penal sobre
el resto (civil, contencioso-administrativo, social). [4]
Una posible argumentación la tenemos en que la jurisdicción penal
ha de dar una respuesta rápida, justa y eficaz contra los autores de un hecho
delictivo. El juez penal ejercita ius
punendi del Estado, ya que es la misión que tiene encomendada tanto por la
CE como por la LOPJ.
¿Se podría extender esa prevalencia de la jurisdicción penal
en las cuestiones prejudiciales a todo el ámbito de la administración de justicia?
Mediante criterios estrictamente materiales, podríamos postular
que sí, encontrando su fundamento en:
- La relevancia de los bienes e intereses protegidos por las normas penales que afectan a toda la sociedad.
- Que el proceso penal está regido por los principios de legalidad, imparcialidad y oficialidad, encontrándose ajeno a la autonomía de la voluntad.
En consecuencia, no debería ser motivo de sorpresa que la jurisdicción penal gozara de ciertas
peculiaridades, traducidas en mayores
garantías, en relación a todas las fases del proceso, incluida la
probatoria. Especialmente si existe el riesgo razonable de que para la obtención
de las evidencias se conculquen derechos fundamentales de las personas.
5. LA JURISDICCIÓN
PENAL Y EL CONTROL DEL EMAIL
Las mayores garantías a que me refería antes que deben
contemplarse en la jurisdicción penal, se concretan en la STS 2844/2014 mediante
la introducción de una importante distinción a tenor de uno de los atributos
que califica a todos los mensajes de correo electrónico:
- Los mensajes de correo que ya han sido abiertos, o leídos, por su destinatario, pasan a ser considerados ficheros de datos.
- Los que permanecen cerrados o, todavía no leídos, se ven afectados por el secreto de las comunicaciones.
El alto tribunal declara que para acceder a estos últimos
se requiere disponer previamente de autorización judicial en virtud del
derecho fundamental al secreto de las comunicaciones y en concordancia con el
artículo 579 de la LECRIM.
Anteriormente la STC 114/1984, de 29 de noviembre de 1984, [5] en el recurso de amparo núm. 167/1984 promovido
contra la Sentencia de la Magistratura de Trabajo núm. 4 de Alicante, de 10 de
mayo de 1983, en los fundamentos jurídicos se expresa: “El
derecho al «secreto de las comunicaciones... salvo resolución judicial» no
puede oponerse, sin quebrar su sentido constitucional, frente a quien tomó
parte en la comunicación misma así protegida. Rectamente entendido, el derecho
fundamental consagra la libertad de las comunicaciones, implícitamente, y, de
modo expreso, su secreto, estableciendo en este último sentido la interdicción
de la interceptación o del conocimiento antijurídico de las comunicaciones
ajenas. El bien constitucionalmente protegido es así -a través de la imposición
a todos del «secreto»- la libertad de las comunicaciones, siendo cierto que el derecho puede conculcarse tanto por
la interceptación en sentido estricto (que suponga aprehensión
física del soporte del mensaje -con conocimiento o no del mismo- o captación,
de otra forma, del proceso de comunicación) como por el simple conocimiento antijurídico de lo comunicado
(apertura de la correspondencia ajena guardada por su destinatario, por
ejemplo).
En esta sentencia la Sala de lo Penal considera conveniente, “en aras a fijar una clara doctrina en materia de tanta trascendencia, salir
al paso de ciertas afirmaciones rotundas (…)”.
Concretamente, las afirmaciones argumentales incluidas en la
Resolución de Instancia: "...el
ordenador registrado era una herramienta propiedad de la empresa y facilitada
por la empresa [al trabajador] exclusivamente para desarrollar su trabajo, por
lo que entendemos que incluso en aquel supuesto en que pudiera utilizar el
ordenador para emitir algún tipo de mensaje de carácter personal, entendemos
que al utilizar precisamente un ordenador ajeno, de la empresa, y destinado
exclusivamente para el trabajo a la empresa, estaba asumiendo -cediendo- la
falta de confidencialidad -secreto- de las comunicaciones que pudiera tener el [trabajador]
utilizando tal terminal informático", son argumento utilizados
en el ámbito jurisdiccional de lo social y que han de quedar restringidos al
ámbito de la jurisdicción laboral. En modo alguno procede que se extiendan
al enjuiciamiento penal.
Según la Sentencia del TS, el texto constitucional en su artículo 18.3 es
claro y tajante cuando afirma categóricamente que “Se garantiza
el secreto de las comunicaciones y, en especial, de las postales, telegráficas
y telefónicas, salvo resolución judicial”.
No contempla, por tanto, ninguna posibilidad ni supuesto
para excepcionar la necesaria e
imprescindible reserva jurisdiccional en la autorización de la injerencia:
- Ni acerca de la titularidad de la herramienta comunicativa (ordenador, teléfono, etc. propiedad de tercero ajeno al comunicante).
- Ni del carácter del tiempo en el que se utiliza (jornada laboral).
- Ni, tan siquiera, de la naturaleza del cauce empleado ("correo corporativo").
Tampoco una supuesta "renuncia tácita" al derecho fundamental
que protege el secreto de las comunicaciones puede convalidar la ausencia de
intervención judicial:
- De una parte porque obviamente la "renuncia" a la confidencialidad, o secreto de la comunicación, no se produce ni es querida por el comunicante que, de conocer sus consecuencias, difícil es imaginar que llevara a cabo la comunicación objeto de intervención.
- Y, de otra parte, porque ni aun cuando se entienda que la "renuncia- autorización" se haya producido, resultaría operativa ya que, a diferencia de lo que ocurre con la protección del derecho a la inviolabilidad domiciliaria (art. 18.2 CE), la Carta Magna española no prevé, por la lógica imposibilidad para ello, la autorización del propio interesado como argumento habilitante para la injerencia.
De todo lo anterior se
desprende que, en la jurisdicción penal, la adscripción fehaciente del
trabajador a unas normas de uso que habiliten a la empresa para implantar las
medidas acordadas en ellas de vigilancia y control, legitimarán la obtención de
correos electrónicos como prueba, excepto para los correos que todavía no
han sido abiertos ya que su consulta significaría una violación del secreto de
las comunicaciones quedando invalidadas al haber sido obtenidas ilícitamente,
salvo resolución judicial previa.
En este punto creo interesante aportar una apreciación de
Carlos Gómez-Jara en su artículo “Investigaciones internas y correo
corporativo: un nuevo criterio para su validez jurídico-penal” donde dice: “La distinción [entre correo leído y no leído] se
puede prestar a abusos - por ejemplo, mediante la utilización de la función de
"marcar como no leído" - y puede precisar de ulteriores matizaciones
- fundamentalmente, en el ámbito de los correos enviados, donde pudiera resultar
excesivamente gravoso probar si el destinatario ha abierto o no el mensaje
enviado -.
Serán los peritos informáticos especializados los que
validarán la viabilidad tecnológica de discernir si un correo leído y vuelto a
marcar como “no leído” deja alguna evidencia rastreable de su doble cambio de
atributo.
6. CUADRO
RESUMEN
Tipos de Normas
|
Legislación
aplicable
|
Jurisdicción Social
|
Jurisdicción penal
|
|
Protección de datos
|
18.4 CE
|
Promulgar
Normas de uso del correo electrónico
corporativo
|
Correos electrónicos que han sido
abiertos por destinatario
|
Promulgar
Normas de uso del correo
electrónico
|
Intimidad documental
|
18.1 CE
|
|||
Secreto de las comunicaciones
|
18.3 CE
579 LECRIM
|
Correos cerrados
|
Resolución judicial
|
|
7.
BIBLIOGRAFÍA CONSULTADA
- [1] STS 2844/2014 de la Sala Segunda, de 16 de junio. Recurso de Casación 2229/2013.
- [2] BOE. “Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se
aprueba el texto refundido de la Ley del Estatuto de los Trabajadores”. Ministerio
de Trabajo y Seguridad Social. TEXTO CONSOLIDADO. Última modificación: 3 de agosto de 2013.
Ley del Estatuto de los Trabajadores
- [3] José Luis Colom. “Control empresarial del correo
electrónico corporativo. Análisis de la Sentencia de la Sala 1ª del TC a
7-10-2013, en el recurso de amparo 2907/2011”. Blog Aspectos Profesionales. 12
de octubre de 2013.
Control empresarial del correo electrónico
- [4] José María Romero Tejada. (Teniente fiscal del Tribunal
Superior de Justicia de Cataluña). “Prejudicialidad penal. Incidencia en la
actividad administrativa”. Fundación Democracia y Gobierno Local. p 153 a 159.
Junio 2009.
- [5] STC 114/1984, de 29 de noviembre de 1984. “Recurso de amparo núm. 167/1984
promovido contra la Sentencia de la Magistratura de Trabajo núm. 4 de Alicante,
de 10 de mayo de 1983”.
STC 114/1984
8.
DERECHOS DE AUTOR
Imágenes bajo licencia 123RF internacional.
Sobre el autor:
José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en la entidad de certificación AUDERTIS como Director de
Auditoría y Cumplimiento Normativo. También colabora con la entidad
certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management
& IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento
respecto a cumplimiento normativo, privacidad y gestión de la seguridad
de la información. Ha participado como lead implementer y lead auditor de
diferentes sistemas de gestión basados en Normas ISO, individuales o
integrados, y en la optimización de sus procesos. Ha realizado diferentes
niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas
a Derecho público o privado. Anteriormente ha ostentado la posición de Director
de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la
información y PBC/FT.
Convencido del valor que
aportan las organizaciones profesionales, es asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.