Es habitual en algunas empresas, que a sus empleados se les otorgue una cuenta de correo corporativo para llevar a cabo las comunicaciones relacionadas con su puesto en la empresa. Pero ¿qué ocurre cuando finaliza la relación laboral con ese empleado?, ¿puede la empresa conservar y acceder a la cuenta de correo de un trabajador despedido o que ha abandonado la empresa? En este artículo responderemos a estas dudas.
En este artículo hablamos de:
¿Qué debemos hacer con las cuentas de correo de trabajadores despedidos para no infringir la normativa de protección de datos?
Las cuentas de correo electrónico corporativas son algo bastante habitual en muchas empresas, ya que permiten que los empleados, especialmente aquellos en determinados puestos, puedan llevar a cabo sus comunicaciones con clientes, proveedores, socios, colaboradores u otras personas a través de una cuenta oficial de la empresa, lo que no solo da una mejor imagen, sino que también ayuda a mantener una mayor seguridad, especialmente si la empresa ha establecido unas normas para el uso adecuado de dichas cuentas (por ejemplo, no poder usarlas para mensajes privados no relacionados con el trabajo).
Sin embargo, cuando un empleado abandona la empresa o ha sido despedido por esta, pueden surgir dudas respecto a qué hacer con dicha cuenta, especialmente si contiene mensajes y contactos que la empresa no quiere perder o necesita para la gestión de su negocio y requiere el acceso al correo electrónico corporativo de un extrabajador. En este escenario, debemos tener presente la normativa de protección de datos, así como el derecho a la intimidad, si no queremos incurrir en alguna posible infracción.
Así, al igual que para tener acceso al ordenador de un trabajador de forma lícita, la empresa debe previamente haber informado a los trabajadores de esa posibilidad (dentro de un protocolo para el uso y monitoreo de los dispositivos electrónicos facilitados por la empresa), a la hora de acceder a la cuenta de correo de un trabajador despedido, previamente se deben haber establecido las normas internas respecto al uso de la cuenta y el acceso a la misma una vez finalizada la relación laboral.
Si bien es cierto que ni el RGPD ni la LOPDGDD tratan directamente este tema (aunque sí son de aplicación los artículos relacionados con la licitud del tratamiento, dado que una dirección de correo electrónico es un dato personal), sí lo han hecho algunas de las autoridades de control europeas a través de diferentes resoluciones y el Comité de Ministros de los Estados miembros sobre el tratamiento de datos personales en el ámbito laboral.
Resumiendo las consideraciones hechas por la autoridad de control belga al respecto, para poder tener acceso al correo de un exempleado cumpliendo la normativa, la empresa debería seguir estas indicaciones:
- Se debe elaborar un procedimiento interno que recoja las normas relativas al uso de herramientas tecnológicas y en la que se informará sobre el protocolo de bloqueo de la cuenta de correo corporativa y cómo se gestionará en caso de dimisión o despido (o cualquier otra forma de ausencia del trabajador). Los trabajadores deben ser informados de dicho procedimiento.
- Crear un mensaje de respuesta automática previo al bloqueo de la cuenta, de manera que se indique en el mismo la nueva dirección de contacto a la que remitir los correos y la baja del empleado titular de la cuenta. No se recomienda redireccionar de forma automática los correos entrantes a otra dirección, puesto que el remitente no sería consciente de a quién está enviando el correo (lo que puede crear problemas cuando se trate de información confidencial o sensible).
- En caso de que estuviese permitido, la empresa facilitará la recuperación de mensajes personales al trabajador antes de que se bloquee la cuenta y este abandone la empresa.
- Si lo necesita, la empresa recuperará los mensajes que sean necesarios para garantizar el buen funcionamiento del negocio, siempre con carácter previo a la partida del trabajador (si es factible) y en su presencia.
- El día de la partida del trabajador, la cuenta de correo deberá ser bloqueada (junto a la cuenta de usuario y contraseñas que tuviera el exempleado). Puesto que en algunos casos, por el puesto que ocupa el empleado, especialmente en puestos de responsabilidad, puede ser necesario tener la cuenta operativa, el periodo para bloquearla podrá extenderse entre 1 y 3 meses, siempre avisando de ello al exempleado y motivando la razón para dicha extensión de tiempo.
- Una vez pasado ese período de tiempo, la cuenta de correo del trabajador despedido deberá ser eliminada.
¿Podemos acceder a la cuenta de correo corporativo de un trabajador despedido?
Visto el punto anterior, podremos tener acceso al correo de un trabajador despedido, cuando hayamos informado con carácter previo a los empleados de las normas de uso de las herramientas tecnológicas (incluido la cuenta de correo corporativo) y el protocolo para acceder a ellas una vez finalizada la relación laboral, siempre siguiendo las indicaciones que hemos descrito más arriba.
En dichas normas y protocolo se informará de cómo las medidas adoptadas por la empresa pueden afectar a la privacidad de los empleados, las consecuencias que pueden derivarse del control sobre dichas tecnologías y las garantías en cuanto a sus derechos, especialmente el de ser informado y del derecho a la intimidad.
Informar previamente de las normas en cuanto al uso del correo electrónico corporativo por parte de los empleados, así como el protocolo de la empresa respecto al acceso, bloqueo y eliminación de dichas cuentas una vez finalizada la relación laboral, es fundamental para no incurrir en infracciones o delitos contra los derechos de los trabajadores, especialmente sabiendo que, aunque una empresa puede demandar a un exempleado al encontrar pruebas de la comisión de delitos en su correo electrónico corporativo, estas serían rechazadas por el tribunal, si este exempleado no hubiese sido informado previamente sobre esas normas y protocolo (tal y como establece el llamado «Test Barbulescu» del TEDH).
Las resoluciones de las autoridades de control belga e italiana
En ese sentido, y como ya indicábamos más arriba, las autoridades de control belga e italiana dictaron dos resoluciones mediante las que imponían a dos empresas multas de 20.000 y 15.000 euros por haber seguido usando la cuenta de correo corporativa de dos exempleados durante mucho más tiempo que ese período de 1 a 3 meses.
Las dos resoluciones recogen que los exempleados no fueron informados sobre cómo sería gestionada la cuenta de correo corporativa una vez abandonaran la empresa y que estas se mantuvieron activas durante un período de tiempo desproporcionado, recibiendo correos que iban a nombre de estas personas.
Las resoluciones basaban sus conclusiones en la vulneración de los artículos 6, 5.1 letras a, b, e, 13 y 17.a del RGPD (licitud del tratamiento, limitación de la finalidad de tratamiento, limitación de los plazos de conservación, transparencia e información y derechos de supresión respectivamente).
En la resolución de la autoridad de control belga, además, se daban las indicaciones sobre cómo proceder de manera lícita en el acceso a la cuenta de correo de un trabajador despedido, que hemos visto más arriba.
La Recomendación CM/Rec(2015)5
Aparte de las conclusiones de las resoluciones de las autoridades del control, respecto a cómo proceder al acceso a cuentas de correo corporativo de un exempleado, tenemos la Recomendación CM/Rec(2015)5 del Comité de Ministros de los Estados miembros sobre tratamiento de datos personales en el ámbito laboral.
Resumiendo, esta Recomendación nos dice que las empresas solo podrán acceder a las comunicaciones electrónicas de sus empleados o exempleados cuando existan «motivos de seguridad u otros motivos legítimos». Y que dicho acceso se hará de la manera menos intrusiva posible, «solo después de haber informado a los empleados afectados».
Cuando un empleado abandone la organización, esta tomará las medidas organizativas y técnicas necesarias para desactivar de manera automática la cuenta de correo electrónico corporativo. Y en caso de necesitar recuperar contenido de dicha cuenta, deberá hacerlo antes de la marcha del empleado y, cuando sea posible, en su presencia.
¿Es legal redireccionar correo de empresa?
Una de las medidas que las empresas suelen aplicar tras el despido de un trabajador, es redireccionar dicha cuenta a la de otro empleado que se vaya a hacer cargo de las funciones que realizaba el trabajador despedido. De esa forma, y especialmente, si el exempleado era un punto de contacto habitual para la comunicación de la empresa con clientes, posibles clientes, proveedores o la administración, no se perderán correos importantes para el negocio y la actividad de la empresa.
Pero ¿es legal redireccionar correo de empresa de esta forma? La respuesta es sí, la empresa puede redireccionar el correo corporativo de un exempleado, siempre y cuando cumpla con los requisitos que hemos visto más arriba. Eso sí, antes de redireccionar la cuenta, se recomienda crear una respuesta automática en ella avisando de la marcha del empleado y de que los emails deben dirigirse a una nueva cuenta, que debería estar activa durante un tiempo prudencial, hasta bloquear la cuenta definitivamente.
En definitiva, el acceso a la cuenta de correo de un trabajador despedido es posible y lícito cuando se haya informado previamente a los empleados de esta posibilidad y de cómo se llevará a cabo dicho procedimiento, se respete el derecho a la intimidad y, siempre que sea posible, contando con la presencia del empleado en el momento de acceder a la cuenta para recuperar el contenido que necesite la empresa para su correcto funcionamiento.
Finalmente, las cuentas de correo corporativo de exempleados no podrán tenerse activas más de 1 mes y en casos justificados, más de 3 meses.