miércoles, 10 de septiembre de 2014

El acceso al correo electrónico corporativo, como medio de prueba, según se contempla en dos jurisdicciones: la social y la penal


Resumen: La reciente Sentencia 2844/2014, de 16 de junio, de la Sala Segunda de lo Penal del Tribunal Supremo, entra a matizar la licitud de las pruebas obtenidas mediante el control del correo electrónico corporativo al amparo del artículo 20.3 de la LET, cuando nos encontramos ante la jurisdicción penal. Recordemos que para la jurisdicción social, la Sentencia de la Sala 1ª del Tribunal Constitucional, de 7 de julio de 2013, había considerado previamente la admisión de esa tipología de pruebas de forma más permisiva.

Autor del artículo
Colaboración
José Luis Colom Planas
Actualizado
10 de septiembre de 2014

ÍNDICE

1. LEYES HABILITADORAS
2. TESITURA ENTRE CONSIDERAR AL EMAIL COMUNICACIÓN O FICHERO
3. LA JURISDICCIÓN SOCIAL (LABORAL) Y EL CONTROL DEL EMAIL
4. PREVALENCIA DE LA JURISDICCIÓN PENAL
5. LA JURISDICCIÓN PENAL Y EL CONTROL DEL EMAIL
6. CUADRO RESUMEN
7. BIBLIOGRAFÍA CONSULTADA
8. DERECHOS DE AUTOR


1. LEYES HABILITADORAS

El control empresarial sobre el uso por parte de los trabajadores de los medios informáticos de la empresa, incluido el correo electrónico,  se encuentra en España directamente fundamentado en la potestad empresarial de vigilancia y control atribuida por el artículo 20.3 del Real Decreto Legislativo 1/1995, de 24 de marzo, conocido como la LET (Ley del Estatuto de los Trabajadores). [2]

“3.  El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

(Vid. STC 98/2000, de 10 de abril; STC 186/2000, de 10 de julio; STC 241/2012, de 17 de diciembre).

No obstante, el control queda sujeto a los siguientes límites para que resulte lícito:
  • Que se hayan establecido previamente las reglas de uso de los medios puestos a disposición del trabajador, ya sean prohibiciones absolutas o parciales.
  • Que se informe a los trabajadores de que va a existir control de dichos medios.
  • Que igualmente se informe a los trabajadores de los métodos de control que van a ser usados para fiscalizar el uso de esos medios.

Si bien el tercer límite no siempre ha sido recogido por la jurisprudencia o la doctrina, considero que, en caso de duda  la legitimación debería ser objeto de consideración restrictiva, prevaleciendo la interpretación proclive a la protección de los derechos fundamentales, conforme establece reiterada jurisprudencia del Tribunal Constitucional.

No obstante veremos que estos límites son adecuados para la admisión de pruebas en la jurisdicción social,  mientras que para la jurisdicción penal no serán suficientes.
 
 
 

2. TESITURA ENTRE CONSIDERAR AL EMAIL COMUNICACIÓN O FICHERO

La cuestión se plantea para llegar a discernir en que momentos, o diferentes estadios en los que se puede encontrar, un correo electrónico debe considerarse un fichero, o bien,  una comunicación de datos.

Esta tesitura es importante ya que determinará la Ley aplicable en el hipotético caso de producirse su violación.

Podríamos contemplar esquemáticamente diferentes topologías de red, para el proceso de gestionar los correos electrónicos en un entorno empresarial, que nos ayudarán a entender las diferentes fases durante su tránsito:

  • Servidor de Correo corporativo local. En este caso, los mensajes circulan directamente desde el emisor hasta el servidor de correo corporativo. Éste está instalado normalmente en el CPD de la compañía (aunque podría estar externalizado). El encaminamiento de los correos se logra gracias al registro “MX”, asociado al nombre de dominio que es utilizado en la empresa (por ejemplo “empresa.es”), dónde se le vincula la dirección IP pública de su propio servidor de correo. Los usuarios mediante una “App cliente de correo” o “un navegador”  se conectarán al servidor de correo corporativo en modo local, desde la propia red local de la empresa, o en modo remoto, a través de Internet desde fuera del perímetro de la empresa.
  • Servicios de correo contratados a un Internet Services Provider (ISP). En este caso, los correos electrónicos procedentes del emisor, se direccionan hacia un “Servidor virtual”, por ejemplo en el CLOUD, propiedad del ISP donde se almacenan los buzones asociados a las cuentas contratadas de correo. Los usuarios, mediante una “App cliente de correo” o “un navegador”,  se conectarán al servidor de correo corporativo siempre en modo remoto a través de Internet, no importando que estén dentro o fuera del perímetro de la empresa. Una vez conectados visualizarán, replicarán o extraerán los correos de su cuenta, en función de la configuración establecida.

Cabe considerar que puede existir una combinación de ambas topologías básicas, aunque estos entornos combinados eran más habituales en el pasado pretérito que ahora.
En relación al estadio concreto en que se encuentran los correos electrónicos, podemos discernir:
  • Tránsito desde el emisor hasta el Servidor de correo virtual del ISP que actúa como prestador de servicios de correo o hasta el Servidor de correo local. Es evidente que se trata de una comunicación pura de datos, pese a que se almacene transitoriamente en posibles nodos intermedios  encaminadores de Internet que no consideraremos en este estudio.
  • Almacenamiento en el Servidor de correo virtual del ISP  en espera de ser capturado o accedido por el destinatario de ese correo, que es el usuario de la cuenta de correo corporativo que le ha sido asignada. Podría considerarse comunicación de datos, dado que mientras no se contacte con el Servidor del ISP no será posible recibir, o simplemente leer,  de forma fehaciente el mensaje. Deberá estudiarse con detenimiento cada caso concreto así como el contrato de servicios suscrito.  Podríamos equipararlo a una carta en el correo postal ordinario que se encuentre almacenada en una cesta de la oficina de correos. Igualmente se considera “en tránsito” aunque esté retenida en espera del reparto previsto para el día siguiente o hasta el momento en que el interesado vaya personalmente a buscarla. En consecuencia la intervención del buzón de correos en el ISP podría llegar a considerarse violación del secreto de las comunicaciones, a no ser que tuviéramos la certeza de que los mensajes ya hubieran sido leídos por el  destinatario. Esto último es muy difícil de instrumentar.
  • Almacenamiento en el Servidor de correo corporativo. Es análogo al anterior, pero con una “oficina de correos privada” en la propia empresa. Será el caso que requerirá de mayor atención para discernir si los consideramos ficheros de datos o correos en tránsito equiparables a comunicación de datos. Lo que es innegable es que allí se almacenan previamente todos los correos en espera de ser leídos y, durante determinado período de retención configurado, los que ya lo han sido.
  • Tránsito desde el Servidor de correo (ISP o privado) hasta la App de correo o el navegador. Se considerará comunicación de datos por lo que toda injerencia desde la red podría considerarse una violación de las comunicaciones.
  • Almacenamiento en la App de correo (por ejemplo en el archivo tipo “.pst” de un cliente tipo Outlook) de los correos importados quedando registrados en el disco duro o la memoria, según la tecnología, del equipo terminal (PC, tableta, Smartphone…).  Cuando el e-mail queda almacenado en el equipo operado por el trabajador cabría pensar que ha experimentado una metamorfosis jurídica, pasando de considerarse “comunicación” a hacerlo como “fichero de datos”. Ante tal circunstancia no podrá considerarse sujeto a la Ley 9/2014, de 9 de mayo, de Telecomunicaciones (LT) estándolo, si acaso, a la LO 15/1999, de 13 de diciembre, de protección de datos personales (LOPD). Tal afirmación veremos que no es literalmente aplicable cuando nos encontremos ante la jurisdicción penal, en cuyo caso deberá matizarse un poco más.

3. LA JURISDICCIÓN SOCIAL (LABORAL) Y EL CONTROL DEL EMAIL

Partiremos de la Sentencia de la Sala 1ª del TC a 7 de julio de 2013, en el recurso de amparo 2907/2011. [3]

Según ha tenido ocasión de reiterar el Tribunal Constitucional, el contrato de trabajo no puede considerarse como un título legitimador de recortes en el ejercicio de los derechos fundamentales que incumben al trabajador como ciudadano. No obstante, la inserción en la organización laboral modula aquellos derechos en la medida estrictamente imprescindible para el correcto y ordenado desenvolvimiento de la actividad productiva de forma proporcional y adecuada a la consecución de tal finalidad.

Los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empresario a tal fin a los trabajadores.

Ante una prohibición expresa del uso extra-laboral del correo electrónico corporativo, y de acreditarse haber informado fehaciente a los trabajadores de que va a existir control efectivo sobre el correo electrónico propiedad de la empresa y que ésta ha puesto a disposición de los mismos con la finalidad exclusiva de facilitar su desempeño profesional, cabe entender que no puede existir una expectativa fundada y razonable de confidencialidad respecto al conocimiento de las comunicaciones mantenidas por el trabajador a través de la cuenta de correo proporcionada por la empresa.

De todo lo anterior se desprende que, en la jurisdicción social [ámbito laboral], la adscripción fehaciente del trabajador a unas normas de uso que habiliten a la empresa para implantar las medidas acordadas en ellas de vigilancia y control, legitimarán la obtención de correos electrónicos como prueba.

4. PREVALENCIA DE LA JURISDICCIÓN PENAL

Aunque solo afecte de forma tangencial a esta línea argumental, es jurídicamente reconocido en relación a las cuestiones prejudiciales, que se incluyan en el sistema de separación jurisdiccional aquellas cuestiones prejudiciales relevantes para la resolución de la causa principal. Si surge la existencia de una vía penal abierta deberá suspenderse el procedimiento principal, hasta que recaiga resolución de los órganos penales, dejando patente con ello la prevalencia de la jurisdicción penal sobre el resto (civil, contencioso-administrativo, social). [4]

Una posible argumentación la tenemos en que la jurisdicción penal ha de dar una respuesta rápida, justa y eficaz contra los autores de un hecho delictivo. El juez penal ejercita ius punendi del Estado, ya que es la misión que tiene encomendada tanto por la CE como por la LOPJ.

¿Se podría extender esa prevalencia de la jurisdicción penal en las cuestiones prejudiciales a todo el ámbito de la administración de justicia?

Mediante criterios estrictamente materiales, podríamos postular que sí, encontrando su fundamento en:
  • La relevancia de los bienes e intereses protegidos por las normas penales que afectan a toda la sociedad.
  • Que el proceso penal está regido por los principios de legalidad, imparcialidad y oficialidad, encontrándose ajeno a la autonomía de la voluntad.

En consecuencia, no debería ser motivo de sorpresa que la jurisdicción penal gozara de ciertas peculiaridades, traducidas en mayores garantías, en relación a todas las fases del proceso, incluida la probatoria. Especialmente si existe el riesgo razonable de que para la obtención de las evidencias se conculquen derechos fundamentales de las personas.

5. LA JURISDICCIÓN PENAL Y EL CONTROL DEL EMAIL


La STS 2844/2014 de la Sala Segunda, de 16 de junio, en el Recurso de Casación 2229/2013, se aparta de la línea jurisprudencial habitual para la jurisdicción social (laboral) en relación a la validez  de la evidencia probatoria del correo electrónico corporativo obtenida ejerciendo el poder de inspección y control  atribuido a la empresa mediante la habilitación que otorga el artículo 20.3 de la LET.

Las mayores garantías a que me refería antes que deben contemplarse en la jurisdicción penal, se concretan en la STS 2844/2014 mediante la introducción de una importante distinción a tenor de uno de los atributos que califica a todos los mensajes de correo electrónico:
  • Los mensajes de correo que ya han sido abiertos, o leídos, por su destinatario, pasan a ser considerados ficheros de datos.
  • Los que permanecen cerrados o, todavía no leídos, se ven afectados por el secreto de las comunicaciones.

El alto tribunal declara que para acceder a estos últimos se requiere disponer previamente de autorización judicial en virtud del derecho fundamental al secreto de las comunicaciones y en concordancia con el artículo 579 de la LECRIM.

Anteriormente la STC 114/1984, de 29 de noviembre de 1984, [5] en el recurso de amparo núm. 167/1984 promovido contra la Sentencia de la Magistratura de Trabajo núm. 4 de Alicante, de 10 de mayo de 1983, en los fundamentos jurídicos se expresa: “El derecho al «secreto de las comunicaciones... salvo resolución judicial» no puede oponerse, sin quebrar su sentido constitucional, frente a quien tomó parte en la comunicación misma así protegida. Rectamente entendido, el derecho fundamental consagra la libertad de las comunicaciones, implícitamente, y, de modo expreso, su secreto, estableciendo en este último sentido la interdicción de la interceptación o del conocimiento antijurídico de las comunicaciones ajenas. El bien constitucionalmente protegido es así -a través de la imposición a todos del «secreto»- la libertad de las comunicaciones, siendo cierto que el derecho puede conculcarse tanto por la interceptación en sentido estricto (que suponga aprehensión física del soporte del mensaje -con conocimiento o no del mismo- o captación, de otra forma, del proceso de comunicación) como por el simple conocimiento antijurídico de lo comunicado (apertura de la correspondencia ajena guardada por su destinatario, por ejemplo).

Consecuentemente con este criterio del Tribunal Constitucional, la apertura ilegítima de un correo electrónico cerrado, aunque estuviera almacenado estáticamente en el equipo terminal de un usuario, constituiría una violación del secreto de las comunicaciones al considerarse conocimiento antijurídico de lo comunicado. El secreto de las comunicaciones como norma constitucional se dirige inequívocamente a garantizar su impenetrabilidad por terceros ajenos a la comunicación misma. Posee eficacia erga omnes.

En esta sentencia la Sala de lo Penal considera conveniente, en aras a fijar una clara doctrina en materia de tanta trascendencia, salir al paso de ciertas afirmaciones rotundas (…)”.

Concretamente, las afirmaciones argumentales incluidas en la Resolución de Instancia: "...el ordenador registrado era una herramienta propiedad de la empresa y facilitada por la empresa [al trabajador] exclusivamente para desarrollar su trabajo, por lo que entendemos que incluso en aquel supuesto en que pudiera utilizar el ordenador para emitir algún tipo de mensaje de carácter personal, entendemos que al utilizar precisamente un ordenador ajeno, de la empresa, y destinado exclusivamente para el trabajo a la empresa, estaba asumiendo -cediendo- la falta de confidencialidad -secreto- de las comunicaciones que pudiera tener el [trabajador] utilizando tal terminal informático", son argumento utilizados en el ámbito jurisdiccional de lo social y que han de quedar restringidos al ámbito de la jurisdicción laboral. En modo alguno procede que se extiendan al enjuiciamiento penal.

Según la Sentencia del TS, el  texto constitucional en su artículo 18.3 es claro y tajante cuando afirma categóricamente que  “Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial”.

No contempla, por tanto, ninguna posibilidad ni supuesto para excepcionar la necesaria e imprescindible reserva jurisdiccional en la autorización de la injerencia:
  • Ni acerca de la titularidad de la herramienta comunicativa (ordenador, teléfono, etc. propiedad de tercero ajeno al comunicante).
  • Ni del carácter del tiempo en el que se utiliza (jornada laboral).
  • Ni, tan siquiera, de la naturaleza del cauce empleado ("correo corporativo").

Tampoco una supuesta "renuncia tácita" al derecho fundamental que protege el secreto de las comunicaciones puede convalidar la ausencia de intervención judicial:
  • De una parte porque obviamente la "renuncia" a la confidencialidad, o secreto de la comunicación, no se produce ni es querida por el comunicante que, de conocer sus consecuencias, difícil es imaginar que llevara a cabo la comunicación objeto de intervención.
  • Y, de otra parte, porque ni aun cuando se entienda que la "renuncia- autorización" se haya producido, resultaría operativa ya que, a diferencia de lo que ocurre con la protección del derecho a la inviolabilidad domiciliaria (art. 18.2 CE), la Carta Magna española no prevé, por la lógica imposibilidad para ello, la autorización del propio interesado como argumento habilitante para la injerencia.

De todo lo anterior se desprende que, en la jurisdicción penal, la adscripción fehaciente del trabajador a unas normas de uso que habiliten a la empresa para implantar las medidas acordadas en ellas de vigilancia y control, legitimarán la obtención de correos electrónicos como prueba, excepto para los correos que todavía no han sido abiertos ya que su consulta significaría una violación del secreto de las comunicaciones quedando invalidadas al haber sido obtenidas ilícitamente, salvo resolución judicial previa.

En este punto creo interesante aportar una apreciación de Carlos Gómez-Jara en su artículo “Investigaciones internas y correo corporativo: un nuevo criterio para su validez jurídico-penal” donde dice: “La distinción [entre correo leído y no leído] se puede prestar a abusos - por ejemplo, mediante la utilización de la función de "marcar como no leído" - y puede precisar de ulteriores matizaciones - fundamentalmente, en el ámbito de los correos enviados, donde pudiera resultar excesivamente gravoso probar si el destinatario ha abierto o no el mensaje enviado -.

Serán los peritos informáticos especializados los que validarán la viabilidad tecnológica de discernir si un correo leído y vuelto a marcar como “no leído” deja alguna evidencia rastreable de su doble cambio de atributo.

6. CUADRO RESUMEN

Tipos de Normas
Legislación
aplicable
Jurisdicción Social
Jurisdicción penal
Protección de datos
18.4 CE
Promulgar
Normas de uso del correo electrónico corporativo
Correos electrónicos que han sido abiertos por destinatario
Promulgar
Normas de uso del correo
electrónico
Intimidad documental
18.1 CE
Secreto de las comunicaciones
18.3 CE
579 LECRIM
Correos cerrados
Resolución judicial


7. BIBLIOGRAFÍA CONSULTADA


- [1] STS 2844/2014 de la Sala Segunda, de 16 de junio. Recurso de Casación 2229/2013.
STS 2844/2014

- [2] BOE. “Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores”. Ministerio de Trabajo y Seguridad Social. TEXTO CONSOLIDADO. Última modificación: 3 de agosto de 2013.
Ley del Estatuto de los Trabajadores

- [3] José Luis Colom. “Control empresarial del correo electrónico corporativo. Análisis de la Sentencia de la Sala 1ª del TC a 7-10-2013, en el recurso de amparo 2907/2011”. Blog Aspectos Profesionales. 12 de octubre de 2013.
Control empresarial del correo electrónico

- [4] José María Romero Tejada. (Teniente fiscal del Tribunal Superior de Justicia de Cataluña). “Prejudicialidad penal. Incidencia en la actividad administrativa”. Fundación Democracia y Gobierno Local. p 153 a 159. Junio 2009.

- [5] STC 114/1984, de 29 de noviembre de 1984. “Recurso de amparo núm. 167/1984 promovido contra la Sentencia de la Magistratura de Trabajo núm. 4 de Alicante, de 10 de mayo de 1983”.
STC 114/1984


8. DERECHOS DE AUTOR




Imágenes bajo licencia 123RF internacional.


La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:



José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.


No hay comentarios:

Publicar un comentario