Desde la última versión de normas de uso de los recursos TIC corporativos (Normas TIC) que redactamos en el despacho ha habido cuatro novedades importantes:
- Se ha generalizado el uso de los smartphones y de aplicaciones como Whatsapp por parte de usuarios de todas las edades y niveles.
- En las empresas se tolera un uso moderado de los smartphones personales, existiendo libertad para utilizarlos en determinadas horas a lo largo de la jornada.
- La reforma del Código Penal y los programas de compliance han introducido la exigencia de un mayor control.
- El Tribunal Europeo de Derechos Humanos ha avalado el control de la empresa sobre el correo electrónico de sus trabajadores.
La concurrencia de estas circunstancias permite llegar a las siguientes conclusiones:
- Pasar una jornada laboral sin utilizar el mail corporativo para temas personales ha dejado de ser una conducta heroica, como alegaba el Tribunal Supremo en 2007, ya que el usuario dispone de su smartphone para poder enviar y recibir mensajes personales.
- Prohibir el uso personal del mail corporativo ya no supone un drama para el usuario, puesto que no lo incomunica de su entorno personal y familiar.
- La dedicación exclusiva del mail de la empresa a finalidades estrictamente laborales desvanece la posibilidad de que el usuario pueda tener una expectativa de intimidad en los mensajes enviados o recibidos.
- El control del correo electrónico corporativo no sólo es legítimo sino también necesario para evitar la comisión de delitos.
En algunas empresas se había dado cierta libertad en el uso de los recursos TIC corporativos con el fin de ofrecer una imagen de modernidad. Sin embargo, esta política ha quedado superada por las exigencias de control introducidas en los programas de Compliance por las reformas del Código Penal de 2010 y 2015.
La evolución jurisprudencial del control del correo electrónico y la actualización de nuestro modelo de normas TIC ha sido, de forma resumida, la siguiente:
- En 2007 el Tribunal Supremo unifica los criterios y marca el procedimiento que debe seguir una empresa para poder inspeccionar el correo electrónico de un trabajador. Ver vídeo sobre esta sentencia.
- En 2012 el Tribunal Constitucional declara que no existe vulneración de los derechos a la intimidad y al secreto de las comunicaciones en la intervención empresarial de mensajes privados resultante de un hallazgo casual.
- En 2012 recomendamos regular el uso de los dispositivos móviles y adaptamos las Normas TIC al BYOD.
- En 2013 volvimos a recomendar una actualización de las Normas TIC.
- En 2013 también alertamos sobre el coste del uso de WhatsApp en las empresas. Cabe decir en relación a este punto la novedad que supuso en 2016 la versión web de WhatsApp, que permite enviar mensajes a través de esta aplicación móvil desde el ordenador corporativo de sobremesa, sin mostrar la típica imagen de absentismo presencial que se ofrece al teclear de forma compulsiva en el smartphone.
- En 2014 el Tribunal Supremo rompió la unidad de criterio existente hasta la fecha, exigiendo la intervención judicial para inspeccionar los mensajes corporativos pendientes de lectura.
- En 2016 el Tribunal Europeo de Derechos Humanos (Caso Barbulescu) declaró que la monitorización de las comunicaciones privadas (Yahoo Messenger) de un trabajador por parte de la empresa no constituye una violación del artículo 8 del Convenio Europeo de Derechos Humanos (La vida privada y familiar incluye la intimidad del domicilio y la inviolabilidad de la correspondencia).
Durante todos estos años hemos estado recomendando un protocolo muy estricto para el control y la inspección del correo electrónico corporativo dado que, aunque la empresa prohibía el uso personal del mismo, en la práctica lo toleraba, generando el riesgo de que hubiese mensajes personales en los buzones a inspeccionar.
Este protocolo, que detallamos en el Curso de Compliance de Thomson Reuters Aranzadi, no sería necesario si la empresa prohibiese de manera absoluta el uso personal del correo electrónico corporativo, estableciese los correspondientes controles de forensic readiness sobre el mismo y advirtiese sobre su existencia.