El Tribunal Superior de Justicia de Madrid se ha pronunciado, en su Sentencia 13457/2023, de 4 de diciembre de 2023, (Nª de Recurso 542/2023), sobre la necesidad de acreditar que, efectivamente, el personal empleado recibe las políticas internas en materia de protección de datos y seguridad de la información.
En el marco de un despido disciplinario de uno de sus trabajadores (y, en concreto, a raíz de sospechas sobre conductas desleales de un empleado), una empresa dedicada a la edificación de obra civil ordenó el acceso y extracción de determinados correos electrónicos que estaban almacenados en el buzón de correo corporativo de su trabajador.
La empresa argumentaba actuar bajo las facultades de vigilancia y control conferidas al empresario por el Estatuto de los Trabajadores, y, en concreto decía actuar al amparo de su “política de protección de datos” que las personas trabajadoras de la plantilla debían firmar, y en la que se preveía que:
“La cuenta de correo electrónico facilitada por la empresa, […] será de uso y desarrollo exclusivamente de las funciones laborales del empleado.
No podrá utilizarse la cuenta de correo electrónico proporcionada por la empresa para otros fines y se podrá acceder al contenido de los correos electrónicos y comprobar el historial de navegación por internet.” [La empresa], le informa que podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, […].
El uso particular queda completamente excluido. No se permite el envío ni recepción de mensajes privados, ni almacenamiento de fotografías ni documentos particulares”.
No obstante, el trabajador despedido al que pertenecía el correo corporativo al que accedió la empresa no había firmado este documento, y tampoco quedó acreditado que se le hubiera hecho entrega del mismo.
En este sentido, el TSJ de Madrid razona que “no consta que la empresa hubiera informado al actor [el trabajador despedido], de los criterios de utilización [de los dispositivos corporativos], y por ende, al faltar la debida información, la empresa carecía de la facultad para acceder al ordenador del trabajador, aunque fuera con la finalidad de control prevista en la norma [en el Estatuto de los Trabajadores]. Con independencia de la existencia de las normas TIC, la demandada pudo y debió exigir al trabajador que firmara la recepción de la información que afirma que se le remitió al respecto, lo que no ha quedado acreditado. Por lo tanto, ante la falta de información al trabajador, la empresa carecía del derecho de acceso a los correos electrónicos del actor, contenidos en el ordenador entregado por la misma como herramienta de trabajo, [lo que supone] una vulneración del derecho fundamental a la protección de datos personales y la intimidad del trabajador”.