Prisión por intervenir ilegalmente mails de empleados


Hoy voy a usar un caso real en el que he participado como perito informático para ilustrarles  por qué no hay que intervenir ilegalmente mails de empleados y las penas a las que se enfrentarían.

Prisión por intervenir ilegalmente mails de empleados

Prisión por intervenir ilegalmente mails de empleados

El caso en cuestión es relativo al despido procedente del empleado de una compañía bajo la acusación de estar robando información de la empresa para pasarla a la competencia. Dicho despido se sustentaba en la intervención de varios correos Hotmail remitidos desde la cuenta de correo electrónico personal del empleado en los que mantenía conversaciones con terceras personas, si bien en ningún caso se demostró el envío de documentos o información propiedad de la empresa. La acción de intervenir ilegalmente mails de empleados la realizó un perito informático contratado al efecto por el empresario, en el ordenador corporativo desde el que trabajaba el empleado con posterioridad a su despido, siendo mi misión refutar el dictamen pericial llevado a cabo.

Graves errores

Visto lo anterior examinemos los graves errores en los que se ha incurrido al intervenir los correos electrónicos:

No se pueden intervenir sin orden judicial correos electrónicos de los buzones de mail personal de los empleados.

Aunque se hayan remitido mediante dispositivos propiedad de la empresa, los correos electrónicos personales del empleado están sujetos al secreto de las comunicaciones. Según el Tribunal Constitucional el concepto de secreto no cubre sólo el contenido de la comunicación, sino también, en su caso, otros aspectos de la misma, como, por ejemplo, la identidad subjetiva de los interlocutores o de los corresponsales. Esa doctrina autolimita su alcance, declarando el Tribunal Constitucional que el secreto de las comunicaciones propiamente dicho sólo abarca el proceso de comunicación, mientras que los datos generados por ese proceso encuentran su referencia jurídica en el derecho a la intimidad. La idea de excluir de la protección penal todos aquellos mensajes de correo electrónico que no vayan cifrados mediante cualesquiera de las técnicas de encriptación, no es aceptable según el Constitucional.

Los ficheros presentes en un ordenador no son los correos electrónicos.

El segundo error grave es la pretendida obtención de los correos electrónicos examinando los ficheros contenidos en un ordenador personal. Dichos ficheros son copias de la información del correo electrónico que generan las aplicaciones informáticas de gestión de mails tales como Outlook o Thunderbird, por lo que no se trata de la fuente origina. Dicha fuente únicamente se encuentra en el buzón de correo electrónico alojado en el servidor que da sustento al servicio de correo. Al tratarse de información generada en el proceso de comunicación, el contenido de dichos ficheros se encuentra protegido por el derecho a la intimidad del trabajador.

Los ficheros presentes en un ordenador sobre correos electrónicos se pueden falsificar.

Tal y como demostró este perito en sede judicial, los ficheros correspondientes a las copias de los correos electrónicos generados por aplicaciones de gestión de correo son totalmente falsificables y no permiten certificar por sí mismos con total certeza la integridad y autenticidad de los mismos.

El contenido de los correos electrónicos fue examinado tras el despido.

No parece lógico que se despida a un trabajador en base a que esté robando información para demostrar esos hechos tras tener lugar el despido. El único supuesto sería que se estuvieran interceptando sus comunicaciones electrónicas personales durante su jornada laboral, lo cual es del todo ilícito según hemos visto anteriormente.

Graves consecuencias

Ante lo expuesto anteriormente, no sólo el juzgado falló que el despido no era procedente, sino que además las pruebas no fueron tenidas en cuenta debido a su origen: intervenir ilegalmente mails de empleados

Además, tanto el empresario que ordenó la intervención como el perito que la realizó están a la espera de comparecer ante la justicia en el ámbito de actuaciones penales instadas por el trabajador por haber violado su intimidad y el secreto de sus comunicaciones. En dichas actuaciones se solicita un mínimo de 3 años de prisión tanto para el empresario como para el perito.

¿Cúal habría sido el procedimiento correcto?

Ahora bien, ¿no puede controlarse lo que el empleado hace durante su jornada laboral? La respuesta es que, efectivamente, pueden llevarse a cabo medidas de control, pero éstas deben respetar 3 principios básicos para no intervenir ilegalmente mails de empleados:

  1. Principio de necesidad: ha de otorgarse preferencia a medios convencionales de fiscalización, menos invasivos, debiendo concurrir una causa justificada que haga necesario el acto de injerencia;
  2. Principio de finalidad: el acceso a los datos del trabajador ha de realizarse con fines determinados, explícitos y legítimos
  3. Principio de transparencia: el control secreto de las comunicaciones no está amparado por la ley

Teniendo ello en cuenta, el empresario debió limitarse a demostrar que el empleado usaba regularmente un medio de comunicación electrónica ajeno a la empresa con regularidad, lo que sería causa de despido procedente. Para ello no es necesario acceder ni al contenido de la comunicación ni a la identidad de sus intervinientes, evitando así intervenir ilegalmente mails de empleados.

De sospecharse que con ello se llevaban a cabo robos de información a la empresa, debió depositarse el dispositivo con los datos en sede judicial y haberse solicitado en base a ello la correspondiente orden judicial que le permitiera acceder a esos datos de forma lícita. Pudiendo acceder a los correos, debió intervenirse el buzón de correo situado en el servidor del proveedor de servicios, jamás el ordenador personal.

Mejor, prevenir

Los trabajadores no dejan su derecho a la vida privada y la protección de sus datos personales cada mañana en la puerta de su trabajo. Esperan legítimamente encontrar allí un grado de privacidad, ya que en él desarrollan una parte importante de sus relaciones con los demás. A partir de esa afirmación, se sugieren fórmulas de injerencia siempre inspiradas en dos principios claves: el principio de prevención y el principio de proporcionalidad. Se establecen como pautas recomendables para la anticipada previsión de conflictos las siguientes:

  1. La incorporación a la negociación colectiva o a las cláusulas contractuales de acuerdos relativos al uso de Internety del correo electrónico por los trabajadores;
  2. La fijación, en su caso, de la capacidad de los empleados para abrir y gestionar cuentas privadas, definiendo los términos y condiciones de su utilización, así como autorizando fórmulas de acceso al contenido de los mensajes de las cuentas de correo electrónico corporativas en casos excepcionales de ausencia, enfermedad…, señalando la finalidad específica de ese acceso;
  3. La regulación de cuestiones de seguridad de los datos;
  4. El anuncio de mecanismos de fiscalización que sólo afecten al continente;
  5. La consolidación de una política de utilización de nuevas tecnologías en la empresa pactada con los representantes de los trabajadores.

En conclusión

Asesórese muy bien antes de intervenir las comunicaciones electrónicas de sus empleados y, sobre todo, procure establecer unas normas de conducta en su empresa que diriman estos conflictos cuando se den, visto el aumento creciente de casos de este tipo que desde Indalics Consultoría Informática venimos observando.

Publicación realizada bajo licencia Creative Commons

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

dieciseis − 6 =