✔ Es posible que en el correo electrónico se confunda la vida privada y la actividad laboral del trabajador y frente a esta situación veremos las condiciones que debe cumplir el empleador a la hora de acceder a estos datos personales para empleados y antiguos empleados.
La dirección de correo electrónico es un conjunto de palabras o signos que identifican al emisor o al receptor de un mensaje de correo electrónico. Son libremente escogidos, normalmente por el titular de la cuenta de correo o por la organización a la que pertenece y pueden ser: direcciones personalizadas, direcciones no personalizadas o de carácter genérico.
Cuando la dirección de correo pueda ser vinculada a una persona física identificada o identificable, se tratará sin duda de un dato personal e incluso, en el correo electrónico puede figurar información considerada como datos de carácter personal, en la medida que ofrece información sobre una persona física identificable.
La atribución de una cuenta de correo de carácter corporativo o laboral obedece a motivos estrictamente laborales y a los efectos de evitar malos usos del correo electrónico que puedan perjudicar la seguridad de la información que se trata, las organizaciones deben poner en conocimiento de los trabajadores las normas de uso del correo electrónico y definir las condiciones en que, si procede, esta herramienta puede ser utilizada para finalidades privadas, a los efectos que los usuarios conozcan con seguridad el nivel de confidencialidad que pueden esperar en el uso de estas tecnologías. La falta de esta definición puede crear una expectativa de confidencialidad en el empleado que puede ser objeto de situaciones de conflicto.
El Tribunal Constitucional consideró que el acceso al correo por parte de la empresa, aun tratándose de correo corporativo o laboral, puede infringir derechos fundamentales, como el derecho a la privacidad (art. 18.1 CE), o el derecho al secreto de las comunicaciones (art. 18.3 CE) y por lo tanto, se deberá distinguir si el acceso se realiza para tareas de mantenimiento o cuando haya indicios de un posible mal uso del correo.
El acceso para tareas de mantenimiento no habría de comportar el acceso al contenido de los mensajes y debe efectuarse en el marco de un contrato de encargado del tratamiento de datos, de acuerdo con la normativa de la LOPD y sería conveniente informar a las personas afectadas sobre las tareas que se van a realizar y la posibilidad de estar presentes durante el acceso.
En situaciones de sospecha de un uso inadecuado del correo electrónico por parte del empleado, el empresario podrá acceder a su control atendiendo importantes prevenciones, en el marco de su facultad de organización de los medios empresariales (art. 20. 3 Estatuto de los Trabajadores). No obstante, el control debe ser proporcional y los medios deben tener relación con el fin perseguido.
Ahora bien, dicha base legal desaparece cuando el trabajador ya no pertenece a la empresa y en este sentido, la autoridad de protección de datos noruega (Datatilsynet) ha sancionado con 15.000 euros a una empresa noruega por acceder al correo electrónico de un antiguo empleado.
Un antiguo empleado realizó una reclamación, ya que la empresa a la que él pertenecía accedió a su correo electrónico durante seis semanas, con el fundamento de usar este correo para hacer seguimientos de los clientes y así poder resolver sus dudas.
Ante esta situación, la autoridad noruega llegó a la conclusión de que la empresa carecía de una base legitimadora para acceder al correo de la manera en la que lo hizo, ya que en sus políticas sobre el uso el control de uso de dispositivos no había previsto este tipo de casos, por lo que la autoridad entendió vulnerado el artículo 13 del RPGD sobre el deber de informar, el artículo 17 por no haber eliminado la cuenta, y el artículo 21 por no haber permitido al interesado oponerse ante una situación constitutiva de monitoreo del uso del correo. Asimismo, se ordenó que la empresa contara con un procedimiento para el acceso a los correos electrónicos tanto para empleados como para antiguos empleados para promover la conciencia dentro de la organización y así cumplir con la normativa de protección de datos.