Uso del correo electrónico e Internet en la empresa. Causas de despido.

Uso de material informático para fines ajenos a la actividad laboral.

Uso del correo electrónico e Internet en la empresa. Causas de despido. Legal
La forma de comunicarnos y relacionarnos ha cambiado a través de la tecnología, tanto en nuestros hogares como en el ámbito laboral. Las Redes Sociales como YouTube, Twitter o Facebook son las Webs más populares a las que se conectan el 77% de los empleados durante el horario de trabajo.

Existe un gran debate alrededor de su prohibición en entornos laborales. La mayor parte con la productividad frente a la pérdida de tiempo como principal argumento y posible motivo de despido.

El trabajador ha utilizado el teléfono, el buscaminas/solitario, los juegos en Flash o las más recientes Redes Sociales como pequeños descansos durante el horario laboral.

Algunos empleadores ven en las Redes Sociales un factor de distracción laboral. Mientras que otras empresas las utilizan con objetivos comerciales y para su uso interno, para mejorar la comunicación entre los empleados y como aprendizaje. Según un estudio de learnstuff.com los trabajadores interrumpen su actividad laboral cada 10,5 minutos para actualizar sus perfiles sociales, bien sea tuiteando, actualizando su estado en Facebook o enviando mensajes a sus contactos.

Actualmente existen muchas herramientas específicas e indicadores generales en una empresa para valorar su productividad. Y, al margen del que el trabajador siempre puede acceder a las mismas distracciones a través de los dispositivos personales, es importante justificar técnicamente los motivos por los que estas prácticas puede comprometer el material informático de la empresa.

El restringir su uso/acceso en entornos laborales es básico y se proporciona a través de los diferentes sistemas de seguridad perimetral disponibles para las empresas.

Ejemplo de despido disciplinario por el uso de material informático para fines ajenos a la actividad laboral.

T.S.J. ASTURIAS SALA SOCIAL OVIEDO
SENTENCIA: 02959/2012

RESUMEN

Despido disciplinario. Uso de material informático para fines ajenos a la actividad laboral. El TSJ desestima el rec. de suplicación de la trabajadora y confirma la procedencia del despido. Teniendo la trabajadora pleno conocimiento de las normas de la empresa sobre uso de Internet y su prohibición de utilizar páginas ajenas a su cometido laboral durante su tiempo de trabajo, el incumplimiento de dichas normas de conducta, en número y circunstancias tales que sobrepasan los parámetros de normalidad en el uso del ordenador de la empresa para navegar por Internet, justifica la medida extintiva.

  • TRABAJADOR prestó servicios por cuenta de la empresa EMPRESA, en calidad de Ingeniera Técnica, desde el 18 de enero de 2009 hasta el 17 de enero de 2012, a jornada completa y en el centro de trabajo de la empresa en Gijón, bajo la dirección directa del responsable de la Delegación de Asturias, conforme a las disposiciones del Convenio colectivo de la empresa EMPRESA.
    El salario medio diario de la trabajadora durante el año 2011 ascendió a 85,14Eur.
  • En mayo del año 2007 la empresa elaboró lo que llama documento de Seguridad de los Ficheros con Datos de Carácter Personal, que da a conocer a los trabajadores a través de la incorporación del documento en la intranet de la empresa, a través de correos electrónicos, por medio de las carteleras colocadas en los centros de trabajo y a través de instrucciones que los trabajadores con superioridad jerárquica imparten a quienes trabajan bajo la dirección respectiva.
    El Documento tiene por objeto proteger los datos de carácter personal durante todo su ciclo, aplicando los medios que establece en los ficheros automatizados de carácter personal, en los centros de tratamiento, locales, equipos, sistemas, programas y en personas que intervengan en el tratamiento de los mismos.
    En aras a lograr su efectividad, el texto del Documento contempla la figura de un Responsable de Seguridad, a quien asigna un plan de divulgación del Documento entre el personal de EMPRESA con acceso a los sistemas de información que tratan los ficheros con datos de carácter personal. Para ello establece que a los trabajadores que lo eran al tiempo en que el documento ve la luz, el Responsable de Seguridad les haría llegar el Documento, a través del departamento de personal, a la vez que les requeriría el envió de la aceptación firmada por cada usuario del compromiso de confidencialidad; para los futuros trabajadores establecía el requerimiento de lectura y conformidad con el Documento de Seguridad de la Sociedad, mediante la firma del compromiso de confidencialidad al tiempo de firmar el contrato de trabajo. Para acceder a futuras actualizaciones del Documento remite a la intranet corporativa.
    Entre otras normas el Documento incluye las siguientes:
  • Todas las páginas de Internet a las que acceden los trabajadores de EMPRESA son registradas y almacenadas por el periodo legal establecido (dos años). La información almacenada incluye entre otras informaciones: usuario, equipo, fecha, hora, página visitada, etc.
  • La red se encuentra dimensionada solo para su uso empresarial. Los usuarios no deben utilizar la misma para la descarga de música, software de uso particular y páginas de ocio.

El Documento lleva anexo el llamado compromiso de confidencialidad de información de los empleados de EMPRESA, documento que lleva por título “Acuerdo en cuanto al uso y divulgación de información”. En el texto de ese Acuerdo está impreso el compromiso del empleado de hacer uso adecuado de los recursos técnicos, utilizándolos única y exclusivamente para las funciones profesionales para las que están dimensionados. Añade que el empleado manifiesta que es consciente de que todas las páginas de Internet a las que acceden los trabajadores de EMPRESA son almacenadas y registradas por el periodo legal establecido, y que esa información incluye datos sobre el usuario, el equipo, la fecha, la hora, la página visitada, etc.
El texto del Acuerdo se cierra con espacio reservado para la firma del trabajador y para la aceptación en nombre de EMPRESA.
El Documento de Seguridad establecía un sistema de control periódico del cumplimiento de las normas y el uso de los medios, a través de auditorías externas.

  • El Director de Informática de la empresa vigila el cumplimiento de las normas que contiene el Documento de Seguridad y el Acuerdo sobre uso de la información.
    En el año 2008 firmaba un correo dirigido a personal de la empresa para hacerle saber que había detectado incidencias y reiterar las normas sobre uso de los recursos técnicos: el no uso de la red corporativa para usos particulares, la no utilización de la red para descargar música, oír la radio, software de uso particular, páginas de ocio, por lo que ello supone de despilfarro de tiempo y de dinero. Recordaba que la empresa almacenaba y registraba las entradas a Internet durante dos años, con todos los detalles. Terminaba diciendo que esas consideraciones deberían ser comunicadas a todo el personal que, habitualmente, utilice esas herramientas.
  • En los meses de octubre y noviembre de 2011 la empresa detectó un consumo excesivo en el ancho de banda y encomendó a una tercera que informase acerca de si el consumo era el adecuado para el número de usuarios, de ese modo supo que un 10% de los trabajadores consumían el 90% del ancho de la banda y que la utilizaban para temas no profesionales. Partiendo de esa información identificó a los trabajadores que incurrían en el exceso y, por medio de terceros peritos en la materia, constató que siendo TRABAJADOR uno de ellos, entre el 3 de octubre y el 14 de diciembre de 2011 la citada había accedido en numerosísimas ocasiones a páginas de Internet que nada tenían que ver con la ejecución del trabajo.
    En la carta de despido la empresa le hacía saber que:

 

  • Cuenta con una política sobre el uso de los sistemas de Información publicada en la intranet de la empresa, conocida por todos los empleados. El Código de conducta reflejado en el Documento de seguridad de los ficheros con datos de carácter personal de mayo de 2007, prohíbe expresamente la utilización inadecuada, por no profesional o empresarial, sino particular o de ocio, de la red de Internet, e informa de la posibilidad de monitorizar las actividades de los usuarios a través del departamento de sistemas informáticos. La existencia y contenido fueron reiterados al personal por correo interno de 13 de octubre de 2008.
  • Era conocedora de la normativa interna existente sobre esa cuestión, y viene realizando un uso particular e indebido de esa herramienta de trabajo, de manera sistemática, organizada y sostenida en el tiempo, con multitud de accesos y un alarmante tiempo de conexión, en horario de oficina y con recursos de la empresa.
  • Conoce que la red corporativa está dimensionada para atender las necesidades laborales de los empleados y que está expresamente prohibida la utilización de Internet para descarga de música, oír la radio, software de uso particular y páginas de ocio. La empresa no cuenta con un control de acceso a Internet a través de filtros o barreras suficientes para limitar la navegación o páginas no autorizadas y ajenas al desarrollo de la actividad de EMPRESA.
  • La media de acceso de los usuarios de la red a Internet es de 60.000 entre los meses de octubre y noviembre. Que formaba parte de un reducido grupo de usuarios que registraba un acceso muy superior al de la media, que desde el 10% cubría el 90% de la banda. Que el número de accesos en su caso, en el periodo analizado de 3 de octubre a 14 de diciembre de 2011, ascendía a 267.196 accesos. Que en la oficina gran parte del horario de trabajo y fuera de ese tiempo, se dedica a navegar por Internet, lo que constituye un hecho sumamente grave por varios motivos: utiliza recursos de la empresa para fines personales, con accesos a páginas ajenas a su actividad laboral(y en este punto la empresa incorpora en el texto de la carta de despido el nombre de 253 direcciones de Internet, que incluye páginas, blogs, foros, redes sociales), en una proporción de 2,69% de accesos a blogs, un 5,19% a compras online, un 0,61% a deportes, un 4,17% a negocios, un 0,34% a noticias, un 11,85% a ocio, un 4,04% a redes sociales, todo ello mediante el procedimiento de entrada, lectura, avance y paso de página de manera continuada; el ordenador desde el que así actúa está conectado al servidor central y a la red común de EMPRESA, donde se registran, archivan y almacenan datos de personal, números de cuenta corriente, datos económico-financieros, de contratación, de cierres de presentación de ofertas, y el acceso a páginas no autorizadas para fines personales pone en grave riesgo la integridad de información sensible de la empresa y de sus trabajadores; con ese proceder consume anchos de la banda o recursos de red, ocupa unos recursos destinados a fines laborales, con perjuicio al resto del personal en el uso profesional.
  • La magnitud de los registros impide incorporarlos a la carta de despido textualmente y se le facilitan en CD anexo que contiene el resultado.
  • Como muestra no exhaustiva de los accesos identifica fechas 12, 13 y 14 de diciembre de 2011, hora oficial y referencia/dominio, para identificar el número de accesos a páginas no permitidas: 329 accesos entre las 7:21:33 y las 15:06:38 horas del día 12; 273 entre las 7:21:02 y las 14:9.01 horas del día 13; y 714 entre las 7:06:40 y las 14:27:22 horas del 14 de diciembre de 2011.

MI EXPERIENCIA COMO PERITO INFORMÁTICO JUDICIAL

En la mayor parte de los casos en los que he participado en relación al uso del correo electrónico e Internet en la empresa con fines ajenos a la actividad profesional no existen los elementos necesarios para la prevención de estas situaciones ni formación específica en el ámbito de la seguridad informática. Los informes periciales son utilizados como elementos clave para dictar sentencia y en ellos se menciona la seguridad de la información de la empresa como argumento técnico para justificar los despidos. Seguridad que brilla por su ausencia en las mismas empresas.
En ocasiones el documento de seguridad a través del cual se adecua a la empresa a la Ley Orgánica de Protección de Datos se utiliza para justificar su cumplimiento sin formación a los trabajadores ni revisión técnica informática especializada. Y, como hemos visto en la sentencia, tiene una importancia capital.
Tanto el empleador como el trabajador se sorprenden el detalle con el que se realizan los informe periciales, siendo los análisis forense los que reconstruyen con más detalle la actividad del usuario. Siempre queda un registro pormenorizado que puede evidenciar cuándo el empleado ha utilizado los recursos que pone a su disposición la empresa para fines ajenos a la actividad laboral.

Uso del correo electrónico corporativo para fines ajenos a la actividad laboral.

En muchas ocasiones el ordenador del trabajo, el correo corporativo o la conexión a Internet de la oficina, se utilizan para un uso personal. Por ejemplo para recordar a tu pareja la cita con el pediatra, recibir/enviar las fotos del fin de semana o buscar hotel para las vacaciones.

Como perito informático judicial en lo relativo al uso del correo electrónico e Internet en la empresa he conocido casos en los que se ha utilizado el correo corporativo para remitir un currículum respondiendo a una oferta de trabajo de otra empresa, también para intercambiar opiniones sobre jefes o compañeros de trabajo, e incluso para pasar información a la competencia (muy frecuente en época de crisis).

En ocasiones, con el fin de evitar el control de la empresa se utilizan cuentas de correo electrónico ajenas a la empresa a través del navegador utilizando proxies. Muy frecuentemente se subestiman las consecuencias y/o la labor técnica del investigador.

En esta circunstancia y ante un presunto mal uso del correo electrónico corporativo ¿Puede la empresa leer mi correo electrónico corporativo o comprobar por dónde he navegado?

Según el artículo 20.3 del estatuto de los trabajadores:

El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

Tanto el Tribunal Constitucional como del Tribunal Supremo en una sentencia de 2007, establece que el uso profesional del ordenador o del correo corporativo puede ser controlado por el empresario siempre que haya un preaviso.

Como vemos, en el estatuto de los trabajadores se reconoce al empresario el derecho a implantar las medidas que considere adecuadas para controlar la actividad laboral de sus empleados, tanto y cuanto no vulneren los derechos fundamentales del trabajador como son el derecho a la intimidad y el secreto de las comunicaciones, recogidos en los artículos 18.1 y 18.3 de la Constitución:

Artículo 18

  1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
  2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
  3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
  4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

No obstante, cuando un trabajador se incorpora a un puesto de trabajo, estos derechos fundamentales pueden restringirse en aras de necesidades justificadas de la empresa. Por ejemplo, el derecho a la propia imagen en cuanto a la elección de la ropa que nos ponemos para ir a trabajar deberá ceder cuando nuestro puesto de trabajo lo requiera para realizar nuestra labor.

O el derecho a la intimidad personal y familiar, tales como nuestro estado civil o si tenemos hijos, cede cuando tenemos que comunicar a la empresa estas cuestiones para que practiquen la retención que corresponda en nuestra nómina.

El Tribunal Constitucional, a través de diferentes pronunciamientos, ha intentado dar respuesta a la cuestión de cuándo una medida restrictiva de derechos del trabajador es o no vulneradora de derechos.

Así una medida restrictiva de determinados derechos será legal siempre y cuando cumpla los cuatro requisitos que a continuación se relacionan:

  • Debe ser idónea: Si la medida restrictiva permite conocer exactamente la conducta laboral de sus empleados.
  • Debe ser necesaria: La medida adoptada por el empresario será considerada necesaria si no existe ninguna otra menos agresiva o limitadora de los derechos del trabajador que pueda aplicarse con la misma eficacia.
  • Debe ser proporcionada: Deben derivarse de ella más beneficios para el interés general que perjuicios sobre otros valores en conflicto. El acceso al correo debe de ser una medida proporcional a la situación de sospecha que viva la empresa.
  • Debe ser justificada: Debe responder a motivaciones objetivas y no basada exclusivamente en lo que conviene particularmente al empresario o a la mera curiosidad.

En caso de faltar uno cualquiera de los anteriores elementos, estaremos ante una conducta vulneradora de un derecho fundamental. La adquisición de las evidencias digitales debe de hacerse con las debidas garantías, con la intervención de un perito informático y un notario.

Ejemplo de despido disciplinario por el uso del correo electrónico corporativo para fines ajenos a la actividad laboral.

SALA PRIMERA DEL TRIBUNAL CONSTITUCIONAL – MADRID
SENTENCIA: 2907/2011

Documento completo

La autorización judicial la considera la Sala de lo Penal sólo exigible para salvaguardar el “secreto de las comunicaciones”. Es decir, no se requiere esa resolución judicial autorizando acceder a los datos del ordenador del trabajador de una empresa para obtener los llamados datos de tráfico o web, o para acceder al contenido de mensajes recibidos que han sido abiertos por su destinatario porque considera que esos datos ya no forman parte de la comunicación propiamente dicha y están protegidos por normas diferentes al artículo 18.3 de la C.E. como puedan ser el artículo  18.4. de la C.E. relativa a la protección y conservación de datos:

La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

o el 18.1 de la C.E. relativa a la intimidad documental en sentido genérico y sin la exigencia absoluta de la intervención judicial:

Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Aclaración sobre la necesidad de utilizar un perito informático y un notario en el proceso de obtención de las evidencias digitales a analizar en el laboratorio.

CONCLUSIONES FINALES

  1. Las empresas puede adoptar medidas de control el uso del correo electrónico e Internet en la empresa en virtud del artículo 20.3 del Estatuto de los Trabajadores y debe de informar al trabajador en el caso de que existan estos medios de control informático.
  2. Las empresas deben de informar sobre las normas de utilización de los medios informáticos a disposición de los trabajadores. En el caso por ejemplo de entidades bancarias o servicios médicos puede llegar hasta la prohibición absoluta de uso personal de los medios informáticos. En ese caso se entenderá implícitamente la advertencia sobre la existencia de sistemas de monitorización informática.
  3. Por lo tanto, las empresas pueden establecer medidas para acceder al contenido de nuestros correos electrónicos corporativos, así como del historial de navegación de las páginas Web, siempre y cuando dichas medidas sean idóneas (sirva para controlar la actividad laboral), necesarias (no pueda hacerse de otra manera menos agresiva), proporcionadas (acorde a la situación de sospecha que viva la empresa), y justificadas (deben de responder a motivaciones objetivas).
  4. Los correos electrónicos corporativos que no estén abiertos no tendrán valor probatorio en la jurisdicción penal, salvo que su lectura haya sido autorizada por una resolución judicial.
Sígueme

Carlos Sánchez Santos

Presidente de Bilbaodigital y gerente de Imagina Works, S.L.
Forense informático
Auditor de Seguridad FTSAU - RHCT 605007791313908 - RHCSA 100/014/133 CEH ECC942714
Sígueme