11.4 Derecho a la intimidad: Del Gran Hermano a la Mayor Oreja: la Empresa como nuevo Estado

El derecho a la privacidad ha sido, es, y será, junto al derecho a la libertad de expresión, el caballo de batalla más importante en el terreno de los ciberderechos. Es legendario el ciberactivismo alrededor del derecho al cifrado, como garantía de la inviolabilidad de las comunicaciones. Dicho activismo tuvo un notable reflejo en la Internet española. La asociación Fronteras Electrónicas (FrEE) fue pionera en nuestro país: en ella se mocearon en la lucha cypherpunk los actuales dirigentes de organizaciones como CPSR-ES y la Asociación de Internautas. Desde su fundación en 1996 hasta su autodisolución en 2000 fueron numerosas las llamadas de atención de Fronteras Electrónicas en relación con los intentos gubernamentales de cercenar el derecho al cifrado.

El pasado mes de marzo la criptografía volvía a ser objeto de debate político en España, al desvelarse por parte del capítulo español de CPSR que en el proyecto de Ley General de Telecomunicaciones, redactado por el Ministerio de Ciencia y Tecnología, se incluía un artículo por el que se podría imponer la obligación de facilitar a la Administración las claves de cifrado. La redacción propuesta para dicho artículo 36 era sustancialmente idéntica a la del antiguo artículo 52 de la Ley vigente, ya cuestionado en 1998 por Fronteras Electrónicas, pero lo cierto es que se incluía de forma ladina la palabra «claves». A los pocos días de iniciarse la polémica, el gobierno dio marcha atrás, suprimiéndose la palabra claves del texto definitivo de la Ley. Un ejemplo más de la larga lucha en pro de la inviolabilidad de las comunicaciones, garantizada en España por el artículo 18 de la Constitución, donde se establece que sólo podrá privarse a un ciudadano de dicho derecho mediante resolución judicial.

El secreto de correspondencia, resulta protegido también -con mención expresa a los mensajes de correo electrónico- por el artículo 197 del Código Penal. Como dato anecdótico, cabe destacar que el Código Penal de 1973 establecía una excusa absolutoria para aquellos padres y tutores que supervisasen los papeles y cartas de sus hijos o menores: excusa absolutoria que ha desaparecido del actual Código Penal, cuyo artículo 197 es perfectamente aplicable a los padres que espíen el correo electrónico de sus hijos. Recalco esto porque, más allá de la anécdota, me parece importante para introducir el debate sobre el uso del correo electrónico en las empresas: algunos empresarios quieren tener más poder sobre la intimidad de sus trabajadores que los padres sobre los hijos.

También se protege el secreto de correspondencia en la vigente Ley de Enjuiciamiento Criminal, la cual dispone en sus artículos 579 a 588, un procedimiento especial de apertura de correspondencia, que garantiza que sólo el Juez -ni la Policía, ni el Secretario Judicial, ni el Ministerio Fiscal- tendrá acceso a los correos de los imputados. Dispone el artículo 586 de la Ley de Enjuiciamiento Criminal que dicha operación se practicará «abriendo el Juez por sí mismo la correspondencia, y después de leerla para sí apartará la que haga referencia a los hechos de la causa y cuya conservación considere necesaria», lo que evidencia el exquisito celo con que el legislador ha querido proteger el derecho al secreto de la correspondencia.

Pese a que el derecho a la inviolabilidad de las comunicaciones está adecuadamente regulado en nuestro derecho, en los últimos años se ha producido un interesante debate al respecto de si dicho derecho era esgrimible en el seno de la empresa. ¿Tienen los trabajadores derecho al secreto de correspondencia con respecto a los mensajes de correo electrónico remitidos utilizando la cuenta facilitada por la empresa? Muchas empresas han pretendido arrogarse el papel de Gran Hermano que hasta hace poco parecía patrimonio exclusivo del Estado totalitario, dando lugar a múltiples conflictos judiciales, con sentencias de distinto signo.

El debate tiene una trascendencia más allá de la polémica del e-mail. De lo que se trata en definitiva es determinar si el poder director del empresario está por encima de la Constitución, si los derechos de los que todo trabajador, en tanto ciudadano, es titular, podían verse menoscabados por la subordinación propia del contrato laboral. Ha sido una lucha apasionante, que sólo después de varios años ha comenzado a dar sus frutos.

Secundando las propuestas de la Union Network International, la Federación de Servicios Financieros y Administrativos de Comisiones Obreras denunciaba en Gabril de 2000 la doble moral de quienes cantan con ahínco las excelencias de la Sociedad de la Información, mientras restringen en el interior de sus empresas el uso democrático de las Nuevas Tecnologías, violando derechos y libertades de carácter sindical. En el mismo sentido se pronunció el prestigioso profesor Manuel Castells, el cual afirmó en su lección inaugural de la Universitat Oberta de Catalunya que los derechos sindicales de expresión en la red están siendo ignorados en muchas empresas.

Kriptópolis inició el 8 de noviembre de 2000 una Campaña por la Intimidad de las Comunicaciones Electrónicas en el Trabajo, suscribiendo junto a la Asociación de Internautas un Manifiesto por la Intimidad Electrónica en el que se reclamaba de los poderes públicos la adopción de medidas concretas para garantizar la inviolabilidad del correo electrónico de los trabajadores. Entre otras medidas, se reclamaba el establecimiento de un plan de seguridad del correo electrónico, que incluyese, entre otros aspectos, el cifrado voluntario de las comunicaciones personales, el derecho de cada trabajador a un buzón personal de correo electrónico en la empresa, y el derecho a comunicar libremente con los representantes sindicales.

El 28 de noviembre de 2000 el pleno del Senado aprobó una moción por la que se instaba al Gobierno a que en el plazo más breve posible estudiase la forma de poner en marcha las medidas necesarias para considerar el correo electrónico e Internet como instrumentos de comunicación e información de los trabajadores con sus representantes sindicales y viceversa, siempre que la actividad y características generales de las empresas lo permitan, facilitando el acceso de los trabajadores y sus representantes sindicales al correo electrónico de Internet de la empresa con garantía de inviolabilidad de las comunicaciones conforme al marco legal vigente. Han transcurrido ya tres años, sin que se haya procedido por el Gobierno a desarrollar ninguna legislación al respecto, incumpliendo el mandato del Senado.

A nivel europeo, destaca por un lado la posición del Gobierno británico, contrario al secreto de correspondencia de los trabajadores, en contraste con las recomendaciones del Grupo de Trabajo creado como órgano consultivo de la Unión Europea en materia de protección de datos y vida privada. Dicho Grupo de Trabajo, organizado en base al artículo 29 de la Directiva 95/46/CE, publicó en fecha 29 de mayo de 2002 un Documento proporcionando orientación sobre el contenido mínimo de las directrices de las empresas en relación con la utilización del correo electrónico e Internet.

El documento de trabajo indica que para que una actividad de control empresarial sea legal y se justifique, deben respetarse una serie de principios:

  1. Necesidad. Según este principio, el empleador, antes de proceder a este tipo de actividad, debe comprobar si una forma cualquiera de vigilancia es absolutamente necesaria para un objetivo específico. Debería plantearse la posibilidad de utilizar métodos tradicionales de supervisión, que implican una intromisión menor en la vida privada de los trabajadores, y, cuando proceda, aplicarlos antes de recurrir a una forma de vigilancia de las comunicaciones electrónicas.

  2. Finalidad. Este principio significa que los datos deben recogerse con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines. En el presente contexto, el principio de «compatibilidad» significa, por ejemplo, que si el tratamiento de los datos se justifica a efectos de seguridad del sistema, estos datos no podrán tratarse posteriormente con otro objetivo, por ejemplo, para supervisar el comportamiento del trabajador.

  3. Transparencia. Este principio significa que un empleador debe indicar de forma clara y abierta sus actividades. Dicho de otro modo, el control secreto del correo electrónico por el empleador está prohibido, excepto en los casos en que exista en el Estado miembro una ley que lo autorice. Ello puede ocurrir cuando se detecte una actividad delictiva particular (que haga necesaria la obtención de pruebas, y siempre que se cumplan las normas jurídicas y procesales de los Estados miembros) o cuando existan leyes nacionales que autoricen al empleador, previendo las garantías necesarias, a adoptar algunas medidas para detectar infracciones en el lugar de trabajo.

  4. Legitimidad. Este principio significa que una operación de tratamiento de datos sólo puede efectuarse si su finalidad es legítima según lo dispuesto en el artículo 7 de la Directiva y la legislación nacional de transposición. La letra f) del artículo 7 de la Directiva se aplica especialmente a este principio, dado que, para autorizarse en virtud de la Directiva 95/46/CE, el tratamiento de los datos de un trabajador debe ser necesario para la satisfacción del interés legítimo perseguido por el empleador y no perjudicar los derechos fundamentales de los trabajadores. La necesidad del empleador de proteger su empresa de amenazas importantes, por ejemplo para evitar la transmisión de información confidencial a un competidor, puede considerarse un interés legítimo.

  5. Proporcionalidad. Según este principio, los datos personales, incluidos los que se utilicen en las actividades de control, deberán ser adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben. La política de la empresa en este ámbito deberá adaptarse al tipo y grado de riesgo al que se enfrente dicha empresa. El principio de proporcionalidad excluye por lo tanto el control general de los mensajes electrónicos y de la utilización de Internet de todo el personal, salvo si resulta necesario para garantizar la seguridad del sistema. Si existe una solución que implique una intromisión menor en la vida privada de los trabajadores y que permita lograr el objetivo perseguido, el empleador debería considerar su aplicación (por ejemplo, debería evitar los sistemas que efectúan una vigilancia automática y continua).

  6. Exactitud y conservación de los datos. Este principio requiere que todos los datos legítimamente almacenados por un empleador (después de tener en cuenta todos los demás principios) que incluyan datos procedentes de una cuenta de correo electrónico de un trabajador, de su utilización de Internet o relativos a las mismas deberán ser precisos y actualizarse y no podrán conservarse más tiempo del necesario. Los empleadores deberían especificar un período de conservación de los mensajes electrónicos en sus servidores centrales en función de las necesidades profesionales. Normalmente, es difícil imaginar que pueda justificarse un período de conservación superior a tres meses.

  7. Seguridad. Este principio obliga al empleador a aplicar las medidas técnicas y organizativas adecuadas para proteger todos los datos personales en su poder de toda intromisión exterior. Incluye también el derecho del empleador a proteger su sistema contra los virus y puede implicar el análisis automatizado de los mensajes electrónicos y de los datos relativos al tráfico en la red.

El Grupo de Trabajo «Artículo 29» opina que las comunicaciones electrónicas que proceden de locales profesionales pueden estar cubiertas por los conceptos de «vida privada» y de «correspondencia» según lo dispuesto en el apartado 1 del artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales, que establece que «toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia». En este sentido, el Grupo de Trabajo señala que cuando el trabajador recibe una cuenta de correo electrónico para uso estrictamente personal o puede acceder a una cuenta de correo web, la apertura por el empleador de los mensajes electrónicos de esta cuenta sólo podrá justificarse en circunstancias muy limitadas y no podrá justificarse en circunstancias normales ya que acceder a este tipo de datos no es necesario para satisfacer un interés legítimo del empleador, debiendo prevalecer por el contrario el derecho fundamental al secreto de correspondencia.

En una reciente sentencia del Juzgado Social 32 de Barcelona, el Magistrado Miquel Àngel Falguera aplicó la doctrina del Grupo de Trabajo «Artículo 29», declarando improcedente el despido de una trabajadora a la cual la empresa sometió a la monitorización del correo electrónico, por entender que la empresa no acreditó la existencia de una causa legítima para llevar a cabo tal monitorización, sino que antes al contrario, el ocupador ejerció dicha supervisión de forma coetánea a la interposición por la trabajadora de una demanda por acoso moral, lo que ponía en evidencia un claro objetivo de buscar un motivo para despedir a la actora y no la defensa del patrimonio o de los intereses de la empresa. Dicha sentencia fue posteriormente ratificada por el Tribunal Superior de Justicia de Catalunya, en sentencia de 11 de junio de 2003.

En el mismo sentido se pronunció el Juzgado Social de Vigo en sentencia de 29 de abril de 2001, donde se indicaba que debe tenerse en cuenta la doctrina de la STC de 10 de julio de 2000. En dicha sentencia se señala que la constitucionalidad de cualquier medida restrictiva de derechos fundamentales, viene determinada por la estricta observancia del principio de proporcionalidad... (y) es necesario constatar si cumple los tres requisitos o condiciones siguientes: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito, con igual eficacia (juicio de necesidad) y finalmente si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto). Observemos que los principios enumerados por el Tribunal Constitucional son muy similares a los apuntados por el Documento de Trabajo «artículo 29».

Finalmente, debe tenerse en cuenta a efectos ilustrativos, si bien no con efectos jurisprudenciales en el ámbito laboral, los argumentos jurídicos del Auto del Juzgado de Instrucción 2 de Barcelona de fecha 25 de noviembre de 2001, por el que se acordó continuar procedimiento penal abreviado contra los directivos de una entidad bancaria que ordenaron la monitorización del correo electrónico de un trabajador. La juez consideró que los hechos presentaban los indicios de un delito de interceptación de comunicaciones, tipificado por el artículo 197 del Código Penal. El juicio oral no llegó a celebrarse, dado que se trataba de un delito perseguible únicamente a instancia de parte, y el trabajador perjudicado decidió otorgar el perdón a los denunciados, tras alcanzar un acuerdo amistoso.

Aunque continúan produciéndose casos de espionaje empresarial, la situación actual se presenta bastante equilibrada desde el punto de vista jurídico. Por un lado, abundantes sentencias han determinado que el uso abusivo del correo electrónico puede ser motivo de despido. Pero, por otra parte, también se ha determinado judicialmente que el contenido de los mensajes está protegido por el derecho fundamental al secreto de las comunicaciones. Es necesario en consecuencia un punto de equilibrio, en la medida que la supervisión del empresario no vaya más allá del control del tráfico, sin entrar en el contenido de las comunicaciones. Se trata en suma de exigir una equiparación del correo electrónico con las restantes comunicaciones: un empresario puede controlar los números de teléfono a los que se llama, así como la duración de las llamadas, pero no puede realizar «pinchazos» telefónicos. El equivalente en Internet sería un control de destinatarios y volumen de mensajes, pero sin almacenar los contenidos.