Privacidad en el entorno laboral: ¿Qué hacer con el correo electrónico corporativo de un empleado que deja la empresa?

La salida de un empleado que cuenta con un buzón de correo electrónico corporativo en la empresa, causando baja en la misma, puede suponer un gran dilema en muchas ocasiones. A simple vista, puede preocupar el hecho de que, dependiendo de cómo se hayan dado las comunicaciones y relaciones con clientes y proveedores, con el cese del uso de esta vía de comunicación, puedan perderse dichas relaciones. 

No obstante, en realidad la complejidad del asunto va más allá si se tiene en cuenta que la dirección de correo electrónica corporativa es un dato personal, en vistas de la definición del artículo 4 del Reglamento General de Protección de Datos (RGPD, en adelante) y que, por lo tanto, este texto le es de aplicación. Esto, en el caso de España, ha sido además confirmado por la Agencia Española de Protección de Datos en su Guía sobre la protección de datos en las relaciones laborales.

Hay varios principios establecidos en el RGPD que entran en juego en estas situaciones:

El principio de licitud del tratamiento, que implica que el tratamiento de cualquier dato personal debe hacerse en base a alguna de las circunstancias establecidas en la norma, es decir, con una de las justificaciones previstas en el reglamento.

En relación con este principio, cabe preguntarse: ¿puedo justificar el mantenimiento del correo electrónico de un ex empleado tras su salida de la empresa en base a alguna de las circunstancias establecidas en el RGPD?

El principio de limitación de la finalidad del tratamiento, que establece que los datos deben ser tratados con un fin determinado, y no podrán serlo ulteriormente de manera incompatible con el fin para el que se recogieron.

En este sentido, una vez finalizada la relación laboral, ¿el mantenimiento del buzón de correo electrónico es un tratamiento incompatible tras la desaparición del fin primero?

El principio de limitación del plazo de conservación de los datos, que establece que los datos únicamente serán tratados durante el tiempo estrictamente necesario para los fines del tratamiento.

¿Implica conservar el correo durante más tiempo tras el cese del empleado una vulneración de este principio?

Además de estos principios, es de gran relevancia el derecho de supresión, que reconoce a todos los titulares de datos personales el derecho a obtener su eliminación, cuando así lo soliciten y sea posible. En relación con este derecho, cabe tener en cuenta que no únicamente debe procederse al borrado de los datos previa solicitud por parte del interesado, sino que el responsable del tratamiento debe eliminar los datos cuando su tratamiento es ilícito, por ejemplo, cuando ya no existe una base legitimadora que lo justifique. En este sentido se pronuncia la European Data Protection Board en su Opinión 39/2021, en la que analiza las situaciones en que entra en juego este derecho de supresión, al margen de la petición del interesado.

¿Qué hay que hacer, entonces, para evitar infringir lo previsto en el RGPD en la gestión de una cuenta de correo electrónico de un empleado que causa baja en la empresa?

Para dar una respuesta a esta pregunta, es de gran utilidad una Decisión publicada por la Autoridad de Protección de Datos belga el pasado mes de septiembre resolviendo una disputa tras la falta de eliminación por parte de una empresa de un correo electrónico de un exempleado. En esta resolución, la DPA belga lleva a cabo una serie de recomendaciones que, sin duda, constituyen un catálogo de buenas prácticas a la hora de enfrentarse a estas situaciones.

El protocolo de actuación sobre cómo proceder cuando un empleado con correo electrónico corporativo causa baja empieza en el mismo momento en que es comunicada esta baja y antes de que abandone definitivamente su puesto. Antes de ese momento, el exempleado debe tener la posibilidad de acceder a su cuenta de correo para recuperar toda aquella información de carácter personal que allí pueda estar almacenada. En otras palabras, esta posibilidad debe ser equivalente a la recogida de efectos personales que el empleado lleva a cabo antes de abandona su lugar físico de trabajo. En propias palabras de la autoridad belga, “de la misma manera que se debe permitir al interesado recuperar sus pertenencias personales, se le debe permitir recuperar o borrar sus comunicaciones electrónicas privadas antes de su partida”. Lo mismo deberá hacerse con otra información almacenada en el buzón y que se necesite por la empresa para su funcionamiento, extrayéndola antes de su partida y, si es posible, en presencia del exempleado. Así lo estableció el Comité de Ministros de la Unión Europea en su Recomendación CM/REC(2015) 5, sobre el tratamiento de datos personales en el contexto del empleo: “If employers need to recover the contents of an employee’s account for the efficient running of the organisation, they should do so before his or her departure and, when feasible, in his or her presence”.

A continuación, con el fin de evitar cualquier pérdida de información derivada del cese del uso del buzón, la autoridad belga advierte de la inconveniencia de implantar un sistema de desvío de los mensajes que reciba a otro buzón de la entidad. El motivo por los que no se debe hacer de esta manera es por el riesgo de acceder a datos personales que ello implica, tanto del exempleado como del remitente de la comunicación. 

En su lugar, se propone la siguiente estrategia:

  1. Programar un mensaje automático a todo aquel que se dirija al buzón del exempleado tras su salida, indicando que la cuenta está en desuso e indicando la dirección de contacto de otra persona en la empresa, pero sin que esa otra persona acceda al contenido de la comunicación transmitida en primer lugar.
  2. Este mensaje automático deberá funcionar durante un periodo de tiempo prudente para cumplir con la finalidad de no perder información relevante para la empresa. En este caso, dependerá del cargo que ostentaba el exempleado y el plazo se determinará según las circunstancias de cada caso, pero se recomienda que no supere en ningún caso los tres meses, siendo el plazo de un mes el considerado estándar. 
  3. Durante el tiempo en que esté en funcionamiento el mensaje automático, y para que esta estrategia pueda llevarse a cabo sin el menoscabo de los derechos de protección de datos del exempleado, el buzón de correo deberá permanecer bloqueado de manera que no pueda accederse a su información. Una vez transcurrido dicho plazo, el buzón será eliminado.
  4. Durante este tiempo el tratamiento ya no puede basarse en el cumplimiento de la relación contractual entre la empresa y el empleado, pero, según la autoridad belga, se encuentra justificado en base al interés legítimo de la empresa, “con el fin de garantizar la continuidad de sus servicios”. Tras el transcurso de ese plazo, no obstante, se carecerá de legitimación alguna. 

Con esta estrategia, se responden las preguntas planteadas en relación a los principios del RGPD que entran en juego. En vista de lo anterior:

¿Se puede justificar el mantenimiento de los datos tras el cese de la relación laboral? Sí, en base al interés legítimo de la empresa de garantizar su funcionamiento y continuidad de sus servicios, evitando la pérdida de información relevante.

Derivado de esta respuesta, siempre que la información almacenada en el buzón sea relevante para la empresa y su pérdida pueda suponer un problema, el mantenimiento del tratamiento durante un tiempo adicional no puede considerarse incompatible con la finalidad principal.

¿Implica esta conservación adicional una vulneración de la limitación del plazo de conservación? No, siempre que el plazo adicional sea prudente en relación con las concretas circunstancias del caso, y no sea superior a los tres meses

Sara Hervías Costa, Privacy Counsel, Legal Army.

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias