El uso del correo electrónico por un empleado que ha cesado
Es frecuente la consulta acerca de cómo proceder cuando un empleado ha cesado pero su dirección de correo electrónico sigue recibiendo peticiones.
Es frecuente la consulta acerca de cómo proceder cuando un empleado ha cesado pero su dirección de correo electrónico sigue recibiendo peticiones o consultas de terceros ajenos a la organización, bien clientes o proveedores.
Como punto de partida se deberá tener en cuenta la normativa que viene a regular esta situación una vez el empleado ha cesado. Se debería tener en cuenta, tanto la normativa laboral en cuanto a derechos de los empleadores y los empleados, así como la normativa que hace referencia al tratamiento de datos personales.
RGPD – Tratamiento de datos personales
Los fundamentos en el tratamiento de datos personales o principios rectores son:
(1) Principio de licitud del tratamiento (art.6 RGPD) que, aplicado a la situación planteada, tendrá relación con la limitación del empresario a mantener la cuenta de correo electrónico activa sin nada que lo justifique cuando el empleado ya no se encuentra colaborando con la organización. Dar continuidad a las cuentas de correo electrónico de los exempleados carece de toda justificación.
(2) La finalidad para la cual se ha venido tratando los datos, ha perdido su razón de ser con la extinción de la relación laboral.
(3) Para el caso de que la organización se apoye en la titularidad de un interés legítimo, valga decir que los tratamientos no deberían tener por defecto un tratamiento por tiempo ilimitado una vez cesada la relación contractual.
Prudencialmente sugerimos un periodo de entre 1 y 3 meses desde la finalización de la colaboración, transcurrido el cual, la cuenta debería ser bloqueada o eliminada.
Uno de los requisitos en la relación con el trabajador o colaborador es la de informarle de los tratamientos que se va a hacer de sus datos y que deberá incluir desde que se inicia la relación laboral hasta la finalización de la misma. Se le deberá dar también la posibilidad de ejercer sus derechos para todos aquellos tratamientos que se estén llevando a cabo más allá de la propia relación laboral, stricto sensu.
Como antecedente y a modo de recomendación, hacemos mención a la Recomendación del Comité de Ministros del Consejo de Europa del año 2015, Result details (coe.int) en el que se cita en el artículo 14, o siguiente: (…)
“14. Uso de Internet y de comunicaciones electrónicas en el lugar de trabajo. (…) 14.4. El contenido, envío y recepción de comunicaciones electrónicas privadas en el trabajo no debe ser monitoreado en ninguna circunstancia. 14.5. Cuando un empleado abandone la organización, el empleador debe adoptar las medidas organizativas y técnicas necesarias para desactivar automáticamente la cuenta de mensajería electrónica del empleado. Si el empleador necesita recuperar el contenido de la cuenta de un empleado para el funcionamiento eficaz de la organización, deberá hacerlo antes de su partida y, cuando sea posible, en su presencia.”
Con esta recomendación se establecieron unos principios a tener en cuenta en relación con los empleados, a saber:
1. Informar al empleado de cuándo se utilizan herramientas de monitorización de las comunicaciones.
2. Adopción de las medidas necesarias para el tratamiento de los datos de las comunicaciones y ponerlas en conocimiento de los empleados.
3. Respeto a la privacidad y la intimidad por parte del empleador.
4. Que las acciones se encuentren acordes con la normativa nacional que le aplique.
Desde OptimumTIC proponemos un protocolo básico a aplicar en situaciones en las que el empleado ya no se encuentra en la organización, pero su cuenta de correo electrónico aún se encuentra activa:
1. Diseñar e implementar un Protocolo de bloqueo del buzón de correo del empleado cuando cambiare la relación con respecto a la empresa.
2. Crear un mensaje de respuesta automática previo al bloqueo definitivo del buzón del empleado que ha cesado y que deberá alertar a cualquiera que haga envíos a ese buzón, de que el empleado ya no se encuentra colaborando con la compañía. En el contenido del mensaje se deberá advertir de la situación de cese del empleado y proponer las direcciones de correo electrónico alternativas a las cuales poder dirigirse.
Habrá que tener en cuenta que, la redirección del correo de un empleado a otro deberá ser por tiempo limitado.
3. Bloqueo de la cuenta de correo: Lo razonable sería bloquear la cuenta desde el mismo día que cesa, sin embargo, en caso de roles de alta responsabilidad, es posible que la organización pueda mantener su cuenta de correo electrónica activa por un periodo razonable de tiempo, de entre un mes (1) y un máximo de tres (3).
4. Eliminación de la cuenta de correo: Una vez transcurridos los plazos, y sin estar justificado en modo alguno, el correo electrónico debería ser eliminado / bloqueado.
Desde un punto de vista de legislación penal, el hecho de mantener una cuenta de correo electrónico activa, de una persona que no se encuentra trabajando en la organización, puede dar lugar a la comisión de delitos como:
a. La usurpación de estado civil / identidad: se produciría con el solo hecho de contestar a los clientes con el correo electrónico del exempleado.
b. Fraudes / estafas: con un uso fraudulento de sus credenciales en su nombre.
c. Vulneración de la privacidad: para el caso que pudiera recibir comunicaciones personales y el buzón siguiera activo y gestionado por otro empleado.
Recomendamos cesar cualquier actividad que se esté llevando a cabo con el correo electrónico del exempleado, implementar un mensaje durante un mes mencionando en el texto falta de disponibilidad de la cuenta del exempleado, ofrecer una cuenta de correo alternativa y, transcurrido el tiempo de un mes, bloquear la cuenta.
Desde OptimumTIC velamos por la seguridad y privacidad desde nuestro origen y creación en 2009, ayudando a conocer e implementar una buena gestión en cuanto a los tratamientos de los datos personales, siempre bajo la perspectiva de cumplimiento de normativas tan importantes como Reglamento General de Protección de Datos (RGPD) o la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), no solo adecuando sino disponiendo las medidas de seguridad que deben implementarse en las organizaciones.
Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escríbenos a info@optimumtic.com
