Sentencia de 23 de octubre de 2018 (Sala penal).
¿Puede fracasar una investigación interna corporativa por la ausencia de un protocolo que regule el uso de medios tecnológicos? ¿La existencia de un protocolo válido de este tipo, coadyuva a la hora de valorar la eficacia ex ante de un modelo de prevención de delitos?
Leyendo la sentencia que comentamos en este artículo, la respuesta se nos antoja afirmativa. La finalidad de un modelo de prevención de delitos no solo es la prevención, sino la detección de conductas delictivas, y para la detección de éstas debe accederse en muchas ocasiones (de forma legítima) a los medios tecnológicos o dispositivos usados por el personal.
El pasado día 23 de octubre de 2018, la Sala de lo Penal del Tribunal Supremo (“TS”) dictó sentencia (Magistrado ponente D. Antonio del Moral) en relación con cuestiones relativas a la vulneración de los derechos a la intimidad, al secreto de comunicaciones y a la protección de datos, en conexión con la ilicitud de la prueba, en particular, en un supuesto de acusación por parte de una compañía a uno de sus directivos por la comisión de un presunto delito de apropiación indebida.
Este directivo, que fue condenado en fecha 1 de junio de 2017 por la Audiencia Provincial de Vizcaya sobre la base de determinados emails que fueron aportados por la compañía, y que le inculpaban directamente, interpuso ante el TS recurso de casación por infracción de ley y vulneración de precepto constitucional.
El principal objeto de discusión en el presente supuesto, entre otros, se refiere a si la compañía, con la finalidad de obtener pruebas para ser aportadas a un procedimiento judicial, tiene o no la potestad para acceder al correo electrónico del directivo sin su consentimiento, pudiendo llegar a transgredir los derechos a la intimidad, secreto de comunicaciones y protección de datos del directivo.
Pues bien, el TS determina que respecto a esta cuestión entra en juego un derecho fundamental de nueva generación: el derecho al propio entorno virtual, que integra toda la información de correo electrónico que genera el usuario, y que incluye tanto datos técnicos y empresariales, como datos personales que pueden quedar circunscritos dentro del ámbito de los derechos a la intimidad, secreto de comunicaciones y protección de datos. Por ello, ante la exigencia de llevar a cabo la investigación y castigo del delito en este entorno digital, resulta necesario dotar de protección jurisdiccional a estos derechos.
El TS basa su argumentación en la Sentencia del Tribunal Europeo de Derechos Humanos de 5 de septiembre de 2017, sobre el asunto Barbulescu, en el que se ponderan los bienes en conflicto y se establece que el interés de la empresa de descubrir las conductas ilícitas del directivo prevalecerá únicamente si se atiende a ciertos estándares (conocidos como el “Test Barbulescu”), en particular: i) la necesidad y utilidad de la medida; ii) la inexistencia de otras vías menos invasivas; iii) la existencia de sospechas fundadas.
Sin embargo, si bien estos elementos contribuyen a la ponderación de los bienes en conflicto, la premisa esencial de todos ellos, y que se constituye, en palabras del TS, en un “prius inexcusable”, es que se advierta al trabajador que las herramientas están circunscritas única y exclusivamente al desempeño de sus tareas dentro de la compañía, y que, por tanto, la compañía puede acceder a dichas herramientas para comprobar si se está realizando el uso adecuado de las mismas. Es decir, debe existir un presupuesto ex ante legitimador de dicha injerencia: el consentimiento informado previo al trabajador.
A este respecto, el TS señala que conviene apreciar la existencia de un hábito social generalizado de tolerancia en ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores, que a su vez genera una expectativa de confidencialidad en esos usos. De ahí precisamente la necesidad de comunicar al trabajador, con carácter previo, que la empresa va a realizar un control de estos medios informáticos y los mecanismos que se reserva para ello, de forma que pueda entenderse que existe consentimiento, ya sea tácito o expreso, por parte del trabajador.
En este caso concreto, es este último requisito el que se infringe por parte de la empresa para recabar dichas pruebas, por lo que el Tribunal entiende que el acceso al ordenador constituye una actuación indagatoria ilegítima que vicia la prueba.
En este sentido, el TS señala que resulta indiferente si los datos que aparecen en las indagaciones están o no vinculados a los derechos transgredidos mediante dicha actuación, o si inculpan o no al directivo, ya que entiende que el acceso a estos datos queda blindado con una “muralla” que solo cede ante el consentimiento previo del afectado o ante una autorización judicial, y que no puede ser subsanado a posteriori.
Por lo tanto, la evaluación de si ha existido la vulneración de referencia solo puede realizarse ex ante, es decir, que la ilegitimidad no deriva de la forma de acceso más o menos intrusiva a estos datos ni del contenido obtenido, sino del acceso no consentido y no advertido previamente.
En cuanto a posibles excepciones que puedan operar sobre dicha ilicitud, por haberse producido la obtención de las pruebas de referencia entre particulares, el TS resuelve que la flexibilidad interpretativa no puede llegar al punto de traicionar la dicción del artículo 11.1 de la LOPJ (que consagra la licitud de la prueba).
El TS concluye indicando que se podía y debía haber extremado la cautela en este supuesto habiendo ya numerosa jurisprudencia que alertaba sobre la dudosa legalidad de la actuación llevada a cabo por la empresa, por lo que determina que la prueba no puede utilizarse, razón por la que se estima parcialmente el recurso analizado, anula la sentencia recurrida y reenvía la causa al Tribunal a quo para un nuevo enjuiciamiento.
