El acceso a la información dentro de una empresa es un tema crucial en materia de seguridad y privacidad. Un reciente fallo del Tribunal Superior de Justicia de Madrid ha puesto de relieve esta cuestión, declarando improcedente el despido de un responsable de seguridad por consultar correos electrónicos de directivos sin un motivo laboral aparente.
Tabla de contenidos
El fallo del Tribunal Superior de Justicia de Madrid
En noviembre del pasado año, se dictó una sentencia por el Tribunal Superior de Justicia de Madrid, cuya ponente fue la Magistrada Doña María de la Concepción del Brío Carretero, que confirmaba lo que en primera instancia había dictaminado un Juzgado de lo Social.
Lo que a priori puede parecer curioso, es que nuevamente, se falla a favor de declarar como improcedente el despido de un trabajador por haber accedido a los registros del sistema de su empresa y, más concretamente, a correos electrónicos de los directivos, sin existir ningún motivo laboral aparente para ello.
El trabajador y sus funciones dentro de la empresa
Para ponernos en antecedentes y entender el fallo del TSJ de Madrid, hemos de puntualizar que se trataba de un trabajador por cuenta ajena de la empresa demandada y que, dentro de los servicios propios de su categoría profesional, como Director IT y Comunicaciones y Responsable de Seguridad de la Información, tenía acceso a las funciones de superadministrador. Esto supone, que contaba con capacidad para efectuar consultas en los registros del sistema y acceder al envío y recepción de correos de los usuarios.
También es importante señalar, que la empresa en cuestión, contaba con la certificación ISO-27001 desde 2019, habiendo sido renovada por un periodo de tres años, es decir, en 2022; y, además, se realizaba una auditoría externa todos los primeros trimestres de cada año y, para ello, esta persona era el responsable de coordinación, es decir, participaba en su preparación.
El informe de auditoría y la decisión del despido
En un determinado momento, la jefa de Información y delegada del CEO de la empresa encargó al responsable de ciberseguridad y subordinado del trabajador posteriormente despedido, que revisara los accesos al sistema de los superadministrador del mismo, al creer que se habían filtrado datos de una reunión.
Este emitió un informe de auditoría, en el que se comprobó que, a través de la plataforma ofimática Google Workspace, el trabajador despedido consultó el listado de correos electrónicos enviados y recibidos por el personal de la empresa y su matriz National Express. Como consecuencia, la empresa le informó de la apertura de un expediente disciplinario por la presunta comisión de una falta laboral, lo que finalmente derivó en su despido.
Los argumentos de la empresa y la defensa del trabajador
La cuestión es que, por su trabajo, esta persona tenía acceso a todo el sistema de la empresa. Sin embargo, lo que la empresa le imputa es que llevó a cabo consultas en los registros del sistema, y más concretamente en las entradas y salidas de correo electrónico de parte del personal directivo de la empresa.
Según mantiene esta última, el trabajador se apartó de sus tareas, lo que hizo que tuviera acceso a información confidencial perteneciente a la vida privada de diversos directivos de la empresa.
El fallo del TSJ: Despido improcedente
Pese a que el trabajador no justificó en el procedimiento judicial que había algún motivo laboral para acceder a dichos correos electrónicos, la sentencia consideró en primera instancia, y ha sido confirmada en segunda, que lo realizado por este constituye la esencia de las funciones de su puesto de trabajo, por lo que, en todo caso, estaba autorizado para acceder a dicha información en el sistema.
Como se ha señalado anteriormente, se trataba de un usuario con acceso a funciones de superadministrador, lo que significa capacidad y autorización para efectuar consultas en los registros del sistema, incluyendo: correos electrónicos, mensajes de chat, calendario, etc.
En la carta de despido que le fue entregada a este trabajador, se le imputa haber obtenido información confidencial perteneciente a la esfera de la privacidad profesional de directivos. Sin embargo, el Tribunal considera que lo manifestado en dicha carta no son más que elucubraciones y conjeturas, ya que, se insiste, realizar esas consultas entraba dentro de las funciones propias de su cargo y, por tanto, estaba autorizado para ello.
El TSJ de Madrid confirma la sentencia dictada en primera instancia, que declaraba el despido improcedente, ya que dictamina que la empresa no logró probar que existió por parte del trabajador una transgresión de la buena fe empresarial.
Conclusiones: Delimitación de accesos y funciones
En definitiva, es importante delimitar tanto quién tiene acceso a la información de nuestra empresa como las funciones que se le asigna a cada persona trabajadora para ello. Es crucial saber que existen puestos, como el de superadministrador, que pueden verse amparados por su categoría profesional cuando acceden a información sensible de la compañía.
Si lo deseas, puedes consultar la sentencia completa aquí.