ACCeso a las cuentas de correo del personal

Comentario de Manuel Castilleja 14 de abril de 2025

1. Cuentas de correo corporativas

En el ámbito laboral y para el desempeño de sus funciones dentro de la organización, si la persona trabajadora precisara una cuenta de correo electrónico, se la debe proporcionar la organización para la que trabaja.

Nunca se deben utilizar cuentas de correo electrónico personales, ya que entre otras cuestiones:

  • Son para uso privado, no corporativo, por lo que la entidad gestora de las mismas (Google, Microsoft, etc.) no asumiría la condición de encargado del tratamiento, dado que son para uso personal.
  • Se precisaría contar con una base jurídica que legitimara el tratamiento, en este caso el consentimiento de la persona trabajadora, con la dificultad añadida de acreditar que lo prestó libremente.
  • No se cumpliría el principio de minimización de datos (art. 5.1.c RGPD), dado que se podría lograr el mismo objetivo (comunicaciones para el desempeño de las funciones de la persona trabajadora) sin tratar el dato personal que es la cuenta de correo personal, en este caso utilizando una cuenta de correo corporativa.
  • La organización como responsable del tratamiento, no podría garantizar:
    • Si se han aplicado medidas de seguridad adecuadas.
    • Quien accede a la cuenta de correo.
    • Donde se almacenan los datos.
    • La atención de los derechos del interesado.
    • Etc.

2. Cuándo se considera la cuenta de correo electrónico corporativo un dato personal

Las cuentas de correo corporativo pueden ser específicas o genéricas, según puedan identificarse o no, a través de ellas, a las personas trabajadoras que las utilizan.

Las direcciones de correo electrónico corporativo específicas se consideran siempre un dato personal:

  • Direcciones personalizadas: supuestos en que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja (aparezcan o no en la denominación del dominio utilizado). Por ej.: j.orion@entidad.es; j.o@entidad.es; director@entidad.es; etc.
  • Direcciones no personalizadas: supuestos en los que, en principio, la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En estos casos, la dirección por sí sola no identifica a la persona que es titular de la misma. Pero ésta puede ser fácilmente identificable sin un esfuerzo desproporcionado, bien porque la dirección puede aparecer junto con otros datos que permiten su identificación, bien por el contenido del mensaje, bien a través de los datos que dispone el servidor de correo. Por Ej.: abc123@entidad.es; astro66@entidad.es; etc.

Las direcciones de correo electrónico corporativo genéricas, se pueden considerar o no un dato personal:

  • Uso compartido: no se considera un dato personal, cuando la cuenta genérica es de uso compartido o de un área o departamento concreto de la organización (por Ej.: consultas@entidad.es). En estos casos, la dirección de correo electrónico no se puede vincular a una persona física identificada o identificable, sino que la pueden atender diferentes usuarios.
  • Uso no compartido: cuando es utilizada por una única persona trabajadora, pudiéndose identificar (directa o indirectamente), se considera dato personal a todos los efectos.

3. Acceso a las cuentas de correo corporativas por parte de la organización

3.1. Durante la relación laboral

Una entidad puede revisar el correo corporativo que asigna a sus personas trabajadoras, al ser necesario para la ejecución y desarrollo de la relación laboral entre ambos (art. 6.1.b RGPD) y en base a las facultades de dirección y control que el art. 20.3 del Estatuto de los Trabajadores (ET) confiere a la organización para verificar que las personas trabajadoras cumplen con sus obligaciones laborales (art. 87 .2 LOPDGDD).

Para hacerlo de manera lícita deberán tenerse en cuenta las siguientes cuestiones:

  • Haber informado en cualquier momento de la relación laboral, pero de manera previa al acceso o control (lo recomendable es hacerlo al comienzo de la relación laboral), a las personas trabajadoras de:
    • Que la entidad puede llevar a cabo ese tipo de controles sobre las cuentas de correo electrónico corporativas.
    • Que el correo corporativo facilitado por la entidad es solo para uso profesional, evitando de este modo la expectativa de privacidad de la persona trabajadora.
  • Debe poder acreditarse que se ha facilitado la información antes mencionada, por ejemplo, mediante la firma de la recepción de la misma por parte de la persona trabajadora.
  • El acceso debe hacerse de la forma menos intrusiva posible y no se pueden revisar de forma indiscriminada todos los correos electrónicos, solo con una justificación y cuando no haya ningún otro mecanismo que permita alcanzar el mismo objetivo sin necesidad de acceder a las mismas, por ejemplo, sospecha fundada de uso indebido o necesidad de acceder a información por ausencia de la persona trabajadora, etc.
  • La entidad deberá establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente, por lo que sería recomendable contar con una política de uso de dispositivos y medios electrónicos corporativos (incluidas las cuentas de correo electrónico) en la que se establezcan dichos criterios y que:
    • Debe negociarse con la representación legal de las personas trabajadoras (RLT) que además deben participar en su elaboración (art. 87.3 LOPDGDD); la no participación de la RLT conlleva la nulidad de las políticas o criterios, lo que implica que éstos no serían válidos, como tampoco lo sería su comunicación a las personas trabajadoras.
    • Se debe facilitar a todo el personal.
    • Deberá incluir entre otras cuestiones:
      • Los criterios de utilización de los dispositivos y medios electrónicos corporativos.
      • La prohibición de uso para fines personales.
      • El procedimiento por el cual la entidad accederá a la cuenta de la persona trabajadora tras la extinción de la relación laboral y el plazo de conservación de las comunicaciones.
      • El acceso por la organización al contenido de dispositivos digitales en los casos en que se haya admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de las personas trabajadoras, tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados, y se informe a las personas trabajadoras de estos criterios de uso.
  • El uso de la cuenta de correo electrónico corporativo de la persona trabajadora para enviar mensajes a terceros está prohibido, sería un acto fraudulento del que se podrían derivar consecuencias penales para el infractor, salvo que se cuente con su consentimiento y se indique claramente que la comunicación se hace en su nombre.

3.2. Una vez extinguida la relación laboral

Como regla general, la cuenta de correo corporativa de una persona trabajadora deberá ser bloqueada y eliminada tras el cese de ésta en la organización para evitar que dicha cuenta pueda seguir recibiendo y enviando comunicaciones.

Dicho bloqueo, deberá llevarse a cabo preferiblemente el día del cese. Si bien, de acuerdo con el contexto y, en particular, el grado de responsabilidad en la empresa de la persona cesada, se puede aceptar mantener la cuenta activa por un período de tiempo razonable.

Lo recomendable sería la creación de un mensaje de respuesta automática previo al bloqueo o supresión de la cuenta, que indique a quien se dirija a ella una nueva dirección a la cual dirigir las comunicaciones que venían haciendo a esta cuenta, indicando que la cuenta anterior ha causado baja y la dirección de contacto de la persona a la que tiene que dirigirse a partir de ahora en su lugar.

Excepcionalmente, cuando haya motivos importantes para la continuidad de la actividad de la entidad y/o de seguridad que lo justifiquen, la cuenta podrá ser redireccionada a otra persona trabajadora de la organización durante el periodo mínimo indispensable para atender esos motivos.

En caso de tener que acceder a la cuenta de correo de la persona extrabajadora, al haberse extinguido la relación laboral la base jurídica que legitime al acceso no puede ser ya la relación contractual (art. 6.1.b RGPD), cabrían entonces dos posibilidades:

  • Solicitar el consentimiento a la persona extrabajadora (art. 6.1.a RGPD), o
  • Que fuese necesario para la satisfacción de intereses legítimos perseguidos por la organización (responsable del tratamiento) o por clientes, proveedores, etc. (terceros) (art. 6.1.f RGPD), siempre que el no acceder pueda suponer la pérdida de comunicaciones importantes para la continuidad de la actividad de la entidad y no haya ningún otro mecanismo que permita alcanzar el objetivo perseguido (continuidad de la actividad) sin necesidad de acceder a la cuenta.

Para hacerlo de manera lícita deberán tenerse en cuenta además las siguientes cuestiones:

  • Se debe informar de manera previa a la persona extrabajadora.
  • El acceso debe llevarse a cabo:
    • De la manera menos intrusiva posible.
    • No por un tiempo indefinido, sino manteniendo la cuenta activa durante un período de tiempo razonable y no desproporcionado.
    • Si es posible se debería hacer antes de la marcha de la persona extrabajadora y, cuando sea posible, en su presencia.

Conforme al art. 32 LOPDGDD, una vez extinguida la relación laboral y no siendo ya necesario el acceso, debería procederse al archivo y bloqueo de las comunicaciones recibidas y enviadas por la persona extrabajadora para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas, transcurrido ese plazo deberá procederse a la destrucción.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Requerido