Los emails corporativos son cuentas de correo electrónico que se encuentran bajo un dominio de una empresa privada y, normalmente, no están asociadas a dominios públicos como por ejemplo Gmail u Outlook. Lo habitual, es que este tipo de emails se compongan por el nombre del usuario, seguido de una arroba y el nombre del dominio (por ejemplo, mi correo corporativo es felipe@terminosycondiciones.com). Este email de empresa ayuda a los receptores a abrir dichos correos con más confianza al asociarlos a una persona y, entre otras cosas, se utilizan para enviar y recibir comunicaciones, programar correos electrónicos u ordenar, categorizar y gestionar los mensajes.
Dicho esto, debemos tener ojo cuando reutilicemos un email corporativo, ya que si no lo configuramos correctamente podemos ser sancionados. Esto es lo que le sucedió a una empresa que se dedicaba a la formación y la docencia que no se molestó en configurar adecuadamente el correo corporativo y la Agencia Española de Protección de Datos (o AEPD), organismo público encargado de velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal en España, la sancionó con 5.000 euros por asignar a una trabajadora una cuenta de correo electrónico que pertenecía a la profesora a quien sustituyó.
En concreto, en este caso la trabajadora fue contratada para sustituir a la tutora de unos cursos que imparte la empresa de formación y para desarrollar esta actividad le facilitaron una cuenta de correo electrónico corporativa. Según afirmó la trabajadora, al acceder a ella se percató de que la cuenta de email no era suya, sino que era la cuenta de correo de la persona a la que sustituyó. En lugar de darle una cuenta corporativa nueva, se reutilizó la de la anterior trabajadora. Al parecer, la cuenta de correo no fue configurada correctamente porque al remitir correos electrónicos desde su email, en lugar de aparecer el nombre actual, constaba el de la antigua profesora.
Viendo lo que sucedía, la trabajadora comunicó los hechos remitiendo un correo electrónico a la empresa. El mismo día le contestaron que la cuenta que le habían asignado es la que utilizaba la otra tutora, pudiendo eliminar las carpetas que considerase oportunas. La trabajadora manifestó que a través de la cuenta asignada podía acceder a todos los correos remitidos y recibidos por la anterior trabajadora, constando los datos tributarios y de facturación a terceros con todos sus datos personales, teléfonos, dirección, cuenta bancaria, entre otros.
Sea como sea, cuando la trabajadora se percató de que la empresa no tenía mucho interés en lo que sucedía, decidió interponer reclamación ante la AEPD, ya que consideraba que la empresa de formación vulneraba la normativa de protección de datos al permitirle acceder a la citada información, ya que en la misma obran datos personales de los alumnos y de la trabajadora a la que sustituyó.
Llegados a este punto, es normal que nos preguntemos, ¿se pueden reutilizar emails corporativos? No si no se configura el correo correctamente. Como hemos mencionado, la AEPD sancionó con 5.000 euros a la empresa por asignar a una trabajadora una cuenta de correo electrónico que pertenecía a quien sustituyó. Más concretamente, la sanción económica viene motivada por dos cuestiones directamente relacionadas con la mala configuración del email corporativo.
La primera de ellas es que la trabajadora, al reutilizar un correo corporativo, ha tenido acceso a datos de carácter personal que no eran los necesarios para el ejercicio de su actividad, como por ejemplo el historial completo, desde el año 2017, de los emails de la profesora a la que sustituyo, con datos de alumnos de cursos pasados, datos de facturas, certificados de retenciones de la anterior empleada, teléfono, domicilio). Esto supone una infracción, por vulneración del artículo 5.1.f) del Reglamento Europeo de protección de datos (o RGPD) que nos dice que los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad. O lo que es lo mismo, los datos personales serán utilizados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
En segundo lugar, al mantener la misma cuenta de correo electrónico corporativa, dando de baja al anterior profesor y de alta al nuevo, las medidas de seguridad de la empresa no son adecuadas a la normativa de protección de datos, suponiendo tales hechos la infracción del artículo 32 del RGPD al exponerse a terceros datos personales.
Recordemos que dicho artículo nos dice que “deberán aplicarse las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, cuestión que obviamente no se cumplió en este caso, ya que la antigua profesora (y otras personas relacionadas con ella) se han visto desprovistos del control sobre sus datos personales. Y, ante este riesgo, la empresa debería haber establecido las medidas técnicas y organizativas necesarias que impidieran dicha pérdida de control de los datos por parte de los titulares de los mismos.
En conclusión, si no se configura correctamente NO se puede reutilizar un correo electrónico corporativo, ya que pueden generarse situaciones donde se vulnera la normativa de protección de datos por permitir acceder a información personal a personas no autorizadas a ello, y no aplicar las medidas de seguridad pertinentes al caso.
Por último, si necesitas ayuda legal, puedes ponerte en contacto con nuestros especialistas en derecho digital en www.terminosycondiciones.es o +34 601 32 77 00.
