Plazo de conservación para los datos del correo electrónico
En virtud del principio de limitación del plazo de conservación, la regla general es que los datos personales se conserven exclusivamente durante el tiempo necesario para cumplir con la finalidad para la que fueron recabados y, posteriormente, durante el tiempo de prescripción legal de las acciones relacionadas con dicha información.
Ahora bien, en el día a día de una empresa existen muchas situaciones en las que es difícil determinar qué plazos de borrado seguir, bien porque no existe normativa concreta que sea de aplicación, bien porque las Autoridades de Control no se han pronunciado al respecto.
¿Cuál es el mejor procedimiento ante las bajas?
Esta situación de incertidumbre se venía dando, hasta ahora, respectó de cómo proceder con los correos electrónicos de los empleados que causan baja en la empresa. A lo largo de los años, la jurisprudencia se ha pronunciado al respecto, pero no ha sido hasta finales de septiembre de 2020 cuando la Autoridad de Protección de Datos de Bélgica se ha pronunciado ofreciendo una postura muy práctica de cómo proceder en estos casos. La Autoridad de Control se vio obligada a pronunciarse con motivo de una sanción de 15.000 € a una pequeña empresa (13 empleados), por conservar activo durante varios años el buzón de email corporativo de uno de los responsables de la entidad tras su despido.
Primeramente, es muy importante que la empresa informe, al inicio de la relación laboral, que el uso del correo electrónico es puramente laboral y que se restringe su uso para fines personales. Así la empresa, al encontrarse dentro del ámbito profesional y no personal, puede acceder y monitorizar el correo de sus empleados sin su consentimiento, siempre que el empleado esté en “activo”.
Sin embargo, la problemática surge cuando el empleado se va, respecto de los correos recibidos y NO leídos. Ante esta situación, el derecho fundamental al secreto de las comunicaciones predomina y la empresa ya no estaría habilitada a leerlos. En este caso, la pauta de actuación es similar a cuando un empleado está de baja o se encuentra de vacaciones. Se debe configurar una respuesta automática durante un plazo determinado, pidiendo al remitente que reenvíe su correo electrónico a una determinada dirección: su sustituto, dirección genérica del departamento, su superior… No obstante, durante un tiempo prudencial, en función de la relevancia del empleado que haya cursado baja, se podrá acceder a los correos electrónicos ya abiertos y leídos, pero no a los no leídos, para los que se debería llevar a cabo la solución anterior. Pasado dicho plazo, al ser el correo electrónico un dato personal, aunque sea corporativo, y al haber terminado la finalidad para la que fue habilitado, se deberá cancelar ese dato.
La configuración y mantenimiento de las respuestas automáticas
Respecto a qué plazo configurar para la respuesta automática, la autoridad belga recomienda mantener la respuesta automática durante un período razonable «normalmente 1 mes». Dicho plazo puede prorrogarse según el contexto y el «grado de responsabilidad» de la persona en cuestión, siempre que (i) la duración sea «idealmente» no superior a 3 meses, (ii) se proporcione una justificación para la prórroga y (iii) la persona sea informada de esta prórroga (es preferible que la persona esté de acuerdo con la prórroga y no sólo sea informada de ella).
Cabe destacar, que respecto a potenciales correos electrónicos personales que pudieran contenerse en el correo corporativo, la autoridad belga se pronuncia en el sentido de que se debe permitir al empleado recuperar o eliminar sus correos electrónicos personales “en la misma forma en que se debe permitir que la persona en cuestión recoja sus efectos personales, también se le debe permitir que recopile o elimine sus comunicaciones electrónicas privadas antes de su partida«. Asimismo, “si una parte del contenido del buzón debe ser recuperada para asegurar el buen funcionamiento de la organización […] debe hacerse antes de su salida y en su presencia”, y en caso de controversia, «se recomienda la intervención de una persona de confianza«.
¿Cómo podemos ayudarte?
Desde GlobalSuite Solutions podemos apoyarte en la implantación de protocolos de tratamiento de los datos personales, conservación de los mismos, determinación de bases legales legítimas, consiguiendo que tu Sistema de Gestión de Protección de Datos esté perfectamente integrado con un software como GlobalSuite® Privacy Data Protection y este te ayude a tu organización con el cumplimiento de los requisitos exigidos en el RGPD y la LOPDGDD.