Cuando un empleado deja una empresa, deja atrás una cuenta profesional de correo electrónico que puede tener miles de mensajes almacenados. En muchas ocasiones, la empresa decide conservar esa cuenta activa para monitorizar mensajes entrantes que pueden ser de interés (clientes, proveedores, etc.). Una sentencia reciente de la agencia belga de protección de datos nos dice que esta práctica se debe tomar con precaución.
En el caso presentado en Bélgica, el CEO de una empresa sanitaria, que había sido despedido de manera abrupta, denunció a su antigua empresa por seguir usando su cuenta de correo profesional con su nombre y su apellido. La investigación de la agencia evidenció que la empresa había seguido usando la cuenta por un periodo de dos años y medio después del despido del CEO y que había mantenido correspondencia sin avisar a los destinatarios de que la persona ya no era un empleado. La sanción impuesta ascendió a 15 000 euros.
La agencia belga ha establecido una serie de directrices para empresas para que situaciones como esta no se vuelvan a dar. Aquí las resumimos.
¿Qué podemos hacer para evitar este tipo de sanciones según la autoridad belga?
Para evitar este tipo de situaciones, se debe establecer de antemano una política de empresa relativa a las cuentas de correo de antiguos empleados. Esta política debe recoger todos los supuestos que se contemplen ante esta eventualidad.
En cualquier caso, antes de que el empleado abandone su puesto de trabajo, se le debe dar la posibilidad de borrar todos los mensajes de carácter privado que considere oportunos. Si fuese necesario conservar algunos de los correos de la cuenta en cuestión, este proceso debe llevarse a cabo antes de que el empleado abandone su puesto y comando con su permiso. Esto evitará posibles disputas en el futuro.
Se debe bloquear la cuenta lo más tarde posible en el último día de trabajo del empleado, es decir, no se le debe prohibir el acceso a su cuenta antes de la terminación de su relación laboral. Además, el empleado debe ser informado del bloqueo de su cuenta.
En ese mismo último día, se deberá activar un mensaje automático de respuesta que informe a cualquier persona que envíe un email de que el empleado ya no trabaja en la empresa, proporcionar la fecha desde la que la cuenta ha sido bloqueada y datos de contacto alternativos de la persona durante un periodo razonable de tiempo.
La agencia belga considera que no se puede activar una regla de reenvío automático por la posibilidad de que se reciba material sensible relacionado con el exempleado sin que este sea consciente de ello.
Entre un mes y tres meses después de la partida del empleado, la cuenta debe ser borrada y la respuesta automática desactivada.
La autoridad belga considera que en casos excepcionales se puede mantener activa la respuesta automática por un periodo mayor a tres meses si el empleado en cuestión tenía una gran responsabilidad, por ejemplo, un alto directivo. En cualquier caso, esta extensión tiene que estar documentada y contar con el visto bueno del exempleado.
La agencia belga aconseja a las empresas firmar acuerdos con sus exempleados sobre este tema para evitar disputas legales. En el caso de que no sea posible este acuerdo, se recomienda documentar que se han seguido todas las directrices de manera que pueda ser probado en un tribunal.
