viernes, 16 de enero de 2026

Control del ordenador de empresa: límites legales

Control del ordenador de empresa: qué puede (y qué no puede) hacer la empresa

Cuando saltan “red flags” (bajo rendimiento, incumplimientos, fuga de información, uso abusivo de internet…), es normal que la dirección quiera verificar qué está pasando en el equipo corporativo. La clave es hacerlo con método, trazabilidad y límites claros, porque un control mal ejecutado puede tumbar la prueba y convertir un caso “ganado” en un problema de compliance.

1) Marco legal: el “por qué” y el “hasta dónde”

La empresa tiene habilitación legal para medidas de vigilancia y control para verificar el cumplimiento de obligaciones laborales, respetando la dignidad del trabajador (art. 20.3 ET). 

Pero esa habilitación convive con el derecho a la intimidad en el uso de dispositivos digitales de empresa y con reglas específicas:

  • El empleador puede acceder a contenidos del dispositivo solo para controlar obligaciones laborales o garantizar la integridad del equipo (art. 87.2 LOPDGDD).
  • Debe fijar criterios de uso con participación de la representación legal de las personas trabajadoras y informar a la plantilla (art. 87.3 LOPDGDD).  

2) Condición de entrada: información previa y política de uso

Para estar en un “safe zone” operativo, la empresa debería poder acreditar:

  1. Política interna/criterios de uso (qué se permite y qué no).
  2. Información previa a la plantilla de que puede haber controles y su alcance (art. 87.3 LOPDGDD).  
  3. Si se admite uso privado, especificar usos autorizados y, en su caso, periodos de uso privado + garantías de privacidad (art. 87.3 LOPDGDD).  

Insight práctico: si existe prohibición expresa de uso extralaboral (por convenio o política), la “expectativa razonable de privacidad” baja y el control tiene mejor encaje, siempre que sea proporcional. La STC 170/2013 lo avala en un caso de correos extraídos del portátil corporativo y pondera la proporcionalidad (idoneidad, necesidad y ponderación). 

3) “Sospechas fundadas” + triple juicio de proporcionalidad

Para que el control sea defendible, aterriza el triple test:

A) Medida justificada (finalidad legítima)

Debe haber un motivo real y documentado: indicadores objetivos, incidencias, alertas de seguridad, incumplimientos, fuga de datos, etc. (no “fishing expedition”).

B) Medida idónea y necesaria

Acceder solo a lo imprescindible para confirmar o descartar la irregularidad. La AEPD insiste en minimización: informar de la medida, no recabar más datos de los necesarios y no usar datos para fines distintos del control. 

C) Medida proporcionada en sentido estricto

El “cómo” importa: mejor una revisión acotada (carpetas corporativas, logs, historial corporativo) que un volcado masivo indiscriminado.

4) Líneas rojas: lo que NO debería hacerse

Aquí es donde más se cae la prueba:

  • Entrar en cuentas privadas (correo personal, nube personal, redes sociales) si están abiertas o guardadas en el navegador sin base y sin garantías.
  • Acceder a información íntima o a carpetas claramente personales cuando el control puede cumplirse sin ello.
  • “Aprovechar” el control para objetivos paralelos (p. ej., monitorizar ideología, salud, vida personal).

Además, si se accede sin consentimiento a mensajes/correos ajenos o datos reservados, puede haber exposición penal por descubrimiento y revelación de secretos (art. 197 CP). 

5) Cómo hacerlo bien (playbook de buenas prácticas)

Checklist ejecutivo (modo auditoría):

  • ✅ Ticket interno con la causa (hechos, fecha, indicios, impacto).
  • ✅ Validar política de uso + prueba de información previa (firma, intranet, onboarding).  
  • ✅ Alcance mínimo: qué se busca, dónde, durante qué periodo.
  • ✅ Intervención de IT/forense (y si es sensible, cadena de custodia: copia espejo, hash, acta).
  • ✅ Evitar acceder a contenido privado; si aparece, parar y reconfigurar el alcance.
  • ✅ Documentar todo para sostener proporcionalidad (AEPD: informar, minimización, finalidad).  
  • ✅ Conclusión: medidas disciplinarias alineadas y consistentes (gradualidad/sanción).

6) Riesgos si se hace mal

  • Prueba nula o inutilizable en un despido/sanción (impacto directo en la estrategia procesal).
  • Riesgo de infracción de protección de datos (AEPD) por exceso de tratamiento o falta de información/limitación de finalidad.  
  • Riesgo penal si se invade correspondencia/comunicaciones o datos reservados (art. 197 CP).  

FAQ rápida

¿Puede la empresa revisar el ordenador sin avisar?

Puede adoptar controles (art. 20.3 ET), pero en la práctica necesitas haber informado previamente y tener criterios de uso; y el control debe ser proporcional (art. 87 LOPDGDD). 

¿Y si el trabajador tiene el Gmail personal abierto?

Terreno de alto riesgo: entrar ahí puede cruzar la línea de intimidad y secreto. Si no es imprescindible, no acceder; reorienta el control a evidencias corporativas. (Riesgo art. 197 CP si se accede sin consentimiento). 

¿Qué pasa si el convenio prohíbe el uso personal?

Ayuda mucho: reduce la expectativa razonable de privacidad y refuerza la legitimidad del control, siempre que sea proporcional (STC 170/2013). 

CTA (bloque final)

Si estás valorando auditar un equipo corporativo por sospechas de uso indebido (o necesitas blindar una sanción / despido), podemos ayudarte a diseñar el alcance, preparar política y evidencias y ejecutar el control con mínima exposición legal.


Juan Ramón Fernández 
ADSER ASESORES
Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)