¿Deben las empresas archivar todos sus correos electrónicos?
- 1 noviembre, 2019
- Posted by: CEA Digital Law
- Categoría: Blog
En el ámbito privado se puede decidir si se quiere conservar los correos electrónicos y por cuánto tiempo. En el ámbito laboral, sin embargo, la situación es otra. Todos los países, entre ellos, el nuestro, han establecido una normativa que regula el archivo de emails comerciales en el ámbito empresarial, estando las empresas obligadas a conservar su comunicación escrita, también de tipo electrónico, durante periodos de tiempo diferentes según el marco en que se encuentren (protección de datos, comunicación contractual, etc.). El correo electrónico ha sustituido en gran parte a la comunicación por correo postal o por fax, y a menudo representa la única prueba de la comunicación comercial en caso de litigio o de otros procesos jurídicos.
La obligación de archivar los correos comerciales en España
Según el marco legislativo español, cualquier empresa que utilice el medio electrónico para comunicarse con socios, empleados, proveedores, etc., está obligada a conservar y archivar los correos electrónicos, no solo en calidad de testimonio de una transacción comercial, sino también en tanto en cuanto contienen datos privados que la Agencia de Protección de Datos (AEPD) se encarga de cuidar. Es así como también se incluyen aquí, además del envío y recepción de correos entre empresas, las campañas de mail marketing o el envío de newsletters.
Hoy en día, la mayor parte de la comunicación en las empresas se lleva a cabo de forma electrónica, y a menudo la documentación se incluye en el propio cuerpo del texto, y no solo de forma adjunta al correo. Según el tipo de documento y comunicación, existen distintas disposiciones legales que obligan a las empresas a conservarlos:
- Protección de datos y privacidad: Ley Orgánica de Protección de Datos (LOPD) y el Reglamento General de Protección de Datos (RGPD)
- Documentos contables: Código de Comercio, Ley General Tributaria, Ley del Impuesto sobre Sociedades
- Relaciones laborales: orden del modelo de recibo individual de salarios, Ley sobre Infracciones y Sanciones en el Orden Social
- Documentación contractual: Código Civil
Las normas españolas también prevén unos plazos de conservación y prescripción de los documentos de una empresa que en algunos casos pueden resultar confusos. Por eso te ayudamos con este artículo de nuestra guía sobre plazos de conservación de documentos para que no se te pase ninguna fecha.
La LOPD y la protección de los datos privados
La comunicación en la empresa se realiza hoy en gran parte por correo electrónico, que contiene información sensible que, por el interés de ambas partes, conviene conservar. En relación con los datos personales, la bandeja de entrada se convierte en un fichero de información sujeto a la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD) y a la LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico) y sometido a la Agencia Española de Protección de Datos (AEPD), que tiene poder sancionador en caso de incumplimiento.
Básicamente, la LOPD vela por la seguridad del usuario protegiendo sus datos privados y para ello exige que quien maneja datos personales comunique a la AEPD que posee datos de carácter personal y quién es el encargado de hacerlo (gestoría, software de email marketing). En el artículo 4 indica que los datos personales han de ser cancelados cuando ya no hagan falta para el fin con el que se recopilaron o solicitaron. En la mayoría de casos se desconocen los plazos de prescripción de infracciones, que la LOPD recoge en el artículo 47, y que, además, varían en función de la actividad de la organización.
También debe tenerse en cuenta lo previsto en el RGPD, ya que este regula a su vez qué correos electrónicos pueden conservarse. Por ejemplo, el archivo de correos electrónicos privados de empleados solo se permite con el permiso expreso de las personas afectadas.
Qué ha de hacer la empresa para adecuarse a la LOPD
- Copias de seguridad por lo menos semanalmente
- Conservar una copia de respaldo del correo y de los procesos para su recuperación en un lugar diferente de donde se encuentren los equipos informáticos
- Cifrar el envío y la recepción de correos electrónicos
El correo electrónico se ha de almacenar cumpliendo los requisitos legalesde conservación, localización y consulta (la información almacenada ha de ser accesible si se requiere) y de seguridad, debiendo tomar las medidas oportunas según el nivel de seguridad asociado a la información que poseen (nivel básico, medio y alto). En un nivel básico de cumplimiento obligatorio para todas las empresas se encuentran:
- El registro de incidencias: debe existir un procedimiento de notificación, y gestión de las incidencias que afecten a los datos de carácter personal contenidos en los correos electrónicos.
- El control del acceso: la empresa debe dotar de acceso al correo electrónico solo a aquellos empleados que lo precisen para el desarrollo de sus funciones.
- La gestión de soportes y documentos: el soporte donde se almacenen los correos de la empresa han de permitir su clasificación e inventariado, y ser accesible por los empleados que figuran en el documento de seguridad de la empresa.
- La identificación y autenticación: hay que garantizar la correcta identificación y autenticación de los usuarios con acceso al correo.
- Las copias de seguridad y recuperación: la empresa debe verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
Para más información se puede consultar el informe que ha elaborado la empresa Interbel, responsable de la distribución en España del software de archivo de correos electrónicos MailServer y, en cualquier caso, acudir a un experto.
Correos electrónicos con documentación contable
La siguiente normativa afecta a todas aquellas empresas y organizaciones que envían facturas, pedidos o cualquier tipo de documentación o justificantes por la vía electrónica.
El artículo 30 del Código de Comercio fija que todos los libros, documentación, correspondencia y justificantes se han de conservar durante seis años, incluso aunque la empresa o el empresario cese en sus actividades, aunque fallezca (la responsabilidad recae, entonces, en los herederos) o en caso de disolución de la sociedad.
La legislación tributaria (artículos 66 y 67 de la Ley 58/2003, de 17 de diciembre, General Tributaria), sin embargo, fija otros plazos. Como el plazo para exigir deudas por parte de la Administración prescribe a los cuatro años, este es el periodo de tiempo fijado en la Ley General Tributaria para conservar libros, documentos y justificantes.
Hay que tener en cuenta, sin embargo, que La Ley del Impuesto de Sociedades (artículo 25 del R.D. Leg. 4/2004, de 5 de marzo, por el que se aprueba el texto refundido de la Ley del Impuesto de Sociedades) permite compensar bases imponibles negativas durante 15 años, por tanto, durante este tiempo puede solicitar la muestra de la contabilidad y de soportes documentales.
Archivar correos sobre información laboral
Esta normativa afecta al envío de hojas de salarios y de altas o bajas en la Seguridad Social por correo electrónico.
Según el artículo 3 de la Orden de 27 de diciembre de 1994 por la que se aprueba el modelo de recibo individual de salarios, se deben conservar las nóminas y los boletines de cotización durante un periodo mínimo de cinco años y, según recoge el art. 21 del Real Decreto Legislativo 5/2000, de 4 de agosto, texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social, durante cuatro años todo lo que tenga que ver con la Seguridad Social (afiliación, cotización, altas, bajas, variaciones), así como los recibos que justifican el pago de salarios y el pago delegado de prestaciones.
Correos electrónicos con información contractual
Cualquier mensaje que contenga un acuerdo entre dos partes es considerado un documento contractual que debería conservarse mientras duren las obligaciones relacionadas con el acuerdo. Sin embargo, el Código Civil (art. 1930 y siguientes) fija un plazo de 30 años para la prescripción de las acciones civiles que se puedan derivar de este, a pesar de haber finalizado la vigencia del contrato.
Correos archivados como corresponde: una garantía
La ley no especifica dónde se han de almacenar los correos electrónicos comerciales, si en el servidor propio de la empresa o en un medio de almacenamiento externo, siempre y cuando se garanticen las medidas exigidas (archivado íntegro, protegido frente a la posibilidad de ser manipulado, siempre accesible, capaz de ser inventariado y examinado).
Para evitar la revisión y modificación de los correos, se recomienda usar un sistema de cifrado de los datos, aunque con la garantía de que, en caso necesario, se puedan entregar descifrados a la instancia correspondiente.
Hoy se dispone de un gran número de programas para el archivo de emails, muchos de las cuales, gracias a un software de almacenamiento automático de correos electrónicos en la nube o en servidores físicos, suponen un ahorro considerable de tiempo.
Un error frecuente de muchas empresas debido a la cantidad ingente de correos entrantes y salientes, consiste en archivar absolutamente todos los mensajes para, así, ahorrarse la selección, pero esta decisión puede estar infringiendo la Ley de Protección de Datos de Carácter Personal. Los correos personales de los empleados no se pueden conservar precisamente por este motivo, a no ser que el empleado haya declarado inequívocamente su consentimiento al respecto. En caso contrario, o si la empresa no está interesada en solicitar este permiso de sus empleados, existen dos opciones: prohibir por completo el uso del correo corporativo para motivos personales, la variante más segura para protegerse de las sanciones, o permitir a los empleados el uso de dispositivos móviles o programas de correo web.
En definitiva, es muy importante que las empresas dispongan de un mecanismo para conservar el correo electrónico según los plazos establecidos por la legislación que, en ocasiones, puede resultar confusa. Es por esto que este artículo no pretende sustituir a una asesoría con un profesional, sino ofrecer una panorámica general a partir de la cual consultar a una autoridad competente.