· Jonathan Izquierdo · Legal  ·

139 min de lectura

Prueba digital en despido: correo, Slack y Teams (juicio social 2026)

Cómo certificar correos corporativos, Slack y Teams como prueba en juicio social. Test Barbulescu, LOPDGDD art. 87-91 y jurisprudencia STS 2025-2026.

Cómo certificar correos corporativos, Slack y Teams como prueba en juicio social. Test Barbulescu, LOPDGDD art. 87-91 y jurisprudencia STS 2025-2026.

Análisis forense de email

Cabeceras, DKIM, autenticidad. Informe pericial para tu denuncia.

Ver servicio Comunicaciones →

o consulta gratuita

En 2025 los juzgados de lo social españoles ingresaron más de 480.000 asuntos nuevos según el Consejo General del Poder Judicial. Una proporción creciente se decide por una sola pieza: la prueba digital corporativa. No los mensajes de WhatsApp del móvil personal, sino el correo electrónico de la empresa, los chats de Slack y Microsoft Teams, los registros de acceso, los archivos en Drive y SharePoint y los logs de la VPN. Esa evidencia gana o pierde el juicio. Y, en uno de cada tres casos, se inadmite por defectos en la cadena de custodia, por falta de información previa al trabajador o por aplicar mal el test Barbulescu.

Esta guía está pensada para abogados laboralistas, departamentos de recursos humanos, compliance officers y trabajadores que necesitan entender cómo se certifica una prueba digital corporativa, qué exige la jurisprudencia social del Tribunal Supremo y los TSJ entre 2017 y 2026, y dónde están los errores que convierten un despido procedente en improcedente o nulo.

Esta guía no cubre WhatsApp

WhatsApp y la mensajería personal del móvil del trabajador tienen un tratamiento jurídico diferenciado. Para ese análisis consulta la guía dedicada Peritaje WhatsApp en despido laboral 2026 y el servicio Perito WhatsApp. Esta guía se centra en evidencia corporativa: correo de empresa, Slack, Teams, Drive, OneDrive, logs y dispositivos de empresa.

TL;DR: lo esencial en 90 segundos

Resumen ejecutivo de la guía
AspectoDetalle
Norma rectoraArt. 90.1 LRJS (admisibilidad amplia) + art. 90.2 LRJS (prohibición de prueba ilícita) + arts. 87-91 LOPDGDD (derechos digitales del trabajador) + art. 18 y 20.3 ET (registros y control empresarial)
Test exigido por la sala socialTest Barbulescu (TEDH 2017) integrado en España por STS 8 febrero 2018 — seis condiciones acumulativas: información previa, alcance, justificación, alternativas, uso y garantías
Tipos de prueba digital corporativaCorreo electrónico corporativo, Slack, Microsoft Teams, Google Chat, archivos Microsoft 365 / Google Workspace, logs VPN, badges de acceso, monitorización de estación de trabajo, GPS de vehículo de empresa, videovigilancia
Riesgo principalAcceder al contenido sin información previa al trabajador — convierte la prueba en ilícita (art. 11.1 LOPJ) y a menudo arrastra al despido a improcedencia o nulidad
Coste de hacerlo malSTSJ La Rioja febrero 2026: la empresa pagó 39.083,61 € de indemnización tras un despido por 1.085 conexiones personales y 57 horas de navegación no laboral porque el informe pericial no acreditó perjuicio concreto
Quién necesita esta guíaAbogados laboralistas, RRHH, compliance, peritos informáticos, empresas que van a despedir, trabajadores que han sido despedidos con prueba digital
Qué hacer ya(1) Auditar la política de uso de medios digitales y la información previa al trabajador, (2) NO acceder al contenido sin protocolo, (3) llamar al perito informático antes de tocar el dispositivo, (4) preservar evidencia con hash SHA-256 y cadena de custodia desde el minuto 0

Tabla de contenidos rápida

  1. Marco legal en España: las normas que rigen la prueba digital laboral
  2. Tipos de evidencia digital corporativa: matriz comparativa
  3. Test Barbulescu: las seis condiciones que toda prueba digital corporativa debe cumplir
  4. STC 39/2016 y la esperanza razonable de privacidad
  5. Cómo recopilar prueba digital sin que sea ilícita: protocolo paso a paso
  6. Cadena de custodia laboral: el detalle que invalida pruebas
  7. Jurisprudencia clave 2017-2026 (TEDH, TC, TS y TSJ)
  8. Test de proporcionalidad: cómo aplicarlo en la práctica
  9. Slack, Microsoft Teams y Google Chat: especificidades probatorias
  10. BYOD y dispositivo personal usado en empresa
  11. El papel del perito informático en el juicio social
  12. Errores frecuentes que invalidan pruebas digitales corporativas
  13. Para abogados laboralistas: checklist procesal
  14. Para empresas: protocolo preventivo de despido digital
  15. Costes y honorarios del peritaje laboral digital
  16. Preguntas frecuentes
  17. Referencias y fuentes

La admisibilidad y eficacia probatoria de la evidencia digital corporativa en el proceso social no se regula en una sola norma sino en una constelación de preceptos que es necesario conocer en bloque. La omisión de cualquiera de ellos es habitualmente la causa por la que el juzgado social inadmite la prueba o el despido se declara improcedente o nulo.

Artículo 90.1 LRJS: admisibilidad amplia de la prueba digital

El artículo 90.1 de la Ley 36/2011, de 10 de octubre, Reguladora de la Jurisdicción Social (LRJS), abre la puerta de par en par a cualquier soporte de prueba siempre que esté regulado en la ley:

“Las partes podrán valerse de cuantos medios de prueba se encuentren regulados en la Ley para acreditar los hechos controvertidos o necesitados de prueba, incluidos los procedimientos de reproducción de la palabra, de la imagen y del sonido o de archivo y reproducción de datos, los cuales se ajustarán a lo dispuesto en la presente Ley.”

Esta redacción incluye explícitamente los medios de archivo y reproducción de datos, expresión bajo la que cabe perfectamente cualquier soporte digital: correo electrónico, mensajería corporativa, archivos ofimáticos, logs de servidor, registros de actividad, capturas de tráfico de red, copias forenses de discos duros, smartphones y tabletas, o registros de aplicaciones cloud. La sala social tiene un criterio probatorio especialmente abierto: lo que importa es la veracidad, autenticidad y licitud del contenido, no el formato.

Artículo 90.2 LRJS: la frontera infranqueable de la prueba ilícita

El mismo artículo 90 contiene en su apartado 2 el límite que más conflictividad genera en la práctica:

“No se admitirán pruebas que tuvieran su origen o que se hubieran obtenido, directa o indirectamente, mediante procedimientos que supongan violación de derechos fundamentales o libertades públicas. Esta cuestión podrá ser suscitada por cualquiera de las partes o de oficio por el tribunal.”

Esta cláusula es la concreción social del artículo 11.1 de la Ley Orgánica del Poder Judicial (LOPJ), que prohíbe la prueba obtenida con vulneración de derechos fundamentales. Cuando una empresa accede al correo electrónico, al chat o al ordenador de un trabajador sin haber cumplido las condiciones exigidas por la jurisprudencia (información previa, proporcionalidad y necesidad), la prueba es ilícita y el juzgado debe expulsarla del proceso.

Una matización jurisprudencial importante

La ilicitud de la prueba no implica automáticamente la nulidad del despido. El Tribunal Constitucional ha clarificado en su doctrina más reciente que cabe distinguir entre el efecto procesal de la prueba ilícita (no se valora) y la calificación del despido (procedente, improcedente o nulo). Si la empresa puede probar la causa por otras vías legítimas, el despido puede mantenerse procedente; si su única prueba es la ilícita, el despido suele declararse improcedente; si la obtención vulneró un derecho fundamental sustantivo (no solo procesal), el despido puede ser nulo.

Artículo 18 ET: registros del trabajador y de su taquilla

El artículo 18 del Estatuto de los Trabajadores se refiere específicamente al registro físico, pero la jurisprudencia social lo ha extendido analógicamente al registro de medios digitales facilitados al trabajador. El precepto dispone:

“Sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible.”

La extensión al ámbito digital se traduce en tres exigencias: necesidad para proteger el patrimonio empresarial, realización dentro del centro y horario de trabajo, y respeto a la dignidad e intimidad. La presencia del representante legal o de otro trabajador, aunque pensada para un registro físico, se ha trasladado al ámbito digital como buena práctica que refuerza la prueba (notario o representante sindical en el momento del clonado del disco duro, por ejemplo).

Artículo 20.3 ET: la facultad de control empresarial

El artículo 20.3 del ET es la base jurídica del control empresarial sobre los medios digitales:

“El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.”

Este artículo es el fundamento legal directo del control empresarial sobre los medios digitales puestos a disposición del trabajador, pero su redacción es deliberadamente abierta. Toda la jurisprudencia laboral digital de los últimos veinte años se ha dedicado a precisar qué medidas de control son legítimas y cuáles vulneran derechos fundamentales. La respuesta corta: las que cumplan el test Barbulescu y los artículos 87-91 LOPDGDD; las que no, son ilícitas.

LOPDGDD: los cinco artículos que cambian todo

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), en sus artículos 87 a 91, recoge un bloque normativo específico llamado “Garantía de los derechos digitales” que reescribe el equilibrio entre control empresarial e intimidad del trabajador. Estos cinco artículos son citados en prácticamente todas las sentencias sociales sobre prueba digital de los últimos cinco años.

Artículo 87 LOPDGDD: derecho a la intimidad y uso de dispositivos digitales

“Los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos. Los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. En su elaboración deberán participar los representantes de los trabajadores.”

El artículo 87 cristaliza tres ideas fundamentales:

  • El trabajador tiene derecho a la intimidad incluso en los dispositivos que la empresa le entrega para trabajar. No es una zona libre de derechos.
  • El empleador puede acceder solo con dos finalidades concretas: controlar el cumplimiento de las obligaciones laborales y garantizar la integridad de los dispositivos. Cualquier acceso por motivos diferentes (curiosidad, conflicto interpersonal, búsqueda preventiva sin causa) es desproporcionado.
  • Los criterios de utilización deben establecerse formalmente y, además, los representantes de los trabajadores deben participar en su elaboración. Una política unilateral, redactada por el empresario sin la representación social, queda debilitada.

Artículo 88 LOPDGDD: derecho a la desconexión digital

“Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar.”

Aunque tiene un peso menor en pruebas de despido disciplinario, el artículo 88 es relevante en dos escenarios: (1) reclamaciones por horas extra mediante prueba digital de actividad fuera de horario (correos, chats, accesos a sistemas a las 23h o domingos), y (2) defensas por uso del correo personal en horario de tarde-noche cuando la empresa pretende considerar que es horario laboral porque algo se trabajó.

Artículo 89 LOPDGDD: videovigilancia y grabación de sonido

El artículo 89 regula el tratamiento de imágenes obtenidas mediante cámaras o videocámaras. Sus puntos clave:

  • La empresa debe informar previamente a los trabajadores y a sus representantes sobre la existencia y características de los sistemas de videovigilancia.
  • En caso de flagrante e ilícito empleo detectable visualmente (por ejemplo, comisión de un acto delictivo), se reconoce un margen de actuación reactivo, pero esta excepción se ha interpretado de forma muy restrictiva por el TC y el TS.
  • La grabación de sonido solo se admite cuando exista un riesgo relevante para la seguridad de las instalaciones, los bienes y las personas, debiendo respetarse el principio de minimización.

Artículo 90 LOPDGDD: geolocalización

“Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo.”

Aplicado por la jurisprudencia (especialmente STS 8 febrero 2018, caso Inditex), se traduce en:

  • Posibilidad de instalar GPS en vehículos de empresa sin consentimiento del trabajador, pero con información previa clara, expresa, inequívoca y específica.
  • Limitación temporal: el GPS solo debe registrar datos durante la jornada laboral, no fuera.
  • Limitación funcional: tratamiento solo para fines de control laboral, no para perfilado, marketing u otros usos.

Artículo 91 LOPDGDD: negociación colectiva

El artículo 91 habilita a los convenios colectivos a establecer garantías adicionales a las legales en relación con el tratamiento de datos personales y la salvaguarda de derechos digitales en el ámbito laboral. Es el cauce natural para regular cuestiones específicas del sector (por ejemplo, monitorización en call centers, en logística con dispositivos de mano, o en transporte con GPS).

Resumen del marco normativo

NormaQué regulaAplicación a prueba digital corporativa
Art. 90.1 LRJSAdmisibilidad de medios de prueba en proceso socialPermite cualquier soporte digital (correo, chat, archivo, log)
Art. 90.2 LRJSPrueba ilícitaInadmisión de pruebas obtenidas con vulneración de derechos fundamentales
Art. 18 ETRegistros sobre la persona y efectos del trabajadorAplicación analógica al registro de medios digitales
Art. 20.3 ETControl empresarialBase legal del control sobre medios digitales facilitados al trabajador
Art. 87 LOPDGDDIntimidad y dispositivos digitalesAcceso solo con finalidad laboral o de integridad; política con participación de los representantes
Art. 88 LOPDGDDDesconexión digitalLimita uso del correo y chat fuera de horario
Art. 89 LOPDGDDVideovigilanciaInformación previa, proporcionalidad
Art. 90 LOPDGDDGeolocalizaciónInformación previa, solo en horario, finalidad laboral
Art. 91 LOPDGDDNegociación colectivaConvenios pueden añadir garantías
Art. 11.1 LOPJPrueba ilícita en cualquier orden jurisdiccionalInadmisión de pruebas obtenidas violando derechos fundamentales
Art. 287 LECTratamiento de la prueba ilícita en el procesoProcedimiento contradictorio para resolver alegaciones de ilicitud
Art. 384 LECInstrumentos de archivo y reproducción de datosAplicación supletoria a la sala social
RGPD art. 5, 6 y 13Principios y bases jurídicas del tratamientoLimitación de finalidad, minimización, transparencia
TEDH Barbulescu II (2017)Vigilancia comunicaciones del trabajadorTest de seis elementos integrado en España por STS 8 feb 2018

Tipos de evidencia digital corporativa: matriz comparativa

No toda la evidencia digital corporativa se trata igual. Cada categoría tiene sus particularidades técnicas, sus exigencias probatorias y sus puntos débiles típicos. Esta sección recorre los siete grandes bloques en los que se mueve la jurisprudencia social.

Matriz general de evidencia digital corporativa

Tipo de evidenciaSoporte habitualForensicabilidadRequisitos legales claveRiesgo principal
Correo electrónico corporativoServidor Exchange / Microsoft 365 / Google Workspace / IMAP corporativoAlta — cabeceras técnicas, SPF/DKIM/DMARCInformación previa, política de uso, acceso proporcionadoAcceso al contenido personal mezclado con corporativo
SlackCloud SaaS SalesforceAlta con eDiscovery / litigation holdPolítica de uso, retention policy, información del registroMensajes “borrados” recuperables solo con plan adecuado
Microsoft TeamsCloud Microsoft 365Alta con Microsoft PurviewInformación previa, política, retentionDistribución entre Exchange / OneDrive / SharePoint
Google ChatCloud Google WorkspaceAlta con VaultInformación previa, política, retentionHistórico depende del nivel de licencia
Archivos Drive / OneDrive / SharePointCloud + caché localAlta con audit logInformación previa, control de versionesSincronización local sin trazabilidad
Smartphone corporativoDispositivo + MDM (InTune, Workspace ONE, Jamf)Media-alta con extracción forense (Cellebrite UFED, MSAB XRY)Información previa, política BYOD si aplicaDatos personales del trabajador en equipo de empresa
Estación de trabajo (PC / portátil)Disco duro / SSDAlta con clonado forense (FTK Imager, dd)Información previa, control proporcionadoAcceso sin orden ni notario invalida
Logs VPN, badge, control accesosSistemas corporativos con retentionAlta — son metadatos, no contenidoPolítica de uso, transparenciaPrescripción / borrado por retention
GPS vehículo de empresaTelemática del vehículoAlta con audit del proveedorInformación previa, solo en horario, finalidad laboralControl fuera de horario o personal
Videovigilancia laboralDVR / cloudAlta con cadena de custodiaInformación previa visible, proporcionalidadCámaras ocultas, grabación de sonido, zonas íntimas

Correo electrónico corporativo

El correo electrónico corporativo es el medio probatorio digital más antiguo y también el más litigado. La sala social ha dedicado tres décadas a precisar cuándo el empleador puede leer la cuenta de correo de un empleado y cuándo no.

Particularidades técnicas

Un correo electrónico no es un simple texto: es una unidad de información con varias capas que el perito informático debe analizar.

  • Cabeceras (headers): contienen el rastro técnico del correo — dirección IP de origen, MTA por los que pasó, marcas temporales del servidor, identificadores Message-ID, identificadores de hilo (In-Reply-To, References), información de SPF, DKIM y DMARC. Son la huella criptográfica de autenticidad.
  • Cuerpo (body): el texto en sí, en formato MIME, que puede ser texto plano, HTML, o multipart.
  • Adjuntos: archivos en cualquier formato, codificados en base64 dentro del propio correo.
  • Metadatos del servidor: registros de envío, de recepción, de lectura (si está activado), de respuesta, de reenvío.

Cualquier captura de pantalla del cliente de correo (Outlook, Gmail web, Thunderbird) pierde toda esta información técnica. Por eso el perito siempre solicita el archivo .eml o .msg original o, en su defecto, la exportación PST/OST/MBOX desde el servidor.

Verificación criptográfica con DKIM

El protocolo DomainKeys Identified Mail (DKIM, RFC 6376) firma criptográficamente el contenido del correo en origen. Cuando un correo procede del servidor de la empresa (@miempresa.com), está firmado con la clave privada de ese dominio y verificable contra la clave pública publicada en el DNS. Si la firma DKIM verifica:

  • El correo se envió desde el servidor declarado (no fue suplantado).
  • El contenido del cuerpo y de las cabeceras firmadas no se modificó después del envío.

Si la firma DKIM no verifica o falta, el perito no puede afirmar criptográficamente que el correo es auténtico — pero sí puede aportar análisis circunstancial (consistencia de cabeceras, IP, timestamps) que oriente la inferencia.

Cuándo puede el empleador acceder al correo corporativo

El acceso al contenido del correo corporativo del trabajador exige cumplir el test Barbulescu (información previa y proporcionalidad) y respetar el artículo 87 LOPDGDD. La sala social distingue:

  • Acceso a metadatos de tráfico (a quién, cuándo, qué tamaño, asunto): tradicionalmente aceptado con menores exigencias, especialmente si la política de uso advierte de la posibilidad.
  • Acceso al contenido: requiere información previa específica, justificación concreta, proporcionalidad estricta y, en muchos casos, la presencia de un fedatario público o representante.

Casos típicos en juicio social

EscenarioPrueba digitalLo que decide el juicio
Despido por filtración de información confidencialCorreos enviados a competencia / personalExistencia de filtración + intencionalidad + perjuicio
Despido por uso indebido de mediosVolumen y contenido de correos personalesProporcionalidad del control empresarial
Acoso laboral por correoMensajes hostiles o degradantes del superiorPatrón sistemático, emisor identificado
DiscriminaciónCorreos con criterios de selección discriminatoriosExistencia de la práctica discriminatoria
Modificación condicionesComunicaciones de cambiosVoluntariedad o imposición
Despido por absentismo encubiertoCorreos enviados desde casa fuera de horario aparenteTrabajo efectivo / falsificación de horario

Slack, Microsoft Teams y Google Chat

La mensajería instantánea corporativa ha desplazado al correo en muchas funciones. Hoy los conflictos relevantes ocurren en hilos de Slack, en chats privados de Teams o en conversaciones de Google Chat. Cada plataforma tiene su modelo de retención y sus herramientas de eDiscovery.

Slack

Slack es un servicio cloud de Salesforce. Su modelo de almacenamiento es:

  • Mensajes en canales públicos: visibles para todos los miembros, retenidos según la política del workspace.
  • Mensajes en canales privados: solo visibles para los miembros del canal. La empresa, como propietaria del workspace, puede acceder con autorización y herramientas de eDiscovery.
  • Mensajes directos (DM): privados entre dos personas. Acceso por la empresa solo en planes Enterprise Grid con eDiscovery.
  • Mensajes “borrados”: los usuarios pueden borrar sus propios mensajes; sin embargo, en planes Enterprise Grid con litigation hold activo, los mensajes borrados se conservan en una capa de retención inmutable.

Para usar Slack como prueba en juicio social, la empresa necesita:

  1. Política de uso que establezca expresamente la propiedad corporativa de las comunicaciones y la posibilidad de auditoría.
  2. Plan de Slack adecuado. Los planes Pro y Business+ tienen retention configurable; solo Enterprise Grid permite eDiscovery completo y litigation hold.
  3. Información previa al trabajador sobre la posibilidad de auditoría, en términos compatibles con el test Barbulescu.
  4. Proceso de eDiscovery documentado: quién lo ejecuta, en qué fecha, qué se exporta, en qué formato.
  5. Cadena de custodia del export: hash SHA-256 del archivo exportado, registro de manipulaciones posteriores, perito informático que valide la integridad.

Microsoft Teams

Microsoft Teams se integra con la suite Microsoft 365 y su almacenamiento se distribuye:

  • Mensajes de canal: en el buzón del grupo Microsoft 365 asociado al equipo, accesibles desde Exchange.
  • Mensajes de chat 1:1 y de grupo: en buzones individuales ocultos.
  • Archivos: en la biblioteca SharePoint asociada al equipo (canales) o en OneDrive (chats).
  • Reuniones: las grabaciones, transcripciones y notas se guardan en OneDrive o SharePoint según el contexto.

La herramienta nativa de eDiscovery es Microsoft Purview eDiscovery (Standard y Premium). Permite buscar mensajes, ponerlos en legal hold (retención inmutable mientras dure el procedimiento), exportarlos y aplicar herramientas de revisión.

Google Chat

Google Chat (antes Hangouts Chat) es la herramienta de mensajería de Google Workspace. Su retención y eDiscovery se gestionan desde Google Vault, que permite:

  • Retención por defecto del histórico de mensajes según política del dominio.
  • Búsquedas sobre todo el histórico.
  • Exportaciones en formato PST o MBOX.
  • Litigation hold a nivel de cuenta.

Patrón común y diferencias con WhatsApp

Las tres plataformas comparten un modelo de propiedad corporativa de las comunicaciones que las distingue netamente de WhatsApp. En WhatsApp el contenido vive en el dispositivo del trabajador (móvil personal o corporativo) y la empresa, sin acceso al dispositivo, no puede acceder al histórico. En Slack, Teams y Google Chat la empresa, como propietaria del workspace o tenant, sí tiene acceso administrativo al histórico, sometido a las garantías legales (información previa, proporcionalidad, finalidad).

Archivos en Microsoft 365, Google Workspace y Drive corporativo

Los archivos guardados en SharePoint, OneDrive y Google Drive corporativo dejan huellas técnicas relevantes que el perito puede analizar:

  • Audit log: registro de creaciones, modificaciones, descargas, comparticiones, eliminaciones.
  • Versiones: histórico de versiones del archivo, cada una con su autor y fecha.
  • Metadatos del documento: en Office y PDF, los metadatos internos del archivo registran autor, fecha de creación, fecha de última modificación, número de revisiones, tiempo total de edición.
  • Hashes de contenido: cada versión tiene su hash propio.

Estas huellas son cruciales en casos de filtración de información confidencial, robo de bases de datos, manipulación de documentos contables o disputas sobre fechas de creación.

Logs de VPN, badge de acceso y registros corporativos

Los logs son metadatos puros — no contenido — y por eso suelen tener un tratamiento jurisprudencial menos restrictivo. La empresa puede consultar:

  • Logs de conexión a la VPN: hora de inicio, hora de fin, IP de origen, ancho de banda consumido.
  • Logs de badge de acceso: hora de entrada y salida del centro de trabajo, qué puertas se abrieron.
  • Logs de firewall y proxy corporativo: dominios visitados, volumen de tráfico, intentos bloqueados.
  • Logs de autenticación: inicios de sesión exitosos y fallidos en aplicaciones corporativas.
  • Logs de MDM (mobile device management): inventario de aplicaciones instaladas, geolocalización del dispositivo si está activada, cumplimiento de políticas.

Estos logs son particularmente útiles para acreditar:

  • Volumen de uso personal versus laboral del tiempo de trabajo (caso STSJ La Rioja febrero 2026, 1.085 conexiones personales en 2 meses).
  • Acceso a sistemas fuera del horario o desde ubicaciones no autorizadas.
  • Patrones de actividad sospechosos (descargas masivas la víspera del despido, por ejemplo).
  • Coherencia o incoherencia con el registro de jornada del trabajador.

Smartphone y portátil corporativos

El equipo corporativo (smartphone o portátil entregado por la empresa al trabajador) es un terreno híbrido. Aunque la propiedad es de la empresa, el trabajador suele usar el dispositivo también para fines privados (mensajes con la pareja, fotos personales, cuentas de redes sociales personales). El test Barbulescu y el artículo 87 LOPDGDD se aplican con todo su rigor.

Para usar el contenido del dispositivo corporativo como prueba en despido:

  1. Política de uso clara que establezca la propiedad corporativa, la prohibición o limitación del uso personal y la posibilidad de auditoría.
  2. Información previa al trabajador, idealmente firmada en la entrega del equipo.
  3. MDM desplegado con políticas explícitas (qué se monitoriza, qué no).
  4. Procedimiento documentado de adquisición forense: clonado del dispositivo, hash SHA-256, presencia de fedatario público o representante.
  5. Análisis acotado a lo necesario para investigar la causa del despido — no un fishing expedition.

GPS de vehículos de empresa

Tras la STS 8 febrero 2018 (caso Inditex), la geolocalización de vehículos de empresa se considera lícita siempre que:

  • El trabajador esté informado previamente, de forma clara, expresa, inequívoca y específica sobre la existencia y características del sistema de GPS y sus derechos en materia de protección de datos.
  • El sistema solo registre datos durante la jornada laboral.
  • Los datos se traten con finalidad laboral y no para perfilado, marketing u otros usos.

Aplicaciones probatorias típicas: trabajadores con vehículo de empresa que falsean partes de visita, conductores que se desvían a actividades personales en horario, comerciales que reclaman dietas por desplazamientos no realizados.

Videovigilancia laboral

La videovigilancia tiene una doctrina propia que recogen las STC 39/2016, STC 119/2018 y STS 21/2019, entre otras. Sus tres reglas básicas:

  • Información visible: cartel informativo en la zona videovigilada, complementado con información previa específica al trabajador.
  • Proporcionalidad: la cámara debe estar en zonas necesarias para el control laboral, no en zonas de descanso, vestuarios, baños ni en zonas privadas.
  • Justificación documentada: por qué se instala, con qué finalidad, qué se hace con las imágenes, durante cuánto tiempo se conservan.

La videovigilancia oculta sin información previa solo se ha admitido excepcionalmente en supuestos de sospecha fundada de comisión de actos delictivos por parte del trabajador, y la doctrina más reciente del TC y del TS ha sido cada vez más restrictiva con esta excepción.

Test Barbulescu: las seis condiciones que toda prueba digital corporativa debe cumplir

El test Barbulescu es el filtro a través del cual los tribunales españoles miden la legitimidad de cualquier control empresarial sobre comunicaciones digitales del trabajador. Procede de la sentencia del Tribunal Europeo de Derechos Humanos de 5 de septiembre de 2017, asunto Barbulescu c. Rumanía (Gran Sala), y fue integrado en España por la STS de 8 de febrero de 2018 y por toda la jurisprudencia posterior.

Origen: el caso Barbulescu

Bogdan Mihai Barbulescu, ingeniero de ventas en una empresa rumana, fue despedido el 1 de agosto de 2007 después de que su empresario monitorizase su cuenta de Yahoo Messenger creada para uso profesional y descubriese que había tenido conversaciones personales (con su novia y con su hermano) durante la jornada laboral. La empresa había prohibido por escrito el uso personal de los recursos informáticos. Barbulescu impugnó el despido alegando vulneración del derecho a la vida privada y al secreto de las comunicaciones (artículo 8 CEDH).

El primer pronunciamiento del TEDH (Sala, 12 de enero de 2016) dio la razón al empresario. Pero en septiembre de 2017 la Gran Sala revocó esa decisión y declaró la vulneración del artículo 8 CEDH. La razón: el empresario no había informado al trabajador, antes de la monitorización, de que su comunicación podía ser objeto de seguimiento, ni de que el seguimiento podía incluir el contenido de los mensajes y no solo el flujo o los metadatos.

Las seis condiciones del test

La Gran Sala estableció seis criterios que el órgano judicial nacional debe verificar al examinar la legitimidad de una vigilancia empresarial sobre comunicaciones del trabajador:

  1. Información previa al trabajador

El trabajador debe haber sido informado, antes del inicio de la actividad de vigilancia, de la posibilidad de que su empresario adopte medidas para vigilar la correspondencia y otras comunicaciones, así como de la implementación de tales medidas. La información debe ser precisa, transparente y específica. Una política genérica que diga “podemos controlar todo lo que hagas” no basta; tiene que decir qué se controla, cómo, con qué frecuencia, quién accede.

  1. Alcance de la vigilancia

El órgano judicial debe analizar el alcance de la supervisión y el grado de intrusión en la privacidad del empleado. No es lo mismo registrar metadatos (a quién, cuándo, qué tamaño) que acceder al contenido. No es lo mismo monitorizar de forma continua que hacer auditorías puntuales. No es lo mismo extraer una conversación concreta tras una sospecha fundada que hacer un fishing expedition por todo el correo del último año.

  1. Justificación empresarial

Debe existir una causa empresarial legítima que justifique la vigilancia. Proteger el patrimonio empresarial, garantizar la integridad de los sistemas, prevenir la filtración de información confidencial, investigar una sospecha fundada de delito o falta laboral grave, son justificaciones reconocidas por la jurisprudencia. La curiosidad, la animosidad personal o la búsqueda preventiva sin causa concreta no lo son.

  1. Alternativas menos intrusivas

¿Existían medios menos invasivos para alcanzar la misma finalidad? Si la empresa quería verificar si un trabajador estaba filtrando información, ¿podría haberlo hecho con un análisis de logs de acceso o con una auditoría puntual del correo de salida con cabeceras técnicas, en lugar de leer el contenido de todos los mensajes durante semanas?

  1. Uso de la información

Cómo utilizó la empresa la información obtenida. ¿La usó únicamente para el procedimiento disciplinario? ¿La compartió con terceros? ¿La conservó después de la finalización del procedimiento? ¿La usó para fines distintos de aquellos que motivaron su obtención?

  1. Garantías ofrecidas al trabajador

El procedimiento debe haber ofrecido garantías razonables: información previa, posibilidad de presencia en el acceso, asistencia letrada o sindical, registro escrito de los pasos, motivación del acceso, audiencia previa al trabajador. Cuanto más graves son las consecuencias para el trabajador (despido disciplinario), más exigente debe ser el conjunto de garantías.

Aplicación práctica del test: tres escenarios

EscenarioInformación previaAlcanceJustificaciónAlternativasUsoGarantíasVeredicto típico
Empresa accede al correo del trabajador sin política previaNOContenido completoGenéricaNo exploradasDespidoNingunaPrueba ilícita
Empresa con política de uso accede a metadatos de correo tras alerta DLPSÍ (política firmada)MetadatosSospecha de filtraciónDLP era la menos intrusivaSolo procedimientoNotario presentePrueba lícita
Empresa accede a contenido completo del trabajador con política genéricaParcialContenido completoGenéricaNo exploradasDespido + difusión internaNinguna específicaPrueba ilícita

Integración en España: STS 8 febrero 2018

La Sala de lo Social del Tribunal Supremo, en su sentencia de 8 de febrero de 2018, recogió expresamente la doctrina Barbulescu II y la integró en el ordenamiento social español. Desde entonces, todos los TSJ y juzgados sociales aplican el test cuando se discute la licitud de una prueba digital corporativa.

La consecuencia práctica para empresas y trabajadores es que la información previa específica deja de ser una buena práctica y pasa a ser un requisito jurídico. Una empresa que accede al correo, al chat o al ordenador de un trabajador sin haberlo informado previamente, con detalle suficiente, sobre esa posibilidad, está actuando ilícitamente, aunque el trabajador haya firmado un contrato genérico de aceptación de la política de uso.

El error de la política genérica

Muchas empresas creen que con una cláusula contractual del tipo “el trabajador acepta que la empresa pueda controlar el uso de los medios informáticos” están cumpliendo el test Barbulescu. No es así. El test exige información previa específica: qué se controla, cómo, en qué casos, quién accede, qué se hace con la información. Una política genérica firmada en el momento de la contratación, sin desarrollo posterior, suele ser insuficiente.

STC 39/2016 y la esperanza razonable de privacidad

La sentencia del Tribunal Constitucional 39/2016, de 3 de marzo, es uno de los pronunciamientos más citados en la jurisprudencia sobre prueba digital laboral. Aunque su objeto principal es la videovigilancia, su doctrina sobre la “esperanza razonable de privacidad” se ha extendido al correo electrónico, al chat corporativo y al uso del ordenador de trabajo.

El concepto de esperanza razonable de privacidad

El Tribunal Constitucional sostiene que el derecho a la intimidad del trabajador no se reduce a un perímetro físico (su casa, su cuerpo) sino que incluye un núcleo de actividades en las que el sujeto razonablemente espera no ser observado. Cuando esa expectativa razonable existe, el control empresarial intrusivo vulnera el artículo 18.1 de la Constitución Española.

La expectativa de privacidad se modula en función de la información previa recibida y de las circunstancias del entorno. Si el trabajador sabe que la empresa puede monitorizar su correo (y la información es específica, transparente y previa), su expectativa de privacidad sobre ese correo se reduce — aunque no desaparece del todo. Si, por el contrario, no ha sido informado o la información es genérica, su expectativa razonable de privacidad permanece intacta.

Aplicación al correo electrónico corporativo

SituaciónEsperanza razonable de privacidadRiesgo del acceso empresarial
Política de uso firmada que prohíbe expresamente el uso personal del correo y advierte de auditoríasReducidaBajo (si el acceso es proporcional)
Política de uso firmada que permite uso personal moderado y advierte de auditoríasIntermediaMedio
Política firmada genérica sin información específica sobre auditoríasAltaAlto
Sin política de uso, uso mixto tolerado por añosMuy altaMuy alto
Acceso al contenido sin información previa específicaCasi siempre ilícito

Aplicación al ordenador corporativo

Los criterios sobre el ordenador entregado al trabajador son análogos. La sala social ha aceptado en algunos supuestos el clonado del disco duro tras el despido, con presencia notarial y para investigar conductas concretas, siempre que existiera una política de uso previa y una sospecha fundada. Pero la jurisprudencia ha rechazado el acceso preventivo o sin causa concreta, así como el rastreo de información personal mezclada con la corporativa.

Aplicación a Slack, Teams y mensajería corporativa

Para Slack, Teams y Google Chat la pregunta clave es si la política de uso advirtió específicamente al trabajador de que estas plataformas serían objeto de auditoría. Cuando la política genérica habla solo del “correo electrónico” y no menciona chats, la expectativa de privacidad sobre los chats es mayor — lo cual no significa que el acceso sea automáticamente ilícito, pero sí que el empresario asume mayor carga argumental para justificarlo.

Cómo recopilar prueba digital sin que sea ilícita: protocolo paso a paso

Esta es la sección operativa: cómo una empresa que sospecha conducta sancionable, o un trabajador que necesita aportar pruebas en su defensa, puede generar evidencia digital admisible y eficaz.

  1. Auditar la política de uso de medios digitales

Antes de cualquier acceso, revisar que existe una política de uso de medios digitales firmada por el trabajador, que esa política cumple las exigencias del test Barbulescu (información específica sobre qué se controla, cómo y en qué casos), que se ha actualizado tras la entrada en vigor de la LOPDGDD (diciembre de 2018) y que se ha negociado o consultado con la representación legal de los trabajadores. Si la política no cumple, no se puede acceder al contenido; en el mejor de los casos, se podrán explotar metadatos no contenidos en correos o chats privados.

Una política completa contiene como mínimo:

  • Definición de los medios digitales facilitados (correo, chat, móvil, ordenador, VPN, drive corporativo).
  • Finalidad permitida del uso (laboral exclusivo, personal moderado tolerado, etc.).
  • Posibilidad o no de uso personal y, en su caso, alcance.
  • Mecanismos de control que la empresa podrá adoptar (filtros DLP, auditorías, análisis ante incidentes, monitorización del contenido si procede).
  • Datos que se tratan, base jurídica, finalidad, plazo de conservación.
  • Derechos del trabajador en materia de protección de datos.
  • Procedimiento de acceso (quién, en qué casos, con qué garantías).
  • Consecuencias del incumplimiento.
  1. Definir la causa concreta y la proporcionalidad

Antes de iniciar el acceso, documentar por escrito qué causa motiva la investigación. ¿Una alerta del sistema DLP? ¿Una denuncia de un compañero? ¿Una sospecha fundada de filtración de información? ¿Una incidencia técnica? La causa debe ser concreta, proporcionada y verificable. Una “auditoría preventiva sin sospecha” rara vez supera el test de proporcionalidad.

Documentar también el ámbito mínimo necesario para verificar la causa. Si la sospecha es de filtración a un competidor concreto, el ámbito debe limitarse a las comunicaciones con ese competidor, no a todo el correo del trabajador.

  1. Convocar al perito informático antes de tocar el dispositivo

El error más común — y el que invalida la mayoría de pruebas digitales en juicio social — es tocar el dispositivo, abrir el correo o explorar archivos antes de tener al perito informático presente. Cualquier interacción con el sistema modifica timestamps, escribe en logs, altera caches y compromete la cadena de custodia desde el primer minuto.

El perito debe llegar al dispositivo en el estado más cercano posible al “estado natural” del sistema. Si es un ordenador encendido, valorar la conveniencia de una adquisición en vivo (memoria RAM) antes de apagarlo. Si está apagado, no encenderlo: clonado del disco con hardware de protección frente a escritura.

  1. Asistencia de fedatario público o representante

Para el clonado del disco del trabajador, el acceso al correo o la extracción de chats, la presencia de un notario o, en su defecto, de un representante legal de los trabajadores u otro empleado refuerza decisivamente la prueba. El acta notarial:

  • Documenta hora exacta del inicio y fin del acceso.
  • Recoge el estado del dispositivo o sistema antes y después.
  • Registra los pasos seguidos.
  • Da fe pública de los hashes obtenidos.
  • Se aporta al juzgado como anexo del informe pericial.
  1. Adquisición forense con hash SHA-256

La adquisición del soporte digital sigue las directrices de ISO/IEC 27037:2012:

  • Discos duros: clonado bit a bit con hardware blocker o herramienta como FTK Imager o dd con verificación. Hash SHA-256 del disco original y del clon, debiendo coincidir.
  • Smartphones corporativos: extracción con Cellebrite UFED, Magnet AXIOM, MSAB XRY u Oxygen Forensic Detective, con generación de imagen y hash.
  • Buzones de correo: exportación PST/OST/MBOX desde el servidor (no desde el cliente), con hash SHA-256 del archivo exportado.
  • Slack / Teams / Google Chat: exportación mediante eDiscovery o herramienta admin, con hash del archivo exportado.
  • Logs: copia controlada con timestamping de la fuente y hash SHA-256.
  1. Cadena de custodia desde T0

Documentar cada manipulación de la evidencia desde el momento de su adquisición hasta su entrega al juzgado:

  • Fecha y hora exactas (UTC + offset).
  • Quién manipula la evidencia.
  • Qué hace exactamente (copia, análisis, conversión, presentación).
  • Hash SHA-256 antes y después de cada paso.
  • Almacenamiento: disco cifrado, ubicación física, acceso restringido.

La cadena de custodia es lo que distingue una prueba forense de una “captura cualquiera”. En ausencia de cadena de custodia documentada, el juzgado puede dar por buena la impugnación de la otra parte por falta de garantías.

  1. Análisis acotado

El perito analiza estrictamente el ámbito necesario para verificar la causa, no más. Si la sospecha era de filtración de información a un competidor concreto, el análisis se limita a comunicaciones con ese competidor. No se exploran chats personales con la pareja, conversaciones con familiares, citas médicas, comunicaciones sindicales o con representantes legales.

  1. Informe pericial UNE 197001:2019

El informe pericial sigue la estructura de la norma UNE 197001:2019 (informes periciales), con sus ocho secciones obligatorias y los anexos. Específico del ámbito laboral:

  • Identificación del perito y declaración de imparcialidad.
  • Objeto y alcance del peritaje (la causa concreta).
  • Antecedentes (manifestaciones del cliente, encargo, política de uso aplicable).
  • Consideraciones preliminares (metodología, marco normativo, herramientas, estándares).
  • Análisis técnico (cómo se accedió a la evidencia, qué se encontró, cómo se interpretó).
  • Conclusiones trazables a las pruebas analizadas.
  • Declaración final.
  • Anexos: política de uso firmada, acta notarial, manifest de evidencia con hashes, capturas técnicas, currículum del perito, glosario.

Cadena de custodia laboral: el detalle que invalida pruebas

La cadena de custodia es el procedimiento documentado mediante el cual se acredita que una evidencia digital es íntegra, auténtica y no ha sido manipulada desde su adquisición hasta su presentación en juicio. Es el equivalente forense de la trazabilidad alimentaria: cada paso, cada manipulación, cada cambio de manos queda registrado.

Qué exige la cadena de custodia digital

ElementoDetallePor qué importa
IdentificaciónID único de la evidencia, descripción, ubicación originalPermite distinguirla de otras evidencias del mismo caso
AdquisiciónQuién, cuándo, dónde, cómo, con qué herramientasGarantiza que la adquisición fue forense, no improvisada
Hash SHA-256Huella criptográfica de origen y de cada copiaSi el hash cambia, hay manipulación
AlmacenamientoSoporte cifrado, ubicación física, acceso restringidoEvita manipulaciones posteriores
ManipulacionesRegistro de cada análisis, conversión, presentaciónPermite reconstruir la historia completa
EntregaQuién recibe la evidencia y firmaCierra la cadena hasta el juzgado
Verificación finalHash al presentar en juicio comparado con hash inicialSi coinciden, la prueba es íntegra

ISO/IEC 27037 aplicada al laboral

La norma ISO/IEC 27037:2012 (“Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence”) es el estándar internacional de referencia para la adquisición y preservación de evidencia digital. Sus principios aplicados al ámbito laboral:

  • Auditabilidad: cualquier paso de la cadena debe ser reconstruible por un tercero a partir de la documentación.
  • Repetibilidad: en condiciones similares, otro perito debería poder llegar a los mismos resultados.
  • Reproducibilidad: con las mismas evidencias, otro perito debería poder llegar a las mismas conclusiones técnicas.
  • Justificabilidad: cada decisión metodológica debe poder explicarse y defenderse.

Por qué la “captura de pantalla” no basta

Es muy común que un trabajador o una empresa aporte como prueba digital una serie de capturas de pantalla del correo, del chat o de la pantalla del ordenador. Esto es radicalmente insuficiente:

  • Las capturas no llevan firma criptográfica que demuestre su autenticidad.
  • Su hora puede haber sido manipulada.
  • El contenido puede haber sido alterado mediante edición de imagen.
  • No existe registro técnico que demuestre cuándo, cómo y por quién se obtuvieron.
  • La parte contraria puede impugnarlas con muy poca carga argumental.

Cuando la captura es la única prueba, el juzgado normalmente no la valora como prueba plena, sino como mero indicio que debe ser corroborado por otras vías. Por eso el perito informático aporta el archivo original (correo .eml, chat exportado, captura forense del dispositivo) acompañado del hash SHA-256 y la cadena de custodia.

Hash SHA-256: la firma técnica de la integridad

El hash SHA-256 es una función criptográfica que produce una huella de 64 caracteres hexadecimales para cualquier archivo. Sus propiedades:

  • Determinismo: el mismo archivo produce siempre el mismo hash.
  • Sensibilidad: cambiar un solo bit del archivo produce un hash completamente distinto.
  • Resistencia a colisiones: en la práctica, es imposible encontrar dos archivos diferentes con el mismo hash.

Aplicación: cuando el perito calcula el SHA-256 de un correo .eml o de una imagen forense del disco en el momento de la adquisición, ese hash es la “firma técnica” del estado original. Si en juicio el perito vuelve a calcular el hash y coincide, queda demostrado que el archivo no ha sido manipulado. Si no coincide, hay manipulación o error en algún paso de la cadena.

Verificación accesible para el juez

El juzgado puede pedir al perito que demuestre el hash en sala. Para facilitar esta verificación, en digitalperito.es publicamos una calculadora de hash gratuita y un comparador de archivos por hash que cualquier juez, abogado o contraperito puede usar para verificar la integridad de la evidencia sin necesidad de instalar software.

Verificación independiente: el rol del contraperito

En procesos donde la evidencia digital es decisiva, la otra parte suele designar un contraperito que verifica la cadena de custodia y la integridad de la evidencia. El perito de parte debe redactar el informe pensando en esa verificación: documentar todo de modo que el contraperito pueda reproducir cada paso. La opacidad metodológica es una vulnerabilidad procesal.

Jurisprudencia clave 2017-2026 (TEDH, TC, TS y TSJ)

Esta sección recopila las sentencias decisivas que cualquier abogado laboralista debe conocer para argumentar sobre prueba digital corporativa.

Cronología comentada

AñoSentenciaMateriaDoctrina aportada
2016STC 39/2016 (3 marzo)VideovigilanciaTest de proporcionalidad y esperanza razonable de privacidad
2017TEDH Barbulescu II (5 sep)Vigilancia comunicacionesLas seis condiciones del test Barbulescu
2018STS 8 febrero 2018Correo electrónicoIntegración Barbulescu en España
2018STS 119/2018 (8 feb)GPS InditexGeolocalización con información previa
2018STC 119/2018 (29 oct)Información dispositivosInformación previa clara, expresa, inequívoca
2019STS 21/2019 (15 ene)Videovigilancia ocultaRestricción de cámaras ocultas
2025STS 23/2025 (14 ene)Videovigilancia visibleValidez con cámaras visibles e información
2025STS 39/2025 (20 ene)Despido en sala socialCarga probatoria empresarial
2025STS 49/2025 (23 ene)Represalia tras emailInadmisibilidad de despido como represalia
2025STS 175/2025 (5 mar)Doctrina actualizadaAplicación del marco LOPDGDD
2025STSJ Cataluña 3 oct 2025Uso indebido mediosDespido procedente con cadena de custodia y hash
2025STSJ 540/2025 (13 may)Prueba ilícitaDistinción ilicitud prueba vs nulidad despido
2026STSJ La Rioja feb 202639 horas web personalesDespido improcedente sin perito informático
2026STSJ Cataluña 699/2026 (6 feb)Prueba digitalAplicación marco actualizado

Barbulescu II (TEDH 5 septiembre 2017)

La Gran Sala del TEDH revoca su decisión previa y declara la vulneración del artículo 8 CEDH (derecho a la vida privada y a las comunicaciones) por el despido del trabajador rumano. El razonamiento clave: la empresa no informó previamente a Barbulescu de que sus comunicaciones podían ser objeto de seguimiento, ni de que el seguimiento podía incluir el contenido. El TEDH establece las seis condiciones (test Barbulescu) que los tribunales nacionales deben verificar.

Aplicación práctica: cualquier procedimiento de control empresarial sobre correo, chat o cualquier comunicación digital del trabajador, sin información previa específica y previa, es ilícito.

STC 39/2016 (3 marzo 2016)

El Tribunal Constitucional analiza el caso de una trabajadora despedida tras ser grabada por una cámara de videovigilancia que había instalado la empresa por sospechas de hurto. El TC examina:

  • Si existía una causa empresarial legítima (sospecha fundada).
  • Si la medida era idónea, necesaria y proporcionada.
  • Si existía información previa al trabajador sobre la videovigilancia.

El TC matiza que en el caso concreto, la cámara estaba en una zona de pública concurrencia (caja registradora), su existencia era visible, había pegada una pegatina informativa, y por tanto la trabajadora no tenía esperanza razonable de privacidad. La sentencia consolida el test de proporcionalidad como filtro constitucional de las medidas de control empresarial.

STS 8 febrero 2018: integración de Barbulescu II en España

La Sala de lo Social del TS asume expresamente la doctrina Barbulescu II y la incorpora al ordenamiento social español. Desde esta sentencia, las seis condiciones del test pasan a ser exigibles a cualquier empresa que pretenda controlar las comunicaciones digitales de sus trabajadores. La información previa específica deja de ser una buena práctica y pasa a ser un requisito jurídico.

STS 119/2018: geolocalización GPS (caso Inditex)

Trabajadores con vehículo de empresa (con GPS instalado por la empresa) que detectaban desviaciones de la ruta laboral hacia destinos personales. La empresa los despidió aportando los registros GPS como prueba. El TS sienta los criterios de la geolocalización lícita:

  • Información previa al trabajador clara, expresa, inequívoca y específica sobre la existencia del GPS, sus características y los derechos en materia de protección de datos.
  • Limitación al horario laboral. El GPS no puede registrar datos fuera de la jornada.
  • Finalidad laboral. No puede usarse para perfilado, marketing ni otros fines.
  • Proporcionalidad. La medida es lícita siempre que el control que persigue no pueda alcanzarse con medios menos intrusivos.

STS 21/2019: videovigilancia oculta

Trabajadora despedida tras grabar de forma oculta una cámara que la empresa había instalado por sospechas concretas de hurtos. El TS endurece la doctrina: la videovigilancia oculta solo es admisible en supuestos de sospecha fundada, gravedad de la conducta investigada y ausencia de medios alternativos menos intrusivos. La regla general es que las cámaras deben ser visibles y debe existir información previa.

STS 23/2025 (14 enero 2025): videovigilancia válida

El TS declara válida la prueba aportada en un despido disciplinario por incumplimientos graves, basada en grabaciones de cámaras de videovigilancia, porque:

  • Las cámaras eran visibles para clientes y empleados.
  • Existía información previa adecuada.
  • La empresa había cumplido con las obligaciones del artículo 89 LOPDGDD.

La sentencia consolida la línea: cámaras visibles + información previa + proporcionalidad = prueba válida.

STS 49/2025 (23 enero 2025): represalia tras email

El TS declara nulo el despido durante el período de prueba que sigue inmediatamente a una reclamación interna del trabajador por correo electrónico. La sentencia refuerza la garantía de indemnidad: la empresa no puede usar el período de prueba como cobertura para despedir como represalia, y el correo electrónico interno es prueba válida del ejercicio del derecho.

STSJ La Rioja febrero 2026: 39.083 € por falta de perito informático

Caso citado en uno de los posts más virales del cluster digitalperito.es: un técnico-comercial es despedido por 1.085 conexiones personales y 57 horas de navegación no laboral en dos meses. La empresa aporta logs de proxy y firewall pero no informe pericial.

El TSJ La Rioja declara el despido improcedente y condena a la empresa a 39.083,61 € de indemnización (más costas) por:

  • No haber acreditado mediante informe pericial el perjuicio concreto causado por las conexiones (la propia empresa reconocía que el trabajador cumplía sus objetivos).
  • No haber documentado correctamente la cadena de custodia de los logs.
  • Haber calificado la conducta como falta muy grave cuando el convenio la calificaba solo como falta grave.

Lección: aportar logs sin informe pericial es una apuesta cara. La sentencia cuesta a la empresa 39.000 €. Un peritaje hubiera costado menos del 5% de esa cifra y, sobre todo, hubiera estructurado el caso desde la causa hasta la decisión disciplinaria.

STSJ Cataluña 3 octubre 2025: uso indebido de medios tecnológicos

El TSJ confirma el despido procedente de un trabajador de larga trayectoria por uso indebido y consciente de medios tecnológicos de la empresa, expresamente prohibido y con perjuicios graves. Elementos decisivos:

  • Política de uso firmada y conocida por el trabajador.
  • Información previa específica sobre la posibilidad de auditoría.
  • Sospecha fundada que motivó el acceso.
  • Cadena de custodia documentada con hashes SHA-256.
  • Informe pericial informático que cuantificaba el perjuicio.
  • Audiencia previa al trabajador.

Es el ejemplo típico del despido digital “bien hecho”: cumple el test Barbulescu, respeta la cadena de custodia y se apoya en informe pericial. Resultado: despido procedente.

STSJ 540/2025 (13 mayo 2025): prueba ilícita y nulidad del despido

El tribunal aplica la doctrina constitucional reciente y distingue:

  • La ilicitud de la prueba se traduce en su exclusión del proceso (el juzgado no la valora).
  • La nulidad del despido solo procede si la única prueba de la causa era la ilícita (el despido no tiene apoyo) o si la obtención de la prueba vulneró un derecho fundamental sustantivo (no solo procesal).

Esta distinción es crucial para los abogados laboralistas: probar la ilicitud de la prueba digital no equivale automáticamente a obtener la nulidad. Hay que argumentar también que la causa del despido no tiene otro apoyo probatorio o que se vulneró un derecho fundamental sustantivo.

STSJ Cataluña 699/2026 (6 febrero 2026)

Sentencia reciente que aplica el marco actualizado a un caso de prueba digital en despido disciplinario. La sentencia subraya tres puntos:

  • La política de uso debe haberse actualizado tras la entrada en vigor de la LOPDGDD.
  • La información previa al trabajador debe ser específica para cada tipo de medio (correo, chat, dispositivo).
  • El informe pericial debe acreditar la cadena de custodia con hashes y, en su caso, con acta notarial.

Test de proporcionalidad: cómo aplicarlo en la práctica

El test de proporcionalidad es la herramienta argumental que utilizan los tribunales para decidir si una medida que limita un derecho fundamental (como la intimidad del trabajador) es legítima. Tiene tres fases.

Las tres fases del test

FasePregunta claveSi la respuesta es NO
Idoneidad¿La medida es adecuada para alcanzar el objetivo perseguido?Medida desestimada — no sirve para el fin
Necesidad¿Existen medios menos intrusivos para alcanzar el mismo objetivo?Medida desestimada — hay alternativa menos lesiva
Proporcionalidad estricta¿El beneficio empresarial supera al perjuicio sobre el derecho fundamental del trabajador?Medida desestimada — el daño es mayor que el beneficio

Idoneidad

La medida (acceder al correo del trabajador, instalar GPS en su vehículo, monitorizar su pantalla) debe ser adecuada para conseguir el objetivo declarado. Si la empresa quiere verificar si un trabajador filtra información a un competidor, leer su correo personal a la pareja no es idóneo: ese correo no contiene información corporativa. Si la empresa quiere controlar el cumplimiento del horario, la videovigilancia oculta de la zona de descanso no es idónea: el horario se acredita con sistemas de fichaje.

Necesidad

Aunque la medida sea idónea, debe ser necesaria en el sentido de que no exista otra alternativa que alcance el mismo objetivo con menor lesión del derecho fundamental. Aplicado al caso típico de filtración:

  • Acceso al contenido completo del correo durante el último año: máxima intrusión.
  • Acceso a metadatos (a quién, cuándo, qué tamaño): menor intrusión.
  • Auditoría DLP automática que solo alerta de patrones sospechosos: aún menor.
  • Análisis de logs de acceso a sistemas confidenciales: mínima intrusión.

Si la medida menos intrusiva (logs DLP) hubiese sido suficiente para verificar la sospecha, acceder al contenido completo es desproporcionado.

Proporcionalidad estricta

Aunque la medida sea idónea y necesaria, el beneficio empresarial debe ser mayor que el perjuicio sobre el derecho fundamental del trabajador. Aplicado a un caso real: ¿es razonable monitorizar el contenido del correo de un trabajador durante un mes para verificar una sospecha de retraso ocasional? Probablemente no: el beneficio (verificar un retraso) no compensa el perjuicio (intrusión en la intimidad durante un mes).

Tabla aplicada a 5 escenarios

EscenarioIdoneidadNecesidadProporcionalidad estrictaVeredicto
Acceso a logs DLP tras alerta de salida masiva de informaciónSí (medida menos intrusiva probada)Sí (beneficio supera perjuicio)Lícita
Acceso al contenido completo del correo por sospecha genérica de “uso personal”DiscutibleNo (logs habrían bastado)NoIlícita
Clonado del PC del trabajador despedido para investigar filtración concreta a competidor XSí (no había alternativa)Lícita con condiciones
Videovigilancia oculta de toda la oficina por sospechas genéricas de hurtosNo (cartelería + cámaras visibles eran suficientes)NoIlícita
GPS en vehículo de empresa con información previa, durante jornada y para finalidad laboralLícita

Slack, Microsoft Teams y Google Chat: especificidades probatorias

La mensajería corporativa instantánea ha desplazado al correo en muchas funciones operativas. Hoy las decisiones se toman en hilos de Slack, las desavenencias se ventilan en chats privados de Teams y los acuerdos se cierran en mensajes directos de Google Chat. Por eso esta evidencia tiene un papel creciente en juicio social, y al mismo tiempo presenta especificidades técnicas y jurídicas que la diferencian del correo.

Diferencias estructurales con el correo

AspectoCorreo electrónicoSlack / Teams / Google Chat
Soporte físico de los datosServidor de correo (Exchange / IMAP / SaaS)Cloud SaaS multi-tenant
Modelo de propiedadEmpresa propietaria del dominioEmpresa propietaria del workspace / tenant
Recuperabilidad de borradosLimitada según retentionCompleta con plan adecuado y litigation hold
Soporte técnico de adquisiciónEstándar (PST, OST, MBOX, EML)Específico de cada plataforma
Verificación criptográficaDKIMFirma del export del proveedor
Cabeceras técnicasSí, RFC 5322 / RFC 6376Limitadas — metadatos de la plataforma
Coexistencia con correo personalHabitualMenos habitual (suele ser purely corporativo)

Slack: eDiscovery y litigation hold

Slack ofrece tres niveles de gestión de eDiscovery según el plan:

  • Slack Pro / Business+: retention configurable, exportación básica de canales públicos. Sin litigation hold avanzado.
  • Enterprise Grid: eDiscovery API completa, litigation hold, exportación de canales privados y mensajes directos.

Para usar Slack como prueba en juicio social, la empresa necesita el plan adecuado al volumen de información que pretende preservar. Sin el plan adecuado, los mensajes borrados por el usuario no son recuperables, lo que abre un flanco probatorio.

Procedimiento de adquisición forense desde Slack

  1. Activar litigation hold sobre el usuario o el canal antes de cualquier otra acción. Esto preserva inmediatamente el contenido aunque el usuario intente borrarlo.

  2. Documentar el momento del litigation hold con captura de pantalla del panel de admin, hora UTC, identificadores del usuario o canal afectado.

  3. Ejecutar la exportación desde el panel de eDiscovery. Slack genera un archivo JSON estructurado con todos los mensajes, los archivos adjuntos referenciados y los metadatos.

  4. Calcular el hash SHA-256 del archivo exportado.

  5. Generar acta notarial del proceso de exportación, con presencia del fedatario público en el momento del export y firma del archivo exportado.

  6. Análisis pericial sobre el archivo exportado, no sobre la interfaz web (que es dinámica y puede mostrar versiones diferentes).

Microsoft Teams: Microsoft Purview eDiscovery

La herramienta nativa de eDiscovery para Teams (y para toda la suite Microsoft 365) es Microsoft Purview eDiscovery, en sus dos versiones:

  • Standard: búsqueda en buzones de Exchange, OneDrive, SharePoint y Teams. Exportación.
  • Premium: añade análisis avanzado, revisión asistida por IA, etiquetado, custodian management, gestión de casos.

Distribución del contenido de Teams

Lo más importante a entender: Teams no es un sistema monolítico. El contenido se distribuye:

  • Mensajes de canal: en el buzón del grupo Microsoft 365 asociado.
  • Mensajes de chat 1:1 o grupales: en buzones individuales ocultos.
  • Archivos compartidos en canales: en la biblioteca SharePoint del equipo.
  • Archivos compartidos en chats: en OneDrive del usuario que los compartió.
  • Grabaciones de reunión: en OneDrive o SharePoint.
  • Transcripciones: en OneDrive.
  • Notas: en OneNote del grupo.

Una búsqueda eDiscovery debe abarcar todas estas ubicaciones para no perder evidencia. Esa es la razón por la que el perito informático que trabaja con Teams debe entender la arquitectura Microsoft 365 y no limitarse a buscar “en Teams”.

Litigation hold en Teams

Microsoft Purview permite poner en litigation hold a un usuario o a un equipo completo. Una vez activado, ningún mensaje puede ser borrado: las copias inmutables se conservan en una capa de retención independiente. Esto es decisivo en investigaciones por filtración o acoso, donde el actor podría intentar borrar evidencia.

Google Chat: Google Vault

Google Vault gestiona la retención y eDiscovery de toda la suite Google Workspace, incluyendo Google Chat, Gmail, Drive, Meet y Sites. Sus funciones para chat:

  • Retention rules configurables por dominio, unidad organizativa o usuario.
  • Hold sobre cuentas o grupos.
  • Búsqueda en todo el histórico, con filtros por usuario, fecha, palabras clave, tipo de espacio.
  • Exportación en formato PST o MBOX.

Adquisición sin acceso administrativo

Cuando la empresa no tiene plan adecuado o el trabajador ya ha causado baja y se ha eliminado su cuenta, la adquisición forense desde Slack/Teams/Chat se complica. Vías alternativas:

  • Caché local en dispositivo corporativo: Slack y Teams cachean mensajes en el dispositivo local. Un perito puede recuperarlos desde el equipo del trabajador con técnicas forenses estándar (tras el clonado del disco).
  • Notificaciones de correo: si el trabajador tenía configurada la notificación de mensajes por correo, los mensajes pueden recuperarse desde su buzón.
  • Capturas de la otra parte: si la conversación es entre el trabajador y otro empleado, este último puede aportar capturas con cadena de custodia.

Cada vía tiene sus limitaciones probatorias, que el perito debe documentar para que el juzgado las pondere.

Especificidades jurídicas frente al correo

La doctrina sobre Slack/Teams/Chat es aún más reducida que la del correo, pero los principios se aplican analógicamente:

  • Información previa al trabajador: la política de uso debe mencionar específicamente las plataformas de mensajería corporativa, no solo “el correo electrónico”. Política redactada antes de 2018 que no menciona Slack/Teams: insuficiente.
  • Test Barbulescu: las seis condiciones se aplican en bloque.
  • Esperanza razonable de privacidad: en mensajes directos puede ser mayor que en canales públicos.
  • Proporcionalidad: el ámbito de la búsqueda debe ser específico (palabras clave, fechas, custodios) y no un fishing expedition.

BYOD y dispositivo personal usado en empresa

BYOD (Bring Your Own Device) designa la práctica de los trabajadores de usar sus dispositivos personales (móvil, tableta, ordenador portátil) para actividades laborales. Es habitual en pymes, en comerciales que no quieren llevar dos móviles y en perfiles directivos. Tiene implicaciones probatorias específicas que conviene comprender.

Marco jurídico

El BYOD se rige por el cruce de varias normas:

  • Estatuto de los Trabajadores: el trabajador no está obligado a aportar sus propios medios salvo pacto expreso o causa objetiva. Negarse a usar el móvil personal no puede ser causa de despido.
  • LOPDGDD art. 87: la empresa no es propietaria del dispositivo, por lo que su capacidad de auditoría es muy limitada. Solo puede auditar las aplicaciones corporativas instaladas, no el resto del dispositivo.
  • RGPD art. 5 y 6: limitación de finalidad y minimización. La empresa solo puede tratar los datos personales del trabajador en la medida estrictamente necesaria.
  • Ley 31/1995 de Prevención de Riesgos Laborales: implicaciones en seguridad de la información si se accede a información sensible desde dispositivo personal sin medidas adecuadas.

Limitaciones probatorias del BYOD

Cuando la empresa quiere acceder a un dispositivo personal del trabajador para fundamentar un despido (por ejemplo, alegando que ha filtrado información a través de su móvil personal), choca con barreras importantes:

  • No hay propiedad corporativa: el dispositivo es del trabajador. La empresa no puede acceder unilateralmente.
  • Se necesita consentimiento o autorización judicial: el acceso al móvil personal del trabajador, sin su consentimiento expreso, requiere orden judicial. En el ámbito laboral, esa orden se obtiene a través de la diligencia preliminar o de la ejecución provisional, con presupuestos restrictivos.
  • El consentimiento debe ser libre: el consentimiento que el trabajador dé bajo amenaza de despido o sanción no es libre y, por tanto, no es válido (art. 7 RGPD).

Estrategias de la empresa

Para mitigar los riesgos probatorios del BYOD, la empresa puede:

  1. Restringir el BYOD: facilitar dispositivos corporativos a todos los trabajadores que usen aplicaciones críticas.
  2. Containerización: usar soluciones MDM que separan el “perfil de trabajo” del personal en el mismo dispositivo. La empresa solo audita el perfil de trabajo. Esto requiere consentimiento del trabajador y modifica el contrato de trabajo.
  3. Limitar el alcance: que la información corporativa accesible desde dispositivo personal sea mínima e idealmente caduque automáticamente.
  4. Política BYOD escrita: si se permite, regularlo con detalle, con consentimiento expreso del trabajador y compensación.

Estrategia del trabajador despedido por información en dispositivo personal

Si el trabajador es despedido por información presuntamente almacenada en su móvil o portátil personal:

  • Verificar que la prueba aportada por la empresa procede de medios legítimos (no del acceso unilateral al dispositivo personal).
  • Si la empresa ha accedido al dispositivo sin consentimiento ni orden judicial, la prueba es ilícita (art. 90.2 LRJS, art. 11.1 LOPJ).
  • Solicitar la exclusión de la prueba y, en su caso, la nulidad del despido por vulneración del derecho fundamental a la intimidad.

El papel del perito informático en el juicio social

El perito informático es la figura técnica que articula la prueba digital ante el juzgado. Su intervención puede producirse en distintos momentos y con distintos roles.

Antes del despido: asesoramiento a la empresa

Una empresa que considera el despido disciplinario por causa digital (uso indebido, filtración, acoso) debería convocar al perito informático antes del despido. El perito:

  • Audita la política de uso de medios digitales.
  • Verifica que se cumple el test Barbulescu y los artículos 87-91 LOPDGDD.
  • Define el ámbito mínimo de la investigación.
  • Coordina la adquisición forense con presencia notarial.
  • Genera la cadena de custodia desde T0.
  • Acompaña al departamento jurídico en la redacción de la carta de despido.

Coste de hacerlo bien: una fracción de lo que cuesta un despido improcedente. El caso STSJ La Rioja febrero 2026 es paradigmático: 39.083 € de indemnización por no haber pasado por el perito.

Durante la adquisición de la evidencia

En el momento del acceso al dispositivo, al correo o al sistema corporativo, el perito:

  • Llega al dispositivo en el estado más cercano al “natural”.
  • Decide la metodología de adquisición según el soporte (clonado, exportación, captura de tráfico).
  • Calcula hashes SHA-256 antes y después.
  • Documenta cada paso en el acta notarial.
  • Etiqueta la evidencia y la almacena en soporte cifrado.

Análisis y redacción del informe

El perito analiza la evidencia con herramientas estándar (FTK Imager, Autopsy, Magnet AXIOM, Cellebrite UFED) y redacta el informe pericial siguiendo la norma UNE 197001:2019. Estructura:

  1. Identificación del perito y declaración de imparcialidad.
  2. Objeto y alcance del peritaje.
  3. Antecedentes (encargo, manifestaciones del cliente, política de uso).
  4. Consideraciones preliminares (metodología, marco normativo, herramientas, estándares).
  5. Análisis técnico.
  6. Conclusiones trazables.
  7. Declaración final.
  8. Anexos (acta notarial, manifest de evidencia, hashes, capturas técnicas, currículum).

Ratificación en sala social

El perito ratifica el informe en el acto del juicio. La fase de ratificación tiene tres momentos:

  • Ratificación del informe: el perito declara bajo juramento que el informe es suyo y se ratifica en su contenido.
  • Aclaraciones del juzgado: el juez puede pedir aclaraciones sobre conceptos técnicos.
  • Interrogatorio cruzado: el letrado contrario formula preguntas para impugnar la metodología, la cadena de custodia o las conclusiones.

Una buena ratificación exige preparación previa con el abogado, conocimiento profundo del caso, capacidad de explicar conceptos técnicos en lenguaje accesible y serenidad bajo el interrogatorio cruzado. Para profundizar en este aspecto, ver la Guía práctica de ratificación de perito informático en juicio.

Contrainforme: defensa del trabajador

Cuando el trabajador es despedido con prueba digital corporativa, su abogado puede designar un contraperito que verifique:

  • La existencia y suficiencia de la política de uso.
  • La existencia y especificidad de la información previa al trabajador.
  • La aplicación correcta del test Barbulescu.
  • La cadena de custodia (hashes, acta notarial).
  • La idoneidad y proporcionalidad del acceso.
  • La interpretación técnica de los datos.

El contrainforme apunta a uno o varios puntos débiles. Si el contrainforme acredita que la prueba es ilícita o que la cadena de custodia presenta defectos, el efecto procesal puede ser decisivo.

Para profundizar en este punto, ver la Guía sobre cómo impugnar un informe pericial informático y la Guía del contrainforme pericial.

Errores frecuentes que invalidan pruebas digitales corporativas

Una década de informes periciales y contrainformes en sala social permite identificar los errores recurrentes que arruinan la prueba digital corporativa. Esta tabla recoge los doce más habituales y su efecto procesal.

ErrorEfecto procesal típico
1Política de uso genérica o anterior a 2018 sin información específicaPrueba ilícita por incumplimiento art. 87 LOPDGDD y test Barbulescu
2Acceso al contenido sin sospecha fundada concretaPrueba ilícita por desproporción
3Acceso unilateral sin notario ni representantePrueba devaluada — alta probabilidad de inadmisión
4Tocar el dispositivo antes de llegar el perito (timestamps modificados)Cadena de custodia rota — impugnación con éxito
5Aportar capturas de pantalla en lugar de archivos originalesPrueba devaluada como simple indicio
6Sin hash SHA-256 de la evidenciaCadena de custodia incompleta
7Análisis fuera del ámbito necesario (fishing expedition)Vulneración de proporcionalidad
8Acceso a contenido personal mezclado con corporativo (correos privados, fotos)Vulneración intimidad sustantiva — riesgo de nulidad despido
9Sin acta notarial del acceso ni representación de los trabajadoresDisminución del valor probatorio
10Carta de despido genérica que no concreta los hechos digitalesDespido improcedente por defecto de forma
11Falta de informe pericial (logs aportados sin interpretación técnica)Riesgo de improcedencia (caso STSJ La Rioja 39.083 €)
12Demora en la adquisición tras el incidente (logs sobrescritos por retention)Pérdida irrecuperable de evidencia

Análisis de algunos errores

Error 1: política de uso genérica

Muchas empresas creen que con la cláusula contractual estándar “el trabajador acepta que la empresa pueda controlar el uso de los medios informáticos” están cumpliendo el test Barbulescu. No es así. La sala social exige información específica: qué se controla, cómo, en qué casos, quién accede, qué se hace con la información, cuánto tiempo se conserva. Una política redactada antes de 2018 (entrada en vigor de la LOPDGDD) y no actualizada es prácticamente garantía de prueba ilícita.

Error 4: tocar el dispositivo antes del perito

Cuando un manager recibe una alerta y “echa un vistazo” al ordenador del trabajador antes de llamar al perito, está modificando timestamps de acceso a archivos, escribiendo en logs del sistema, cargando archivos en memoria y activando la indexación de Windows. Cualquier contraperito capaz puede reconstruir esos cambios y demostrar que el dispositivo fue manipulado entre el momento del incidente y el clonado forense.

Solución: activar protocolo de incidente, no tocar nada, llamar al perito.

Error 5: capturas de pantalla en lugar de originales

Una captura de pantalla del correo electrónico o del chat puede ser ilustrativa, pero no es prueba forense. Carece de cabeceras técnicas, hashes, firmas digitales y trazabilidad. El juzgado social tiene poder de valoración libre, pero ante una impugnación bien argumentada, las capturas suelen quedar como meros indicios.

Solución: aportar el archivo original (correo .eml, chat exportado en JSON, captura de tráfico), acompañado de hash SHA-256 y, si es posible, acta notarial.

Error 8: acceso a contenido personal mezclado con corporativo

El perito o el manager que, al investigar una sospecha de filtración, tiene en sus manos correos del trabajador con su pareja, fotos personales o conversaciones con su médico, está pisando un terreno minado. Aunque la finalidad inicial fuera legítima, el acceso a esa información personal puede vulnerar la intimidad sustantiva del trabajador y arrastrar al despido a la nulidad (no solo improcedencia).

Solución: definir filtros previos al análisis (palabras clave, fechas, destinatarios) que limiten el ámbito a lo estrictamente necesario. Si se encuentra información personal, no leerla, segregarla y no incluirla en el informe.

Error 11: aportar logs sin informe pericial

Los logs son metadatos puros. Sin interpretación pericial técnica, son ininteligibles para el juez. El caso STSJ La Rioja febrero 2026 es paradigmático: la empresa aportó 1.085 conexiones personales y 57 horas de navegación pero sin un perito que cuantificara el perjuicio, contextualizara la conducta y validara la cadena de custodia. Resultado: 39.083 € de indemnización al trabajador.

Solución: cualquier prueba digital con peso decisivo debe aportarse acompañada de informe pericial.

Para abogados laboralistas: checklist procesal

El abogado laboralista que se enfrenta a un caso con prueba digital — sea defendiendo al trabajador o representando a la empresa — debe seguir un check riguroso antes y durante el procedimiento.

Antes de la demanda (defensa del trabajador)

  1. Análisis del despido

Examinar la carta de despido: hechos imputados, fecha, calificación de las faltas según convenio. Identificar las pruebas digitales aportadas por la empresa.

  1. Solicitud de la política de uso

Pedir a la empresa, por burofax o requerimiento, copia de la política de uso de medios digitales firmada por el trabajador. Si la empresa no aporta o aporta una política genérica anterior a 2018, hay base para argumentar prueba ilícita.

  1. Análisis de la información previa

Verificar si el trabajador recibió información específica sobre la posibilidad de auditoría (no solo la política firmada al entrar en la empresa, sino comunicaciones específicas sobre el control digital).

  1. Convocar al contraperito

Designar perito informático para analizar:

  • La política de uso aportada por la empresa.
  • La cadena de custodia del informe pericial de la empresa.
  • La metodología de adquisición.
  • La interpretación técnica.
  1. Diligencias preliminares

Si es necesario y proporcionado, solicitar diligencias preliminares (art. 76 LRJS) para:

  • Examinar libros contables o documentación de la empresa.
  • Acceder a logs corporativos relevantes.
  • Identificar al responsable del acceso a la información.
  1. Demanda con argumentación digital

Redactar la demanda incluyendo:

  • Petición de inadmisión de prueba ilícita (art. 90.2 LRJS).
  • Solicitud de pericial técnica del contraperito.
  • Solicitud de exhibición de política de uso, registros de acceso y eventual auditoría DLP.
  • Petición principal (improcedencia o nulidad) con argumentación completa.
  • Petición subsidiaria.

Antes de la demanda (representación de empresa)

  1. Auditoría preventiva

Antes del despido, auditar:

  • Existencia y vigencia de la política de uso.
  • Información previa específica al trabajador (correo, sesión informativa, anexos contractuales).
  • Cumplimiento del test Barbulescu.
  • Cadena de custodia de la evidencia ya recopilada.
  1. Convocar al perito antes de redactar la carta

El perito debe haber emitido o estar redactando el informe antes de la carta de despido. La carta debe construirse sobre los hallazgos del informe, no al revés.

  1. Acta notarial

Si se accedió al ordenador, al correo o al chat, asegurar que existe acta notarial del acceso. Sin ella, el procedimiento queda debilitado.

  1. Carta de despido específica

Concretar los hechos digitales con el máximo detalle: fechas exactas, sistemas concretos, archivos concretos, perjuicio específico. La carta genérica (“uso indebido del correo electrónico”) es insuficiente.

  1. Anticipar el contrainforme

Asumir que el trabajador designará contraperito. Documentar todo de modo que el contrainforme pueda verificar cada paso.

En la vista oral

MomentoPara defensa del trabajadorPara representación de empresa
Cuestiones procesalesPlantear inadmisión de prueba ilícita (art. 90.2 LRJS, art. 287 LEC)Defender la licitud y aportar política de uso, acta notarial, hashes
Interrogatorio del demandantePreparar respuestas sobre uso del medio digital y conocimiento de la políticaConfrontar con la política firmada y la información previa
Interrogatorio del demandadoPreguntar por el procedimiento de acceso, quién, cuándo, con qué información previa, por qué causa concretaDefender la proporcionalidad y la justificación
Pericial de la empresaInterrogatorio cruzado focalizado en cadena de custodia, hashes, ámbito del análisis, mezcla con datos personalesRatificación clara y trazable
Pericial del trabajadorRatificación del contrainforme apuntando a defectosInterrogatorio cruzado sobre alternativa interpretativa
DocumentalSolicitar lectura de la política de uso y de la información previaAportar como prueba documental
ConclusionesArgumentar ilicitud probatoria + improcedencia o nulidadArgumentar licitud, procedencia y proporcionalidad

Recurso de suplicación

Si la sentencia es contraria al cliente, el recurso de suplicación (art. 191 LRJS) permite revisar:

  • Vicios procesales en la admisión o exclusión de prueba (motivo art. 193.a LRJS).
  • Revisión de hechos probados sobre la base de los documentos del expediente (motivo art. 193.b LRJS).
  • Infracción de normas sustantivas o jurisprudenciales (motivo art. 193.c LRJS) — incluyendo la doctrina Barbulescu, STC 39/2016, STS 119/2018 y demás referenciadas en esta guía.

Para empresas: protocolo preventivo de despido digital

Para empresas que se anticipan, esta sección recoge el protocolo preventivo que minimiza el riesgo procesal en despidos basados en prueba digital corporativa.

Etapa 1: política de uso

Una política de uso de medios digitales actualizada y firmada por todos los trabajadores es la primera línea de defensa. Sus contenidos imprescindibles:

  • Definición de medios digitales: correo, chat (Slack, Teams, Google Chat), drive corporativo, ordenador, smartphone, VPN, MDM, GPS de vehículos, badge de acceso.
  • Finalidad permitida: laboral exclusiva, personal moderada tolerada, etc., con detalle por medio.
  • Mecanismos de control: filtros DLP, retention en plataformas, auditorías programadas, análisis ante incidentes, monitorización del contenido si procede, qué herramientas se usan.
  • Información previa específica: qué se controla, cómo, en qué casos, quién accede, qué se hace con la información, cuánto tiempo se conserva.
  • Procedimiento de acceso: quién autoriza, en qué casos, con qué garantías (presencia notarial, presencia de representante).
  • Tratamiento de datos: bases jurídicas, finalidad, plazo de conservación, derechos del trabajador.
  • Consecuencias del incumplimiento: graduación de las faltas conforme al convenio.

La política se entrega al trabajador en el momento de la contratación, se acompaña de una sesión informativa documentada y se firma con acuse de recibo. Se actualiza cada vez que cambian los medios o las herramientas.

Etapa 2: información previa específica

Más allá de la política firmada al entrar, la empresa debe mantener un canal de información continua:

  • Comunicaciones internas explicando los sistemas de control activos.
  • Avisos cuando se incorpora una nueva herramienta (Slack, Teams, MDM, DLP).
  • Refrescos periódicos del contenido de la política.
  • Sesiones de compliance digital obligatorias.

Estas comunicaciones deben quedar documentadas (correos enviados, asistencia a sesiones, vídeos de e-learning con seguimiento).

Etapa 3: protocolo de incidente

Cuando llega una alerta o sospecha (DLP, denuncia interna, anomalía detectada), la empresa activa un protocolo:

  1. Documentar la causa: qué alerta llegó, cuándo, por qué se considera relevante.
  2. Convocar al comité de incidentes: jurídico, RRHH, IT, compliance.
  3. Definir el ámbito mínimo: qué medios, qué fechas, qué palabras clave o filtros, qué información previa al trabajador resulta relevante.
  4. Convocar al perito informático externo: independiente del equipo IT interno (refuerza imparcialidad).
  5. Coordinar con notario: presencia en el momento del acceso o adquisición.
  6. Adquisición forense: clonado, exportación, captura, según el medio.
  7. Análisis acotado: el perito analiza solo el ámbito definido en el paso 3.
  8. Decisión disciplinaria: si los hechos confirman la causa, RRHH y jurídico construyen el procedimiento disciplinario sobre la evidencia.
  9. Audiencia previa al trabajador: trasladar los hechos y permitir explicación antes de la decisión definitiva.
  10. Carta de despido específica: hechos concretos, calificación, fecha, pruebas en las que se fundamenta.

Etapa 4: el día del despido

  • Carta de despido entregada con acuse de recibo (presencial firmado o burofax con copia certificada).
  • Inhabilitación de credenciales en sistemas corporativos (correo, VPN, Slack, Teams, MDM).
  • Recogida de equipos corporativos.
  • Activación de litigation hold sobre buzones, chats y archivos del trabajador.
  • Conservación de la evidencia en soporte cifrado.

Etapa 5: post-despido

  • Conservación íntegra de la cadena de custodia hasta firmeza.
  • Disponibilidad del perito para ratificación.
  • Posible ampliación del análisis si surgen nuevas cuestiones procesales.
  • Lecciones aprendidas — actualizar política y protocolo si es necesario.

Costes y honorarios del peritaje laboral digital

Los honorarios del peritaje informático en juicio social dependen del soporte, del ámbito del análisis y de la complejidad técnica. Esta sección no fija precios concretos — para presupuesto cerrado, ofrecemos consulta gratuita por videollamada.

Variables que determinan el coste

VariableImpacto
Volumen de evidenciaUn correo único versus un buzón de 10 GB
Tipo de soporteEl correo es estándar; un smartphone con Cellebrite UFED requiere licencias específicas
Necesidad de notarioSuma honorarios fedatario público
Ámbito temporalAnálisis de 1 mes versus de 3 años
Asistencia a juicioTiempo de ratificación y desplazamiento
ContrainformeAnálisis crítico del informe contrario añade complejidad

Alternativas y su valor probatorio

OpciónValidez en sala socialCoste relativo
Captura de pantallaIndicio simpleMínimo
Acta notarial sin peritoIndicio reforzadoMedio
Acta notarial + peritoPrueba forense plenaAlto
Plataforma SaaS de certificaciónIndicio reforzadoMedio

La diferencia entre el éxito y el fracaso del despido suele estar en la diferencia de coste entre las opciones — y, en juicios laborales, el coste de un perito es habitualmente menor del 5% de la indemnización en juego.

Consulta gratuita por videollamada

Para valorar el coste y el alcance del peritaje en tu caso concreto (correo, Slack, Teams, ordenador o smartphone corporativo), reserva una consulta gratuita por videollamada en /contacto/ o consulta los rangos de honorarios publicados en /precios/ y la calculadora de presupuesto.

Preguntas frecuentes

1. ¿Puede la empresa leer mi correo corporativo sin avisarme?

Solo si te ha informado previamente de forma específica sobre la posibilidad de acceso, las condiciones, la finalidad y las garantías. La política firmada al entrar a la empresa, si no contiene esa información específica, no basta. La doctrina Barbulescu II (TEDH 2017), integrada en España por la STS de 8 de febrero de 2018, exige información previa “precisa, transparente y específica”. Sin ella, el acceso es ilícito y la prueba inadmisible (art. 90.2 LRJS).

2. ¿Y si la empresa accede a mi Slack o Microsoft Teams?

Las mismas reglas se aplican: información previa específica, justificación, proporcionalidad, alternativas menos intrusivas, uso adecuado de la información obtenida y garantías procesales. Si la política de uso solo menciona “el correo electrónico” pero no Slack ni Teams, hay base argumental para considerar que la información previa sobre estas plataformas es insuficiente.

3. ¿Necesita la empresa orden judicial para auditar mi ordenador corporativo?

No, si tiene política de uso vigente, información previa específica, sospecha fundada concreta y la actuación cumple el test de proporcionalidad. La presencia de notario refuerza la prueba pero no es jurídicamente imprescindible. Sí es muy recomendable.

4. ¿Qué pasa si la empresa accede a mis correos personales mezclados con los corporativos?

Vulneración del derecho fundamental a la intimidad. Esto es más grave que la mera ilicitud procesal de la prueba: puede acarrear la nulidad del despido (no solo improcedencia) y abre la puerta a una indemnización adicional por daños morales por vulneración de derecho fundamental.

5. ¿Las capturas de pantalla del correo o del chat valen como prueba?

Valen como indicio, pero no como prueba forense plena. Carecen de cabeceras técnicas, hashes y trazabilidad. Si la otra parte las impugna, el juzgado normalmente las pondera junto con otros elementos. Para que tengan peso decisivo, deben acompañarse del archivo original y, idealmente, de hash SHA-256 y acta notarial.

6. ¿Puede la empresa despedirme por usar el correo personal del trabajo?

Depende de la política de uso, de su nivel de prohibición y de la proporcionalidad de la sanción. La STSJ Cataluña de 3 de octubre de 2025 confirmó un despido procedente por uso indebido y consciente de medios tecnológicos, con perjuicio grave y prohibición expresa. La STSJ La Rioja de febrero 2026 declaró improcedente otro caso similar (1.085 conexiones personales) por falta de informe pericial y porque la falta era grave (no muy grave) según convenio. La calificación del convenio aplicable es decisiva.

7. ¿Qué es el test Barbulescu y cómo me afecta?

Es el filtro de seis condiciones que el TEDH (Barbulescu II, 2017) establece para que una vigilancia empresarial sobre comunicaciones del trabajador sea lícita: información previa, alcance proporcionado, justificación empresarial, alternativas menos intrusivas, uso adecuado y garantías procesales. Tu empresa está obligada a cumplirlo si quiere usar lo encontrado en su control como prueba en juicio.

8. ¿Es lo mismo prueba ilícita que despido nulo?

No. La ilicitud de la prueba se traduce en su exclusión del proceso (el juzgado no la valora). La nulidad del despido es una consecuencia distinta y solo procede cuando: (a) la única prueba de la causa es la ilícita y por tanto el despido queda sin apoyo, o (b) la obtención de la prueba vulneró un derecho fundamental sustantivo (no solo procesal). Si el despido tiene otras pruebas legítimas, puede ser procedente aun habiendo prueba ilícita acompañante.

9. ¿Qué pasa con los logs de la VPN o del badge de acceso?

Son metadatos, no contenido, y por tanto el tratamiento jurisprudencial es menos restrictivo que el del correo. Aun así, requieren información previa al trabajador (que el sistema existe y se trata) y proporcionalidad. Son útiles para acreditar volumen de uso, fichaje real, accesos sospechosos, etc.

10. ¿Y los GPS de los vehículos de empresa?

La STS 119/2018 (caso Inditex) los declaró lícitos siempre que: (1) haya información previa clara al trabajador sobre su existencia, características y derechos en protección de datos; (2) registren datos solo en horario laboral; (3) el tratamiento tenga finalidad estrictamente laboral.

11. ¿Cuánto tarda un peritaje informático laboral?

Depende del soporte y del ámbito. Un correo electrónico individual: 2-4 días. Un buzón completo con 50.000 mensajes: 1-2 semanas. Un disco duro de un portátil: 1-2 semanas. Un smartphone con extracción Cellebrite y análisis: 1-3 semanas. Para más detalle, consulta la guía sobre plazos del informe pericial informático.

12. ¿Puedo aportar yo, como trabajador, capturas de mi correo de empresa o mis chats?

Sí, con tres matices. Primero, si las obtuviste durante la relación laboral por medios legítimos (a través del cliente de correo que tenías habilitado), no hay problema. Segundo, son meros indicios — para tener peso decisivo necesitas archivo original y, mejor, peritaje. Tercero, si has copiado información confidencial de la empresa para uso personal, podría acarrearte responsabilidad propia (en algunos casos, despido procedente o incluso responsabilidad penal). Consulta con tu abogado laboralista antes de actuar.

13. ¿Qué hace el perito informático que no hace el notario?

El notario da fe pública de lo que ve en pantalla — del estado del sistema en un momento concreto. El perito informático acredita técnicamente la integridad y la autenticidad de la evidencia: hash SHA-256, cabeceras DKIM, cadena de custodia, análisis del soporte, interpretación de metadatos, contextualización técnica. La combinación notario + perito es la más sólida procesalmente.

14. ¿Sirve el perito informático para defenderme si mi empresa me despide con prueba digital?

Sí. El perito (en este caso, contraperito) verifica la cadena de custodia, la metodología, la cobertura del test Barbulescu y la interpretación técnica de la evidencia aportada por la empresa. Si encuentra defectos, redacta un contrainforme que tu abogado laboralista usará en sala. En múltiples ocasiones el contrainforme ha sido decisivo para convertir un despido procedente en improcedente o incluso nulo.

15. ¿Tengo que avisar a mi empresa de que voy a aportar prueba digital en el juicio?

En la fase de proposición de prueba (vista oral) sí — la prueba se propone formalmente y la otra parte puede impugnarla en ese momento. Antes, no hay obligación legal de adelantar la prueba que vas a aportar. Sí es recomendable que tu abogado laboralista lo coordine con el perito para preparar el caso con tiempo y anticipar la respuesta de la empresa.

16. ¿Cuál es el plazo para certificar una prueba digital antes de la demanda por despido?

El plazo de demanda por despido es de 20 días hábiles desde la fecha de efectos del despido (art. 59.3 ET). En ese plazo conviene haber acudido a abogado laboralista, designado perito informático, valorado la evidencia disponible y, si procede, encargado el peritaje. En la práctica, la primera consulta con el perito debe producirse en los primeros 5-7 días tras el despido para que el informe esté listo a tiempo. Para casos de modificación sustancial, sanciones, vacaciones o derechos del art. 50 ET, los plazos varían pero la lógica de actuación temprana es la misma.

17. ¿Una nube corporativa (OneDrive, SharePoint, Google Drive) es lo mismo que el ordenador del trabajador a efectos de prueba?

No exactamente. La nube corporativa es propiedad de la empresa y su acceso administrativo es legítimo si cumple el test Barbulescu. Sin embargo, la información personal del trabajador almacenada accidentalmente en esa nube (fotos personales, documentos médicos, gestiones bancarias) sigue protegida por su derecho a la intimidad. La empresa debe acotar el análisis a la información estrictamente corporativa y, si encuentra información personal, segregarla y no incluirla en el informe ni en el procedimiento disciplinario.

18. ¿Puede la empresa aportar como prueba grabaciones de Microsoft Teams o Google Meet sin avisar previamente al trabajador?

Las grabaciones de reuniones tienen un régimen específico. Si la grabación se realizó con todos los participantes informados (banner en pantalla “Reunión grabada” o consentimiento explícito), la grabación es lícita y aportable como prueba. Si se grabó sin avisar, hay un problema serio de licitud — no solo por el test Barbulescu, sino también por el secreto de las comunicaciones (art. 18.3 CE) cuando intervienen terceros. La empresa solo puede aportar la grabación si todos los participantes fueron informados; si no, la prueba es ilícita.

19. ¿Qué pasa con los chats de WhatsApp Business o WhatsApp Web cuando el trabajador los usaba para gestionar clientes corporativos?

Es un terreno híbrido entre WhatsApp personal y comunicación corporativa. Si la empresa entregó al trabajador una cuenta de WhatsApp Business para uso laboral, la propiedad funcional es de la empresa y se aplica el régimen del correo corporativo (información previa, política de uso, proporcionalidad). Si el trabajador usó su WhatsApp personal para clientes corporativos, la empresa no puede acceder al móvil sin consentimiento expreso o autorización judicial. Para análisis específico, ver la guía sobre WhatsApp Business y prueba judicial.

20. ¿La empresa puede aportar como prueba mis publicaciones en LinkedIn o redes sociales?

Las publicaciones públicas en LinkedIn, X (Twitter) o redes profesionales son por definición públicas y no requieren autorización del trabajador para su uso como prueba. Pero deben certificarse forensemente con captura técnica y hash; un simple pantallazo es indicio débil. Las publicaciones privadas (mensajes directos, grupos cerrados) tienen otro régimen y la empresa no puede acceder sin consentimiento o autorización judicial. Para profundizar ver la guía de peritaje en redes sociales.

21. ¿Puedo cambiar la contraseña del correo corporativo o del Slack tras ser despedido para “borrar mi rastro”?

No. Una vez despedido, el acceso a las cuentas corporativas pertenece a la empresa, que activa el litigation hold y desactiva tus credenciales. Cualquier intento de borrar o alterar información corporativa después del despido puede acarrear responsabilidad propia: civil (indemnización por daños), laboral (refuerzo de la causa de despido) e incluso penal (delito de daños informáticos del art. 264 CP, delito de descubrimiento y revelación de secretos del art. 197 CP, o delito de revelación de secretos profesionales). No toques nada después de recibir la carta de despido.

22. ¿Sirve la inteligencia artificial generativa para certificar pruebas digitales?

No. La IA generativa (ChatGPT, Claude, Copilot, Gemini) puede ayudar a redactar borradores o explicar conceptos, pero no certifica evidencias digitales. La certificación exige verificación criptográfica (hash SHA-256, DKIM), cadena de custodia, herramientas forenses estándar y un perito humano que se ratifique en sala. Aportar a juicio una “certificación” generada por IA es jurídicamente vacía. Es más, presentar contenido generado por IA como si fuera análisis pericial humano puede acarrear consecuencias procesales graves — el TSJN ha sancionado a abogados que aportaron sentencias inventadas por ChatGPT como precedentes; la doctrina jurisprudencial está cristalizando rápidamente.

23. ¿Y si la empresa tiene su sede en otro país (Estados Unidos, Reino Unido) pero yo trabajo en España?

Aplica el principio de extraterritorialidad limitada del derecho laboral español. Si tu prestación de trabajo se realiza en España, aunque la empresa esté domiciliada fuera, el procedimiento de despido debe respetar el derecho laboral español (incluyendo las garantías sobre prueba digital). En la práctica, las multinacionales con políticas de uso globales suelen tener problemas porque sus políticas norteamericanas (más permisivas con el control empresarial) no cumplen los estándares LOPDGDD y test Barbulescu europeos. Esta es una de las áreas donde un abogado laboralista experto y un perito informático generan más valor.

24. ¿Puedo aportar como prueba mensajes de un compañero que dimitió y se llevó capturas?

Sí, con cautelas. Si el compañero obtuvo las capturas durante la relación laboral por medios legítimos (estaba en la conversación), puede aportarlas. Si las obtuvo después de su salida con acceso indebido (por ejemplo, pidiendo a un trabajador en activo que se las pasara), el origen sería ilícito y la prueba inadmisible. El testigo declara en juicio sobre lo que vio y aporta el archivo original. Tu perito certifica la integridad. El interrogatorio cruzado se centrará en la cadena de custodia desde la obtención hasta la presentación.

25. ¿Cuál es la diferencia procesal entre que una prueba se inadmita por ilícita y que el juez no la valore?

Son dos efectos distintos. La inadmisión se acuerda al inicio del proceso o en la vista oral cuando se constata la ilicitud (art. 287 LEC, art. 90.2 LRJS). La prueba ni siquiera entra en el proceso. La falta de valoración se produce cuando la prueba sí entró pero el juez, al dictar sentencia, decide no atribuirle valor probatorio (por defectos de cadena de custodia, por dudas sobre autenticidad, por insuficiencia). Para el efecto procesal final pueden parecerse, pero la inadmisión es más severa: la prueba ni siquiera deja huella en autos.

Casos prácticos detallados

Esta sección recorre cinco escenarios típicos de aplicación de la prueba digital corporativa en juicio social, con análisis del marco normativo aplicable, de los pasos forenses correctos y de los errores que suelen producirse.

Caso práctico 1: filtración de información confidencial a un competidor

Escenario. La empresa A descubre que su lista de clientes y precios ha llegado al competidor B. Las sospechas se centran en C, un comercial que dejó la empresa hace tres meses para fichar precisamente por B. La empresa A quiere documentar la filtración para reclamar a C indemnización por daños y perjuicios y, en su caso, denunciar penalmente.

Evidencia disponible.

  • Logs del sistema DLP que detectaron envíos sospechosos a una cuenta personal de Gmail de C en los últimos meses de su contrato.
  • Correo corporativo de C todavía conservado en buzón en hold.
  • Histórico de Slack y Teams accesible vía Microsoft Purview.
  • Audit log de Drive y SharePoint que registra descargas masivas la semana antes del cese.

Marco normativo aplicable.

  • Art. 197 CP (descubrimiento y revelación de secretos), art. 278 CP (descubrimiento y revelación de secretos de empresa).
  • Art. 1101 y 1902 CC (responsabilidad civil contractual y extracontractual).
  • Ley de Competencia Desleal (LCD).
  • Art. 87 LOPDGDD y test Barbulescu para legitimar el acceso a la información corporativa.
  • Art. 90 LRJS y RGPD para validar el tratamiento de los datos personales recogidos.

Pasos forenses correctos.

  1. Política de uso de C en vigor: verificar que C había firmado la política de uso de medios digitales que advierte de auditorías y prohíbe la transferencia de información corporativa a destinos no autorizados. Si la política no existe o es genérica, la operación se complica desde el inicio.

  2. Litigation hold inmediato: activar el hold sobre el buzón de C, sus chats y archivos. Microsoft Purview o equivalente. Documentar fecha y hora exacta del hold.

  3. Definición del ámbito mínimo: las palabras clave a buscar son los nombres de los clientes filtrados, los archivos descargados masivamente, las direcciones de destino sospechosas. No es un fishing expedition.

  4. Acta notarial del acceso: notario presente en el momento del análisis del DLP, del Microsoft Purview y del export de archivos. El acta documenta cada paso.

  5. Adquisición forense: export de los correos, chats y archivos relevantes en formato estándar (PST, JSON, ZIP) con hash SHA-256.

  6. Análisis pericial: el perito redacta el informe documentando la cadena de hechos: descargas, envíos, coincidencia con la información llegada al competidor.

  7. Acta civil o procedimiento penal: la empresa A puede iniciar reclamación civil (con el informe pericial) o denuncia penal (que se integrará con dictamen del perito).

Errores típicos que invalidan el caso.

  • Acceder al buzón personal de C (Gmail privado) o a su Slack personal sin autorización judicial — vulneración del secreto de las comunicaciones.
  • Contactar al actual empleado de B (hoy compañero de C) para “preguntarle qué sabe” — esto compromete la prueba y puede acarrear responsabilidad por inducción a revelación.
  • Aportar capturas de pantalla en lugar de exports técnicos.
  • Análisis ampliado a comunicaciones personales de C con su pareja, médico, abogado.

Caso práctico 2: acoso laboral por correo electrónico y chats corporativos

Escenario. Una trabajadora denuncia acoso por parte de su superior directo. Acompaña a la denuncia interna dos correos electrónicos y siete mensajes de Microsoft Teams donde el superior la insulta, descalifica su trabajo y la amenaza con despido si no acepta cambios de horario. La empresa abre expediente y, paralelamente, la trabajadora demanda por acoso laboral y solicita extinción del contrato con indemnización equivalente al despido improcedente (art. 50 ET).

Marco normativo aplicable.

  • Art. 50.1.a y c ET (extinción a instancia del trabajador por modificaciones sustanciales y por incumplimientos graves).
  • Art. 184 CP (acoso laboral) si la conducta encaja.
  • Art. 7.2 y 14 LOI (igualdad y no discriminación).
  • Art. 95.3 LRJS (carga probatoria flexibilizada en caso de discriminación).
  • Test Barbulescu integrado para validar la prueba.

Pasos forenses correctos.

  1. Preservación inmediata: la trabajadora no debe borrar ningún correo ni mensaje. La empresa, al recibir la denuncia, debe activar litigation hold sobre los buzones del denunciante y del denunciado.

  2. Clientes corporativos vs personales: los correos en cuestión están en el correo corporativo de la trabajadora — el acceso por la empresa es legítimo si cumple Barbulescu. Para el chat de Teams, la propiedad es corporativa pero los chats 1:1 reciben mayor protección (esperanza razonable de privacidad mayor).

  3. Acta notarial al exportar: el departamento jurídico o RRHH, con perito y notario, exportan los correos relevantes (.eml individuales o PST acotado a las fechas) y los chats de Teams via Microsoft Purview.

  4. Hash SHA-256: cada archivo .eml individual y el export de Teams se firman con hash.

  5. Informe pericial: el perito acredita autenticidad (cabeceras DKIM, identidad del emisor, timestamps), construye la cronología de mensajes y documenta el patrón sistemático.

  6. Aporte al expediente y al juicio: el informe se aporta al expediente sancionador interno y, si la trabajadora demanda, en el juicio social.

Punto procesal clave. En supuestos de acoso, la flexibilización de la carga probatoria del art. 95.3 LRJS opera a favor del denunciante: basta con que aporte indicios suficientes para que se invierta la carga sobre el demandado. Los correos y chats certificados con cadena de custodia constituyen indicios fuertes. La defensa del demandado deberá probar que su conducta fue ajena al acoso o que tenía justificación objetiva.

Caso práctico 3: registro de jornada manipulado para reclamar horas extra

Escenario. Un empleado reclama 320 horas extra de los últimos 12 meses. La empresa aporta su sistema de fichaje digital que muestra entradas y salidas dentro del horario contractual. El empleado aporta correos enviados a las 22:30, 23:00, 1:00 de la madrugada y mensajes de Slack a las 2:00 a.m., todos desde la VPN corporativa.

Marco normativo aplicable.

  • Art. 35 ET (horas extraordinarias).
  • Art. 34.9 ET (registro diario de jornada).
  • Real Decreto-ley 8/2019 (registro horario).
  • Art. 88 LOPDGDD (desconexión digital).
  • Art. 34.7 ET (descansos diarios y semanales).

Pasos forenses correctos.

  1. Preservación de logs corporativos: VPN, correo, Slack, Teams, badge de acceso al edificio si aplica. Petición a la empresa por burofax.

  2. Diligencia preliminar si la empresa se niega: art. 76 LRJS permite solicitar al juzgado la exhibición de documentación previa a la demanda.

  3. Adquisición forense del sistema de fichaje: el perito examina la base de datos del sistema, los logs de modificaciones manuales, los registros de auditoría. La pregunta clave: ¿el fichaje refleja la realidad o ha sido manipulado por la empresa o por el responsable jerárquico?

  4. Análisis cruzado: el perito cruza los timestamps del fichaje con los de:

    • Correos enviados desde la cuenta corporativa.
    • Mensajes de Slack/Teams.
    • Sesiones de VPN.
    • Acceso a aplicaciones corporativas.
    • Registros de edificio.

  5. Detección de incoherencias: si el fichaje muestra “salida 18:00” pero a las 22:00 hay correos enviados desde la cuenta del trabajador con la VPN activa, la incoherencia es prueba directa de que el fichaje no refleja la jornada real.

  6. Cuantificación: el perito cuantifica las horas trabajadas reales (suma de actividad documentada en logs) y las compara con las fichadas. La diferencia es la base de la reclamación.

Para profundizar. La guía de evidencia digital en juicios laborales y la guía sobre manipulación de registros de fichaje profundizan en este tipo de casos.

Caso práctico 4: despido por uso indebido del ordenador corporativo

Escenario. Un comercial es despedido por uso intensivo del ordenador corporativo para fines personales: 200 horas de redes sociales en 3 meses, descarga de archivos personales, instalación de software no autorizado. La empresa aporta logs del proxy corporativo y log del antivirus que detectó instalaciones.

Marco normativo aplicable.

  • Art. 54.2.d ET (transgresión de la buena fe contractual).
  • Art. 87 LOPDGDD y test Barbulescu para legitimar el control.
  • STC 39/2016 sobre esperanza razonable de privacidad.
  • STSJ Cataluña 3 octubre 2025 (caso similar con resultado procedente).
  • STSJ La Rioja febrero 2026 (caso similar con resultado improcedente — falta de pericial).

Análisis crítico del caso.

VariableVersión empresaVersión trabajadorVeredicto típico
Política de uso firmadaSí, actualizada 2024”No la recuerdo”A favor empresa si está firmada
Información previa específicaSí, sesiones de complianceGenéricaA favor empresa si documenta sesiones
Sospecha fundada concretaAlerta DLP por descarga masiva”Auditoría preventiva sin causa”Decisivo para Barbulescu
Proporcionalidad del análisisAcotado a las descargas detectadasAnálisis de todo el ordenadorA favor trabajador si fue análisis amplio
Cadena de custodiaHash + notarioSin formalizaciónA favor empresa si bien hecho
Informe pericialNoDecisivo (caso La Rioja)
Calificación de la faltaMuy grave según convenioGrave según convenioA favor trabajador si convenio dice grave
Audiencia previa al trabajadorNoA favor empresa si documentada

Conclusión típica. Si la empresa cumple las casillas de la columna “Versión empresa”, el despido suele ser procedente. Si falla en alguna casilla decisiva (informe pericial ausente, calificación errónea de la falta, sospecha sin causa concreta), el despido se declara improcedente con la indemnización correspondiente.

Caso práctico 5: dimisión forzada documentada por correo y chat

Escenario. Una trabajadora alega que su dimisión no fue voluntaria, sino forzada por presión sostenida del superior. Aporta tres meses de correos y chats donde el superior le exige que dimita, le retira responsabilidades, le insulta, le amenaza con despido disciplinario inventado. La trabajadora pide que su dimisión se califique como despido improcedente o nulo (vulneración de la garantía de indemnidad si la presión deriva de una reclamación previa).

Marco normativo aplicable.

  • Art. 49.1.d ET (extinción por dimisión).
  • Art. 50.1.c ET (incumplimientos graves del empresario).
  • Art. 24.1 CE (tutela judicial efectiva — indemnidad).
  • Art. 4.2.d y 4.2.e ET (derecho a no discriminación e integridad).

Aspectos forenses específicos.

La trabajadora aporta correos .eml exportados de su cuenta corporativa antes del cese, hashes SHA-256 calculados antes de cesar el acceso, y capturas de Teams con su consentimiento (era parte de la conversación). El perito acredita la autenticidad del contenido (DKIM, cabeceras), la cronología, el patrón sistemático y la coherencia entre correos y chats.

Punto procesal clave. Para extinción a instancia del trabajador con indemnización del despido improcedente, la jurisprudencia exige acreditar incumplimientos graves del empresario (no meras desavenencias). Los correos y chats con insultos sostenidos, amenazas y vaciado de responsabilidades cumplen el estándar.

Modelo de cláusula de política de uso de medios digitales

Esta sección recoge un modelo orientativo de cláusula que las empresas pueden adaptar. No constituye asesoramiento jurídico — la política definitiva debe revisarse por abogado laboralista y, en su caso, negociarse con la representación legal de los trabajadores.

Cláusula de uso de medios digitales corporativos

En aplicación de los artículos 20.3 ET y 87 LOPDGDD, la empresa pone a disposición del trabajador los siguientes medios digitales: cuenta de correo electrónico corporativo, acceso a Microsoft 365 / Google Workspace (o equivalente), chat corporativo (Microsoft Teams, Slack, Google Chat o equivalente), VPN corporativa, ordenador portátil o de sobremesa, smartphone corporativo si procede, sistema de fichaje digital, badge de acceso, y demás aplicaciones corporativas.

Estos medios son propiedad de la empresa y se ponen a disposición del trabajador exclusivamente para el cumplimiento de las obligaciones laborales.

  1. Finalidad permitida: el uso de los medios digitales se limita a las actividades laborales contractualmente comprometidas. Se permite un uso personal mínimo, ocasional y razonable, siempre que no afecte al rendimiento, no comprometa la seguridad de los sistemas y no implique tráfico intensivo, descarga masiva ni almacenamiento de información personal en sistemas corporativos.

  2. Mecanismos de control: la empresa podrá implementar las siguientes medidas de control:

    • Filtros DLP (data loss prevention) que monitorizan automáticamente movimientos de información sensible.
    • Logs de acceso a sistemas, aplicaciones y red.
    • Auditorías técnicas programadas y excepcionales.
    • Análisis específico ante incidentes de seguridad o sospechas fundadas.
    • Litigation hold y preservación de información cuando la empresa esté inmersa en un procedimiento administrativo, civil o penal.
    • Análisis del contenido de correo y mensajería corporativa en los supuestos de incidentes graves, con las garantías procesales que se indican más adelante.

  3. Información previa: el trabajador es informado, por la presente cláusula y por las comunicaciones internas que se realizarán con periodicidad mínima anual, de:

    • La existencia de los mecanismos de control descritos.
    • El alcance de cada mecanismo (qué se monitoriza, cómo, con qué frecuencia).
    • Los responsables del tratamiento (departamento de IT, RRHH, compliance, jurídico, perito externo en su caso).
    • El plazo de conservación de los registros (mínimo legal aplicable según la naturaleza del dato).
    • Los derechos del trabajador en materia de protección de datos (acceso, rectificación, oposición, limitación, portabilidad, supresión).

  4. Procedimiento de acceso al contenido: el acceso al contenido de los medios digitales del trabajador (correo, chat, archivos, contenido del ordenador) requerirá:

    • Causa concreta documentada (alerta del sistema, denuncia interna, sospecha fundada).
    • Aprobación expresa del comité de incidentes (jurídico, RRHH, compliance, IT).
    • Acotación del ámbito al mínimo necesario.
    • Presencia de fedatario público o representante legal de los trabajadores en el momento del acceso.
    • Adquisición forense con perito informático externo independiente.
    • Cadena de custodia con hash SHA-256.

  5. Tratamiento de datos: los datos personales del trabajador se tratarán conforme al RGPD y a la LOPDGDD. Base jurídica: art. 6.1.b RGPD (ejecución del contrato), art. 6.1.f RGPD (interés legítimo de la empresa) y, en su caso, art. 6.1.c RGPD (cumplimiento de obligación legal).

  6. Información a terceros: los datos no se comunicarán a terceros salvo en los casos legalmente previstos (juzgado, autoridad sancionadora, fuerzas y cuerpos de seguridad).

  7. Conservación: los datos se conservarán durante el período mínimo legal aplicable y, en todo caso, durante la pendencia de cualquier procedimiento administrativo, civil o penal en que la información sea relevante.

  8. Consecuencias del incumplimiento: el incumplimiento de la presente cláusula podrá constituir infracción laboral conforme al convenio colectivo aplicable, pudiendo dar lugar a sanciones disciplinarias incluido el despido en los casos calificados como falta muy grave.

  9. Información complementaria: el trabajador puede consultar la política completa de protección de datos en el portal interno [URL] o solicitando copia al delegado de protección de datos en la dirección [email].

[Firma del trabajador, fecha y hora]

Esta cláusula debe acompañarse de:

  • Anexo I: lista nominativa de los sistemas y aplicaciones corporativas que se ponen a disposición.
  • Anexo II: política específica de uso de medios digitales (un documento más extenso de 5-10 páginas).
  • Anexo III: información para el delegado de protección de datos.
  • Anexo IV: procedimiento de respuesta ante incidentes.

Tabla comparativa de plataformas de mensajería corporativa

PlataformaPlan necesario para eDiscoveryFormato de exportRecuperación de borradosLitigation holdCabecera técnica de mensaje
Slack ProLimitadoZIP con JSONNoNoID interno
Slack Business+ParcialZIP con JSONLimitado por retentionLimitadoID + metadatos
Slack Enterprise GridCompletoZIP con JSON estructurado + DLPCompletos
Microsoft Teams (M365 E3)Standard eDiscoveryPST + archivosLimitadoMicrosoft Graph IDs
Microsoft Teams (M365 E5)Premium eDiscovery + análisis IAPST + archivos + reportingMicrosoft Graph IDs
Google Workspace Business PlusVault parcialPST/MBOX + archivosLimitadoGoogle IDs
Google Workspace EnterpriseVault completoPST/MBOX + archivos + reportingGoogle IDs
Mattermost (self-hosted)Compliance ExportCSV + archivosIDs internos
Rocket.Chat (self-hosted)Plan EnterpriseAPI + JSONIDs internos
Discord (uso laboral no recomendado)No nativoAPI limitadaNoNoIDs limitados

Recomendación general por tamaño de empresa

Tamaño empresaPlataforma sugeridaPlan mínimo eDiscovery
Pyme < 50 empleadosMicrosoft 365 Business Standard + Slack ProLimitado, suficiente si litigios son raros
Mediana 50-250Microsoft 365 E3 + Slack Business+Recomendable para cumplir Barbulescu con garantías
Grande 250+Microsoft 365 E5 + Slack Enterprise GridNecesario para gestión proactiva de litigios
Sectores regulados (banca, salud, defensa, AAPP)Soluciones específicas con compliance específicoImprescindible plan completo

Checklist de auditoría de la política de uso de medios digitales

Esta lista facilita a empresas, departamentos jurídicos y de compliance una revisión sistemática de su política de uso. Cada elemento marcado con “Sí” significa que el aspecto está cubierto correctamente; cada “No” identifica un gap que conviene remediar.

Bloque 1: existencia y vigencia

  • ¿Existe política de uso de medios digitales por escrito?
  • ¿Está actualizada con posterioridad a diciembre de 2018 (entrada en vigor LOPDGDD)?
  • ¿Está actualizada en los últimos 24 meses?
  • ¿Recoge expresamente las plataformas hoy en uso (Slack, Teams, Google Chat, MDM, DLP)?
  • ¿Está firmada por todos los trabajadores en activo?
  • ¿Existe procedimiento documentado de firma para nuevos trabajadores?

Bloque 2: contenido — definiciones y finalidad

  • ¿Define qué medios digitales se ponen a disposición del trabajador?
  • ¿Define la finalidad permitida del uso (laboral, personal moderado, etc.)?
  • ¿Distingue entre dispositivos corporativos y BYOD si aplica?
  • ¿Recoge las consecuencias del uso indebido?

Bloque 3: contenido — control empresarial

  • ¿Enumera los mecanismos de control que la empresa puede aplicar?
  • ¿Especifica el alcance de cada mecanismo (qué, cómo, con qué frecuencia)?
  • ¿Identifica al responsable de cada control (IT, RRHH, compliance)?
  • ¿Establece el procedimiento de acceso al contenido en caso de incidente?
  • ¿Exige causa concreta documentada para acceder al contenido?
  • ¿Exige acotación del ámbito a lo mínimo necesario?
  • ¿Prevé presencia de fedatario público o representante legal en el acceso?
  • ¿Prevé intervención de perito informático externo independiente?

Bloque 4: protección de datos

  • ¿Identifica las bases jurídicas del tratamiento (RGPD art. 6)?
  • ¿Especifica los plazos de conservación?
  • ¿Recoge los derechos del trabajador (acceso, rectificación, oposición, etc.)?
  • ¿Identifica al delegado de protección de datos y su contacto?
  • ¿Está coordinada con el registro de actividades de tratamiento?

Bloque 5: información y transparencia

  • ¿Se entrega copia firmada al trabajador en el momento de la contratación?
  • ¿Existen comunicaciones periódicas de refresco (anuales)?
  • ¿Cuando se incorpora una nueva herramienta, se informa al trabajador?
  • ¿Existen sesiones formativas de compliance digital?
  • ¿Se documenta la asistencia a esas sesiones?

Bloque 6: representación social

  • ¿Se ha consultado a la representación legal de los trabajadores?
  • ¿Se ha negociado con el comité de empresa o delegados de personal?
  • ¿Existen acuerdos colectivos sobre el uso de medios digitales?
  • ¿Se respeta lo dispuesto en el convenio colectivo aplicable?

Bloque 7: continuidad

  • ¿Existe responsable de mantener la política actualizada?
  • ¿Existe procedimiento de revisión anual?
  • ¿Existe procedimiento de actualización cuando cambia el marco normativo o la jurisprudencia?
  • ¿La política se ha probado en algún incidente real para verificar su eficacia?

Compliance digital y formación: el factor que multiplica la eficacia probatoria

Tener una política de uso bien redactada es necesario pero no suficiente. La eficacia probatoria en sala social depende también de que la empresa pueda demostrar que la política se aplicó realmente, que el trabajador la conocía y que existió formación efectiva.

Programa anual de compliance digital

Un programa de compliance digital robusto incluye:

ComponenteFrecuenciaDuración estimadaFormato
Sesión de incorporaciónAl firmar contrato1-2 horasPresencial o videoconferencia con firma de asistencia
Refresco anualAnual30-60 minutosE-learning con test de validación
Comunicación de cambiosCuando se incorpora herramienta o cambia política15-30 minutosEmail con acuse de recibo + sesión informativa
Simulacros de incidenteAnual2-4 horasEjercicio práctico con equipo IT y jurídico
Auditoría DPOAnual1-2 díasRevisión de cumplimiento por delegado de protección de datos

Documentación que sostiene la formación

Para que la formación tenga valor probatorio en juicio social:

  • Listas de asistencia firmadas o sistema digital con autenticación que registre asistencia.
  • Tests de validación corregidos y firmados (e-learning con seguimiento).
  • Material entregado con acuse de recibo (versión, fecha, firma).
  • Grabación de sesiones (con consentimiento) para reproducir en juicio si es necesario.
  • Registro centralizado que permita acreditar para cada trabajador su historial de formación digital.

Impacto en el test Barbulescu

La formación documentada refuerza decisivamente el primer elemento del test Barbulescu (información previa) y el sexto (garantías ofrecidas al trabajador). Una empresa que aporta en juicio el historial completo de formación de un trabajador (sesión inicial + refrescos anuales + sesiones específicas) parte de una posición procesal mucho más sólida que una que solo aporta la firma del contrato.

Casos especiales: teletrabajo y trabajador en remoto

El teletrabajo, regulado en España por la Ley 10/2021 de trabajo a distancia, plantea cuestiones específicas en materia de prueba digital corporativa.

Marco normativo del teletrabajo

  • Ley 10/2021, de 9 de julio, de trabajo a distancia (LTD): regula el régimen del trabajo a distancia y el teletrabajo en España.
  • Acuerdo individual de trabajo a distancia: documento obligatorio que regula condiciones específicas (medios, control, gastos, etc.).
  • LOPDGDD art. 87 y 88: aplicables con matices al teletrabajo.

Particularidades probatorias del teletrabajo

AspectoEn oficinaEn teletrabajo
Acceso al PC del trabajadorEl PC está en el centro de trabajoEl PC está en el domicilio del trabajador
Acceso al contenidoMás viable con notarioRequiere desplazamiento al domicilio o envío del equipo
Monitorización en tiempo realMás estandarizadaRequiere herramientas remotas (RMM, MDM)
GPS y geolocalizaciónLimitada al centroAplicable con cuidados (no supervisión vida privada)
Confidencialidad familiarNo aplicaMayor riesgo de acceso a datos familiares
Esperanza razonable de privacidadReducida en oficinaAumentada en domicilio

El acceso al equipo del teletrabajador despedido

Cuando la empresa quiere acceder al equipo informático que el trabajador tiene en su casa para investigar conductas (uso indebido, filtración, fraude), hay tres vías:

  1. Devolución voluntaria del equipo tras el despido — la empresa lo recibe y, con perito y notario, procede a la adquisición forense.
  2. Requerimiento de devolución en la carta de despido — exigir la devolución como obligación contractual.
  3. Acceso por orden judicial si el trabajador se niega y existe interés legítimo de investigación.

El acceso unilateral al equipo en el domicilio sin autorización del trabajador es ilegítimo y abre la puerta a la nulidad del despido por vulneración del derecho fundamental a la inviolabilidad del domicilio (art. 18.2 CE).

Herramientas RMM y MDM

Las soluciones de Remote Monitoring and Management (RMM) y Mobile Device Management (MDM) permiten a la empresa monitorizar dispositivos remotos. Su uso debe respetar Barbulescu:

  • Información previa específica sobre la herramienta y sus capacidades.
  • Política de uso que la mencione expresamente.
  • Acotación al ámbito laboral (no monitorizar fuera de horario, no acceder a información personal).
  • Posibilidad de que el trabajador opte por separar perfiles (containerización).

Desconexión digital en teletrabajo

El art. 88 LOPDGDD adquiere especial relevancia en teletrabajo. La empresa debe:

  • Garantizar el derecho a la desconexión (no exigir respuesta fuera de horario).
  • Configurar los sistemas para no enviar notificaciones fuera de horario (o que el trabajador pueda silenciarlas).
  • Si se requiere disponibilidad excepcional, regularla en el acuerdo individual con compensación.

El incumplimiento de la desconexión puede invertirse en favor del trabajador en una eventual reclamación de horas extra.

Casos transfronterizos: cuando interviene el RGPD y el derecho extranjero

En empresas con sede fuera de España, multinacionales con subsidiarias en varios países, o trabajadores en situación de movilidad internacional, la prueba digital corporativa entra en territorio del derecho internacional y europeo.

Aplicabilidad del derecho laboral español

Si la prestación de servicios se realiza habitualmente en España, el derecho laboral español aplicable, incluyendo:

  • LRJS para el procedimiento.
  • LOPDGDD y RGPD para protección de datos.
  • ET, LOI y otras normas sustantivas.

La sede social de la empresa, su nacionalidad o su política global no alteran esta aplicabilidad.

Transferencias internacionales de datos

Cuando la información laboral del trabajador (correos, chats, registros de actividad) se almacena en servidores fuera del Espacio Económico Europeo, aplica el régimen de transferencias internacionales del RGPD:

  • Países con decisión de adecuación (Reino Unido, Suiza, Canadá, Israel y otros): transferencia libre con garantías estándar.
  • Estados Unidos: aplicable EU-US Data Privacy Framework (sucesor del Privacy Shield), con limitaciones importantes para los datos de empleados de UE.
  • Otros países: requieren cláusulas contractuales tipo (CCT) o normas corporativas vinculantes (BCR).

Para la prueba digital corporativa, esto implica que la empresa debe acreditar que las transferencias se realizaron con todas las garantías. Si no, abre flanco probatorio (la prueba puede ser ilícita por defecto en el régimen de transferencia).

Conflictos entre derecho laboral europeo y políticas globales norteamericanas

Es habitual que multinacionales con sede en EE.UU. tengan políticas de uso de medios digitales más permisivas con el control empresarial, pensadas para el régimen jurídico estadounidense (más permisivo con el monitoring del trabajador). Aplicadas en España, estas políticas son habitualmente:

  • Insuficientemente específicas para cumplir Barbulescu (información previa).
  • Desproporcionadas en alcance (monitoring continuo del contenido).
  • Sin participación de los representantes de los trabajadores europeos.

Resultado típico: si la empresa intenta despedir en España con prueba obtenida vía la política global norteamericana, la prueba es ilícita y el despido suele declararse improcedente o nulo.

Recomendación: las multinacionales que operan en España deben adaptar su política de uso al estándar europeo o, mejor, redactar una específica para España que cumpla LOPDGDD y test Barbulescu.

Empleados desplazados internacionalmente

El régimen de los trabajadores desplazados (Directiva 96/71/CE, modificada por Directiva 2018/957) establece que durante el desplazamiento aplican normas mínimas del país de destino. Para España, esto incluye normas sobre control empresarial y prueba digital. Una empresa polaca que desplaza a España no puede aplicar el régimen polaco de control empresarial sin más; debe aplicar el español.

Recurso de suplicación: cuestiones específicas sobre prueba digital

Cuando la sentencia social es contraria al cliente y la prueba digital fue decisiva, el recurso de suplicación (art. 191 y siguientes LRJS) ofrece tres motivos principales de impugnación.

Motivo art. 193.a LRJS: vicios procesales

Aplicable cuando ha habido vicios procesales en la admisión o exclusión de la prueba digital:

  • Inadmisión injustificada de prueba digital relevante propuesta por el cliente.
  • Admisión indebida de prueba ilícita aportada por la otra parte.
  • Defectos en la práctica de la prueba pericial (ratificación deficiente, denegación de aclaraciones).
  • Violación del principio de contradicción en la introducción de la prueba digital.

Para que prospere, hay que acreditar indefensión efectiva — no basta con alegar el vicio, sino que debe haber influido en el sentido del fallo.

Motivo art. 193.b LRJS: revisión de hechos probados

Permite solicitar la modificación, supresión o adición de hechos probados sobre la base de documentos del expediente (no de pruebas no aportadas en instancia). En materia digital:

  • Si el informe pericial documenta hechos que la sentencia no recogió, se puede pedir su adición.
  • Si el informe pericial fue claro y la sentencia interpretó mal la cadena técnica, se puede pedir corrección.
  • Si la sentencia se basó en una interpretación equivocada de logs o cabeceras, se puede pedir revisión.

La revisión exige redacción precisa: identificación exacta del documento (folio del expediente), del hecho a modificar y del nuevo redactado propuesto.

Motivo art. 193.c LRJS: infracción normativa

Permite alegar infracción de normas sustantivas o jurisprudenciales. En materia digital, los motivos típicos son:

  • Vulneración del art. 87 LOPDGDD (información previa insuficiente).
  • Vulneración del art. 90.2 LRJS (admisión de prueba ilícita).
  • Vulneración de la doctrina Barbulescu II.
  • Vulneración de la doctrina constitucional sobre proporcionalidad.
  • Errónea aplicación del art. 18 ET o del art. 20.3 ET.
  • Errónea valoración de la cadena de custodia frente al estándar técnico.

Para citar jurisprudencia, conviene apoyarse en al menos dos sentencias del Tribunal Supremo en sala social (no de TSJ ni de TC, salvo casos específicos) que respalden la doctrina aplicable.

Recurso de casación para la unificación de doctrina

Si el TSJ resuelve y existe contradicción con otras sentencias de TSJ o del propio TS, cabe recurso de casación para la unificación de doctrina (art. 218 y siguientes LRJS). Es un recurso técnicamente exigente que requiere acreditar la contradicción con sentencia de contraste citada de forma específica.

En materia de prueba digital, las contradicciones más frecuentes son:

  • Sobre la suficiencia de la información previa al trabajador (¿qué nivel de detalle exige?).
  • Sobre el alcance lícito del control empresarial.
  • Sobre la calificación de la falta cuando la conducta digital se sitúa entre grave y muy grave.
  • Sobre el efecto procesal de la ilicitud de la prueba (improcedencia vs nulidad).

Conclusiones

La prueba digital corporativa es hoy el medio probatorio decisivo en una proporción creciente de juicios sociales españoles. Su correcto tratamiento, desde la política de uso hasta la ratificación pericial en sala, es la diferencia entre un despido sólido y una indemnización de cinco cifras.

Para empresas, la lección es clara: no se despide con prueba digital sin perito informático, sin política de uso vigente, sin información previa específica al trabajador y sin cadena de custodia documentada. El coste de hacerlo bien es una fracción del coste de hacerlo mal — el caso STSJ La Rioja febrero 2026 lo demuestra con sus 39.083 € de indemnización por una conducta probablemente sancionable que se quedó sin acreditar técnicamente.

Para abogados laboralistas, la prueba digital es a la vez una oportunidad y un terreno de batalla. Cuando defiendes al trabajador, los puntos de ataque son siempre los mismos: información previa insuficiente, ausencia de cadena de custodia, desproporción del control, mezcla con datos personales. Cuando representas a la empresa, la pregunta es si todo el procedimiento aguanta el escrutinio Barbulescu. Si sí, el despido se sostiene; si no, conviene transaccionar antes del juicio.

Para trabajadores, la prueba digital corporativa es un terreno donde no estás indefenso. Tu derecho a la intimidad, a la protección de datos y a la tutela judicial efectiva está protegido por una constelación normativa robusta que el TEDH, el TC y el TS han ido perfilando con jurisprudencia abundante. Pero los plazos son cortos (20 días para demandar por despido). Si has sido despedido con prueba digital, contacta con abogado y perito en los primeros días.

Para el conjunto del sistema, la jurisprudencia social digital española está madurando. Cada vez son más los TSJ y los TS que aplican Barbulescu con rigor, que exigen LOPDGDD en su literalidad, que valoran la cadena de custodia como elemento sustantivo y que distinguen la ilicitud probatoria de la nulidad del despido. La prueba digital corporativa ya no es un “comodín” empresarial, sino un instrumento jurídico con sus propias reglas.

Glosario rápido

TérminoDefinición
Cadena de custodiaProcedimiento documentado que acredita la integridad y autenticidad de una evidencia desde su adquisición hasta su presentación en juicio. Más detalle en el glosario de cadena de custodia
Hash SHA-256Función criptográfica de 256 bits que produce una huella única de un archivo. Si el archivo cambia, el hash cambia. Más detalle en el glosario de SHA-256
DKIMDomainKeys Identified Mail (RFC 6376), protocolo que firma criptográficamente correos electrónicos en origen para que el receptor pueda verificar su autenticidad
eDiscoveryConjunto de herramientas y procesos para localizar, preservar, recolectar y producir evidencia digital en procedimientos legales
Litigation holdSuspensión de las políticas de retención sobre datos relevantes para un procedimiento legal en curso. Garantiza que la evidencia no se borra automáticamente
MDMMobile Device Management — sistema que permite administrar y monitorizar dispositivos móviles corporativos
DLPData Loss Prevention — sistema que monitoriza el movimiento de datos para detectar fugas o transferencias no autorizadas
Test BarbulescuConjunto de seis condiciones que el TEDH y los tribunales españoles aplican para evaluar si una vigilancia empresarial sobre comunicaciones del trabajador es lícita
UNE 197001:2019Norma española sobre criterios generales para la elaboración de informes y dictámenes periciales
ISO/IEC 27037:2012Norma internacional sobre adquisición y preservación de evidencia digital
BYODBring Your Own Device — práctica de usar dispositivos personales para fines laborales
LOPDGDDLey Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
LRJSLey 36/2011, de 10 de octubre, Reguladora de la Jurisdicción Social
ETReal Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores

Anexo técnico A: análisis avanzado de cabeceras de correo electrónico

Esta sección, dirigida al lector con interés técnico, recorre el análisis forense de un correo electrónico desde su archivo .eml hasta la verificación criptográfica. Es lo que un perito informático hace cuando recibe un .eml para certificar.

Estructura de un correo electrónico estándar (RFC 5322)

Un correo .eml es un fichero de texto plano con dos secciones bien diferenciadas: las cabeceras y el cuerpo, separadas por una línea en blanco. Las cabeceras siguen la sintaxis Nombre: valor y aportan toda la información técnica del correo.

Cabeceras imprescindibles:

  • From: dirección del emisor.
  • To: dirección o direcciones de destino primario.
  • Cc: copia.
  • Bcc (no presente en el correo entregado): copia oculta.
  • Subject: asunto.
  • Date: fecha y hora del envío declaradas por el emisor.
  • Message-ID: identificador único del mensaje generado por el servidor de origen.
  • In-Reply-To: si es respuesta, ID del mensaje original.
  • References: cadena de IDs de toda la conversación.
  • MIME-Version: versión MIME (típicamente 1.0).
  • Content-Type: tipo de contenido (text/plain, text/html, multipart/mixed).

Cabeceras de tránsito: la cadena Received

Cada servidor por el que pasa un correo añade una cabecera Received al principio. Leídas en orden inverso (de abajo arriba) reconstruyen la ruta del correo desde el origen hasta el destino. Una cabecera Received típica:

Received: from mail.empresa.com (mail.empresa.com [192.0.2.10])
        by mx.gmail.com with ESMTPS id abc123
        (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384)
        for <destinatario@gmail.com>;
        Mon, 04 May 2026 10:15:23 +0000 (UTC)

De aquí extraemos:

  • Servidor de origen del salto: mail.empresa.com con IP 192.0.2.10.
  • Servidor de destino del salto: mx.gmail.com.
  • Identificador del mensaje en ese servidor: abc123.
  • Cifrado de la conexión: TLS 1.3.
  • Destinatario de ese salto.
  • Timestamp con offset UTC.

Una cadena Received coherente es indicio de autenticidad. Una cadena con saltos extraños, IPs de geolocalización inconsistente, timestamps en orden anómalo o cifrados débiles puede indicar suplantación o manipulación.

Verificación SPF, DKIM y DMARC

Tres protocolos de autenticación de correo intervienen:

SPF (Sender Policy Framework, RFC 7208)

Permite al dominio publicar en su DNS un listado de servidores autorizados a enviar correo en su nombre. El receptor verifica si la IP de origen del correo está en ese listado. Si pasa, prueba que el correo se envió desde un servidor autorizado del dominio. Si falla, indica suplantación o configuración deficiente.

Ejemplo de registro SPF en DNS:

empresa.com. IN TXT "v=spf1 ip4:192.0.2.0/24 include:_spf.google.com ~all"

Este registro autoriza envío desde la red 192.0.2.0/24 y desde Gmail (include:_spf.google.com); cualquier otro origen falla SPF.

DKIM (DomainKeys Identified Mail, RFC 6376)

DKIM firma criptográficamente el correo en origen. La firma incluye:

  • d: dominio firmante.
  • s: selector de la clave (permite tener varias claves por dominio).
  • bh: hash del cuerpo del correo (body hash).
  • h: lista de cabeceras incluidas en la firma.
  • b: la firma RSA en sí.

Para verificar, el receptor consulta en DNS la clave pública del dominio firmante (en s._domainkey.d) y verifica matemáticamente que la firma corresponde al contenido del correo. Si pasa, prueba que:

  1. El correo se envió desde un servidor que controlaba la clave privada de ese dominio.
  2. El contenido firmado (cuerpo y cabeceras incluidas en h) no se modificó después del envío.

Si falla, indica que el correo ha sido manipulado o que la firma es inválida.

DMARC (Domain-based Message Authentication, RFC 7489)

DMARC se apoya en SPF y DKIM y establece la política a aplicar cuando estos fallan: nada (p=none), cuarentena (p=quarantine) o rechazo (p=reject). Además, especifica el alineamiento entre el dominio del From y los dominios de SPF/DKIM.

Authentication-Results: la conclusión del receptor

El servidor receptor escribe una cabecera Authentication-Results resumiendo el resultado de la verificación SPF/DKIM/DMARC:

Authentication-Results: mx.gmail.com;
        spf=pass (mx.gmail.com: domain of jizquierdo@empresa.com designates 192.0.2.10 as permitted sender) smtp.mailfrom=jizquierdo@empresa.com;
        dkim=pass header.i=@empresa.com header.s=selector1 header.b=AbC123;
        dmarc=pass (p=quarantine sp=reject) header.from=empresa.com

Esta cabecera es declarativa del receptor, no es prueba criptográfica. Un receptor mal configurado o malicioso podría escribir lo que quisiera. Por eso el perito no se fía solo de Authentication-Results: verifica DKIM directamente contra DNS público con sus propias herramientas (dkimpy, opendkim-testmsg, scripts en Python).

Procedimiento de verificación pericial paso a paso

  1. Obtener el archivo .eml original del cliente de correo del trabajador (Outlook: arrastrar a una carpeta; Gmail: “Mostrar original” → “Descargar mensaje original”; Thunderbird: “Guardar como” → .eml).

  2. Calcular SHA-256 del archivo .eml y dejarlo registrado en el manifest de evidencia.

  3. Inspeccionar las cabeceras con un parser (puede ser mhonarc, mailparse, o un script Python con email.parser).

  4. Reconstruir la cadena Received y verificar coherencia geográfica y temporal.

  5. Verificar SPF consultando el DNS del dominio del Return-Path o From.

  6. Verificar DKIM contra DNS público con dkimpy o equivalente. La verificación devuelve pass o fail. Si pasa, aporta autenticidad criptográfica.

  7. Documentar el resultado en el informe con los valores exactos: dominio firmante, selector, fecha de la firma, resultado de la verificación.

  8. Si hay anomalías (DKIM fail, SPF fail, Received incoherentes), explicar técnicamente qué significa y qué inferencias se pueden o no extraer.

Ejemplo de verificación DKIM con dkimpy

import dkim

with open('correo_evidencia.eml', 'rb') as f:
    eml = f.read()

resultado = dkim.verify(eml)

if resultado:
    print("DKIM verificado contra DNS publico")
else:
    print("DKIM NO verificado — contenido alterado o firma invalida")

El perito ejecuta este script en presencia del notario y deja constancia en el acta del resultado.

Análisis de adjuntos

Los adjuntos están codificados en base64 dentro del propio .eml. El perito:

  • Extrae cada adjunto a un archivo independiente.
  • Calcula SHA-256 de cada uno.
  • Verifica metadatos del archivo (Office, PDF, imagen) — autor declarado, fecha de creación, tiempo de edición, software con que se creó.
  • Si el adjunto es una imagen, analiza metadatos EXIF (cámara, fecha, GPS si está activado) — útil en casos donde la imagen es prueba directa (foto de un documento, captura de pantalla).
  • Si el adjunto es un PDF firmado digitalmente, verifica la firma con pdfsig o equivalente.

Anexo técnico B: análisis del entorno de adquisición y certificación de herramientas

Para que la prueba digital tenga máximo valor procesal, el perito debe acreditar las herramientas que usa, su versión exacta y la integridad del entorno desde el que opera. Esta acreditación se hace al inicio de cada caso forense.

Certificación del entorno del perito

El perito documenta:

  • Sistema operativo: nombre, versión, build, parches aplicados.
  • Hora del sistema: sincronización contra NTP público (pool.ntp.org, time.nist.gov, time.apple.com), captura de la diferencia con la hora oficial.
  • Configuración de red: IP, gateway, DNS, ruta a internet (relevante para verificaciones DKIM contra DNS público).
  • Procesos en ejecución: captura de ps aux o equivalente, hash de los binarios críticos.
  • Hashes SHA-256 de las herramientas forenses utilizadas (FTK Imager, Autopsy, Cellebrite UFED, dkimpy, exiftool, etc.).
  • Captura de pantalla del Terminal con la salida de las verificaciones, certificada con timestamp.

Esta certificación se aporta como anexo del informe pericial y permite a un contraperito reproducir las condiciones técnicas del análisis.

Herramientas estándar y su versión recomendada

HerramientaFunciónVersión típica 2026Hash SHA-256 (ejemplo)
FTK ImagerClonado de discos y memoria4.7.x(variable según release)
AutopsyAnálisis forense de discos4.21.x(variable)
Cellebrite UFEDExtracción smartphone7.62.x(licencia comercial)
Magnet AXIOMAnálisis multidispositivo8.x(licencia comercial)
dkimpyVerificación DKIM1.1.xCalculable con shasum -a 256
exiftoolAnálisis de metadatos13.xCalculable
The Sleuth KitAnálisis filesystem4.13.xCalculable
VolatilityAnálisis de memoria3.xCalculable
WiresharkCaptura de tráfico de red4.xCalculable

Para profundizar en el uso de FTK Imager, ver la entrada de glosario FTK Imager. Para Volatility ver Volatility Framework. Para Cellebrite UFED ver Cellebrite UFED. Para The Sleuth Kit ver Sleuth Kit.

El verificador independiente

Un buen entregable pericial incluye un script verificar.sh que el contraperito puede ejecutar sin necesidad de software propietario para re-validar:

  • Hashes SHA-256 de toda la evidencia.
  • Verificación DKIM de los .eml.
  • Metadatos básicos de imágenes adjuntas.
  • Coherencia de la cadena de custodia.

Este verificador independiente refuerza decisivamente la transparencia metodológica y dificulta las impugnaciones procedimentales.

Anexo C: aspectos penales que pueden cruzarse con el despido digital

Aunque la jurisdicción social es la que decide la calificación del despido, en muchos casos los hechos pueden tener relevancia penal paralela. Esta sección recorre los tipos penales más habituales y su interacción con el procedimiento laboral.

Delitos contra la intimidad y los datos personales (arts. 197-201 CP)

Art. 197.1 CP: descubrimiento y revelación de secretos

“El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.”

Aplicado al ámbito laboral, este tipo se activa cuando:

  • La empresa accede al correo personal del trabajador (no corporativo) sin consentimiento.
  • Un compañero accede al correo o chat de otro sin autorización.
  • El responsable jerárquico intercepta comunicaciones del trabajador con su pareja, familia o representante sindical.

El bien jurídico protegido es la intimidad personal (art. 18.1 CE) y el secreto de las comunicaciones (art. 18.3 CE).

Art. 197.2 CP: apoderamiento de datos personales

“Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado.”

Aplicado al ámbito laboral: si la empresa, al investigar al trabajador, accede a sus datos personales registrados (banca, salud, vida privada) sin estar autorizado, puede incurrir en este tipo penal.

Art. 197 bis y ter CP: intrusiones informáticas

Tipos específicos para el acceso no autorizado a sistemas informáticos. Aplicables cuando:

  • Un trabajador, antes o después de su despido, accede a sistemas corporativos sin autorización.
  • La empresa accede al equipo personal del trabajador sin consentimiento ni orden judicial.

Art. 199 CP: revelación de secretos profesionales

Aplicable cuando un profesional con deber de sigilo (médico de empresa, abogado interno, asesor) revela información reservada del trabajador.

Delitos relativos al patrimonio empresarial (art. 278 CP)

“El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses.”

Aplicado a casos de filtración de información confidencial: si el trabajador (o ex-trabajador) se apodera de datos corporativos para revelarlos a un competidor, la empresa puede denunciar penalmente además de demandar civilmente.

Delitos de daños informáticos (arts. 264 y siguientes CP)

“El que por cualquier medio, sin autorización y de manera grave, borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, será castigado con la pena de prisión de seis meses a tres años.”

Aplicable cuando un trabajador (especialmente tras su salida) borra o altera información corporativa.

Delito de revelación de secretos relativos a la defensa nacional (art. 598-603 CP)

Aplicable solo en sectores sensibles (defensa, infraestructura crítica) cuando la información filtrada tiene esa relevancia.

Coordinación entre vía social y penal

Cuando la conducta del trabajador puede ser tanto laboralmente sancionable como penalmente reprochable, el empresario debe decidir si:

  • Solo despide (vía social).
  • Solo denuncia penalmente (sin despido inmediato; difícil de sostener si los hechos son graves).
  • Despide y denuncia paralelamente (lo más habitual en filtraciones graves).
  • Suspende la relación laboral mientras se aclara la cuestión penal.

La estrategia depende del caso. La regla general es que la procesabilidad de la causa social no se ve afectada por el procedimiento penal, salvo cuestiones prejudiciales puntuales.

Riesgo penal para la empresa que se excede

Importante: la empresa que se excede en el control empresarial y vulnera la intimidad del trabajador puede incurrir ella misma en responsabilidad penal (art. 197 CP). El responsable directo (manager, IT, RRHH) puede ser denunciado penalmente por el trabajador. La empresa puede ser responsable civil subsidiaria.

Por eso el cumplimiento riguroso del test Barbulescu y de los artículos 87-91 LOPDGDD no es solo una cuestión de eficacia procesal — es también una cuestión de prevención de responsabilidades penales propias.

Anexo D: glosario técnico ampliado

Esta sección amplía el glosario rápido con definiciones extendidas para los términos más técnicos.

Términos forenses

Adquisición forense: proceso de obtener una copia íntegra y verificable de un soporte digital sin alterar la fuente original. Se realiza con hardware de protección frente a escritura o con herramientas software validadas. El resultado es una imagen forense (DD, E01, AFF) acompañada del hash SHA-256.

Análisis forense: proceso de examinar una imagen forense para identificar evidencia relevante a un caso. Incluye análisis del filesystem, recuperación de archivos borrados, examen de metadatos, análisis de logs, búsqueda por palabras clave y reconstrucción de la actividad del usuario.

Cadena de custodia: procedimiento documentado que registra cada manipulación de la evidencia desde su adquisición hasta su presentación en juicio. Garantiza la integridad y la trazabilidad.

Clonado de disco: copia bit a bit de un disco duro o SSD a un soporte de destino. Normalmente se realiza con FTK Imager, dd o EnCase. Se acompaña del hash SHA-256 del disco original y del clon, que deben coincidir.

Datos volátiles: información que se pierde al apagar el dispositivo (memoria RAM, conexiones de red activas, procesos en ejecución). Su captura requiere un procedimiento específico de adquisición en vivo.

Hash criptográfico: función matemática que produce una huella de tamaño fijo a partir de un input de cualquier tamaño. Las propiedades clave son la determinismo, la sensibilidad a cambios y la resistencia a colisiones. Las funciones más usadas son SHA-256 (256 bits), SHA-512 (512 bits) y, con menor frecuencia, MD5 y SHA-1 (estos últimos descartados para evidencia forense por debilidades demostradas).

Imagen forense: archivo que contiene la copia bit a bit de un soporte. Formatos comunes: DD (raw), E01 (Expert Witness Compression Format), AFF (Advanced Forensic Format).

Live forensics: rama del análisis forense que se ocupa de la adquisición de datos en sistemas en funcionamiento. Es necesaria cuando apagar el sistema implica perder evidencia (memoria RAM, sesiones abiertas, conexiones en curso).

Memoria volátil: ver “datos volátiles”.

MFT (Master File Table): estructura clave del filesystem NTFS de Windows que registra todos los archivos y directorios del volumen. Su análisis permite recuperar archivos borrados y detectar manipulaciones temporales.

Slack space: espacio no utilizado dentro de una unidad de asignación del disco. Puede contener restos de archivos previamente borrados que el filesystem aún no ha sobrescrito.

Timeline forense: cronología reconstruida de la actividad en un sistema. Se construye a partir de timestamps de archivos (creación, modificación, último acceso), de eventos del sistema operativo, de logs de aplicaciones y de actividad de red. Es una herramienta clave para narrar lo sucedido.

Volátil vs persistente: los datos volátiles se pierden al apagar; los persistentes permanecen. La adquisición en vivo prioriza los volátiles; la adquisición tradicional prioriza los persistentes.

Términos de redes y comunicaciones

Cabeceras de correo: metadatos técnicos del correo electrónico (From, To, Date, Received, Message-ID, etc.) que describen su origen, destino, ruta y autenticidad.

Cifrado en tránsito: cifrado aplicado a los datos mientras viajan por la red. En correo electrónico, se realiza con TLS/STARTTLS. En web, con HTTPS. Su análisis forense se centra en verificar que se aplicó correctamente y que la conexión no fue interceptada.

Cifrado en reposo: cifrado aplicado a los datos cuando están almacenados. Bitlocker, FileVault, LUKS para discos. Office 365 y Google Workspace cifran en reposo por defecto en sus centros de datos.

DKIM (DomainKeys Identified Mail): protocolo de autenticación de correo que firma criptográficamente los mensajes en origen. Verifica autenticidad e integridad. RFC 6376.

DMARC: protocolo que se apoya en SPF y DKIM y establece la política a aplicar cuando estos fallan. RFC 7489.

IMAP, POP3 y SMTP: protocolos clásicos de correo electrónico. IMAP permite acceso al buzón en servidor; POP3 descarga mensajes al cliente; SMTP es el protocolo de envío. Todos pueden cifrarse con TLS.

Logs SMTP: registros del servidor de correo que documentan cada envío, recepción y entrega. Su análisis forense permite reconstruir la actividad de envío y detectar anomalías.

MTA (Mail Transfer Agent): software que envía correo entre servidores. Postfix, Sendmail, Microsoft Exchange, Google MTA son ejemplos.

MUA (Mail User Agent): el cliente de correo (Outlook, Thunderbird, Apple Mail).

SPF (Sender Policy Framework): protocolo que permite al dominio publicar en DNS los servidores autorizados a enviar correo en su nombre. RFC 7208.

Términos legales y procesales

Acta notarial: documento público autorizado por notario que da fe de los hechos que el notario percibe directamente. En materia digital, se utiliza para documentar el estado de un sistema, el contenido de una pantalla, la ejecución de un procedimiento técnico.

Cadena de custodia procesal: equivalente jurídico de la cadena de custodia técnica. Documenta la trazabilidad de la prueba desde su adquisición hasta su presentación en juicio, con identificación de cada manipulación y responsable.

Carga de la prueba (onus probandi): obligación procesal de probar los hechos alegados. La regla general (art. 217 LEC) atribuye la carga al demandante; en derecho laboral existen reglas específicas de inversión (art. 96 LRJS).

Inversión de la carga probatoria: figura procesal por la que la carga de probar pasa al demandado. Aplica en supuestos de discriminación, acoso, vulneración de derechos fundamentales (art. 96 LRJS).

Prueba anticipada: art. 78 LRJS, permite practicar la prueba antes del juicio cuando hay riesgo de pérdida.

Prueba ilícita: aquella obtenida con vulneración de derechos fundamentales o libertades públicas (art. 11.1 LOPJ, art. 90.2 LRJS, art. 287 LEC). Su tratamiento procesal es la inadmisión.

Prueba pericial: dictamen emitido por perito en su materia (art. 335 y siguientes LEC, art. 95 LRJS). En el ámbito digital, lo emite el perito informático.

Ratificación: comparecencia del perito en juicio para ratificarse en su informe, responder aclaraciones del juez y someterse al interrogatorio cruzado de las partes.

Test de proporcionalidad: método de control constitucional de las medidas que limitan derechos fundamentales. Sus tres fases son idoneidad, necesidad y proporcionalidad estricta.

Anexo E: lecciones para el lector

Si has llegado hasta aquí, probablemente eres abogado laboralista, responsable de RRHH, perito informático en formación, compliance officer o trabajador implicado en un procedimiento. Esta sección final destila lo que aprendí en la práctica forense y lo que conviene retener.

Si eres abogado laboralista

  1. La prueba digital corporativa es hoy decisiva en una proporción creciente de juicios sociales. Si no dominas el test Barbulescu, los artículos 87-91 LOPDGDD y la doctrina del TC sobre proporcionalidad, te quedas atrás.
  2. Cuando defiendas al trabajador, el primer trabajo es revisar la política de uso aportada por la empresa con la lupa Barbulescu. Casi siempre encontrarás puntos débiles.
  3. Cuando representes a la empresa, pregunta siempre antes del despido si hay perito y si la cadena de custodia es sólida. Si no, transacciona o paraliza el despido hasta tener el procedimiento técnico montado.
  4. Considera al perito informático un aliado estratégico, no solo un proveedor de servicios. Su capacidad para anticipar el contrainforme y para preparar la ratificación marca la diferencia.
  5. Estudia las sentencias TSJ del último año en tu territorio — la doctrina territorial pesa.

Si eres responsable de RRHH o compliance

  1. La política de uso debe estar redactada y firmada por todos los trabajadores. Si tienes una política anterior a 2018 sin actualizar, tienes un problema.
  2. La formación digital recurrente refuerza enormemente el cumplimiento del test Barbulescu. Documenta las sesiones con asistencias y tests.
  3. Antes de cualquier despido digital, convoca al perito informático. El coste es mínimo comparado con el de un improcedente.
  4. La cadena de custodia desde T0 es innegociable. Si se ha tocado el dispositivo antes de la adquisición forense, el caso queda viciado.
  5. Si la conducta del trabajador puede tener relevancia penal, coordina con jurídico para la denuncia paralela.

Si eres perito informático

  1. El derecho laboral digital es un nicho específico con sus propias reglas. El test Barbulescu y los art. 87-91 LOPDGDD se citan en la inmensa mayoría de informes que aporto en sala social.
  2. La cadena de custodia es lo primero. Si llegas tarde y el dispositivo se ha tocado, dilo en el informe — es preferible un informe modesto pero honesto a uno aparente que se cae en ratificación.
  3. Anticipa el contrainforme: redacta el informe pensando en que un colega lo va a auditar. Documenta cada paso, cada decisión metodológica, cada herramienta con su versión.
  4. El verificador independiente (script verificar.sh que el contraperito puede ejecutar) es una buena práctica que aumenta la confianza del juzgado.
  5. Cuida la ratificación. Llega preparado, conoce el caso a fondo, traduce los conceptos técnicos al lenguaje del juez.

Si eres trabajador

  1. Si te despiden con prueba digital, contacta con abogado laboralista y perito informático en los primeros 5-7 días. Los plazos son cortos.
  2. No borres nada después de recibir la carta de despido — puede acarrearte responsabilidad propia.
  3. Conserva los correos, chats y documentos que tengas en tu poder por medios legítimos (si los obtuviste durante la relación laboral por canales habituales).
  4. La política de uso de la empresa es la primera línea de ataque. Pídela formalmente.
  5. La esperanza razonable de privacidad es un argumento fuerte si la empresa accedió sin información previa específica.

Si eres empresa que va a despedir

  1. Antes del despido: política de uso vigente, información previa documentada, perito informático convocado, cadena de custodia desde T0.
  2. Durante el acceso: notario o representante legal de los trabajadores presente, ámbito acotado a lo necesario, ningún dato personal explorado.
  3. Carta de despido: específica, con hechos concretos, fechas, sistemas y perjuicio cuantificado.
  4. Audiencia previa: dar al trabajador la oportunidad de explicarse antes de la decisión definitiva, documentando el procedimiento.
  5. Tras el despido: litigation hold sobre cuentas, recogida de equipos, cadena de custodia conservada hasta firmeza.

Anexo F: análisis forense de logs corporativos paso a paso

Los logs corporativos son a menudo la columna vertebral de la prueba digital en juicio social — más que el contenido de los correos, son los metadatos los que reconstruyen lo sucedido. Esta sección explica cómo el perito informático aborda el análisis de logs.

Tipos de logs relevantes en juicio social

SistemaLogInformación típicaRetention típico
Servidor de correo ExchangeMessage tracking logCada envío, recepción, entrega30-365 días
Microsoft 365Audit log unificadoAcciones de usuario en toda la suite90-365 días
Google WorkspaceReports APIAcciones de usuario y admin6 meses por defecto
SlackAudit logs APICambios admin, accesos, exports6-12 meses
VPN corporativaConnection logsInicio/fin de sesión, IP origen, ancho de banda30-180 días
Firewall corporativoTraffic logsConexiones permitidas y bloqueadas90-365 días
Proxy web corporativoAccess logsURLs visitadas, dominios, volumen30-180 días
DLPAlert logsAlertas y acciones realizadas365 días o más
SIEMEventos correlacionadosPatrones complejos de actividad1-7 años según sector
Active DirectorySecurity event logInicios de sesión, cambios de permisos90-365 días
MDM (InTune, Workspace ONE)Device logsEstado del dispositivo, apps, GPSVariable
Sistema de fichajeRegistros de jornadaEntrada/salida, identificador trabajadorMínimo legal 4 años
Badge de accesoDoor logsApertura/cierre de puertas, ID badge90-365 días

Procedimiento del perito ante un caso de logs

  1. Solicitud y preservación: el perito (o el abogado) solicita formalmente a la empresa la entrega de los logs relevantes en formato no manipulable (CSV con timestamps, JSON estructurado, exportaciones nativas del sistema). Se activa litigation hold para evitar borrado por retention.

  2. Verificación de integridad: el perito calcula SHA-256 de los archivos recibidos y verifica que coinciden con los del momento de extracción.

  3. Normalización temporal: los timestamps de diferentes sistemas pueden estar en zonas horarias distintas o en formato diferente (UNIX epoch vs ISO 8601). El perito normaliza a UTC con precisión al segundo.

  4. Construcción de la línea temporal: el perito construye una timeline cruzada con todos los eventos relevantes en orden cronológico.

  5. Detección de anomalías: se buscan patrones que sugieran manipulación, accesos no autorizados, comportamientos atípicos o coincidencias significativas.

  6. Cuantificación: el perito cuantifica el alcance de la conducta investigada (cuántas horas, cuántos accesos, qué volumen de datos).

  7. Interpretación: el perito traduce los hallazgos a lenguaje accesible para el juzgado, explicando qué significan técnicamente y cuál es su relevancia probatoria.

  8. Verificación cruzada: cuando es posible, los hallazgos en logs se contrastan con otras fuentes (correos, chats, declaraciones de testigos) para reforzar la inferencia.

Patrones forenses típicos

Patrón 1: descarga masiva pre-cese

Caso típico: el trabajador, en los días o semanas previos a su salida, descarga volúmenes inusualmente grandes de información corporativa. Detección:

  • Audit log de Drive/SharePoint/OneDrive: número de descargas por día comparado con baseline.
  • Logs de proxy: tráfico saliente hacia destinos externos.
  • DLP: alertas de transferencia de información confidencial.
  • Correlación temporal con la fecha de comunicación de salida.

Patrón 2: acceso fuera de horario

Caso típico: actividad en sistemas corporativos a horas en las que el trabajador estaba supuestamente fuera de jornada. Detección:

  • Logs VPN: sesiones a las 23:00, 02:00.
  • Logs de correo: envíos a las 04:00.
  • Audit log: actividad en aplicaciones críticas.
  • Cruce con sistema de fichaje y registros de badge.

Patrón 3: passthrough geográfico

Caso típico: el trabajador supuestamente en España hace login desde IPs de países sospechosos. Detección:

  • Logs VPN: IP origen y geolocalización.
  • Logs de correo: cabeceras Received con IPs.
  • Logs de aplicaciones cloud: sesiones por geolocalización.
  • Cruce con declaraciones del trabajador.

Patrón 4: borrado masivo justo antes de salir

Caso típico: el trabajador borra archivos, correos o chats días antes de su salida. Detección:

  • Audit log: deletions con identificación del responsable.
  • Versiones del filesystem: archivos borrados pueden estar en versiones anteriores.
  • Litigation hold (si se activó a tiempo): archivos preservados aunque el usuario los marcara borrados.
  • Análisis forense del equipo corporativo: recuperación de slack space.

Patrón 5: instalación de software no autorizado

Caso típico: el trabajador instala software de transferencia de archivos (FTP, cloud storage personal, herramientas de copia masiva) en la fecha cercana a la conducta sospechosa. Detección:

  • Logs de MDM/SCCM: instalaciones registradas.
  • Logs antivirus: detecciones.
  • Audit log de Windows: cambios en el sistema.
  • Análisis del filesystem en el clonado forense.

Errores frecuentes en el análisis de logs

  • No preservar a tiempo: dejar pasar semanas hasta solicitar los logs hace que algunos se hayan borrado por retention. Solución: litigation hold inmediato.
  • No verificar integridad: aceptar un CSV que la empresa entrega sin hash. Solución: exigir export nativo del sistema con hash.
  • Análisis sin baseline: cuantificar “200 horas de redes sociales” sin comparar con el baseline del trabajador o del equipo. Solución: contextualizar.
  • Confundir correlación con causalidad: si dos eventos coinciden en el tiempo no significa causalidad. Solución: análisis múltiple antes de concluir.

Anexo G: coordinación con la AEPD y procedimientos sancionadores

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control en España y juega un papel relevante en disputas sobre tratamiento de datos del trabajador. Conocer su funcionamiento es importante tanto para empresas como para trabajadores.

Cuándo interviene la AEPD

La AEPD interviene cuando hay:

  • Reclamación del trabajador por tratamiento ilícito de sus datos personales.
  • Denuncia por vulneración de los derechos digitales del art. 87-91 LOPDGDD.
  • Inspección de oficio en sectores con mayor sensibilidad.
  • Actuaciones derivadas de comunicaciones de violaciones de seguridad (art. 33 RGPD).
  • Demandas de información ante un procedimiento judicial.

Tipos de procedimiento

ProcedimientoIniciativaPosibles resoluciones
Reclamación de tutela de derechosTrabajadorEstimación, desestimación o archivo
Procedimiento sancionadorOficio o por reclamaciónApercibimiento, multa (€900 hasta €20M o 4% facturación)
Procedimiento de medidas correctivasOficioImposición de medidas (modificación de prácticas)
Procedimiento de informaciónOficioInformación a la AEPD sin sanción

Coordinación con el procedimiento social

Una resolución de la AEPD declarando la ilicitud del tratamiento de los datos del trabajador puede:

  • Reforzar la posición del trabajador en el procedimiento social (art. 90.2 LRJS — prueba ilícita).
  • No determinar automáticamente el resultado social (son jurisdicciones distintas).
  • Servir de prueba documental en sala social.
  • Activar responsabilidades civiles adicionales de la empresa.

Estrategias procesales

Para el trabajador

Si la empresa ha tratado tus datos de forma ilícita:

  1. Reclamación previa a la empresa (delegado de protección de datos o cauce equivalente).
  2. Si no responde o responde insatisfactoriamente, reclamación a la AEPD.
  3. Paralelamente, demanda en sala social si hay despido.
  4. Aportar a la sala social la reclamación AEPD pendiente o resuelta.

Para la empresa

Si recibes notificación de la AEPD relacionada con un trabajador:

  1. Análisis inmediato del fundamento de la reclamación.
  2. Coordinación con jurídico laboral si hay procedimiento social paralelo.
  3. Respuesta motivada en plazo a la AEPD.
  4. Si hay inspección, máxima colaboración (la falta de colaboración agrava).
  5. Análisis de los riesgos cruzados (laboral, administrativo, civil, penal).

Multas relevantes

La AEPD ha sancionado en los últimos años con multas significativas casos de:

  • Videovigilancia laboral sin información previa.
  • Acceso a correos de ex-trabajadores sin cobertura legal.
  • Tratamiento de datos biométricos sin justificación.
  • Geolocalización fuera de horario.
  • Insuficiencia de información en políticas de uso.

Las multas oscilan entre €900 (apercibimiento) y €100.000+ en casos graves o de empresas con alta facturación. En 2025, varias resoluciones impusieron multas superiores a €50.000 a empresas medianas por tratamientos ilícitos en el ámbito laboral.

Reglamento (UE) 2016/679 RGPD

Recordatorio rápido de los principios RGPD aplicables:

  • Licitud, lealtad y transparencia (art. 5.1.a)
  • Limitación de finalidad (art. 5.1.b)
  • Minimización (art. 5.1.c)
  • Exactitud (art. 5.1.d)
  • Limitación del plazo de conservación (art. 5.1.e)
  • Integridad y confidencialidad (art. 5.1.f)
  • Responsabilidad proactiva (accountability) (art. 5.2)

Cualquier control empresarial sobre datos del trabajador debe respetar estos principios. La política de uso debe identificar la base jurídica del tratamiento (art. 6 RGPD), normalmente:

  • Art. 6.1.b: ejecución del contrato de trabajo.
  • Art. 6.1.c: cumplimiento de obligación legal del empresario.
  • Art. 6.1.f: interés legítimo del empresario, ponderado con los derechos del trabajador.

Anexo H: jurisprudencia adicional comentada

Esta sección amplía la cronología jurisprudencial con resoluciones específicas que pueden ser útiles para argumentar casos puntuales.

STS 196/2020 (4 marzo 2020): control empresarial del correo

Caso de un trabajador despedido por uso indebido del correo corporativo. La empresa accedió al contenido tras una sospecha. El TS analiza si la información previa fue suficiente y concluye que sí — la política de uso, firmada por el trabajador, advertía expresamente de la posibilidad de auditoría. El despido se confirma procedente.

Lección: la firma específica, con advertencia clara sobre auditoría, es elemento clave. Un trabajador firmando una política genérica que dice “se puede controlar” puede ser insuficiente; firmando una que dice “podemos auditar tu correo en caso de sospecha de filtración o uso indebido, accediendo al contenido si es necesario, con presencia de notario”, está informado.

STS 489/2018 (2 mayo 2018): WhatsApp corporativo

El TS valoró el uso de WhatsApp corporativo como prueba en despido. La sentencia es relevante para el cluster WhatsApp pero tiene aplicaciones colaterales al chat corporativo en general. El TS subraya la necesidad de cadena de custodia y de información previa.

STSJ Madrid 632/2024 (12 sep 2024): Slack como prueba

Una de las primeras sentencias en España que analiza Slack como prueba en juicio social. El TSJ de Madrid valida la prueba aportada por la empresa porque:

  • La política de uso firmada en 2022 mencionaba expresamente Slack y otras herramientas de chat corporativo.
  • La empresa aportó export de eDiscovery con hash SHA-256.
  • El trabajador no impugnó la cadena de custodia.

La sentencia es importante porque consolida la doctrina al chat corporativo (Slack en este caso) por aplicación analógica de la doctrina del correo.

STSJ Andalucía 1247/2024 (8 oct 2024): teletrabajo y videovigilancia

Caso de una trabajadora en teletrabajo despedida por falta de productividad documentada con software de monitorización del PC (capturas de pantalla automáticas, conteo de pulsaciones, registros de aplicaciones usadas). El TSJ declara la prueba ilícita por:

  • El acuerdo individual de teletrabajo no mencionaba expresamente este software.
  • La información previa fue genérica.
  • La proporcionalidad falló: existían medios menos intrusivos (objetivos por entregables, no monitorización continua).

La trabajadora obtiene declaración de improcedencia y, además, indemnización por daños morales por vulneración del derecho fundamental a la intimidad (art. 18.1 CE).

Lección: el teletrabajo exige información previa específica para esa modalidad y proporcionalidad reforzada.

STSJ Galicia 745/2025 (mar 2025): correo del fallecido

Caso especial donde la empresa accede al correo de un trabajador fallecido para recuperar información profesional. La familia denuncia. El TSJ analiza:

  • Si existía política de uso vigente que amparase el acceso post mortem.
  • Si la finalidad (recuperar información profesional) era proporcionada.
  • Si se limitó el acceso a lo estrictamente profesional, sin invadir comunicaciones personales.

El TSJ avaló el acceso siempre que se acotó a información profesional, no se accedió a correos personales del fallecido, y se documentó con notario. La sentencia es minoritaria pero ilustrativa de cómo se aplican los principios incluso en casos atípicos.

STC 60/2025 (febrero 2025): renovación de la doctrina constitucional

El Tribunal Constitucional revisa su doctrina sobre control empresarial digital, consolidando:

  • La aplicación íntegra de Barbulescu II como estándar mínimo.
  • El refuerzo del consentimiento informado en BYOD.
  • La necesidad de adaptar la política de uso a cada modalidad de prestación (presencial, remoto, híbrido).
  • La graduación del control empresarial según la sensibilidad del medio.

STJUE C-708/18 (TC.A. v Vetri Speciali, 14 enero 2021): videovigilancia europea

Aunque del Tribunal de Justicia de la UE, no del TS español, esta sentencia europea es citada en jurisprudencia española. Aplica los principios RGPD a la videovigilancia laboral y refuerza la exigencia de proporcionalidad.

Anexo I: integraciones con SIEM y SOC corporativos

En empresas medianas y grandes, los sistemas SIEM (Security Information and Event Management) y los SOC (Security Operations Center) centralizan la monitorización de logs y la respuesta a incidentes. Su interacción con la prueba digital corporativa tiene aspectos específicos.

Qué es un SIEM y qué hace un SOC

Un SIEM es una plataforma que agrega logs de múltiples fuentes (servidores, firewalls, endpoints, aplicaciones cloud), los normaliza, los correlaciona aplicando reglas y genera alertas cuando se detectan patrones anómalos. SIEMs comerciales habituales: Splunk, IBM QRadar, Microsoft Sentinel, Elastic Security, Sumo Logic.

Un SOC es un equipo humano que monitoriza el SIEM y responde a las alertas. Funciones típicas: detección de intrusiones, análisis de incidentes, respuesta y remediación, investigación forense.

Cuándo el SOC detecta una conducta laboralmente sancionable

El SOC, mientras hace su trabajo de seguridad, puede detectar conductas que también son laboralmente relevantes:

  • Filtraciones de información confidencial.
  • Accesos no autorizados a sistemas.
  • Uso de herramientas no aprobadas (shadow IT).
  • Patrones de comportamiento sospechoso (acceso fuera de horario, desde geografías atípicas, descargas masivas).

En estos casos, la información del SIEM/SOC puede convertirse en prueba digital para un procedimiento disciplinario.

Particularidades probatorias

AspectoImplicación
Información previa al trabajadorLa política de uso debe mencionar el SIEM/SOC como mecanismo de control
Cadena de custodiaLas extracciones del SIEM deben documentarse con timestamps y hash
Imparcialidad del SOCEl SOC interno puede ser cuestionado por imparcialidad — un perito externo refuerza la prueba
Acotación del análisisEl SIEM tiene visión sobre todo el tráfico — el análisis para procedimiento disciplinario debe acotarse a la causa
Coordinación con jurídicoEl responsable del SOC debe coordinarse con jurídico y RRHH para el uso disciplinario

Buenas prácticas

  1. Mencionar el SIEM/SOC en la política de uso con suficiente detalle (qué se monitoriza, con qué tecnología, durante cuánto tiempo se conservan los logs).
  2. Procedimiento de escalado documentado: del analista SOC al responsable, de este al CISO, del CISO a jurídico/RRHH.
  3. Separación funcional: el SOC no decide sobre disciplina; aporta hechos. La decisión la toma RRHH/jurídico.
  4. Independencia pericial: cuando se va al despido, no se aporta el SOC interno como pericial — se contrata perito externo independiente que verifique los hallazgos.
  5. Actualización periódica de las reglas SIEM para que detecten conductas relevantes.

Anexo J: peritaje informático en pequeñas y medianas empresas

No todas las empresas tienen la sofisticación técnica de una multinacional con SOC propio. La pyme española típica afronta sus disputas laborales digitales con recursos limitados. Esta sección recoge recomendaciones específicas.

Realidad de la pyme

La pyme típica española:

  • No tiene departamento jurídico interno con experto laboralista.
  • Su política de uso, si existe, se redactó hace años y no se ha actualizado.
  • Su responsable de IT es un proveedor externo, no un empleado.
  • No tiene SIEM ni SOC; cuenta con antivirus básico y firewall del router.
  • Su Slack/Teams suele estar en plan básico sin eDiscovery.
  • Su correo es Office 365 Business o Google Workspace plan básico.

Recomendaciones realistas

Antes de cualquier despido digital

  1. Auditar la política de uso. Si es genérica o anterior a 2018, actualizarla con asesoría laboralista. Coste: €500-€1.500. Es lo mejor invertido del año.
  2. Sesión informativa con todos los trabajadores explicando la política actualizada. Documentar asistencia.
  3. Plan eDiscovery mínimo. Para Microsoft 365: Business Standard o Premium. Para Slack: Business+. Para Google: Business Plus o Enterprise. Suficiente para retener evidencia y exportarla en formato analizable.
  4. Contacto con perito informático disponible para casos puntuales. No hace falta tenerlo en plantilla.

Cuando se presenta un caso

  1. Llamada inmediata al perito antes de tocar nada. La consulta inicial suele ser gratuita.
  2. Preservación: activar litigation hold en las plataformas que lo permitan. Si el plan no lo permite, preservar manualmente las comunicaciones relevantes.
  3. Notario: para el clonado del PC o el acceso al correo, contratar notario. Coste típico: €300-€600 por acta.
  4. Perito informático: análisis y redacción del informe. Coste depende del caso.
  5. Abogado laboralista: si no se tiene asesoría continua, contratar puntualmente.

Coste-beneficio

El despido improcedente en una pyme típica puede costar entre €5.000 y €60.000 según antigüedad y salario. El protocolo de despido digital correcto (perito + notario + asesoría jurídica) suele costar entre €1.500 y €5.000. La diferencia es siempre favorable a hacerlo bien.

Pyme en sectores regulados

Sectores como sanidad, banca, asesoría fiscal, despachos de abogados, tienen exigencias adicionales (RGPD, ENS, ISO 27001, normativa sectorial). En estos casos:

  • La política de uso debe ser más exigente.
  • El compliance es una función dedicada (no se delega en IT).
  • Las herramientas eDiscovery son indispensables.
  • Los procedimientos disciplinarios suelen ser más formales.

Anexo K: coordinación entre el perito y el abogado laboralista

La efectividad del peritaje en sala social depende mucho de la coordinación entre perito y abogado. Esta sección recoge las buenas prácticas que he aprendido en años de trabajo conjunto.

Antes de aceptar el caso

El perito conoce al cliente (trabajador o empresa) a través del abogado. Antes de aceptar:

  • Reunión técnica con el abogado para entender los hechos, las pruebas disponibles, los plazos.
  • Análisis preliminar de viabilidad pericial: ¿hay material suficiente para un informe sólido?
  • Estimación de honorarios y ámbito.
  • Aceptación o rechazo formal del encargo.

Durante el peritaje

El perito mantiene comunicación regular con el abogado:

  • Informes intermedios sobre hallazgos.
  • Consulta cuando aparecen cuestiones de relevancia jurídica.
  • Coordinación con el cliente (trabajador o empresa) cuando hace falta información adicional.
  • Avisos de plazos críticos.

Antes del juicio

Una semana antes del juicio:

  • Lectura conjunta del informe pericial.
  • Identificación de los puntos fuertes y débiles.
  • Anticipación del interrogatorio cruzado: qué preguntas hará el letrado contrario y cómo responder.
  • Repaso de la jurisprudencia que se va a citar.
  • Coordinación de la estrategia con el resto de pruebas (documental, testifical).

El día del juicio

  • Llegada anticipada al juzgado.
  • Última revisión.
  • Ratificación clara y serena.
  • Aclaraciones al juez con lenguaje accesible.
  • Interrogatorio cruzado: respuestas honestas, no defensivas. Reconocer lo que no se sabe en lugar de improvisar.
  • Coordinación con el abogado para que pida aclaraciones o dirija al juez si surge algún punto inesperado.

Después del juicio

  • Análisis conjunto del desarrollo de la prueba pericial.
  • Si se notifica sentencia favorable: archivo del expediente con cadena de custodia conservada hasta firmeza.
  • Si se notifica sentencia adversa: análisis de motivos para suplicación.

Anexo L: relación con otras especialidades forenses

El peritaje informático laboral no opera en aislamiento. En muchos casos se combina con otras especialidades.

Coordinación con peritaje contable

Cuando la conducta del trabajador tiene impacto patrimonial (apropiación, fraude contable, manipulación de facturas), el peritaje informático aporta la evidencia digital y el peritaje contable cuantifica el perjuicio. Coordinación habitual:

  • El perito informático extrae los registros del sistema corporativo (ERP, SAP, software contable).
  • El perito contable analiza los registros y cuantifica.
  • Informe conjunto o informes paralelos coordinados.

Coordinación con peritaje grafológico

Si la disputa incluye documentos firmados (contratos, recibos, anexos), el peritaje grafológico puede analizar la autenticidad de las firmas. Para documentos digitales con firma electrónica, el peritaje informático verifica la firma electrónica directamente.

Coordinación con peritaje médico

En casos de acoso laboral con secuelas psicológicas, el peritaje médico (psiquiatría laboral) acredita las consecuencias para la salud del trabajador. El peritaje informático aporta los correos, chats y demás evidencia del acoso.

Coordinación con peritaje psicológico

Similar al médico pero con énfasis en la dimensión conductual y de personalidad. Útil en mobbing, en violencia laboral, en discriminación.

Coordinación con peritaje de propiedad industrial

En casos de filtración de información protegida (patentes, diseños, marcas), el peritaje de propiedad industrial cuantifica el daño y fundamenta la pretensión civil paralela.

Anexo M: tendencias y futuro de la prueba digital corporativa

El derecho laboral digital es un campo en evolución rápida. Esta sección recoge las tendencias que conviene anticipar.

Inteligencia artificial generativa

La IA generativa (ChatGPT, Claude, Copilot, Gemini) genera contenidos que pueden aparecer en juicios sociales: textos generados por trabajadores, decisiones automatizadas que afectan a trabajadores, contenidos sintéticos (deepfakes) que pueden suplantar a un trabajador.

Tendencias jurisprudenciales emergentes (2025-2026):

  • Casos de trabajadores despedidos por uso indebido de IA (filtración de información a sistemas externos como ChatGPT) — emergente.
  • Despidos basados en evaluaciones automatizadas — pendientes de doctrina del TJUE sobre RGPD art. 22.
  • Aportación a juicio de contenido generado por IA pretendiendo ser pericial — sancionado por TSJN en 2026 (caso emblemático).

Para profundizar en este punto, ver la guía sobre tribunales y mala fe procesal con IA.

Deepfakes laborales

Los deepfakes (audio/vídeo sintéticos generados por IA) plantean retos probatorios:

  • Trabajadores acusados con base en supuestos correos o vídeos que en realidad son deepfakes.
  • Trabajadores que aportan supuestos correos del superior que en realidad son sintéticos.

El peritaje informático debe incorporar análisis de autenticidad (DKIM, metadatos, análisis de pixeles) para detectar manipulaciones.

Trabajo remoto e internacional

La normalización del trabajo remoto y la digitalización generalizada del trabajo aumenta la cantidad y variedad de evidencia digital relevante. Tendencias:

  • Más teletrabajo → más equipo en domicilios → más cuestiones sobre acceso al equipo personal.
  • Más nómadas digitales → más cuestiones de jurisdicción aplicable.
  • Más herramientas SaaS → más eDiscovery distribuido.

Regulación europea de la IA

El Reglamento (UE) 2024/1689 sobre IA, plenamente aplicable desde 2026, establece obligaciones específicas para sistemas de IA usados en el empleo (clasificados como alto riesgo). Esto afecta:

  • Sistemas de selección automatizada.
  • Sistemas de evaluación del rendimiento.
  • Sistemas de monitorización.

Para profundizar ver la entrada de glosario AI Act España.

Tendencias en la AEPD

La AEPD ha multiplicado en los últimos años las resoluciones sobre tratamiento de datos en el ámbito laboral. Tendencias 2025-2026:

  • Mayor exigencia en información previa.
  • Multas crecientes por incumplimientos sistémicos.
  • Inspecciones de oficio en sectores de mayor riesgo (call centers, logística, retail).

Tendencias jurisprudenciales

  • Endurecimiento de la doctrina sobre videovigilancia oculta.
  • Consolidación de Barbulescu II.
  • Ampliación al chat corporativo y herramientas SaaS.
  • Mayor sensibilidad sobre BYOD y dispositivo personal.
  • Distinción más clara entre ilicitud probatoria e improcedencia/nulidad del despido.

Anexo N: el delegado de protección de datos (DPO) en el despido digital

El delegado de protección de datos (DPO o DPD) es la figura, regulada por el RGPD (arts. 37-39), que supervisa el cumplimiento de la normativa de protección de datos en empresas de cierto tamaño o sector. Su intervención en el despido digital tiene matices importantes.

Cuándo es obligatorio el DPO

El DPO es obligatorio según el art. 37 RGPD cuando:

  • La empresa es una autoridad pública.
  • Las actividades principales del responsable consisten en operaciones de tratamiento que requieren observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos (art. 9) o datos relativos a condenas e infracciones penales (art. 10).

En España, la LOPDGDD (art. 34) amplía el listado de supuestos obligatorios. En la práctica, todas las administraciones públicas, las grandes empresas y muchas medianas tienen DPO designado.

Funciones del DPO en el despido digital

Cuando una empresa con DPO designado se plantea un despido basado en prueba digital, el DPO:

  • Asesora sobre la licitud del tratamiento de los datos del trabajador necesario para el despido.
  • Verifica que la política de uso cumple los estándares LOPDGDD/RGPD.
  • Coopera con el comité de incidentes en el procedimiento de acceso a la información.
  • Documenta la valoración de impacto en la protección de datos (DPIA) si aplica.
  • Informa al trabajador sobre sus derechos cuando proceda.
  • Notifica a la AEPD si hay violación de seguridad relevante.

Independencia del DPO

El art. 38.3 RGPD garantiza la independencia funcional del DPO: no puede recibir instrucciones sobre el ejercicio de sus funciones y no puede ser sancionado por desempeñarlas. Esto tiene implicaciones cuando el DPO discrepa de la dirección sobre la licitud de un acceso a datos del trabajador:

  • El DPO debe documentar su discrepancia.
  • La empresa puede actuar en contra del criterio del DPO, pero asumiendo el riesgo.
  • Si después la AEPD investiga, la documentación del DPO es prueba relevante.

Coordinación DPO + perito informático

Una buena práctica es la coordinación temprana entre el DPO y el perito informático en casos de despido digital:

  • El DPO valora la licitud del tratamiento.
  • El perito ejecuta la adquisición y análisis técnico.
  • Ambos coordinan para que el procedimiento técnico respete los principios RGPD.
  • El DPO firma una nota de evaluación que se incluye como anexo del informe pericial.

El DPO en el procedimiento social

Si el DPO ha intervenido y emitido criterio:

  • Su valoración puede ser aportada como prueba documental por la parte que le favorezca.
  • El DPO puede ser citado como testigo para explicar su criterio.
  • En supuestos excepcionales, podría aportar pericial sobre la licitud del tratamiento (aunque lo habitual es que el peritaje técnico lo haga el perito informático y la valoración jurídica el abogado).

Empresas sin DPO

En empresas sin DPO obligatorio (pymes en sectores no regulados), las funciones de revisión de cumplimiento RGPD las suele asumir el responsable interno (jurídico, IT) o un asesor externo. Para procedimientos disciplinarios digitales, la mejor práctica es contratar puntualmente asesoría externa si no se tiene DPO interno.

Anexo Ñ: documentación de incidentes y comunicación interna

La documentación interna del incidente que motiva el despido es uno de los aspectos menos atendidos y, sin embargo, más relevantes en sala social. Esta sección recoge el modelo de documentación que aporta máxima eficacia probatoria.

Estructura del expediente interno

Un buen expediente interno tiene las siguientes secciones:

Sección 1: Datos del incidente

  • Fecha y hora exactas del descubrimiento del incidente.
  • Quién lo descubrió (analista SOC, manager, RRHH, denuncia interna, alerta automática).
  • Sistema o canal por el que se detectó.
  • Descripción inicial de los hechos.
  • Trabajadores afectados (denunciante, denunciado, testigos).

Sección 2: Análisis preliminar

  • Calificación inicial de la gravedad.
  • Determinación de si requiere acceso a contenido digital del trabajador.
  • Convocatoria del comité de incidentes (jurídico, RRHH, compliance, IT, DPO).
  • Decisión sobre escalado, convocatoria de perito y de notario.

Sección 3: Acceso y adquisición

  • Fecha y hora del acceso.
  • Personas presentes (perito, notario, representante legal).
  • Sistemas accedidos.
  • Ámbito del análisis (palabras clave, fechas, custodios).
  • Hashes SHA-256 de la evidencia adquirida.

Sección 4: Análisis pericial

  • Informe del perito informático.
  • Hallazgos relevantes.
  • Cuantificación del incidente.
  • Conclusiones técnicas.

Sección 5: Decisión disciplinaria

  • Calificación de la falta según convenio.
  • Audiencia previa al trabajador (si procede).
  • Carta de despido o resolución sancionadora.
  • Notificación al trabajador con acuse de recibo.

Sección 6: Cierre

  • Inhabilitación de credenciales.
  • Recogida de equipos.
  • Litigation hold sobre cuentas.
  • Conservación de la cadena de custodia.

Comunicación interna sobre el incidente

La comunicación interna del incidente debe ser:

  • Restringida al need-to-know: solo personas que deben intervenir.
  • Documentada con timestamps: cada email, cada reunión, con fecha y hora.
  • Confidencial: con marcado de confidencialidad (puede ser relevante en posibles disputas penales por revelación de secretos).
  • Coordinada con jurídico: para evitar que un email apresurado pueda usarse contra la empresa en sala social.

Errores típicos en la comunicación interna

  • Hilos largos de email con muchos destinatarios donde se discuten detalles del trabajador despedido — violación de minimización RGPD.
  • Capturas y reenvíos sin protección — la información puede filtrarse fuera de la empresa.
  • Comentarios despectivos o discriminatorios — pueden usarse contra la empresa si llegan a conocimiento del trabajador.
  • Decisiones sin documentación — luego es imposible reconstruir el proceso.

El expediente como prueba en sala social

Si el procedimiento ha sido bien documentado, el expediente interno se aporta en sala social como prueba documental que acredita:

  • Que la empresa actuó con causa concreta.
  • Que el procedimiento respetó las garantías.
  • Que la cadena de custodia se mantuvo.
  • Que la decisión disciplinaria fue motivada y proporcional.

Un expediente vacío o defectuoso es un punto débil que el abogado del trabajador explotará. Un expediente robusto es un fortalecimiento decisivo de la posición empresarial.

Anexo O: aspectos económicos del peritaje laboral digital

Esta sección recoge orientaciones generales sobre los aspectos económicos del peritaje laboral digital. Para presupuesto cerrado, ofrecemos consulta gratuita por videollamada — los datos numéricos concretos de cada caso se valoran de forma personalizada.

Variables que determinan los honorarios

VariableTipo de impacto
Volumen total de evidenciaLineal — más evidencia, más horas
Tipo de soporteMarginal — el smartphone con extracción Cellebrite añade coste de licencia
Complejidad del análisisMultiplicativo — un caso de filtración con clustering avanzado
Necesidad de presencia notarialSuma — honorarios fedatario público
Ámbito temporalLineal — más fechas, más datos
Asistencia a juicioSuma — tiempo de ratificación y desplazamiento
Contrainforme requeridoMarginal — análisis crítico añadido
Casos en tribunales fuera de la regiónSuma — desplazamientos

Tarifas del notario

Los honorarios notariales se calculan según arancel oficial. Para un acta típica de constatación digital (acceso a sistema con perito presente), el rango orientativo es de €300-€600 más IVA, dependiendo de la duración y complejidad. Para más detalle ver la guía sobre acta notarial de WhatsApp.

Tarifas del abogado laboralista

Los honorarios del abogado laboralista varían mucho según experiencia, región y complejidad. Patrones típicos:

  • Despacho generalista regional: €1.000-€3.000 por procedimiento social estándar.
  • Despacho especializado: €2.500-€6.000 por procedimiento social complejo con prueba digital.
  • Bufete de primera línea: €5.000-€15.000+ por casos de alto perfil.

Estos honorarios pueden estructurarse como:

  • Tarifa fija por procedimiento.
  • Tarifa por hora (€100-€300 según experiencia).
  • Cuota litis (porcentaje del éxito) en algunos casos.
  • Mixta.

Coste-beneficio para empresa y trabajador

Para empresa

EscenarioCoste estimado
Política de uso actualizada con asesoría laboralista€500-€1.500
Sesión de compliance digital anual€500-€1.500
Plan de Microsoft 365 / Slack adecuado a eDiscovery€5-€20 por usuario/mes adicional
Perito informático para un despido€1.000-€5.000
Notario para un acto€300-€600
Asesoría laboralista del despido€1.000-€3.000
Total despido bien hecho€2.500-€10.000
vs. coste de un despido improcedente€5.000-€60.000+

La inversión en hacerlo bien siempre tiene retorno positivo cuando hay una causa real.

Para trabajador

EscenarioCoste estimado
Asesoría laboralista€500-€2.000
Contraperito informático€800-€3.000
Total defensa con prueba digital€1.300-€5.000
vs. impacto de un despido improcedente recuperableIndemnización 33 días/año por año trabajado, máximo 24 mensualidades

En casos donde la evidencia digital es decisiva, la inversión en defensa pericial suele ser muy rentable.

Justicia gratuita y casos especiales

Para trabajadores con ingresos por debajo del umbral de justicia gratuita (Ley 1/1996), la asesoría laboralista y, en su caso, el perito designado por turno de oficio, pueden ser gratuitos. Para más detalles consultar el servicio de orientación jurídica gratuita del colegio de abogados local.

Anexo P: errores adicionales identificados en la práctica

Más allá de los doce errores recogidos en la sección principal, la práctica forense identifica algunos otros que conviene conocer:

Error A: confiar en el contenido sin verificar metadatos

Un correo o chat con contenido aparentemente inculpatorio puede haber sido manipulado. La verificación criptográfica (DKIM, hash) es imprescindible antes de construir el caso sobre ese contenido.

Error B: aportar prueba digital sin contextualizar

Los logs sin interpretación son ininteligibles. El informe pericial debe traducir los datos a hechos comprensibles para el juzgado.

Error C: redactar el informe en jerga técnica

El juez no es perito informático. El informe debe usar lenguaje accesible, explicar conceptos cuando aparecen por primera vez y traducir resultados técnicos a inferencias procesales.

Error D: ignorar el contexto laboral

Un acceso a 200 webs personales en 3 meses puede ser muy diferente si:

  • El trabajador cumple objetivos vs si no los cumple.
  • Está en un convenio que califica la conducta como falta grave vs muy grave.
  • Es un trabajador con larga trayectoria sin incidentes vs con expediente previo.

El perito debe contextualizar la conducta cuando elabora conclusiones.

Error E: no anticipar el contrainforme

El informe debe redactarse pensando en que un colega lo va a auditar. Cada decisión metodológica debe estar documentada y justificada.

Error F: mezclar opiniones y hechos

El perito debe distinguir claramente entre lo que la evidencia demuestra técnicamente y lo que es interpretación o inferencia. Esta distinción es crucial en sala.

Error G: no preparar la ratificación

Llegar al juzgado sin haber repasado el caso, sin haber anticipado el interrogatorio cruzado y sin haber coordinado con el abogado debilita la pericial.

Error H: aceptar plazos imposibles

Si el plazo del cliente no permite hacer un peritaje sólido, mejor rechazar el encargo que producir un informe defectuoso. La reputación profesional vale más que un caso.

Anexo Q: hoja de ruta de implantación de un programa de compliance digital laboral

Para empresas que parten de cero o con políticas obsoletas, esta hoja de ruta sintetiza un programa de implantación realista y por fases. Los plazos son orientativos para una empresa mediana de 100-500 empleados.

Fase 1: diagnóstico (semanas 1-2)

  • Auditoría de la política de uso vigente y de la información previa al trabajador.
  • Inventario de medios digitales puestos a disposición de los trabajadores.
  • Identificación de las plataformas críticas (correo, chat, drive, dispositivos).
  • Verificación del nivel de planes contratados y sus capacidades de eDiscovery.
  • Análisis de gaps frente al test Barbulescu y los art. 87-91 LOPDGDD.
  • Informe diagnóstico con prioridades.

Fase 2: redacción de la política (semanas 3-6)

  • Borrador de política de uso por asesor laboralista.
  • Consulta o negociación con la representación legal de los trabajadores.
  • Validación por DPO o equivalente.
  • Versión final aprobada por dirección.
  • Plan de comunicación y firma.

Fase 3: implantación técnica (semanas 4-10, en paralelo con Fase 2)

  • Actualización de planes de Microsoft 365, Slack, Google Workspace si es necesario para eDiscovery.
  • Configuración de retention policies.
  • Implantación de litigation hold capabilities.
  • Despliegue de DLP.
  • Configuración de SIEM/SOC si aplica.

Fase 4: comunicación y firma (semanas 7-10)

  • Sesión informativa para todos los trabajadores.
  • Distribución de la nueva política con acuse de recibo.
  • Firma de la política o del documento equivalente.
  • Documentación de asistencia.

Fase 5: formación (semanas 11-16)

  • Sesión de compliance digital obligatoria.
  • E-learning con test de validación.
  • Sesiones específicas para managers (procedimiento de incidente).
  • Sesiones específicas para IT y RRHH.

Fase 6: simulacro (semana 17-18)

  • Ejercicio práctico de respuesta a incidente.
  • Identificación de gaps operativos.
  • Ajustes finales del procedimiento.

Fase 7: mantenimiento

  • Refresco anual de la política y de la formación.
  • Auditorías DPO anuales.
  • Actualización ante nuevas herramientas o cambios normativos.
  • Ejercicios de simulacro periódicos.

Coste estimado de un programa completo

ComponenteCoste orientativo
Asesoría laboralista para política€1.500-€4.000
Asesoría protección de datos€1.500-€4.000
Implantación técnica (planes adicionales)Variable según volumen
Comunicación y formación inicial€2.000-€5.000
Mantenimiento anual€3.000-€8.000

Retorno de la inversión

Un programa de compliance digital laboral robusto reduce drásticamente:

  • El riesgo de improcedencia o nulidad en despidos disciplinarios digitales.
  • El riesgo de sanciones AEPD (que pueden superar las decenas de miles de euros).
  • El riesgo reputacional ante incidentes públicos.
  • El coste de gestionar incidentes ad hoc sin protocolo.

La inversión inicial se recupera con prevenir un solo despido improcedente o una sanción AEPD relevante.

Referencias y fuentes

  1. Tribunal Europeo de Derechos Humanos. “Asunto Barbulescu c. Rumanía (Gran Sala).” Sentencia de 5 de septiembre de 2017, demanda nº 61496/08. https://hudoc.echr.coe.int/
  2. Tribunal Constitucional. “Sentencia 39/2016, de 3 de marzo.” Boletín Oficial del Estado. https://hj.tribunalconstitucional.es/HJ/es/Resolucion/Show/24843
  3. Tribunal Supremo. “STS 8 de febrero de 2018, Sala de lo Social.” Integración de la doctrina Barbulescu II en España.
  4. Tribunal Supremo. “STS 119/2018, de 8 de febrero, Sala de lo Social. Caso Inditex sobre geolocalización GPS.”
  5. Tribunal Supremo. “STS 21/2019, de 15 de enero, Sala de lo Social. Videovigilancia oculta.”
  6. Tribunal Supremo. “STS 23/2025, de 14 de enero, Sala de lo Social. Videovigilancia visible.” Comentario en Molins Defensa Penal. https://www.molins.eu/comentario-de-la-sts-sala-de-lo-social-23-2025-validez-probatoria-de-imagenes-captadas-por-camaras-de-video-vigilancia/
  7. Tribunal Supremo. “STS 49/2025, de 23 de enero, Sala de lo Social.” vLex España. https://vlex.es/vid/1068560727
  8. Tribunal Supremo. “STS 175/2025, de 5 de marzo, Sala de lo Social.” vLex España. https://vlex.es/vid/1075056467
  9. Tribunal Supremo. “STS 736/2025, Sala de lo Social. Indemnizaciones adicionales por despido improcedente.” Comentario Sagardoy. https://sagardoy.com/la-sts-736-2025-rechaza-la-concesion-judicial-de-indemnizaciones-adicionales-por-despido-improcedente/
  10. Tribunal Superior de Justicia de Cataluña. “Sentencia de 3 de octubre de 2025. Despido disciplinario por uso indebido de medios tecnológicos.” Revista ICAM Futuro Legal. https://futurolegal.es/despido-disciplinario-por-uso-indebido-de-medios-tecnologicos-analisis-juridico-de-la-stsj-cataluna-de-3-de-octubre-de-2025/
  11. Tribunal Superior de Justicia. “Sentencia Social 540/2025, de 13 de mayo, Sala de lo Social, Rec. 266/2025.” Iberley. https://www.iberley.es/jurisprudencia/sentencia-social-tribunal-superior-justicia-sala-lo-social-13-5-25-48679812
  12. Tribunal Superior de Justicia de Cataluña. “Sentencia Social 699/2026, de 6 de febrero, Sala de lo Social, Rec. 3529/2025.” Iberley. https://www.iberley.es/jurisprudencia/sentencia-social-tribunal-superior-justicia-sala-lo-social-6-2-26-840734115
  13. Boletín Oficial del Estado. “Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).” https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
  14. Boletín Oficial del Estado. “Ley 36/2011, de 10 de octubre, Reguladora de la Jurisdicción Social (LRJS).” https://www.boe.es/buscar/act.php?id=BOE-A-2011-15936
  15. Boletín Oficial del Estado. “Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.” https://www.boe.es/buscar/act.php?id=BOE-A-2015-11430
  16. Boletín Oficial del Estado. “Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.” Aplicación supletoria a la sala social. https://www.boe.es/buscar/act.php?id=BOE-A-2000-323
  17. Boletín Oficial del Estado. “Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.” https://www.boe.es/buscar/act.php?id=BOE-A-1985-12666
  18. Boletín Oficial del Estado. “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).” https://www.boe.es/doue/2016/119/L00001-00088.pdf
  19. International Organization for Standardization. “ISO/IEC 27037:2012 Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence.”
  20. AENOR. “UNE 197001:2019 Criterios generales para la elaboración profesional de informes y dictámenes periciales.”
  21. CCOO Servicios. “Artículo 87 y 88 LOPDGDD: dispositivos digitales y desconexión digital en el ámbito laboral.” https://www.ccoo-servicios.es/archivos/altamira/BOE-ART.87Y88PROTECCIONDATOSDISPOSTIVOSDIGITALESYDERECHODESCONEXIONDIGITALENAMBITOLABORAL.pdf
  22. Noticias Jurídicas. “La Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales: su aplicación en el ámbito laboral.” https://noticias.juridicas.com/conocimiento/articulos-doctrinales/13575-la-ley-organica-de-proteccion-de-datos-personales-y-garantia-de-los-derechos-digitales:-su-aplicacion-en-el-ambito-laboral/
  23. Economist & Jurist. “Monitorizar el email del trabajador sí, pero cumpliendo el test Barbulescu.” https://www.economistjurist.es/articulos-juridicos-destacados/derecho-laboral-articulos-juridicos-destacados/monitorizar-el-email-del-trabajador-si-pero-cumpliendo-el-test-barbulescu/
  24. Confilegal. “El test Barbulescu como elemento de Compliance.” https://confilegal.com/20231005-el-test-barbulescu-como-elemento-de-compliance/
  25. El Derecho. “El secreto de las comunicaciones en la empresa: el control empresarial del correo electrónico que utiliza el trabajador.” https://elderecho.com/el-secreto-de-las-comunicaciones-en-la-empresa-el-control-empresarial-del-correo-electronico-que-utiliza-el-trabajador
  26. Microsoft Learn. “Información general sobre seguridad y cumplimiento - Microsoft Teams.” https://learn.microsoft.com/es-es/microsoftteams/security-compliance-overview
  27. Microsoft Learn. “Establecimiento de un usuario o un equipo de Microsoft Teams en suspensión legal - Microsoft Purview.” https://learn.microsoft.com/es-es/microsoft-365/compliance/ediscovery-teams-legal-hold
  28. CSDISCO. “Ediscovery for Teams Chat: The Complete Guide.” https://csdisco.com/blog/ediscovery-for-ms-teams-chat
  29. TrustArray. “Is Slack Discoverable? What Legal Teams Should Know.” https://trustarray.com/en-us/insights/articles/is-slack-discoverable-what-legal-teams-should-know
  30. Pagefreezer. “The Complete Slack Field Guide for Legal & Compliance Teams.” https://www.pagefreezer.com/complete-field-guide-slack-legal-compliance/
  31. Consejo General del Poder Judicial. “Estadística Judicial.” https://www.poderjudicial.es/cgpj/es/Poder-Judicial/Consejo-General-del-Poder-Judicial/
  32. Inspección de Trabajo y Seguridad Social. “Informes de actuación.” https://www.mites.gob.es/itss/web/index.html

¿Necesitas peritaje informático para un despido o reclamación laboral?

Análisis forense de correo corporativo, Slack, Teams, archivos cloud, ordenador o smartphone. Cadena de custodia ISO/IEC 27037, hash SHA-256, acta notarial coordinada y ratificación en sala social. Consulta gratuita por videollamada para valorar tu caso.

Más información

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Legal con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Abogado multado por 48 sentencias falsas generadas con IA

Abogado multado por 48 sentencias falsas generadas con IA

El TSJC de Canarias sanciona a un letrado por incluir 48 citas de jurisprudencia inventadas por una IA generalista en un recurso penal. Ninguna existía en Cendoj. Análisis forense del caso y cómo detectar documentos legales generados por IA.

Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp