Los derechos de los trabajadores y los CONFLICTOS DERIVADOS DE LA TÉCNICA BYOD
Javier Puyol, abogado y socio de ECIX Group
La técnica BYOD (Bring Your Own Device), consiste en un sistema por el que la empresa permite a sus trabajadores utilizar sus propios dispositivos electrónicos para el desempeño de su trabajo diario.
Se presume que la irrupción de la tendencia de BYOD en las empresas dará en los próximos años nuevos motivos de debates a los tribunales. La empresa permite o impone que los trabajadores que lleven sus dispositivos al trabajo y con ellos accedan a los recursos y redes, dando por supuesta una mayor productividad con los medios y entornos con lo que estén más habituados a trabajar, si bien puede tener que enfrentarse a problemas de seguridad en la gestión de muchos dispositivos heterogéneos.
Pese a sus ventajas, también tiene sus contras que son señalados por los propios trabajadores.
Ellos tienen su particular visión sobre esta tendencia. En el uso de esta técnica, tal como indica Sergio de Lama confluyen el derecho intimidad con el derecho vigilancia y control empresarial, por lo que es muy importante separar la información personal de la corporativa, y en esta controversia jurídica de derechos e intereses contrapuestos, es evidente que el derecho a la intimidad del empleado debe ser preservado en los casos que se requiera acceder a la información, en caso de la existencia de conflicto.
BYOD aparentemente puede ser una opción perfecta para la empresa ya que supone un ahorro significativo en equipos, debido a que es el empleado el que corre con los gastos y será también él quien decida la cantidad que está dispuesto a invertir en función de sus necesidades y posibilidades, tal como señala Ameu.
Además, le proporciona una mayor libertad, comodidad y autonomía a la hora de desarrollar su trabajo, lo que contribuirá a una mayor productividad y flexibilidad a la hora de la realización del mismos, por lo que por ende, esta situación necesariamente ha de beneficiar a la organización.
Se trata de una tendencia que ha experimentado un ascenso vertiginoso en los últimos tiempos, tanto que se calcula que cerca del 90% de los empleados de países desarrollados utiliza sus equipos personales para acceder a información de la empresa, aunque compatibilicen esta política con el uso del tradicional equipo en la oficina con fines exclusivamente corporativos.
En España la cifra es mucho más reducida: en torno al 30% de los trabajadores lleva su propio equipo al trabajo.
Sin embargo, con este sistema la empresa pierde el control sobre los dispositivos lo que implica riesgos sobre la privacidad y la seguridad en su conjunto. Si el empleado pierde su equipo o se lo roban puede darse el caso de que información valiosa quede expuesta.
Lo mismo ocurre si se conecta a una red inalámbrica poco segura o si su equipo es pirateado. Por otro lado, se hacen necesarios mayores recursos en mantenimiento y soporte debido a la diversidad de soportes y la variedad de los mismos.
En todo caso, en el examen de la implantación de esta técnica, y a tales efectos debe partirse del contenido de lo dispuesto en el artículo 20.3º del Estatuto de los Trabajador, donde se señala que: “El empresario tiene la titularidad del medio de trabajo utilizado, impone al trabajador la obligación de la prestación conforme a las exigencias de la buena fe, y posee la facultad de vigilar y controlar su cumplimiento respetando la dignidad del trabajador”.
Por estas razones, entre otras muchas, antes de implantar este tipo de alternativas se deben desarrollar una serie de políticas de BYOD, dejando muy claro hasta donde llegan las obligaciones y derechos de la empresa, y donde comienza el ámbito privado del trabajador.
En este sentido, la empresa deberá previamente proceder a redactar unos protocolos claros donde establezca los criterios básicos que se van a aplicar a su funcionamiento, concretando tanto desde el punto de vista empresarial, como de los trabajadores, los controles, y los derechos y obligaciones a los que van a estar sometidos, unos y otros, y al mismo tiempo, proceder a dar una difusión constante a los mismos.
El objetivo, tal como pone de relieve Doonamis, es no dar lugar a dudas y asegurar que los trabajadores conocen perfectamente el alcance del BYOD. La exigencia de seguridad jurídica y de transparencia en su funcionamiento es determinante de la prosperabilidad de esta técnica en el ámbito empresarial.
Por ello, los conflictos más habituales que la implantación de nueva técnica ha de enfrentarse son bastante recurrentes, constituyendo los más significados de ellos, los que se citan a continuación:
a). Los niveles de restricción que desea la empresa suelen ser superiores a los admitidos por los usuarios.
b). El uso de móviles y tablets propios borra las fronteras entre el entorno personal y el profesional, dado que ambos están al alcance de la mano.
c). Las empresas BYOD esperan un comportamiento moral de sus empleados, un uso responsable y acotado, que no todos los trabajadores están dispuestos a respetar.
d). Los datos de la empresa están sujetos al cumplimiento de ciertas leyes o acuerdos: LOPD, derechos de imagen, propiedad industrial o intelectual, confidencialidad… No todos los empleados actuarán como se espera de ellos en este sentido.
e). Las empresas deben educar a los empleados en las políticas BYOD. Es posible que algunos empleados consideren esta formación poco relevante y prescindible, aunque esté suponiendo tiempo y dinero a la empresa.
f). Las empresas esperan poder recuperar la información de estos dispositivos móviles, o borrarla, en caso de pérdida o de despido del empleado. No siempre es así.
g). Una empresa con cientos o miles de trabajadores que utilicen las redes corporativas puede colapsar el tráfico interno. No todas las empresas cuentan con la infraestructura necesaria para dar acceso a sus empleados. No todos los trabajadores harán un uso sensato y es previsible el abuso de aplicaciones que exijan un elevado ancho de banda (vídeos, radio, juegos…).
Boelle ha indicado que una inadecuada gestión del BYOD, puede traer como consecuencia, la interceptación de las comunicaciones, la perdida de información por falta de realización de copias de seguridad, el acceso inconsentido de terceros a información profesional de la empresa, la introducción de virus o gusanos en los sistemas de información corporativos, y en definitiva la quiebra de la seguridad de los sistemas de información de la empresa.
La correcta implantación del BYOD exige que se lleven a cabo una serie de medidas para controlar los riesgos y actuar con todas las garantías, como la realización de análisis de riesgos técnicos y jurídicos, la adopción de políticas organizativas y de seguridad, así como la participación activa tanto de los responsables de la sociedad, como de los propios empleados.
Solo de esta manera, se puede combinar una actitud garantista hacia el empleado, junto con un efectivo control de su actividad. No hay que olvidar además que una actuación eficaz no debe centrarse únicamente en evitar los daños que la propia información puede sufrir, sino también, en las consecuencias negativas para la reputación de la empresa, la pérdida de competitividad o las sanciones económicas que podrían derivarse del incumplimiento de la normativa de protección de datos.
Estas políticas y protocolos internos, de obligado cumplimiento, deberán ser conocidos tanto por los propios empleados de la empresa como por aquellos otros trabajadores externos que pudieran también tener acceso a los sistemas de información de la empresa en las subcontrataciones de servicios, bien en modo local o bien a través de conexiones remotas.
Para De Rossello Moreno se tienen que seguir una serie de pautas que afectan a dos conceptos esenciales en el desarrollo de este tipo de técnicas, que son las siguientes: (i) aquellas que afectan al control empresarial sobre los dispositivos móviles privados, (ii), y aquellas que tienen vinculación con las obligaciones del usuario o trabajador, o responsabilidades.
Con relación a dicho control empresarial, la primera cuestión a considerar, es si sería legítimo el establecimiento de medidas de vigilancia y control por parte del empresario sobre los recursos de la empresa accesibles vía dispositivo móvil privado, siempre y cuando puedan configurarse técnicamente en contenedores separados y de modo diferenciado, teniendo en cuenta que, gracias a los nuevos desarrollos técnicos y tecnológicos (e-cloud, etc.) es cada vez mayor el número de trabajadores que puedan acceder a los recursos de la empresa, ya sea mediante dispositivos proporcionados por la propia empresa o mediante dispositivos privados configurados a tal efecto.
Para dicha autora, en la implantación de estos medios técnicos, vinculados a dicho control empresarial, deben seguirse una serie de premisas sobre la utilización de los ordenadores y/o dispositivos móviles propiedad de la empresa puestos a disposición del trabajador, basadas en los criterios establecidos por nuestros Altos Tribunales jurisdiccional y constitucional.
Estos condicionamientos legales son los siguientes:
a). Consentimiento del trabajador para la configuración de su dispositivo privado con finalidades empresariales.
b). Configuraciones de los dispositivos que permiten tener acceso a los recursos de la empresa y/o información empresarial en contenedores, carpetas, aplicaciones separadas del resto de la información, aplicaciones alojadas en el dispositivo.
c). Advertencia al trabajador del establecimiento de medidas de control y los medios que se van a usar en relación al acceso y uso de los recursos de la empresa, y del posible borrado remoto en caso de baja, pérdida o robo del dispositivo o sospechas de transgresión de la buena fe contractual que rige la relación entre las partes.
d). La adopción y ejecución de dichas medidas debe ajustarse al canon de proporcionalidad y no invadir la privacidad del trabajador.
De Lama también ha indicado, en este sentido, que el empresario tiene la titularidad del medio de trabajo utilizado, impone al trabajador la obligación de la prestación conforme a las exigencias de la buena fe, y posee la facultad de vigilar y controlar su cumplimiento respetando la dignidad del trabajador.
Aquí confluyen el derecho intimidad e incluso a la privacidad del mismo, con el derecho vigilancia y control empresarial, por lo que es muy importante separar la información personal de la corporativa. No debe olvidarse que el empresario basado en una supuesta monitorización del dispositivo móvil puede acceder a cualquier clase de información personal que se encuentre almacenada en el mismo.
Existen bastantes ejemplos al respecto. Control sobre los contactos, sobre las fotografías existentes en el disco duro del dispositivo, y en definitiva, sobre cualquier información contenida en el mismo.
También se suele citar como ejemplo, por su especial relevancia, lo atinente a la posibilidad de la localización del trabajador por medio de los sistemas de geolocalizaión que incluyen los smartphones, cuestión esta que permite la localización del trabajador dentro y fuera del horario de trabajo, las veinticuatro horas, durante los siete días de la semana, cuestión ésta que debe encontrarse muy justificada por la empresa ya que el trabajador puede sentir mas que violada su intimidad.
La intimidad del empleado debe prevalecer en los casos que se requiera acceder a la información en caso de conflicto.
Del mismo modo, y en lo que atañe a las obligaciones del usuario como trabajador, debe tenerse en cuenta, que el usuario deberá usar el dispositivo móvil de conformidad con unos estándares de buenas prácticas, en la medida en que conviven en el mismo dispositivo información personal e información empresarial. En este sentido, un resumen de buenas prácticas se asociaría a las siguientes conductas:
a). No usar el dispositivo móvil privado para transmitir contenidos, material e información que sean ilegales, contrarios a la moral, al orden público, inapropiados o nocivos para los menores; que atenten contra la dignidad o los derechos humanos; que inciten induzcan o promuevan hechos delictivos, difamatorios, discriminatorios; que violen los derechos de propiedad intelectual e industrial de terceros o los derechos asociados a su imagen; que atenten contra la intimidad y el derecho al honor; que induzcan a error grave o que por cualquier motivo, el usuario no tenga derecho a transmitir o a hacer público porque sea susceptible de protección legal; que viole secretos mercantiles o de otro tipo; que infrinjan el derecho de secreto de las comunicaciones; que constituyan publicidad ilícita, desleal, incluida la publicidad on-line, etc., en forma de mensaje masivos de tipo publicitario (“spam”) o piramidal, o correo basura; que impida el uso regular de los recursos por otros usuarios; que vulneren la normativa sobre protección de datos; que puedan introducir virus o cualquier otro elemento, que pueda dañar o impedir el normal funcionamiento de los recursos de la empresa o de terceros.
b). Guardar el secreto profesional de forma indefinida sobre la información confidencial sensible, reservada, y/o de valor comercial para la empresa que le haya sido revelada o a la que haya tenido acceso a través del dispositivo móvil con motivo de la relación con la empresa. Obviamente, se ha de determinar en el documento qué tipo de información recibe el carácter de confidencial y/o es susceptible de constituir un secreto empresarial.
c). En caso de incumplimiento el trabajador respondería de los daños y perjuicios que pudieran ocasionarse a la empresa con ocasión del incumplimiento, sin perjuicio de las acciones que pueda entablar la empresa. En este sentido, especial precaución debe tener el trabajador cuando se baja aplicaciones (“aps”) en sus dispositivos móviles privados, ya que estás pueden afectar a los recursos de la empresa si aquéllas no reúnen las suficientes garantías en materia de seguridad y también cuando permite que terceros en el entorno familiar usen dichos dispositivos con finalidades privadas.
Si antes se indicó que la técnica BYOD debe estar sometida a una política transparente y segura, es indudable que además la misma tiene que encontrarse vinculada a importantes compromisos de carácter ético tanto por la empresa, como por los propios usuarios, si se quiere evitar que se produzcan abusos e irregularidades que afecten al buen funcionamiento y organización de la actividad empresarial y a los derechos de los trabajadores.
Tal como señala un Informe de BBVA, todavía quedan aún muchos flecos que resolver para implantar el BYOD de una manera oficial y segura. Es cierto que los límites entre los dispositivos de empresa y personales se están difuminando a la misma velocidad en la que la tecnología de consumo se extiende en los hogares. Pero por esa misma razón, porque muchos empleados optan por completar la jornada laboral desde casa y utilizar datos de la empresa con sus propias herramientas, se debe abordar este asunto. Posponerlo puede generar problemas en el futuro.
