1. INTRODUCCIÓN
La revolución tecnológica en la que estamos inmersos y que avanza vertiginosamente, permite acceder mediante cualquier dispositivo privado o profesional (Smartphone, Tablet, Laptop, etc.) a incontable información ubicada en Internet, en la nube o en servidores de la empresa, ya sea con finalidades privadas o profesionales.
Numerosos artículos doctrinales y jurisprudencia regulan el uso de estos dispositivos propiedad de la empresa puestos a disposición del trabajador para incrementar su eficiencia y productividad en el trabajo, definiendo los límites y usos permitidos.
Sin embargo, escasa casuística ha contemplado el uso de los dispositivos móviles privados con finalidades empresariales y asociado la facultad de control del empresario sobre aquéllos, siempre que se encuentren configurados de forma separada a la propia información privada que alberga el dispositivo. En este sentido, con la tecnología actual existen diversas aplicaciones informáticas que permiten la configuración a medida del dispositivo particular con acceso a información empresarial ubicada en servidores de la empresa o en la nube, y que en muchas ocasiones recibe el carácter de reservada y/o se encuentra protegida por el secreto empresarial.
2. NORMAS TÉCNICAS Y DE SEGURIDAD
Ante el dilema que se plantean las empresas a raíz de la proliferación de los Smartphone privados, sobre permitir o no al trabajador el acceso mediante la configuración de su dispositivo móvil a los recursos de la empresa, tales como el correo electrónico corporativo, servidores de archivos, bases de datos, aplicaciones, datos corporativos y el acceso y almacenamiento de datos personales. Lo primero que han de cuestionarse las empresas es si realmente el acceso a los recursos de la empresa va a incrementar la eficiencia del trabajador en el desempeño de sus funciones o por el contrario, si dicho acceso y los costes de seguridad asociados a la configuración de los dispositivos, no merece la pena asumirlos por el escaso retorno de la inversión efectuada y los riesgos de fuga de información empresarial.
Es incuestionable, que en caso de permitir a los trabajadores el acceso vía dispositivo móvil privado a información de la empresa, dicho acceso debe quedar regulado en un documento donde se definan aspectos tan sustanciales como los requisitos técnicos y de seguridad, las obligaciones y usos permitidos, la adopción de posibles medidas de vigilancia y control corporativo sobre los recursos de la empresa accesibles vía dispositivo móvil privado, así como, el posible borrado remoto de la información en caso de pérdida del dispositivo, baja en la empresa, sospechas de violación de secretos empresariales. Todo ello dentro de los límites de la legalidad vigente sin vulnerar el derecho a la intimidad ni el derecho al secreto de las comunicaciones del trabajador recogidos en la Constitución Española.
Los dispositivos móviles privados que permiten el acceso a los recursos y el tratamiento de datos personales, deberán cumplir con los requisitos técnicos y de seguridad que a tal efecto establezca en cada momento la empresa y sujeto al estado de la tecnología y que como mínimo suponen los siguientes:
i) instalar un programa antivirus permanentemente actualizado.
ii) instalar herramientas informáticas de gestión corporativa que integren los dispositivos móviles permitiendo la gestión de identidad del trabajador, identificándolo y autenticándolo en el acceso y en el uso de las aplicaciones de la red corporativa, de los datos corporativos y el cifrado de la información cuando se acceda a los servidores de la empresa y en general, en el acceso y uso de los recursos y en el acceso y tratamiento de los datos personales.
iii) instalar, si es posible y aplicado al caso concreto, las herramientas informáticas independientes o contenedores separados que permitan el cifrado de la información y de las comunicaciones, la monitorización del uso, el bloqueo y/o borrado remoto de la información almacenada para los casos de robo del dispositivo o finalización de la relación con la empresa.
3. OBLIGACIONES DEL USUARIO Y RESPONSABILIDADES
El usuario deberá usar el dispositivo móvil de conformidad con unos estándares de buenas prácticas, en la medida en que conviven en el mismo dispositivo información personal e información empresarial.
Un resumen de buenas prácticas se asociaría a las siguientes conductas:
(i) no usar el dispositivo móvil privado para transmitir contenidos, material e información que sean ilegales, contrarios a la moral, al orden público, inapropiados o nocivos para los menores; que atenten contra la dignidad o los derechos humanos; que inciten induzcan o promuevan hechos delictivos, difamatorios, discriminatorios; que violen los derechos de propiedad intelectual e industrial de terceros o los derechos asociados a su imagen; que atenten contra la intimidad y el derecho al honor; que induzcan a error grave o que por cualquier motivo, el usuario no tenga derecho a transmitir o a hacer público porque sea susceptible de protección legal; que viole secretos mercantiles o de otro tipo; que infrinjan el derecho de secreto de las comunicaciones; que constituyan publicidad ilícita, desleal, incluida la publicidad on-line, etc., en forma de mensaje masivos de tipo publicitario (“spam”) o piramidal, o correo basura; que impida el uso regular de los recursos por otros usuarios; que vulneren la normativa sobre protección de datos; que puedan introducir virus o cualquier otro elemento, que pueda dañar o impedir el normal funcionamiento de los recursos de la empresa o de terceros.
(ii) guardar el secreto profesional de forma indefinida sobre la información confidencial sensible, reservada, y/o de valor comercial para la empresa que le haya sido revelada o a la que haya tenido acceso a través del dispositivo móvil con motivo de la relación con la empresa. Obviamente, se ha de determinar en el documento qué tipo de información recibe el carácter de confidencial y/o es susceptible de constituir un secreto empresarial.
(iii) En caso de incumplimiento el trabajador respondería de los daños y perjuicios que pudieran ocasionarse a la empresa con ocasión del incumplimiento, sin perjuicio de las acciones que pueda entablar la empresa.
En este sentido, especial precaución debe tener el trabajador cuando se baja aplicaciones (“aps”) en sus dispositivos móviles privados, ya que estás pueden afectar a los recursos de la empresa si aquéllas no reúnen las suficientes garantías en materia de seguridad y también cuando permite que terceros en el entorno familiar usen dichos dispositivos con finalidades privadas.
4. CONTROL EMPRESARIAL SOBRE DISPOSITIVOS MÓVILES PRIVADOS
La primera cuestión a considerar, es si sería legítimo el establecimiento de medidas de vigilancia y control por parte del empresario sobre los recursos de la empresa accesibles vía dispositivo móvil privado, siempre y cuando puedan configurarse técnicamente en contenedores separados y de modo diferenciado.
La era de la sociedad de la información que estamos viviendo implica la eliminación de las barreras físicas, de las oficinas, del papel y la apuesta por el teletrabajo, el e-cloud y la prestación de servicios de forma telemática. Por lo que ya en la actualidad, es cada vez mayor el número de trabajadores que puedan acceder a los recursos de la empresa, ya sea mediante dispositivos proporcionados por la propia empresa o mediante dispositivos privados configurados a tal efecto.
Se podría aplicar por vía analógica la jurisprudencia del Tribunal Supremo y más recientemente la jurisprudencia del Tribunal Constitucional relativa al ejercicio del control empresarial sobre los ordenadores y/o dispositivos móviles propiedad de la empresa puestos a disposición del trabajador, previo cumplimiento de las siguientes premisas y de forma restrictiva:
i) consentimiento del trabajador para la configuración de su dispositivo privado con finalidades empresariales.
ii) configuraciones de los dispositivos que permiten tener acceso a los recursos de la empresa y/o información empresarial en contenedores, carpetas, aplicaciones separadas del resto de la información, aplicaciones alojadas en el dispositivo.
iii) advertencia al trabajador del establecimiento de medidas de control y los medios que se van a usar en relación al acceso y uso de los recursos de la empresa, y del posible borrado remoto en caso de baja, pérdida o robo del dispositivo o sospechas de transgresión de la buena fe contractual que rige la relación entre las partes.
iv) la adopción y ejecución de dichas medidas debe ajustarse al canon de proporcionalidad y no invadir la privacidad del trabajador.
A modo de conclusión, no hay duda que el progreso tecnológico genera innumerables ventajas y también nuevos riegos en los agentes que intervienen. En el presente caso, el proceso legislativo no sigue el ritmo de la innovación tecnológica y ante la carencia de una normativa legal específica que regule el uso de los dispositivos privados con finalidades empresariales y la ausencia de pronunciamientos judiciales, proponemos como solución la autorregulación. Ya sea mediante el establecimiento de unas normas de uso o acuerdos voluntarios de obligado cumplimiento para las partes, a modo de reglas que rigen los comportamientos no exigidas por la ley pero voluntariamente fijadas por los interesados o incluso yendo más allá y proponer la redacción de Códigos de Conducta específicos y homologados que proporcionan a aquellos que se adhieren un sello de garantía o calidad.
Rocío de Rosselló Moreno, Abogado asociado Responsable del Departamento Nuevas Tecnologías Información y Comunicación (TIC) en CR Consultores Legales
