Teletrabajo: equilibrio entre control empresarial y privacidad de los trabajadores (II)

Antonio Gil Moyano    Juan Carlos Fernández Martínez    23 diciembre, 2020
Teletrabajo: equilibrio entre control empresarial y privacidad de los trabajadores (II)

Como continuación del primer artículo en el que veíamos tanto la regulación del teletrabajo como las medidas de seguridad y privacidad en esta modalidad, en esta segunda entrega vamos a profundizar en lo realmente interesante de la norma: el equilibrio legal y técnico entre las partes, en este caso, empleador y empleado.

Equilibrio entre el poder de control del empleador y el derecho a la privacidad del trabajador

La línea que marcan los Tribunales para el lícito acceso del empresario a la información corporativa de dispositivos comienza con el deber de éstos según la regulación previa de contar con políticas sobre el uso de sus dispositivos, asunto que se regula en la actual Ley de Protección de Datos.

Y la pregunta del millón: ¿puede el empleador acceder a la información de dispositivos y correos corporativos? “Depende”. Depende del punto de vista desde el que se mire, el del empleador o el del trabajador, ya que la respuesta puede ser tan variada como las casuísticas existen en la realidad empresarial. Lo primero que habría que comprobar es la existencia de regulación previa de normas de uso de dispositivos. En el caso en que la respuesta fuese afirmativa, habría que analizar el documento en cuestión y comprobar cuáles son las medidas de control reguladas y la existencia o no de prohibiciones expresas de uso personal. Esta prohibición puede motivarse por razones de seguridad de la información. Por otro lado, en el caso de no existir tal regulación y, ante el acceso a la información corporativa del trabajador, podrá alegar haber sido vulnerado su derecho a la privacidad, ya que los tribunales entienden que, ante la ausencia de regulación, existe cierta tolerancia en el ámbito laboral del uso personal de equipos de empresa.

En ambos casos y para evitar problemas de arbitrariedad del empleador, se le requiere acreditar la existencia de sospecha previa sobre el incumplimiento laboral de su trabajador y, con base a este indicio, se podría justificar el inicio de la investigación y la obtención de pruebas, ajustándose a los principios de necesidad, idoneidad y proporcionalidad, de tal forma que pueda permitir al empleador probar la infracción a la vez que se garantiza la máxima diligencia del derecho a la intimidad del trabajador.

Para solucionar la minimización de acceso a la información, los técnicos suelen utilizar programas informáticos que permiten llevar a cabo búsquedas heurísticas basadas en criterios de palabras claves, selección de rango de fechas y ficheros con base al código de su firma hash, de esta manera pueden discernir el grano sobre la paja, en una maraña informativa y de correos electrónicos.

Es una cuestión habitual entre abogados y peritos informáticos preguntarse: ¿quién se considera el responsable de la legalidad de las pruebas obtenidas? Y la respuesta de ambos profesionales es que los empleadores suelen delegar la responsabilidad en los peritos informáticos en la obtención de las evidencias digitales, incluso, en muchas ocasiones, estando presentes los abogados de empresa, ya que estos suelen desconocer la regulación específica de la materia.

En este sentido y con el fin de limitar responsabilidades sobre la validez de las pruebas, es una recomendación para estos profesionales, peritos informáticos, que reflejen esta circunstancia sobre validez de prueba y limitación de responsabilidad de forma específica en el objeto del contrato de prestación de servicios. Siendo lo más correcto incorporar a un tercer actor, como es la figura de un abogado especialista en pruebas e investigaciones tecnológicas, que permita al empleador establecer una correcta estrategia probática digital para acreditar el hecho de la sospecha previa y, en consecuencia, la legitimación para su posterior investigación. Acompañando este profesional al empleador a lo largo del proceso que pudiera derivarse, por ejemplo, un despido disciplinario, desde la obtención de las evidencias digitales hasta la defensa en sala.

Herramientas técnicas de control y acceso a la información dispositivos de empresa

Dado que disponemos de un equipo de soporte IT y ciberseguridad en nuestra empresa, conocemos bien lo que ha supuesto para nuestros clientes este cambio tan repentino en la forma de trabajar sin estar preparados y sin haber tomado las medidas necesarias que garanticen la seguridad de la información y la continuidad de sus negocios. Hemos tenido que configurar su infraestructura para adaptarla a un uso masivo del teletrabajo, así como los equipos personales de los usuarios que, por lo general, no cumplían con los requisitos mínimos de seguridad.

Se trata de un escenario complejo y requiere del uso de herramientas que permitan el control y acceso seguro a la información de la empresa. Antes de elaborar una política de seguridad de la información relacionada con la gestión de activos y teletrabajo debemos hacernos estas preguntas:

Sobre los activos

  • ¿Existe una política sobre el uso aceptable de los activos de la empresa como el ordenador o portátil, móvil, correo electrónico, mensajería instantánea, internet, redes sociales, etc.?
  • ¿Se permite el uso de los activos de la empresa de forma personal?
  • Si es así, ¿se ha documentado y explicado adecuadamente lo que significa un uso inapropiado?
  • ¿Ha sido aceptado y firmado por el empleado?
  • ¿De qué forma se controla y gestiona esto?
  • ¿Existe algún tipo de monitoreo o trazabilidad?
  • Una vez finalizada la relación empleado/empresa, ¿cómo se devuelven esos activos?
  • ¿Existe un procedimiento y documento para esta finalidad?
  • ¿Qué ocurre si no se devuelven?

Sobre el teletrabajo

  • ¿Existe una política específica de teletrabajo orientada a los usuarios móviles?
  • ¿Los controles que se aplican son los mismos para todos los usuarios al margen de su localización?
  • ¿Para los dispositivos móviles existe algún tipo de herramienta MDM (Mobile Device Management) que permita su control y cifrado?
  • ¿Se han implantado medidas específicas que garanticen el uso durante el teletrabajo? Como por ejemplo:
    • Uso de conexión VPN (Virtual Private Network)
    • Contraseña segura con doble factor de autenticación (2FA)
    • Copias de seguridad
    • Actualizaciones del sistema
    • Soluciones específicas de seguridad (no sólo antivirus)
    • Seguridad en la nube (el 95% de los ataques en la nube serán responsabilidad de los usuarios)

INCIBE ha elaborado una guía de ciberseguridad en el teletrabajo para orientar en esas buenas prácticas.

Conclusiones

Es obligatorio conocer y aplicar, en cualquier incumplimiento laboral a través de las nuevas tecnologías en el orden laboral, lo que se conoce como el Test Barbulescu II, en nombre a una famosa sentencia del Tribunal Europeo de Derechos Humanos en la que se dan criterios para el lícito acceso a la información de los dispositivos/correos corporativos. Donde lo primero que se tiene que hacer es comprobar la existencia de políticas de uso de dispositivos de empresa y si las mismas se ajustan a la realidad de la organización, a la metodología del trabajo y la existencia de prohibiciones expresas de uso personal, con el fin de que el trabajador no pueda alegar lo que se conoce como “expectativa de privacidad” en el uso personal de dispositivos corporativos y, por ello, pudiera llegar a declararse nula la prueba obtenida por vulneración de Derechos Fundamentales. Y si, por último, se aplicaron los principios de necesidad, idoneidad y proporcionalidad, para el acceso a la información de los equipos informáticos del trabajador.

Entendiendo que, con el cumplimiento de lo anteriormente expuesto, tanto desde el punto de vista legal como desde la ejecución técnica, la obtención de la prueba debería considerarse lícita y, en consecuencia, tenerse en consideración por el Tribunal, sometiéndose a criterios de pertinencia y libre valoración, así como a los principios de publicidad, oralidad, inmediación, contradicción y concentración en el acto del juicio oral.

“No existe la ciberseguridad al 100 %, como tampoco la plena seguridad jurídica”.

Caso práctico: mi empleado me engaña

Nuestra empresa dispone de una aplicación de registro de empleados, donde cada día deben identificarse al empezar, de forma que queda registrada la hora de llegada y salida. Nuestro empleado trabaja con una aplicación que también registra todo el proceso/actividad de esta mientras trabajamos en ella. Esta función lleva desarrollándola desde hace 10 años, aunque últimamente notamos algún que otro comportamiento extraño junto a algunas bajas injustificadas. Además, algunas de sus compañeras se quejan de acoso y la gerencia le ha llamado la atención en varias ocasiones.  La empresa y el empleado llevan un control de las faltas y ausencias al puesto de trabajo, se detecta una discrepancia en un día concreto en el que el empleado afirma haber asistido.

Nuestro trabajo de análisis forense comienza analizando la aplicación de registro de acceso y también la de su trabajo. Detectamos que ese día en concreto se registran dos accesos con ese usuario: uno a las 8:00, que apenas dura 2 segundos; y otro a las 8:05, que se prolonga hasta las 14:00, hora de salida. En el diseño de la aplicación se tuvo en cuenta no solo el registro del usuario, sino también la IP desde la que se conecta el usuario. Esta IP siempre es la misma, la de la empresa, ya que todos los usuarios trabajan desde dentro de la red  y no está contemplado el teletrabajo en la empresa. Se detecta que la IP registrada es externa y por tanto esa conexión se ha realizado desde fuera de la empresa. También se analiza el log de la aplicación de gestión y se comprueba que no hubo actividad alguna durante ese día para ese usuario. Se procede entonces con la denuncia y solicitud al juzgado para que el operador de comunicaciones identifique y geolocalice la IP registrada. El informe de la operadora acredita que la IP corresponde a una ADSL que está a nombre del empleado y geolocalizada en su domicilio habitual.

Resolución del caso

Todas las evidencias encontradas (IP de la conexión externa, actividad de la aplicación de gestión y geolocalización de esta con informe técnico de la operadora) apuntaban a que fue el empleado, desde su casa, quien realizó la conexión para hacer ver a la empresa que ese día estuvo trabajando en la oficina. Finalmente, la resolución fue favorable para la empresa.


Primera parte del artículo disponible aquí:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *