Divulgación de información privilegiada en redes sociales

En abril de 2013 la SEC norteamericana publicó un informe y una nota de prensa con las conclusiones de la investigación realizada en relación con la publicación de hechos relevantes para la cotización en las redes sociales.

La cronología completa es la siguiente:

Agosto de 2008 – La SEC publica una guía clarificando que los sitios web pueden ser una vía efectiva para la publicación de información dirigida a los inversores siempre que éstos hayan sido informados de esta posibilidad y no se produzca una desventaja para los que no conozcan la existencia de este canal de información.

Julio de 2012 – Reed Hastings publica un post en Facebook en el que felicita a su equipo de licencias de contenido por haber conseguido, gracias al inicio de las series House of Cards y Arrested Development, que Netflix haya superado en junio los 1000 millones de horas de visualización en un mes. Este post provocó ese día un incremento del 13% en la cotización de Netflix.

Diciembre de 2012 – Reed Hastings publica un nuevo post en el que informa de la investigación iniciada por la SEC en relación a su artículo de julio y manifiesta que la información llegó a sus 200.000 seguidores, entre los que había periodistas y bloggers, y fue compartida varias veces, por lo que puede decirse que el post no fue dirigido a unos destinatarios concretos sino al público en general.

Abril de 2013 – La SEC publica un informe y una nota de prensa en la que da a conocer las conclusiones de la investigación del post de Reed Hastings de julio de 2012. La SEC considera aplicable a la información publicada en las redes sociales el mismo criterio que el aplicado hasta ese momento a los sitios web de acuerdo con la guía de 2008. Según este criterio, las empresas cotizadas y los iniciados pueden publicar información relevante para la cotización en las redes sociales siempre que, previamente, hayan realizado los pasos suficientes para alertar a los inversores y al mercado sobre los canales que utilizarán para la divulgación de información relevante y no pública.

En España, la CNMV publicó, el pasado 8 de octubre, un comunicado con los criterios y requisitos a tener en cuenta en caso de difusión de información privilegiada a través de las redes sociales.

La CNMV concluye que resulta posible usar las redes sociales para comunicar informaciones privilegiadas (de modo simultáneo, como canal adicional o complementario a la CNMV, en el caso de emisores que tengan valores cotizados en mercados regulados españoles), pero solo si se respetan los siguientes requisitos: 

  1. Que la información difundida sea completa, objetiva y clara, sin que sea preciso recurrir a fuentes adicionales al mensaje original para su completa comprensión. 
  2. Que el mensaje contenga claramente la indicación “Información privilegiada” y quede separado de cualquier comunicación promocional o de marketing. 
  3. Que se identifique claramente al emisor (razón social completa) sobre el que versa la información y al comunicante. 
  4. Que se produzca mediante una red social de amplísima distribución y desde cuentas con seguimiento muy numeroso. 
  5. Que se comunique de modo formal y de forma precisa y no se añada o matice ninguna información en respuestas o conversaciones que sea esencial para la comprensión de la información. 

Si tenemos en cuenta el criterio de la SEC, y el hecho de que muchos inversores no utilizan las redes sociales, cobra especial importancia el requisito previo no incluido en la lista consistente en que la información no se publique en las redes sociales antes que en la CNMV. Es decir, que las redes sociales se utilicen como canal adicional o complementario a la CNMV, pero siempre de modo simultáneo, como indica el comunicado.

También sería recomendable que las empresa cotizadas indicasen en su portal de información al inversor que pueden utilizar simultáneamente la CNMV y las redes sociales como canales para la divulgación de información privilegiada.

El supermercado online de El Corte Inglés en 1987 y ahora

En 1987 instalé mi primer modem en el PC y realicé mi primera compra online. Fue en el supermercado de El Corte Inglés.

Aunque los comandos eran muy rudimentarios, ya que el protocolo emulaba el del famoso Minitel francés, y la pantalla era de fósforo verde, hubo una cosa que me sorprendió: al lado de cada marca de vino había un número que indicaba las botellas que quedaban de esa cosecha.

Estamos hablando de hace 33 años.

Esta función no existe, o no he sabido encontrarla en la versión actual del supermercado. Todo lo contrario.

Durante las últimas semanas he hecho tres pedidos de quinoa hervida de la marca Gerblé. En los dos primeros, me ha llamado una persona muy amable, dos días después de realizar el pedido, diciendo que el número de unidades que podían suministrar era inferior al del pedido aceptado por ellos. En el tercer pedido también recibí una llamada. Esta vez para informarme que el producto estaba agotado y que probase de nuevo a hacer otro pedido al cabo de unos días. En resumen: tres pedidos, tres incidencias.

Cabe decir que solicité al SAC de Gerblé información sobre otros puntos de venta y todavía no he recibido respuesta.

No escribo este artículo para criticar a El Corte Inglés, ya que seguiré comprando en estos grandes almacenes como lo ha hecho prácticamente toda mi generación. Simplemente quiero mostrar mi extrañeza por cosas que suceden en los años de la logística inteligente, del control de existencias inteligente, de la transformación digital… y hace 33 años no sucedían.

El reto ahora es seducir a las nuevas generaciones. A las que compran en Amazon. Y a este paso, mal vamos.

Yo mismo debo confesar que acudí a El Corte Inglés porque el producto que buscaba no lo encontré en Amazon y que si supiese que está en Amazon lo compraría allí, porque ahora mismo su gestión de stocks me da más confianza. Es una compra cargada de remordimiento porque estamos destruyendo el comercio local, pero quiero pensar que hay cosas que nunca dejaremos de comprar en las tiendas especializadas.

Es evidente que tendremos que esforzarnos todos mucho si queremos romper esta dinámica de trasladar los hábitos de compra hacia Amazon.

Reconocimiento facial – Opinión sobre el criterio de la AEPD

Tras una segunda lectura del informe 36/2020, a raíz de la evaluación de impacto realizada para un cliente, he generado una opinión distinta a la manifestada por la AEPD al considerar los datos biométricos asociados al patrón facial de un usuario como categoría especial de datos.

Identificación versus autenticación o verificación

La AEPD cita el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29 sobre la evolución de las tecnologías biométricas y asume como válida la distinción entre identificación biométrica y verificación o autenticación biométrica:

  1. Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
  2. Verificación o autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno- a-uno).

También cita el Libro blanco sobre la inteligencia artificial de la Comisión Europea, en el que se establece la misma distinción, pero con algunos matices distintos:

  1. Identificación: se entiende que la plantilla de la imagen facial de una persona se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella. 
  2. Autenticación o verificación: se refiere habitualmente a la búsqueda de correspondencias entre dos plantillas concretas. Permite la comparación de dos plantillas biométricas que, en principio, se supone que pertenecen a la misma persona. Así, las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma.

La AEPD indica que, atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación o autenticación. Sin embargo, y según la AEPD, con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación o autenticación biométrica (uno-a-uno).

Fases de los dos procesos

En mi opinión, las fases de la identificación son las siguientes:

  1. Captura de la imagen de un interesado desconocido.
  2. Objetivo, finalidad o interés de identificar al interesado desconocido a través del tratamiento.
  3. Generación del patrón facial biométrico del interesado.
  4. Acceso a una base de datos con múltiples patrones faciales asociados a identidades ciertas.
  5. Comparación entre el patrón facial del desconocido y los de la base de datos.
  6. Hallazgo de una coincidencia total o parcial.
  7. Identificación del desconocido a través de la asociación del patrón obtenido con una identidad.

En cambio, en mi opinión, las fases de la autenticación o verificación son las siguientes:

  1. Registro del interesado.
  2. Proceso de acreditación de su identidad mediante un documento indubitado.
  3. Obtención de un patrón facial biométrico del interesado (DNI o Pasaporte)
  4. Opcionalmente, obtención del patrón facial biométrico de la foto del documento indubitado.
  5. Opcionalmente, comparación y asociación de estos dos patrones.
  6. Conservación del patrón facial en una base de datos asociado al ID del interesado.
  7. Inicio del proceso de autenticación de un supuesto usuario que utiliza el ID del interesado.
  8. Obtención de la imagen del supuesto usuario registrado.
  9. Generación del patrón facial biométrico del supuesto usuario.
  10. Comparación del patrón facial del supuesto usuario con el patrón asociado al ID utilizado.
  11. La diferencia aquí es que la comparación se produce únicamente con el patrón asociado al ID.
  12. Verificación de que el usuario del ID es realmente quien dice ser.

Conclusión de la AEPD

Tras el análisis del caso concreto planteado, consistente en el uso del reconocimiento facial en los exámenes online para verificar que el alumno es realmente quien dice ser y que no se ha producido una suplantación de identidad, la AEPD concluye que los datos biométricos obtenidos pertenecen a una categoría especial de datos.

Para llegar a esta conclusión la AEPD se apoya en tres factores que considero decisivos:

  1. El carácter continuado de la verificación.
  2. El uso de datos adicionales tanto biométricos como no biométricos.
  3. La posibilidad de que se traten los datos biométricos de un tercero.

Carácter continuado de la verificación

La AEPD sostiene que una de las características de los sistemas de e-proctoring existentes en el mercado es que garantizan la identificación del alumno mediante el reconocimiento facial, evitando la suplantación de su identidad, no solo en el momento inicial, sino a lo largo del desarrollo de toda la actividad, para lo cual se graba la misma y se van realizando diferentes capturas que se comparan con la información biométrica previamente almacenada en sus bases de datos.

En mi opinión, la finalidad del tratamiento no cambia por el simple hecho de repetir el proceso varias veces a lo largo del tratamiento. Realizar una autenticación varias veces en una misma sesión no convierte la autenticación en identificación, ya que la comparación sigue siendo uno contra uno entre:

  1. El patrón facial biométrico que el responsable del tratamiento obtuvo en el momento del registro del usuario y que asoció a su ID.
  2. El patrón facial biométrico que el responsable del tratamiento obtiene del usuario al iniciar la sesión, durante la sesión y al finalizar la sesión.

Este proceso se denomina autenticación continuada o dinámica y está contemplado en distintas metodologías, manuales y artículos de seguridad de la información.

A continuación cito algunos de ellos:

Autenticación continua del usuario basada en interacción táctil (UAM) – https://repositorio.uam.es/handle/10486/684803

Sistema de autenticación continua de ElevenPaths – https://empresas.blogthinkbig.com/authcode-autenticacion-ciberseguridad/

Patrones biométricos y autenticación dinámica (INCIBE) – https://www.incibe-cert.es/blog/autenticacion-dinamica

Sistema Biométrico Multimodal para Autenticación continua de Usuarios Online – https://www.vicomtech.org/es/idi-tangible/proyectos/proyecto/sistema-biometrico-multimodal-para-autenticacion-continua-de-usuarios-online

Uso de datos adicionales

La AEPD manifiesta que el patrón facial se complementa, en este caso, con el tratamiento de otro tipo de datos biométricos, como las pulsaciones en el teclado y de datos no biométricos, como la grabación del entorno en el que se encuentra el alumno, así como el acceso al micrófono para la grabación de sonidos.

La Agencia da a entender que la acumulación de estos factores modifica la finalidad del tratamiento, pasando de autenticación a identificación.

Sin embargo, la AEPD no tiene en cuenta la existencia de la autenticación multifactor, en la que el uso de distintas técnicas o datos adicionales no modifica la esencia del tratamiento, que sigue correspondiendo a la finalidad de autenticar al usuario.

La autenticación de múltiples factores (AMF) consiste en que el usuario suministre dos o más pruebas diferentes de que realmente es quien dice ser. 

La autenticación de doble factor (A2F) es un método utilizado para verificar o confirmar que un usuario es quien dice ser combinando dos componentes diferentes de entre: 

  1. Algo que el usuario sabe.
  2. Algo que el usuario tiene.
  3. Algo que el usuario es.

En todos estos casos la finalidad sigue siento autenticar, verificar o confirmar que el usuario es quien dice ser, y se comparan datos que sabemos con certeza que pertenecen al usuario con datos que suministra la persona que afirma ser el usuario. Por lo tanto, la comparación sigue siendo uno contra uno.

Además, la dispersión de la capacidad autenticadora entre varios factores produciría el efecto contrario al sugerido por la AEPD, ya que debilitaría el requisito exigido en el artículo 9 del RGPD a los datos biométricos, relativo a la finalidad de identificar de forma unívoca al interesado.

Intervención del tercero suplantador

La intervención de un tercero que intenta suplantar al usuario no cambia tampoco la finalidad de la autenticación. Justamente el principal objetivo de la autenticación es mantener el contacto con el usuario esperado y no permitir que otro lo suplante.

Tal como indica el Libro blanco sobre la inteligencia artificial de la Comisión Europea, que la AEPD toma como referencia, en el proceso de autenticación se realiza una comparación de dos patrones biométricos que, en principio, se supone que pertenecen a la misma persona. Las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma. 

Aunque en el proceso de autenticación intervenga una persona distinta al usuario, no se produce un cambio en la finalidad ni en la operativa, ya que el patrón obtenido de la persona que intenta suplantar al usuario se presenta como un patrón propio del usuario suplantado. Ello significa que sigue habiendo una comparación uno contra uno entre el patrón original asociado al ID y el patrón que desea ser autenticado.

La clave, por lo tanto, es que se comparan dos patrones asociados a un mismo ID.

Necesidad de una evaluación de impacto

La Agencia considera que se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto según los datos tratados, las técnicas empleadas para su tratamiento y la consiguiente injerencia en el derecho a la protección de datos, debiendo, en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados.

Esta apreciación hace recomendable realizar una evaluación de impacto, en la que se valorará la necesidad y la proporcionalidad del tratamiento y los detalles del proceso que permitirán determinar si estamos ante una identificación o una autenticación.

Autenticación sin ID

El objetivo final de este análisis es determinar en qué escenarios se produce un riesgo real para los derechos y libertades del interesado, y valorar los efectos de una comparación entre patrones biométricos en función de la finalidad y otros detalles a tener en cuenta para llegar a una conclusión caso por caso.

Lo que en mi opinión está claro es que no es lo mismo que un interesado aporte los datos para acreditar que es realmente él, que identificar a un delincuente en un aeropuerto entre miles de caras anónimas.

En el primer caso la finalidad es autenticar a una persona que se presenta con una identidad determinada, haciendo referencia a un acto de identificación anterior en el tiempo en el que su patrón facial quedó asociado a un ID. La finalidad es comparar los datos que aporta con los que se almacenan en el registro, asociados de forma indubitada a esa identidad. Es por lo tanto la verificación de una supuesta identidad.

En el segundo caso, las personas que la cámara captura no están identificadas, son personas anónimas, desconocidas para el sistema. Lo que hace el sistema es comparar los patrones biométricos obtenidos en ese momento con los de una base de datos de identidades. En caso de coincidencia se produce una identificación.

En mi opinión, la línea propuesta en el Libro blanco sobre la inteligencia artificial de la Comisión Europea es la más adecuada, ya que en la autenticación tiene en cuenta el uso de un único ID por parte del usuario legítimo y del ilegítimo, centrándose la comparación entre el patrón facial asociado al ID en la base de datos y el patrón facial obtenido en el momento de la autenticación o verificación de que el usuario es quien dice ser.

La regla general sería que, salvo en las excepciones que admiten los dos procesos, identifico al desconocido y autentifico al conocido.

Pero ¿qué pasa entonces con la autenticación sin ID, es decir la que utiliza únicamente los datos biométricos?

Siguiendo el criterio expresado hasta ahora, no sería una autenticación, sino una identificación, ya que el patrón biométrico sería comparado con todos los patrones biométricos de la base de datos hasta hallar una coincidencia. (Comparación uno contra todos)

Pero hay una diferencia clara entre la esencia de la autenticación y la esencia de la identificación: el interesado que intenta autenticarse defiende que es un usuario registrado y por lo tanto legítimo, por lo que volveríamos a estar ante la figura del supuesto usuario. En este caso, la finalidad principal del proceso no sería identificar al interesado que se presenta como usuario legítimo, sino verificar que realmente es un usuario legítimo. Aunque en algunos casos la autenticación se produciría a través de la identificación, ésta sería una finalidad instrumental o secundaria. Es decir, la finalidad principal y esencial sería valorar su derecho de acceso y no su identidad. De hecho cabe la posibilidad de crear cuentas anónimas con derechos de acceso. Por ejemplo, para un denunciante anónimo en un canal de denuncias con acceso continuado.

Si medimos el impacto en la privacidad de la autenticación sin ID y la identificación pura de un desconocido, veremos que en esta última se produce un impacto mayor, no sólo en la privacidad, sino también en el conjunto de los derechos y libertades del interesado.

Factor adicional

A partir de esta reflexión, un factor adicional que propongo tener en cuenta es la participación activa del usuario en la autenticación (tanto el usuario legítimo como el suplantador) y la participación habitualmente pasiva, o incluso elusiva, del interesado en la identificación.

En el proceso de autenticación, el interesado que suministra sus datos biométricos defiende activamente su derecho a acceder al sistema o a ser beneficiario de unos permisos, privilegios o prerrogativas. Y la finalidad principal es verificar si ello es así.

En los casos en los que resulte aplicable este factor adicional, además del número de patrones que se comparan entre si, debería valorarse también que en la autenticación es el interesado el que aporta sus credenciales para ser autenticado, mientras que en la identificación, la propia identidad de la persona a identificar forma parte de su privacidad, y lo que el derecho protege en este caso, es su opción a no ser identificada.

Sigue el debate 

El tratamiento de los datos biométricos en relación a las categorías especiales de datos ha sido objeto de un intenso e interesante debate en la sección GDPR Hacks de Campus Ribas.

Te invito a participar en él.

El sabor como soporte de recuerdos

Uno de los recuerdos más marcados de las milicias universitarias se refiere al mes que pasé como jefe de cocina en el Centro de Instrucción de Reclutas número 9 en Sant Climent Sescebes (Alt Empordà). Mi principal aportación fue aliviar el dolor de estómago de los más de 1000 soldados que cada día desayunaban en el centro.

La leche se preparaba cada mañana con café o con chocolate en unas ollas inmensas mezclando agua con leche condensada. El problema residía en las latas de la leche condensada, que, para evitar cortes con las prisas, se abrían la noche anterior y se dejaban abiertas toda la noche. 

En aquella época el plomo de las soldaduras de las latas no se sellaba y pensé que tal vez se oxidaba por la noche e intoxicaba a los reclutas. La leche tenía un sabor inconfundible. Mi primera orden fue hacer que las latas se abriesen inmediatamente antes del desayuno y funcionó. Los dolores de estómago finalizaron.

En aquella época había una leyenda urbana que decía que todos los jefes de cocina cambiaban el coche el mes que les tocaba el turno, gracias a las comisiones de los proveedores y a los ahorros que conseguían con menús económicos basados en las famosas patatas sol y sombra y las alubias Tío Lucas. El ahorro se concentraba especialmente en las cenas, en las que la sopa era simplemente agua, con unos hilos que recordaban la clara de un huevo aprovechada hasta el límite. Poca información gustativa queda de aquella sopa.

Sin embargo, todas esas sospechas se desvanecieron cuando llegó la jura de bandera. Yo, que nunca pude intervenir en el diseño de los menús, fui el principal sorprendido al ver las interminables filas de bandejas con gambas y cigalas frescas de la parte más alta y salvaje de la Costa Brava.

Cuando acabó la comida, vi que habían sobrado algunas bandejas y quise averiguar por qué los reclutas se habían ido del comedor con esa sonrisa tan inmensa. El impacto fue brutal. Acostumbrado al producto que llegaba a las grandes ciudades, el sabor de esas gambas y esas cigalas quedaron grabadas en mi memoria.

En aquella época íbamos mucho a Cadaqués y siempre pasábamos por delante de Can Rafa. Nuestro salario no nos permitía quedarnos a comer, pero asumí el compromiso de recuperar el sabor que tanto me había impresionado y que imaginaba conseguir allí.

Años después conseguí volver a Cadaqués y comí en Can Rafa. El resultado fue mucho mejor del esperado y fui repitiendo la cita todos los años que pude con esa explosión de sabor y de recuerdos.

Con el tiempo, los sabores se han ido degradando en todas partes, y con ellos, algunas imágenes del pasado. Pero volver a Can Rafa cada año me permite recuperar los recuerdos de aquella época en que todo iba más despacio y los sabores, que sirven de soporte para esos recuerdos. 

Siempre hablamos de los terabytes de memoria que pueden almacenar los sistemas informáticos, pero nada puede compararse con lo etéreo y a la vez permanente de los olores y los sabores como contenedores de recuerdos.

Ahora una gamba o una cigala de aquella zona es algo casi inédito, que ya no se cuenta por bandejas, ni por docenas, sino por unidades. Su sabor inconfundible invade toda la boca y te hace creer en la existencia de un ser superior que puso especial esmero en su diseño.

Uno de los sabores que ha desaparecido es el de los mejillones del Cap de Creus, por las restricciones derivadas de su condición de paraje absolutamente protegido. Ahora hay calas en las que ni siquiera puedes entrar. Como el chanquete auténtico en Málaga, la normativa es estricta, pero a principios de los años 80, habría menos restricciones, más tolerancia o más furtivos. Rafa nunca quiso desvelar sus fuentes de aprovisionamiento. Sólo hablaba de las anchoas, que las hacía él mismo. Pero un día vi cómo descargaban unos sacos de mejillones del remolque de un tractor, y hablando un rato con el pescador, aceptó venderme un saco. No sé cuántos kilos habría, pero fue una gran ocasión para compartir esa bocanada de mar con varios estratos familiares. Los sabores forman parte de la cultura de un pueblo.

Como una bodega bien acondicionada, que en verano parece estar fresca y en invierno cálida, pero en realidad está siempre a la misma temperatura, los sabores de Can Rafa permanecen inalterados, indiferentes al paso del tiempo. Los sabores de otros lugares van perdiendo su esencia, y por eso, cada vez que vuelves a Can Rafa piensas que ha mejorado. Pero en realidad sigue igual. Y espero que nunca cambie, porque los recuerdos que allí se conservan, se perderían para siempre.

Texto del RDL sobre teletrabajo

El BOE de hoy publica el texto del RDL de trabajo a distancia:

https://www.boe.es/diario_boe/txt.php?id=BOE-A-2020-11043

Cabe destacar el artículo 17, relativo al derecho a la intimidad y a la protección de datos.

Este artículo establece lo siguiente:

  1. La utilización de los medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos garantizará adecuadamente el derecho a la intimidad y a la protección de datos, en los términos previstos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, de acuerdo con los principios de idoneidad, necesidad y proporcionalidad de los medios utilizados.
  2. La empresa no podrá exigir la instalación de programas o aplicaciones en dispositivos propiedad de la persona trabajadora, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia.
  3. Las empresas deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos legal y constitucionalmente. En su elaboración deberá participar la representación legal de las personas trabajadoras.

Los convenios o acuerdos colectivos podrán especificar los términos dentro de los cuales las personas trabajadoras pueden hacer uso por motivos personales de los equipos informáticos puestos a su disposición por parte de la empresa para el desarrollo del trabajo a distancia, teniendo en cuenta los usos sociales de dichos medios y las particularidades del trabajo a distancia.

Real Decreto Ley de regulación del teletrabajo

El Consejo de Ministros ha aprobado hoy un Real Decreto Ley que regulará el trabajo a distancia, una forma de organización del trabajo cuyo protagonismo se ha revelado esencial durante la crisis económica y social provocada por la pandemia de la Covid 19. El Real Decreto Ley otorga a las personas trabajadoras a distancia los mismos derechos que las que ejercen sus actividades en los locales de la empresa y se fundamenta en la voluntariedad y el acuerdo de personas trabajadoras y personas empleadoras.

Se entenderá como trabajo a distancia regular aquel que se preste, en un periodo de referencia de tres meses, un mínimo del 30% de la jornada o el porcentaje proporcional equivalente en función de la duración del contrato de trabajo.

El Real Decreto Ley se basa en la “voluntariedad” para la persona trabajadora y para la empleadora y requerirá la firma del acuerdo de trabajo a distancia, que deberá formalizarse por escrito, registrarse en la oficina de empleo y entregarse a la representación legal de las personas trabajadoras.

La negativa de la persona trabajadora a trabajar a distancia, el ejercicio de la reversibilidad al trabajo presencial y las dificultades para el desarrollo adecuado de la actividad laboral a distancia, que estén exclusivamente relacionadas con el cambio de una prestación presencial a otra que incluya trabajo a distancia, no serán causas justificativas de la extinción de la relación laboral ni de la modificación sustancial de las condiciones de trabajo.

A lo largo de la norma, el papel de la negociación colectiva se refuerza, con remisiones expresas tan importantes como la regulación del ejercicio de la reversibilidad (vuelta al trabajo presencial tras acordar el trabajo a distancia) por las partes, el derecho a la desconexión, la identificación de los puestos de trabajo y funciones susceptibles de ser realizados a través del trabajo a distancia, las condiciones de acceso y desarrollo de la actividad laboral mediante este modelo organizativo, una duración máxima del trabajo a distancia, así como contenidos adicionales en el acuerdo de trabajo a distancia.

El texto del Real Decreto Ley contempla los principales derechos del trabajador a distancia, tales como el derecho al abono y compensación de gastos. La persona trabajadora no asumirá ningún gasto relacionado con los equipos, herramientas, medios y consumibles vinculados al desarrollo de su actividad laboral. Además, la persona que desarrolla trabajo a distancia podrá flexibilizar el horario de prestación de servicios en los términos establecidos en el acuerdo de trabajo a distancia y la negociación colectiva.

El trabajo a distancia, implantado excepcionalmente por la emergencia sanitaria, también obliga a las empresas a dotar de medios, equipos y herramientas, así como al mantenimiento. La negociación colectiva establecerá la forma de compensación de los gastos derivados de esta forma de trabajo a distancia.

Se regula, así mismo, el derecho al registro horario adecuado, que deberá incluir el momento de inicio y finalización de la jornada; y el derecho a la prevención de riesgos laborales, una evaluación de riesgos que deberá tener en cuenta los riesgos característicos de esta modalidad de trabajo, en especial factores psicosociales, ergonómicos y organizativos.

La utilización de los medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos garantizará derecho a la intimidad y a la protección de datos, así como el derecho a la desconexión digital fuera de su horario de trabajo.