Tabla de alternativas de comunicación personal del trabajador en relación a cada medio corporativo

El principio de necesidad aplicable al acceso de la empresa a los medios digitales que pone a disposición de sus trabajadores impide que se haga un uso desproporcionado o abusivo de esta medida de control cuando el medio a inspeccionar puede albergar contenidos personales. Antes de actuar, el empresario debe hacerse la siguiente pregunta: “¿Hay algún medio menos invasivo de la intimidad del trabajador para realizar esta averiguación y obtener pruebas del presunto incumplimiento?”

El principio de necesidad también es aplicable al trabajador, aunque en otro sentido. Nadie le está pidiendo la conducta heroica mencionada en la jurisprudencia de permanecer desconectado de la familia y los amigos durante 8 horas al día. Pero en la actualidad, tiene muchas oportunidades de comunicación personal. El principio de necesidad haría que el trabajador, antes de utilizar un medio digital corporativo, se hiciese la siguiente pregunta: “¿Hay algún otro medio menos corporativo para satisfacer mis necesidades de comunicación personal?”

En la siguiente tabla analizamos las posibles respuestas a esta pregunta, en función de las alternativas existentes en la actualidad.

Tabla de alternativas de comunicación personal

Una pequeña muestra de los errores cometidos durante el primer año de RGPD

  1. Contratar a encargados del tratamiento que no ofrecen garantías suficientes.
  2. Aceptar cláusulas de limitación de responsabilidad de los encargados del tratamiento.
  3. Delegar la selección y homologación de encargados del tratamiento a Compras sin las instrucciones adecuadas.
  4. Seleccionar a los encargados del tratamiento tomando como único criterio el coste del servicio.
  5. Aceptar que un encargado del tratamiento tiene la ISO 27001 sin verificar su alcance real.
  6. Solicitar el consentimiento a los clientes y a los interesados con contrato.
  7. Solicitar el consentimiento a los trabajadores.
  8. Facilitar información incompleta a los trabajadores sobre los datos que la empresa trata y sobre todas las finalidades de los tratamientos que realiza con sus datos.
  9. Aplicar una política de uso de dispositivos móviles basada en el BYOD.
  10. Nombrar a un DPO y no dotarlo de recursos suficientes.
  11. Aplicar el interés legítimo como base de legitimación sin la debida ponderación.
  12. Realizar la ponderación del interés legítimo de manera inadecuada.
  13. No conservar una prueba documental de la ponderación del interés legítimo.
  14. Notificar como brecha un incidente de seguridad que no ha generado riesgos para los interesados.
  15. Desarrollar un detallado protocolo de notificación de brechas y no disponer de un protocolo para verificar si realmente hay que notificar la brecha.
  16. Elaborar un registro de actividades del tratamiento excesivamente extenso, sin agrupar e imposible de gestionar y actualizar.
  17. Aplicar un proceso de desvinculación de trabajadores inadecuado, especialmente en los departamentos comerciales y de marketing, sin ningún tipo de control sobre los datos que se llevan o se han llevado.
  18. Devolver los equipos informáticos al finalizar el renting sin un procedimiento adecuado de eliminación de los datos, y, en la medida de lo posible, mediante la extracción del disco duro.
  19. Aceptar el certificado de destrucción de documentos o soportes con datos como única prueba de su destrucción.
  20. Aceptar que todavía haya departamentos de Marketing que inician campañas de marketing directo sin aplicar el procedimiento de privacy by design y sin contar con la validación jurídica correspondiente. O solicitándola el día antes del lanzamiento de la campaña.

Tabla comparativa entre el test Barbulescu y el artículo 87 de la LOPD

En la siguiente tabla se comparan los puntos de verificación contenidos en el test Barbulescu con los distintos apartados del artículo 87 de la LOPD de 2018, que regula el derecho a la intimidad en el uso de los dispositivos digitales en el ámbito laboral.

ARTÍCULOS RELACIONADOS

La prohibición del uso privado de los dispositivos digitales corporativos y el artículo 87 de la LOPD

Matizaciones sobre la sentencia del Caso Barbulescu

Sobre la necesidad de prohibir el uso personal del correo electrónico corporativo

¿Una orden judicial para ver un correo electrónico de mi propia empresa?

Sentencia TC sobre intervención de mensajes privados del trabajador

 

 

La prohibición del uso privado de los dispositivos digitales corporativos y el artículo 87 de la LOPD

El artículo 87 de la LOPD establece que los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.

La LOPD modifica el Estatuto de los Trabajadores, estableciendo en el artículo 20 bis, que los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador. Ello genera una discrepancia con el artículo 87 de la LOPD que no reconoce un derecho a la intimidad, sino un derecho a la protección de la intimidad.

La redacción del artículo 20 bis del Estatuto de los Trabajadores parece indicar que los trabajadores tendrán siempre derecho a la intimidad en el uso de los dispositivos digitales corporativos, mientras que el artículo 87 de la LOPD parece indicar que los trabajadores tendrán derecho a la protección de la intimidad en el caso de que se den las circunstancias para que el trabajador tenga derecho a la intimidad.

Esta interpretación quedaría confirmada por el hecho de que el empleador puede puede prohibir el uso con fines privados en unos dispositivos y permitirlo en otros, de manera que, tal como indica el apartado 3 del artículo 87, el empleador sólo está obligado a establecer garantías para preservar la intimidad de los trabajadores en los dispositivos en los que haya admitido su uso con fines privados.

Ello significaría que en los dispositivos en los que el empleador haya prohibido el uso con fines privados el trabajador no tendría derecho a la intimidad y tampoco debería tener expectativas de intimidad. Sin embargo, el trabajador puede incumplir la prohibición y la empresa puede tolerar dicho incumplimiento, por lo que es necesaria una actuación adicional de la empresa.

La secuencia inicial sería la siguiente:

  1. Principio general de derecho a la intimidad en el uso de los dispositivos digitales corporativos.
  2. Excepción relativa a los dispositivos en los que se ha prohibido el uso personal.

Los dos elementos que pueden desvirtuar la aplicación de la excepción prevista en el artículo 87.3 de la LOPD serían los siguientes:

  1. El incumplimiento del trabajador de la obligación de utilizar los dispositivos digitales corporativos para fines personales.
  2. La tolerancia de la empresa en relación a ese incumplimiento.

En ambos casos se produciría el efecto no deseado de la existencia de contenidos privados en los dispositivos destinados a un uso exclusivamente corporativo.

Para evitar estas dos situaciones, la empresa debería actuar de forma regular, aplicando los medios necesarios para conseguir las dos finalidades legitimadas por el artículo 87.2 de la LOPD:

  1. Controlar del cumplimiento de las obligaciones laborales o estatutarias por parte del trabajador.
  2. Garantizar la integridad de los dispositivos.

La secuencia completa sería, en consecuencia, la siguiente:

  1. Principio general de derecho a la intimidad en el uso de los dispositivos digitales corporativos.
  2. Excepción relativa a los dispositivos en los que se ha prohibido el uso personal.
  3. Acciones dirigidas a mantener la excepción:
    1. Asegurar el cumplimiento de la prohibición de un uso personal.
    2. Evitar la tolerancia de dichos incumplimientos.
    3. Enviar recordatorios y mensajes de concienciación.
    4. Exigir el borrado periódico de los contenidos infractores.
    5. Realizar inspecciones dirigidas a evitar incumplimientos.
    6. Sancionar el incumplimiento.
    7. Eliminar los contenidos que generen un riesgo para la integridad.
    8. Aplicar un protocolo adecuado de desvinculación del trabajador, que permita asegurar que no deja contenidos privados en ningún dispositivo.

Habrá, por lo tanto, dos protocolos de acceso:

  1. Protocolo de acceso a los dispositivos en los que se ha permitido el uso personal.
  2. Protocolo de acceso a los dispositivos en los que se ha prohibido el uso personal.

El segundo protocolo deberá estar basado en la realización previa de las acciones dirigidas a asegurar que el dispositivo inspeccionado no contiene comunicaciones ni contenidos privados.

ARTÍCULOS RELACIONADOS

Tabla comparativa entre el test Barbulescu y el artículo 87 de la LOPD

Matizaciones sobre la sentencia del Caso Barbulescu

Sobre la necesidad de prohibir el uso personal del correo electrónico corporativo

¿Una orden judicial para ver un correo electrónico de mi propia empresa?

Sentencia TC sobre intervención de mensajes privados del trabajador

 

Datos y conclusiones de las notificaciones relativas a brechas de seguridad realizadas a la AEPD desde el 25/05/18

Analizar los datos relativos a las brechas de seguridad que se han notificado hasta ahora a la AEPD puede ayudarnos a conocer las causas más habituales de los incidentes de seguridad y a identificar las medidas más eficaces para prevenirlas.

Desde el 25 de mayo de 2018 hasta el 31 de marzo de 2019, los datos publicados por la AEPD indican que el número de notificaciones relativas a brechas de seguridad recibidas por dicha Agencia superan las 800. Este número parece bajo si tienen en cuenta los siguientes escenarios que pueden ser considerados como una brecha de seguridad con violación de la confidencialidad de los datos:

  1. Cada vez que se pierde o es objeto de hurto o robo un dispositivo informático, la probabilidad de que contenga datos personales es alta.
  2. Cada vez que un empleado es víctima de un ataque que utiliza la ingeniería social, incluyendo el engaño, la suplantación de identidad, el phishing para acceder a datos o para instalar malware, la probabilidad de que este ataque genere una brecha de seguridad es alta.
  3. Cada vez que un empleado causa baja en una organización, especialmente en las áreas de marketing y comercial, la probabilidad de que conserve datos en su poder de forma no autorizada es alta.

Origen de las notificaciones

De acuerdo con los datos de la AEPD, el número de notificaciones realizadas por organizaciones privadas es muy superior al de las realizadas por organizaciones públicas.

Tipología de las brechas de seguridad

Podemos apreciar que la gran mayoría de las notificaciones se refieren a violaciones de la confidencialidad de los datos, es decir, a incidentes de seguridad que han permitido un acceso no autorizado o una divulgación no autorizada de los datos personales. Ello permite actualizar el mapa de riesgos y optimizar el esfuerzo realizado en medidas de seguridad, confirmando que los riesgos que tienen mayor probabilidad son los relacionados con la confidencialidad de los datos. También permite acumular los esfuerzos realizados en materia de protección de los activos intangibles a las medidas derivadas de la reciente normativa relativa a los secretos empresariales.

Medios de materialización de las brechas de seguridad

Se confirma la sospecha de que el usuario sigue siendo el elemento más débil de la seguridad. Si analizamos los medios de materialización de las brechas de seguridad y agrupamos los que se tienen como origen un descuido, un engaño o cualquier otro escenario en la que la actuación del usuario puede provocar o facilitar la brecha de seguridad, veremos que son la mayoría. Por ello es necesario seguir reforzando la inversión en formación y concienciación. También es importante tener en cuenta que la violación de la confidencialidad puede producirse de manera verbal.

Contexto y nivel de intencionalidad

Se puede comprobar que cuando el origen es interno, los incidentes provienen generalmente de un descuido o de otras causas no intencionadas. Por el contrario, cuando el origen es externo, la mayor parte de los incidentes son intencionados. Entendemos que los incidentes externos no intencionados provienen en su mayoría de los encargados del tratamiento que no han invertido suficientes medidas de seguridad para la protección de los datos tratados. Ello confirma la necesidad de extremar el control sobre los proveedores críticos y de verificar el alcance real de las certificaciones ISO 27001 aportadas.

NOTA: pueden producirse pequeñas discrepancias en la suma de cada tabla a causa de la conversión de porcentajes a unidades en relación a los datos de origen del año 2018.

FUENTE DE LOS DATOS: Agencia Española de Protección de Datos.

 

Derecho a la desconexión y derecho a la conexión

Aprovecho el dia de hoy para tratar un tema que está relacionado con el artículo “¿Cuánto cuesta el uso personal de Whatsapp a las empresas?” que escribí en 2013. Se trata del derecho a la desconexión digital, del que estamos todos muy orgullosos, porque es un indicador de que vivimos en el primer mundo y hemos subido un escalón más en la pirámide de Maslow.

Como todos sabemos, se trata de un derecho importado, que, por cuestiones culturales, en España se encuentra con un gran escollo: la productividad.

Si a todo derecho le corresponde una obligación, es evidente que al derecho a estar desconectado fuera del horario laboral le corresponde la obligación de estar conectado durante la jornada laboral. En otras palabras, el derecho de la empresa a que el trabajador esté conectado al trabajo durante la jornada laboral.

En el sector servicios he oído varias veces la frase: “Sé que mi nivel de productividad es bajo, pero lo compenso fuera del horario laboral”. Las personas que pensaban así, ahora tienen un argumento para desconectar fuera del trabajo y para rendir más en el trabajo, pero la experiencia nos dice que no va a ser así. Lo más habitual es que el peso de un nuevo derecho sea superior al de una antigua obligación, cuyo incumplimiento se justifica por el hecho de que todos lo hacemos. Todos somos improductivos.

Además, esto de conciliar se nos da fatal. Muchos de nosotros nos concentramos más en casa que en el despacho. En mi caso personal, mi forma de combatir el estrés en el trabajo reside justamente en saber que puedo reservar un par de horas de trabajo plácido y de alto rendimiento el sábado a primera hora. Pero cuando ello no es posible, tengo que encontrar la manera de concentrarme en el despacho, aislando mi lugar de trabajo para protegerme de cualquier interrupción interna o externa.

El alto coste del alquiler de los despachos ha hecho que las empresas evolucionen hacia espacios diáfanos en los que se identifica claramente a los adictos al WhatsApp, a los narradores de historias graciosas y a los que practican el absentismo presencial. Desde que surgió la versión web de WhatsApp, el primer grupo se ha fusionado parcialmente con el tercero en las empresas que no lo han bloqueado.

La persona que ha dedicado un 20 o un 30% de su jornada laboral a cuestiones extralaborales tiene todo el derecho del mundo a no contestar un mensaje de correo electrónico urgente un viernes a las 14:10. Puede no ser justo, puede que la relación no esté equilibrada, pero tiene todo el derecho del mundo. Igual que tiene todo el derecho del mundo a no vivir en un país donde se trabaja en silencio, se trabaja de forma más eficiente, y a lo largo de la semana se va adquiriendo el derecho a apagar el móvil el viernes a las dos en punto.

ADENDA

Cabe añadir que el trabajador tiene libertad para adoptar los niveles de desconexión que considere oportunos, entre los que destacan los siguientes:

Nivel 1 – Dispositivo corporativo apagado.
Nivel 2 – Dispositivo corporativo encendido sin lectura de los mensajes.
Nivel 3 – Dispositivo corporativo encendido con lectura de los mensajes y sin respuesta.
Nivel 4 – Dispositivo corporativo encendido con lectura de los mensajes y con respuesta.