¿Cómo configurar tu tiempo de descanso?

Creo firmemente que si no desconectas es porque no quieres.

Si estuvieses en una zona sin cobertura estarías realmente desconectado, ¿no? En este post explico algo que debería incluirse en la formación prevista en el artículo 88 de la LOPDGDD, ya que no todos los usuarios conocen la existencia de estas funciones.

Considero que es mucho más fácil que yo me desconecte que obligar a mis compañeros a averiguar si tengo derecho a estar desconectado cuando quieran enviarme un mensaje. Porque mi tiempo de descanso puede coincidir con su tiempo de trabajo.

Estas instrucciones van dirigidas a los usuarios de iOS, pero me consta que Android cuenta con funciones parecidas.

Función “No molestar”

En esta pantalla de los ajustes del sistema se puede configurar un periodo de tiempo en el que se silenciarán las llamadas y las notificaciones.

Se pueden establecer excepciones para determinadas personas.

También se pueden establecer excepciones para llamadas repetidas. Si se trata de un asunto urgente y alguien llama dos veces en menos de tres minutos, podemos configurar el sistema para que la llamada entre y no se silencie.

Tiempo de inactividad o de descanso

También podemos programar nuestro tiempo de descanso y personalizarlo para cada día de la semana.

Durante este periodo de tiempo sólo estarán disponibles las aplicaciones seleccionadas, pudiendo bloquear las aplicaciones corporativas.

Otras restricciones

También se pueden configurar las siguientes restricciones:

  1. Límite de uso por aplicación.
  2. Límite de comunicación para los contactos corporativos.

De esta manera, si mañana fuese un día especial y decidiese tomármelo como día de vacaciones, no tengo que esperar ni exigir que mis compañeros lo sepan y dejen de enviarme mensajes. Simplemente me desconecto del trabajo con alguna de estas funciones y ya leeré al día siguiente lo que me hayan enviado.

¿Quién debe desconectar, el remitente o el destinatario?

Ayer publiqué en LinkedIn y en Twitter un ejemplo de pie de mensaje orientado a comunicar al destinatario de un mensaje que el remitente no esperaba respuesta del destinatario hasta el momento en que éste pudiese, dentro de su jornada laboral.

La idea era que el destinatario no se sintiese obligado a contestar si recibía el mensaje durante su tiempo de descanso.

En el debate que se generó tras la publicación, volvieron a plantearse las posiciones que hay sobre la materia, y que resumo a continuación:

  1. Es el remitente el que debe preocuparse de que el remitente no reciba el mensaje en su periodo de descanso.
  2. Es el destinatario el que tiene que desconectarse y no leer los mensajes que pueda recibir durante su periodo de descanso, ya que el remitente no está obligado a conocer los periodos de descanso de todos sus destinatarios.

En ningún momento se planteó la posibilidad de que sea la empresa la que desconecte al remitente y al destinatario, ya que eso es, sencillamente, una aberración.

Las conclusiones teóricas a las que llegué tras el debate, son las mismas que plasmé en el curso gratuito sobre teletrabajo que publicamos hace unos meses en Campus Ribas:

  1. El texto del artículo 88 de la LOPDGDD no determina la forma en que se puede ejercitar este derecho.
  2. Establece que las modalidades de ejercicio del derecho a la desconexión digital atenderán a la naturaleza y objeto de la relación laboral.
  3. Estas modalidades se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.
  4. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos.
  5. En esta política se definirán las modalidades de ejercicio del derecho a la desconexión.
  6. También se definirán las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.
  7. La prevención de la fatiga informática, igual que el control horario, depende finalmente del momento en que cada uno encienda y apague el dispositivo que le mantiene conectado a la empresa.

Las conclusiones prácticas serían las siguientes:

  1. El remitente puede programar la entrega del mensaje de manera que el remitente lo reciba dentro de su horario laboral.
  2. El problema es que no todas las aplicaciones corporativas permiten programar la entrega del mensaje de manera fácil.
  3. Incluso en las organizaciones más pequeñas es difícil asegurar al 100% que los destinatarios de un mensaje están plenamente operativos, ya que hay turnos de trabajo y de vacaciones, tiempos de descanso, días de libre disposición, bajas por enfermedad, compañeros de viaje en países con otros husos horarios.
  4. En las grandes organizaciones es una tarea imposible asegurar que un envío a varios destinatarios no va a llegar a alguno de ellos en su tiempo de descanso.

En cambio, es mucho más fácil que la persona que entra en un tiempo de descanso se desconecte temporalmente de la empresa.

Porque si se trata de reducir mi fatiga informática, lo que voy a hacer va a ser desconectarme de los demás, y no que los demás se desconecten de mí. Porque pueden no saber que estoy descansado. Por eso existe la función “no molestar”.

Y para desconectar tengo varias opciones:

  1. Apagar el dispositivo.
  2. Bloquear las aplicaciones corporativas.
  3. Leer los mensajes corporativos y no contestarlos.

El ejemplo de pie de mensaje iba dirigido a los que optan por esta tercera alternativa.

En cualquier caso, entiendo que la tercera opción es la menos recomendable, ya que no acaba con el estrés ni con la fatiga informática. Nadie se preocupa por lo que no conoce, por lo que lo mejor es desconectar del todo y activar la auto respuesta: “Estoy en mi tiempo de descanso. Contestaré cuando vuelva a estar operativo”. También puedes tener la sangre fría del directivo inglés que supo que su fábrica se estaba quemando un domingo por la mañana en pleno partido de golf y dijo “Qué disgusto voy a tener mañana cuando me entere”.

El derecho de desconexión es justamente poder aislarme o no contestar sin que haya consecuencias negativas para mí.

Los que no podemos controlar la generación de ideas un domingo por la mañana, cuando la niebla de la batalla de los días laborables se ha disipado y tienes episodios temporales de aparente lucidez, también tenemos derecho a expresarnos en ese momento. Claro que podemos dejar el mensaje como borrador o programar el envío para el lunes, pero seguro que alguno de los destinatarios, tiene fiesta ese día o está de baja. Prefiero pensar que si realmente está descansando, habrá apagado el dispositivo.

Lo contrario es parecido a la respuesta surrealista del que se enfada porque le llamamos cuando está en plena reunión con un cliente. Si está en una reunión con un cliente, ¿por qué contesta?

El ejemplo de pie de mensaje era el siguiente: “He escrito este mensaje de acuerdo con mis horarios y criterios de organización del tiempo. Si lo recibes durante tu periodo de descanso, te confirmo que no espero que me respondas ahora, sino cuando puedas, dentro de tu horario laboral”.

Acceso al curso gratuito de teletrabajo en Campus Ribas

La fórmula del interés legítimo

En este artículo explico el modelo de ponderación del interés legítimo que aplica nuestro despacho y que considero adecuada a los criterios manifestados por la AEPD en sus últimas resoluciones, que suscribo parcialmente. Espero que sea de utilidad.

Inseguridad jurídica

El proceso habitual de concreción de los conceptos ambiguos o indeterminados acostumbra a ser lineal:

  1. El poder legislativo crea la ambigüedad.
  2. Las empresas realizan una interpretación.
  3. Los interesados realizan otra interpretación.
  4. El poder ejecutivo realiza otra interpretación.
  5. El poder judicial acaba con la ambigüedad (no siempre).
  6. El poder legislativo rectifica (no siempre).

Este camino deberán seguirlo conceptos indeterminados del RGPD como “gran escala”, “observación sistemática” o “interés legítimo”, entre otros.

La existencia de tantos preceptos sujetos a varias interpretaciones fue lo que nos llevó a crear el foro GDPR Hacks como sandbox o lugar de experimentación y debate sobre conceptos indeterminados.

En el caso concreto del interés legítimo, la falta de concreción de este concepto está empezando a costar dinero a las empresas españolas y se configura como una importante fuente de inseguridad jurídica.

Ello es especialmente preocupante cuando todas las puertas de las restantes bases jurídicas se han ido cerrando y el interés legítimo se ha convertido en el último trozo de madera flotante al que asirse:

  1. El consentimiento en muchas situaciones no es libre, está condicionado o es insuficiente.
  2. La ejecución del contrato se limita a tratamientos necesarios y estrictamente relacionados con la prestación principal.
  3. La obligación legal tiene que provenir de una norma con rango de ley.
  4. El interés público también.

Si en muchos tratamientos la única base jurídica posible es el interés legítimo, ¿por qué no lo concretamos de una vez y dejamos de jugar al gato y al ratón o al ensayo – error?

Beneficios y perjuicios

Mi propuesta en este ámbito consiste en aplicar un modelo de ponderación muy sencillo que se basa en comprobar si pesan más los beneficios o los perjuicios.

La AEPD ha dejado claro en sus últimas resoluciones que el interés legítimo no es lo mismo que la finalidad del tratamiento y que tiene que suponer un beneficio para el responsable del tratamiento. A ese beneficio se contrapone el riesgo o el perjuicio que el tratamiento puede generar para los intereses y derechos del interesado, ya que lo que más pesa para el interesado no es el derecho en sí mismo, si no el riesgo de perderlo o de verlo limitado.

El derecho de una parte se corresponde con una obligación de la otra. De la misma manera, el beneficio de una parte también se puede corresponder con un perjuicio o un riesgo para la otra. Aunque el objetivo es que todos ganen.

En conclusión: tanto podemos ponderar intereses y derechos como beneficios y perjuicios de todas las partes implicadas.

Partes implicadas

En la fórmula de la ponderación tradicional sólo se tiene en cuenta al responsable del tratamiento y al interesado, olvidando a otras partes que pueden quedar afectadas por el tratamiento, a las que debemos llamar a la causa porque tienen intereses en ella, como en los casos de litisconsorcio necesario.

Así lo establece el artículo 6.1.f al añadir en la ecuación el interés legítimo de un tercero.

Ello nos obliga a tener en cuenta a todos los grupos de interés que pueden resultar beneficiados o perjudicados por el tratamiento. 

En los dos supuestos clásicos relativos a la prevención del fraude y a la seguridad de la red, previstos en los considerandos 47 y 49 del RGPD, es evidente que el beneficiario no es únicamente el responsable del tratamiento, sino también todos los grupos de interés que esperan que las transacciones y las comunicaciones sean seguras, y que su dinero y sus datos no estén en peligro. 

Modelo matemático

No podemos reducir la ponderación del interés legítimo a una fórmula matemática, porque la cuantificación de las variables que participan en ella siempre estarán cargadas de subjetividad. 

Pero una fórmula matemática puede ayudarnos a representar gráficamente la balanza en la que deberemos pesar esas variables y ver hacia dónde se decanta.

La fórmula que surge de la interpretación literal del artículo 6.1.f del RGPD es la siguiente:

P = (ILR + ILT) – (II + DI)

En ella, la ponderación (P) tiene en cuenta la suma del interés legítimo del responsable del tratamiento (ILR) y el de un tercero (ILT), a la que resta los intereses y derechos del interesado (II + DI).

El resultado de esta fórmula debe ser positivo. En caso contrario la base del interés legítimo no puede ser aplicada.

Pero ¿cómo calculamos el valor de los intereses y los derechos de los interesados? Si son algo positivo para el interesado no pueden restar. De ahí la utilidad de valorar el impacto en esos derechos como variable a restar. Exactamente igual que en el modelo matemático de una evaluación de impacto o en el modelo matemático que sigue la AEPD en la herramienta Comunica Brecha RGPD, que calcula si una brecha de seguridad debe ser comunicada a los interesados o no.

Si a ello unimos las conclusiones de los apartados anteriores en relación al carácter bilateral o sinalagmático de los beneficios y los perjuicios para todas las partes afectadas por el tratamiento, la fórmula que propongo es la siguiente:

P = (BR + BT + BI) – (RI + PI + PT)

En ella, la ponderación (P) tiene en cuenta la suma del beneficio obtenido o esperado por el responsable del tratamiento (BR), por un tercero (BT) y por el propio interesado (BI), a la que resta los riesgos y perjuicios que el tratamiento puede generar para el interesado (RI + PI) o incluso para terceros (PT).

Hoja Excel de ponderación del interés legítimo

En la imagen que encabeza este artículo puede verse un ejemplo de tabla realizada con Excel, en la que hemos representado dos columnas.

En la columna de la izquierda relacionamos y cuantificamos los beneficios que el tratamiento va a generar para los siguientes actores:

  1. El responsable del tratamiento.
  2. El interesado.
  3. Otros grupos de interés o terceros como la sociedad, el mercado, los clientes, los proveedores o los trabajadores del responsable del tratamiento.

En la columna de la derecha relacionaremos y cuantificaremos los perjuicios y los riesgos que el tratamiento puede generar para los derechos y libertades del interesado y para los restantes actores relacionados en el apartado anterior.

La suma de los valores de cada columna permitirá finalizar la ponderación, al comprobar si el valor total de la columna de la izquierda es superior al de la columna de la derecha.

Aunque el modelo matemático es en sí mismo objetivo, el problema surge en el momento en que asignamos un valor a cada variable, ya que es obvio que el responsable del tratamiento tenderá a asignar un mayor valor a los beneficios que a los perjuicios, lo que equivaldrá a realizar una ponderación claramente escorada a su favor.

Cómo eliminar la subjetividad

Una forma de eliminar la subjetividad de la ponderación es aplicar el trámite previsto en el artículo 35.9 del RGPD para las evaluaciones de impacto y consultar al interesado o a sus representantes.

Se puede considerar representante en este caso a una entidad de defienda los intereses de un colectivo determinado de consumidores o usuarios. En el ámbito académico a los delegados de clase. En el ámbito laboral, a los representantes de los trabajadores.

En algunos casos esa consulta puede quedar sustituida por el principio de obviedad o incluso de notoriedad de la más que probable respuesta. Por ejemplo, en el caso de la prevención del fraude o de la seguridad de una red de telecomunicaciones no parece necesario preguntar a los usuarios si tienen interés en la seguridad de su dinero o de sus datos. El legislador ha presumido ese interés en los considerandos 47 y 49 del RGPD.

Otra forma de reducir la subjetividad es solicitar un informe o una valoración a un experto independiente o a una entidad que no esté vinculada a las partes implicadas en el tratamiento ni contaminada por los intereses que se ponderan.

Y el más adecuado al principio de responsabilidad proactiva es el ejercicio del derecho de oposición por parte del interesado.

El derecho de oposición como indicador de la opinión del interesado

En la ponderación del interés legítimo no hay una suplantación del interesado, sino una valoración de los intereses de las partes implicadas, que es justamente lo que el legislador nos exige al realizar la ponderación del interés legítimo.

En la política de privacidad y en las cláusulas contractuales el responsable del tratamiento informa al interesado del resultado de la ponderación, indicando que tiene interés legítimo para realizar el tratamiento y el interesado tiene el derecho a oponerse a esa ponderación ejerciendo el derecho de oposición al tratamiento.

La forma más eficiente de valorar la opinión del interesado consiste en informarle del tratamiento, del interés legítimo en el que éste se basa y del derecho oposición que le asiste.

El número de solicitudes de ejercicio del derecho siempre ha sido un indicador de la opinión del interesado en relación al tratamiento, de manera que un número alto de solicitudes obliga al responsable a realizar correcciones inmediatas en el tratamiento y en la base de legitimación.

Transcurridos casi 30 años de protección de datos en España, no podemos seguir alegando cuestiones culturales para justificar la intervención de la autoridad de control en el ejercicio de ponderación del interés legítimo. Si los interesados en general no se oponen a un tratamiento en pleno 2021, ¿es porque no conocen que pueden oponerse a él, porque no conocen el riesgo que genera o porqué les da igual?

Después de 30 años es posible que haya interesados que no conozcan sus derechos, por eso se les informa. La cuestión es que la autoridad de control puede considerar que no se les ha informado adecuadamente. Por eso es necesario realizar una buena ponderación del interés legítimo e informar correctamente al interesado.

Pero el acto de la ponderación es intrínsecamente privado y lo que verá el interesado es el resultado de la misma, sin perjuicio de que el responsable del tratamiento desee realizar un ejercicio de transparencia y publicar la tabla de ponderación.

En un mercado tan maduro como el español, si los interesados han sido correctamente informados, la ausencia de solicitudes de ejercicio del derecho de oposición debería ser un indicador suficiente para acreditar que la aplicación del interés legítimo a un tratamiento concreto se ha hecho de forma adecuada.

Sobre la anécdota de las felicitaciones

Siempre digo que el compliance nos dejó sin regalos de Navidad y la protección de datos nos dejará sin felicitaciones. Pero no por el imperio de la ley, sino por criterios desacertados.

Si una empresa considera que es una buena práctica comunicar sus mejores deseos para el nuevo año a sus clientes, es lógico que presuma que sus clientes tienen una expectativa razonable de recibir esta felicitación, porque es una costumbre arraigada. Cualquier notario, por exigente que fuese, accedería a realizar un acta de notoriedad de la existencia de esta costumbre, por lo que debería reconocerse que el criterio aplicado es objetivo.

Si alguien quiere romper esta tradición y autoexcluirse del colectivo de destinatarios de esos buenos deseos, el mecanismo específicamente diseñado para ello es el ejercicio del derecho de oposición. Pero por defecto, dejad que nos felicitemos, que hay pocas ocasiones hoy en día para hacerlo.

No se desplaza al interesado de la ponderación del interés legítimo porque el RGPD no ha previsto que esté en ella. El RGPD establece que el responsable debe valorar los intereses de las partes implicadas, y ya que puede equivocarse en la valoración, por eso se ha incluido el derecho de oposición como garantía posterior al momento de informar del tratamiento.

Modelo de hoja Excel de ponderación del interés legítimo

En el sandbox GDPR Hacks de Campus Ribas hemos incluido la hoja Excel comentada en este artículo, que permite realizar la ponderación del interés legítimo. Será bienvenida cualquier aportación o comentario en el foro de debate. También recopilaremos en GDPR Docs las hojas Excel relativas a escenarios de ponderación del interés legítimo en tratamientos concretos.

Esta Excel es un documento importante, ya que constituye una evidencia del esfuerzo de ponderación realizado por el responsable del tratamiento antes de aplicar el interés legítimo como base de legitimación, y por ello debe conservarse en el repositorio de evidencias de la empresa.