Best Lawyers

.

Un año más: muchas gracias

——————————————————————————————————————

Dear Xavier Ribas,

I would like to congratulate you on having been selected by your peers for inclusion in the fifth edition of the Best Lawyers in Spain in the practice areas of:

– Communications
– Information Technology
– Intellectual Property
– Media and
– Privacy & Data Protection.

The fifth edition is currently available on BestLawyers.com.

Selection to Best Lawyers is based on an exhaustive and rigorous peer-review survey comprising more than three million confidential evaluations by top attorneys. Because no fee or purchase is required, being listed in Best Lawyers is considered a singular honor.

Online, your legal practice area and contact information will be visible to all subscribers of BestLawyers.com. In addition, the 22,000 attorneys and 2,900 law firms that have linked their web pages to our website will be visible to all visitors to BestLawyers.com and dozens of other websites around the world.

Again, congratulations on being selected by your peers for inclusion in Best Lawyers.

Sincerely,

Steve Naifeh
President

Best Lawyers

http://www.bestlawyers.com

Factura electrónica vs. factura en PDF

En pocos casos he visto un divorcio tan claro entre la teoría de la ley y la práctica de las empresas. El legislador ha establecido un marco jurídico para que las empresas emitan, reciban y almacenen las facturas en formato electrónico, pero la mayoría de las empresas están enviado y recibiendo facturas por correo electrónico en formato PDF sin autentificar.

Salvo las empresas que emiten o reciben grandes volúmenes de facturas, y que disponen de plataformas de facturación electrónica por razones de eficiencia, el resto de las empresas consideran mucho más ágil, económico y práctico trabajar con PDFs sin autentificar.

Ello es debido a que ha desaparecido el concepto de factura original. Tan original es la factura que un proveedor nos envía en papel como la que nos envía en PDF. Hoy en día pocas empresas utilizan facturas de imprenta, ya que es mucho más práctico imprimir cualquier documento en papel en blanco que ir cambiando el tipo de impreso, con el riesgo adicional de que los datos no aparezcan en las casillas correspondientes.

Ello hace que no haya diferencia entre la factura en papel impresa por el emisor y la factura en papel impresa por el cliente a partir de un PDF enviado por el emisor. Incluso puede ser de mayor calidad la factura impresa por el cliente si éste tiene una impresora superior o en mejor estado de mantenimiento.

El legislador considera que “las facturas deben conservarse en el soporte en que originalmente fueron expedidos y recibidos, pues de esta forma se asegura la posibilidad de que pueda verificarse en todo momento que se trata de originales” (Exposición de motivos de la Orden EHA/962/2007). Pero ¿cómo puede verificarse que una factura en papel es original y que la ha emitido realmente el emisor?

Como he dicho, la tecnología digital ha hecho desaparecer el concepto de factura original, pero como ocurre en otras normas, el legislador exige más requisitos de autenticidad al formato digital que al formato papel.

¿Qué garantías de autenticidad tiene la factura en papel? Cualquiera podría haberla creado. Al menos el PDF, aunque no esté autentificado, se envía desde una dirección de correo electrónico con el dominio de la empresa emisora que tiene más garantías de trazabilidad que un sobre enviado por correo postal.

Pero lo más rocambolesco es exigir digitalización certificada para poder conservar una factura en papel en formato digital. El proceso de digitalización certificada exigido en la ley ofrece el mismo resultado escaneando una factura original y una factura falsa, ya que el papel no incorpora ningún atributo de autenticidad. Y más rocambolesco todavía exigir que la versión en papel de la factura electrónica reproduzca sus elementos de autentificación.

Entiendo que debería considerarse factura cualquier documento, en formato papel o digital, que cumpla los requisitos de la factura (Numeración, fecha, nombre, domicilio y CIF del emisor y del receptor, concepto, tipo impositivo del IVA, cuota tributaria…) y no debería exigirse ningún requisito de autenticidad al formato digital que no cumpla el formato papel.

En una época difícil como la actual, las cosas tienen que ser fáciles. El legislador tiene que hacer un esfuerzo para eliminar las complicaciones legales innecesarias y permitir que los empresarios, y especialmente los emprendedores, puedan dedicarse a lo básico y esencial, que es su negocio.

eDNI para Facebook: solución desproporcionada

He estado analizando la noticia de ayer sobre la propuesta de exigir el DNI electrónico como prueba de la edad de los usuarios y me ha parecido realmente desproporcionada. Mis reflexiones son las siguientes:

Como padre

– Mis tres hijos tienen una gran actividad en Facebook desde los 16, 13 y 10 años respectivamente.

– Para darse de alta contaron con mi consentimiento expreso.

– Los tres utilizan la red social para comunicarse con sus amigos de clase, compartir contenidos, organizar deberes y preparar exámenes.

– El menor de ellos entró a los 10 años porque era el único de la clase que no tenía cuenta en Facebook y se sentía excluido.

– Me pidió que lo ayudase a darse de alta y fue muy gratificante para ambos configurar juntos la privacidad y los demás parámetros importantes de la cuenta: visualización de fotos, alta de amigos, etc.

– Ello me permitió sensibilizarle sobre los riesgos y hacerle comprender la necesidad de que tutelase su actividad hasta que tuviese 14 años, para lo cual acordamos que no cambiaría las claves de acceso, y así lo ha hecho hasta ahora.

– El sabe que tengo acceso a su cuenta y nos hemos reído juntos con los vídeos y chistes que han pasado por ella.

– Como padre he preferido siempre que mis hijos asuman responsabilidades desde pequeños y que conozcan los riesgos de lo que hacen, en vez de mantenerlos alejados de una realidad a la que podrían acceder igualmente, sin mi conocimiento y sin mis recomendaciones.

– Creo que la confianza genera responsabilidad y prefiero compartir y tutelar estas experiencias que reprimirlas y convertirlas en clandestinas, porque si sus amigos están ahí, ellos acabarán estando, por un medio o por otro.

– Si hubiese tenido que utilizar el DNI electrónico para cursar el alta, probablemente lo habría dejado para otro día.

– Entiendo como padre que la tutela no es algo ocasional, sino continuado. Pedir la intervención de los padres sólo en el momento del alta es como pensar que escogiendo un buen colegio para tus hijos ya es suficiente. Se entiende que la supervisión y el acompañamiento de la actividad de tu hijo es algo mucho más exigente y duradero.

Como observador

– La medida puede dar impulso al DNI electrónico, ya que los niños tendrán una motivación para que ellos y sus padres lo utilicen. Ya sabemos lo que pueden llegar a insistir hasta que consiguen lo que quieren.

– Lamentablemente, la experiencia es que la exigencia del DNI electrónico puede ser un obstáculo para el crecimiento de las actividades relacionadas con las redes sociales.

– En el comercio electrónico el eDNI ha sido rechazado sistemánticamente por las empresas y los usuarios. Cualquier paso o trámite adicional que se introduce en el proceso de compra es disuasorio e incrementa el número de transacciones frustradas.

– A todo ello se une el escaso uso de los lectores de eDNI, la caducidad de dos años del certificado electrónico y la habitual no renovación del mismo.

– Las redes sociales se han convertido en un nuevo motor para la economía y muchas empresas has diseñado una estrategia de marketing y publicidad adaptada a sus actuales presupuestos exiguos. Los menores de 14 años y sus padres son un público muy importante al que no tenemos que poner obstáculos para utilizar las redes sociales si los padres dan su consentimiento.

– Entiendo que exigir el DNI electrónico puede ser altamente disuasorio y es una medida desproporcionada que va a entorpecer y dificultar la entrada en una plataforma de comunicaciones que está aportanto muchos más beneficios que riesgos a nuestros hijos. No existe alarma social ni estadísticas negativas que aconsejen tal medida.

Mi propuesta es que estudiemos soluciones más imaginativas, que eduquemos a nuestros hijos ayudándolos a asumir responsabilidades, que definamos modelos de tutela colaborativa, que estemos más con ellos, que aprendamos juntos. Por muchos cerrojos que pongamos no conseguiremos que dejen de comunicarse. Sólo haremos que la brecha sea mayor.

En vez de contenerla, canalicemos esa ilusión.

Solidaridad con el spam en época de crisis

En épocas mejores, cuando un mensaje con publicidad no solicitada conseguía superar el filtro anti spam de mi plataforma de correo electrónico, no me molestaba en leerlo y lo borraba. Ahora, le doy una oportunidad.

Hace unos años, un cliente al que estábamos explicando por primera vez las obligaciones que tenía en materia de la LOPD y la LSSI  exclamó: “Cómo se nota que estamos en el primer mundo”. Y tenía razón, porque para reclamar el derecho a no ser molestado con publicidad no consentida, previamente hay que tener resueltas muchas otras necesidades.

Si en la actualidad nos preguntamos si esas necesidades más importantes están resueltas, la respuesta a nivel individual puede ser satisfactoria, pero la respuesta como país, no lo es. La pregunta que tenemos que hacernos es si todavía estamos en el primer mundo y podemos permitirnos el lujo de prescindir de la actividad comercial. No me refiero a abrir las puertas a todo el spam internacional, sino a ver con otros ojos la actividad comercial que proviene de empresas de nuestro propio país por múltiples canales, entre los que puede estar el correo electrónico.

Por desagradable e intrusivo que pueda llegar a ser, es posible que el mensaje que recibimos en nuestro buzón, que no se diferencia de los anuncios que impiden ver una película entera en televisión, provenga de una empresa que persigue el interés legítimo de sobrevivir. En cualquier caso, es evidente que si queremos apostar por el crecimiento y generar puestos de trabajo tenemos que vender más, y mi reflexión se centra simplemente en plantear si vale la pena establecer una tregua temporal y aceptar la publicidad no consentida hasta que la situación económica mejore.

OPINIÓN DE LA AEPD

En un post anterior me preguntaba si la Agencia de Protección de Datos iba a aplicar la normativa de manera estricta o si iba a tener en cuenta las dificultades económicas de las empresas. Aunque los criterios expresados en las resoluciones de archivo de los últimos meses no son en absoluto representativos, sería una buena noticia para las empresas identificar ciertos síntomas de cambio en la posición de la Agencia. Especialmente en la valoración de la culpabilidad en el Derecho administrativo sancionador.

En la resolución correspondiente al Expediente E/04491/2012 se acuerda el archivo de las actuaciones iniciadas a partir de una denuncia por publicidad no consentida y se basa la decisión, entre otros, en los siguientes fundamentos de derecho:

1. Las direcciones de correo electrónico utilizadas para los envíos proceden de una base de datos adquirida a través de Internet de la que se desconoce el origen, es decir, se desconoce si los titulares de aquellas prestaron su consentimiento para el envío de comunicaciones comerciales.

2. En el supuesto de que el vendedor de la base de datos no hubiera recabado el consentimiento de los destinatarios, la empresa denunciada ha manifestado que comprobó la existencia de consentimiento.

3. Esta comprobación convertiría a la empresa, en cuanto a la utilización de la base de datos, en un tercero de buena fe, carente de culpa, al haber desplegado la diligencia que le era exigible.

4. La culpabilidad constituye una nota esencial en materia sancionadora (artículo 130 LPJPAC) y la llamada responsabilidad objetiva no tiene cabida en el Derecho administrativo sancionador.

5. La simple inobservancia no puede ser entendida como la admisión en el Derecho administrativo sancionador de la responsabilidad objetiva, pues la jurisprudencia exige que el principio de culpabilidad requiera la existencia de dolo o culpa, lo que no ocurre en este supuesto.

6. La actividad de la empresa denunciada no se encuentra vinculada al sector de servicios de la sociedad de la información y de comercio electrónico regulado por la LSSI, por lo que su diligencia y deber de cuidado fueron los exigibles a los efectos de actuar con pleno respeto de las exigencias derivadas de la LSSI.

La resolución concluye que, al no ser exigible a la empresa denunciada otra conducta diferente de la que observó, no se aprecia la existencia de culpabilidad en la realización de los hechos denunciados.

 

Responsabilidad de directivos: la tormenta perfecta

El Diccionario Mapfre de Seguros define “autoseguro” como la situación en la que una persona, física o jurídica, soporta con su patrimonio las consecuencias económicas derivadas de sus propios riesgos, sin intervención de ninguna entidad aseguradora.

Según las estadísticas del sector, las primas de los seguros de responsabilidad civil de directivos (D&O) han bajado casi un 43%, mientras que las reclamaciones contra estos cargos se han incrementado más de un 24%, lo cual genera un importante  aumento del riesgo que los directivos asumen fuera del seguro. El llamado autoseguro.

Paralelamente, los recortes presupuestarios han provocado una reducción de la inversión en control y prevención mientras que  la incertidumbre económica, unida a las tensiones internas de las empresas, ha incrementado el riesgo de manipulación contable, apropiación indebida de activos, corrupción, fraude fiscal y uso de información privilegiada, según un estudio de PwC, que atribuye a la alta dirección la autoría del 61% de estos delitos.

Este escenario debe motivar a los directivos a crear pruebas de su diligencia en la gestión de sus departamentos y de los riesgos jurídicos asociados a la misma.

Las nuevas tecnologías ofrecen la posibilidad de crear evidencias electrónicas de su esfuerzo por prevenir infracciones y, llegado el caso, de demostrar su oposición a decisiones de riesgo de sus superiores o a recortes que pongan en peligro los niveles exigibles de cumplimiento normativo.

Asumida la situación de autoseguro, el objetivo del directivo debe ser reducir el riesgo de que cualquier contingencia que sufra la empresa o el departamento que dirige, sea atribuible a su gestión. Para ello, el directivo debe adoptar, entre otras las siguientes medidas:

– Identificación de los riesgos más graves y probables que afectan a su departamento o área de competencias.

– Selección de los controles adecuados para prevenir y detectar dichos riesgos.

– Captura de las evidencias electrónicas que demuestren la existencia de los controles en una fecha determinada, su eficacia y el esfuerzo realizado por el directivo en su aplicación y en el mantenimiento de los niveles exigidos de cumplimiento normativo.

– Conservación de las evidencias en un repositorio externo orientado a aportar pruebas de la diligencia del directivo en caso de reclamación. Las evidencias deberán conservarse durante los plazos de prescripción de las correspondientes acciones.

Esta actividad de preconsitución de la prueba es decisiva en un país donde acostumbramos a organizar nuestra defensa y las evidencias asociadas a la misma inmediatamente después de conocer la existencia de la reclamación, con el consiguiente riesgo de que la prueba parezca creada ad hoc y convenientemente predatada.

Está claro que el directivo tiene otras opciones, como dormir tranquilo junto a su póliza de seguros, especialmente teniendo en cuenta que la seguridad, como dicen, es un estado de la mente.

La calidad de los proveedores como obstáculo para los emprendedores

Habría podido dedicar un blog exclusivo a los obstáculos que he encontrado desde que decidí tener de nuevo mi propio despacho. Los obstáculos burocráticos los conocía y resultaron fáciles de controlar. La selección y contratación de proveedores relacionados directamente con el negocio tampoco entrañó ninguna dificultad. El problema surgió, como siempre, con la ejecución de las obras de reforma de la oficina.

Estar en uno de los edificios más inteligentes de la ciudad, que también estaba siendo reformado, ha exigido una dosis terrible de paciencia, que tendrá que durar hasta marzo, cuando se espera que alcance el nivel de inteligencia y autonomía que se espera de él. Mientras, las obras han sido un magnífico escenario para comprobar los niveles de calidad y servicio de cada proveedor. Y los resultados han permitido confirmar algo que ya sabía, pero que pensaba poder evitar seleccionando a los mejores proveedores: lo mejor para un nuevo negocio es ocupar unas instalaciones que permitan centrarte desde el principio en tus objetivos y planes, sin distracciones inoportunas.

Las obras de reforma se iniciaron el 2 de julio y finalizaron el 15 de septiembre. Pero lo que más tiempo y atención ha exigido ha sido la subsanación posterior de los errores cometidos durante la obra. Defectos de instalación o ejecución que han afectado al aire acondicionado, la instalación eléctrica, la pintura, la telefonía IP, el acceso a Internet…

La gran paradoja es que cuanto más inteligente es una instalación, más errores da o más difícil es configurarla. Un ejemplo ha sido el aire acondicionado, que ha exigido la actualización del firmware de los equipos varias veces, hasta que ha aprendido lo que queríamos decir al ajustar el termostato. Tras cientos de horas dedicadas por el proveedor a enseñarle a combatir el calor, ahora llega el frío. Justo cuando había aprendido a decir pinícula, van y le llaman flin.

Pasos para vender en Facebook

Muchas veces hemos comentado que Facebook es una gran herramienta para posicionar la marca con un pésimo ratio de conversión en ventas. Facebook es consciente de esta carencia y está realizando pruebas con el botón “lo quiero”.

El funcionamiento de este nuevo botón, que ya están utilizando empresas como Victoria’s Secret o Wayfair, será el siguiente:

1. Las empresas podrán incluir nuevos botones en sus páginas que irán orientados a convertir el interés del usuario en una acción de compra.

2. El inicio del proceso de compra partirá de un clic en el botón “lo quiero”.

3. A través de este botón se podrá acceder a la nueva función “colecciones”.

4. Una vez en ella, se accederá a un catálogo de productos muy parecido al álbum de fotos de Facebook actual.

5. En cada producto el usuario encontrará varios botones, entre los que destacarán el botón “comprar” y el botón “coleccionar”.

6. El botón “comprar” remitirá al usuario a la tienda online de la empresa anunciante.

7. En la actualidad el reenvío del usuario a la tienda online o al sitio web del anunciante se efectúa con aplicaciones como nShup o Social-buy, y también con enlaces en las imágenes del álbum de fotos.

8. Facebook no ha manifestado su intención de participar en el proceso de compra ni de cobrar un porcentaje de las ventas que se produzcan, por lo que se entiende que los ingresos que obtenga serán en concepto de publicidad.

9. Facebook tampoco se hará responsable de las transacciones ni de los productos, ya que la relación jurídica se establecerá directamente entre el anunciante y el usuario, por lo que se descarta la aplicación de un modelo de negocio como el de Amazon.

10. Las colecciones aparecerán en el feed de noticias y el usuario podrá recomendarlas a sus amigos.

En conclusión, parece que Facebook está decidida a convertir su plataforma en un canal que promueva la venta de forma activa y social, potenciando el retorno de la inversión a los anunciantes y ofreciendo nuevas oportunidades a las empresas que carecen de presencia internacional o de una gran red de distribución.

En cualquier caso, será importante revisar los términos y condiciones que regularán el llamado fCommerce y las contrapartidas directas o indirectas que Facebook exigirá a los anunciantes.

De la segmentación clandestina a la autosegmentación

1960

Javier acaba de llegar a casa tras un parto complicado y cuatro días de hospital junto a su madre, que ahora está cambiándole las gasas de algodón por primera vez. Los pañales todavía no se comercializan en España. Al menos en su barrio. Los pocos distribuidores que existen de este nuevo producto no saben que ha nacido, ni que es un niño, ni que pertenece a una familia de clase media baja, ni que vive en un barrio de clase media baja de una gran ciudad. No conocen la profesión de sus padres ni su poder adquisitivo. Javier no será objeto de segmentación por parte de un anunciante hasta dentro de unos años y gracias a Pepe, un funcionario del Instituto Nacional de Estadística que se saca un sobresueldo vendiendo listas. Las teclea con su Olivetti y sus dedos fuertes, que consiguen marcar hasta cuatro hojas de papel carbón.

1992

Paula llega a casa tras un parto sin complicaciones y tres días de hospital. Su madre está cambiándole los pañales por primera vez. Su padre (el mismo Javier de 1960 que ahora ya es un profesional liberal segmentado por los cuatro costados) acaba de abrir el buzón y ha encontrado una carta dirigida a Paula. Javier sonríe y le comenta a su mujer: “Mira, Paula acaba de nacer y ya recibe publicidad de pañales. Bueno, en realidad a Paula le dan la bienvenida, los destinatarios de la publicidad somos nosotros. Qué simpáticos. Por cierto, ¿estás contenta con estos pañales? Los de la foto parecen más cómodos”. Paula había recibido la carta gracias a Lola, una empleada del hospital que se sacaba un sobresueldo vendiendo los datos de los recién nacidos en papel pijama. Gracias a estos datos, el remitente de la carta tenía información suficiente del perfil de los padres de Paula para saber que valía la pena asumir los costes del envío.

2012

Ignacio llega a casa tras un parto con cesárea y cinco días de hospital. Su madre está cambiándole los pañales superabsorbentes, autoadaptables e hipersuaves por primera vez. Su padre ha publicado 32 fotos y cuatro vídeos de Ignacio a través de Facebook, Tuenti, Twitter, y Whatsapp con un total de 1.526 destinatarios. Además, los padres son seguidores de su fabricante de pañales favorito en Facebook y en Twitter, gracias a lo cual tienen acceso a información muy útil para el cuidado de su hijo y comparten experiencias con otros padres de perfil muy parecido. Gracias a sus preguntas y comentarios y a los datos facilitados al autorizar el acceso a su perfil de Facebook, a su muro, a sus fotos y a sus amigos, el fabricante de pañales puede efectuar una segmentación muy ajustada de los padres de Ignacio e indirectamente, del propio Ignacio. Mientras, a dos manzanas de la casa de Ignacio, Paula, que ya tiene 20 años, está comentando las vacaciones y el inicio del nuevo curso con sus amigas. Paula ha llegado a mencionar más de 14 productos diferentes en sus conversaciones online y ha visitado más de 30 páginas web relacionadas con sus aficiones. Todo ello bajo la atenta mirada de los sistemas de publicidad basada en el comportamiento.

Ni los anunciantes de 1960 ni los de 1992, en sus mejores sueños, habrían podido imaginar este paraíso.

Inicio del proceso de selección de abogados para mi nuevo despacho

El proceso de selección va orientado inicialmente a la contratación de cuatro abogados (dos asociados senior y dos asociados) con una experiencia mínima de tres años en protección de datos, contratos tecnológicos, propiedad intelectual, comercio electrónico y marketing online.

Es muy importante que los candidatos hayan:

  1. Consolidado su vocación profesional
  2. Decidido especializarse en Derecho de las Tecnologías de la Información
  3. Apostado por esta rama del derecho a largo plazo

El lugar de trabajo será en la sede de Ribas y Asociados, en Diagonal 640 1C de Barcelona.

Agradeceré a los interesados que envíen su CV a xavier@ribasyasociados.com.

Muchas gracias.

Prevención de riesgos jurídicos en el uso corporativo de dispositivos personales

1. La privatización de los dispositivos móviles

Si hasta ahora los CIOs y los CISOs tenían que lidiar con el uso privado de los dispositivos corporativos por parte de los usuarios, ahora tienen que hacer frente al uso corporativo de los dispositivos privados, mucho más potentes y versátiles que los que la empresa pone a su disposición.

¿Qué genera más riesgo para una empresa? ¿Que el usuario instale la aplicación de Facebook en la BlackBerry corporativa o que sus hijos jueguen con el iPhone o el iPad privado con aplicaciones y datos corporativos?

La conclusión a la que han llegado muchas empresas es que el mayor riesgo radica en que el usuario corporativo no haga ni una cosa ni otra, es decir, que esté desconectado de la empresa y desaproveche el potencial de sus aplicaciones y comunicaciones para su trabajo. Por ello un buen número de empresas han decidido aceptar que el usuario utilice su propio dispositivo móvil para fines corporativos.

Esta es la tendencia que se esconde tras las siglas BYOD (Bring Your Own Device), que invitan al usuario a llevar su propio dispositivo móvil a la empresa. Esta estrategia se suma a otra que recibe el nombre de “consumerización” y que consiste en que la empresa integra como propios dispositivos diseñados para el consumidor final.

2. La entrada de los nativos digitales en las empresas

Las empresas son conscientes de que será muy difícil eliminar los hábitos de comunicación, multitarea, mensajería instantánea, trabajo en grupo y networking adquiridos por los nativos digitales, intentando que se adapten a aplicaciones que consideran obsoletas y aburridas.

Pero lo más difícil será pedirles que se olviden de sus preciados smartphones. La primera pregunta que harán cuando reciban su dispositivo móvil corporativo será: ¿Dónde están mi Facebook y mis amigos?

Las empresas tendrán que aceptar que sus usuarios tengan dos dispositivos móviles o apostar por la alternativa de integrar las aplicaciones corporativas en los smartphones privados de los usuarios. Y si la empresa no los seduce con sus aplicaciones, los usuarios pueden llegar a comunicarse más entre ellos con redes y entornos externos que con el correo corporativo.

Cisco ha reconocido recientemente que el secreto está en los contenidos y en la aplicaciones que entusiasman a los usuarios de las redes digitales. En julio de 2010 lanzó Cius, un tablet destinado a usos corporativos que cumplía los estándares de seguridad más habituales en las empresas y ofrecía compatibilidad con los protocolos de videoconferencia y los entornos de colaboración corporativos. Antes de cumplir los dos años de vida, Cisco anunció la retirada de este tablet del mercado, siguiendo el mismo camino que han seguido o seguirán otros fabricantes de dispositivos móviles que no responden al criterio dominante de consumo de contenidos, uso aplicaciones y acceso a redes sociales.

Ante la irrupción de los Android, los iPhone y los iPad en los entornos corporativos, la conclusión parece ser que, si la empresa no ayuda a sus usuarios a tratar datos corporativos en estos dispositivos con la debida seguridad, acabarán tratándolos igualmente de forma no segura creando situaciones de riesgo.

3. Normas técnicas y de seguridad

Una de las primeras medidas que deberán adoptar las empresas será incluir en sus políticas, los requisitos técnicos y de seguridad que deberán cumplir los dispositivos privados que alojen aplicaciones y datos corporativos. Estos cambios tendrán que reproducirse en las normas y procedimientos y en el documento de seguridad, dado que estamos hablando de terminales que tendrán acceso a ficheros con datos personales. La empresa deberá destinar un capítulo específico en estos documentos para los dispositivos privados.

También tendrá que regular el procedimiento de homologación de los distintos modelos de tablets y smartphones que existen en el mercado, la actualización periódica de la lista de dispositivos homologados por la empresa y las personas autorizadas para realizar esta función.

Deberán instalarse en los dispositivos certificados electrónicos que los identifiquen y autentifiquen dentro de la red corporativa, ayudando a gestionar la identidad y los privilegios de cada usuario y aplicación móvil. Ello permitirá, y de hecho ya permite, el uso de firma electrónica en el caso de directivos que deben autorizar constantemente operaciones y transacciones que antes les exigían una firma manuscrita.

La configuración remota deberá permitir alterar parámetros básicos como la longitud de las contraseñas, su nivel de complejidad o robustez y la exigencia de un salvapantallas con contraseña, entre otras.

Los terminales deben disponer de acceso mediante a VPN a los servidores de la empresa, con un nivel de cifrado que garantice el flujo información confidencial e incluso de datos personales de nivel alto. En el caso de cloud computing, deberá analizarse la conveniencia del uso de VPN o protocolos SSL.

También habrá que crear en los terminales áreas seguras o contenedores cifrados en los que se alojen los datos corporativos, añadiendo la posibilidad de borrarlos remotamente en el caso de que el dispositivo se pierda o el usuario cause baja en la empresa. Ello obligará a las empresas al uso de aplicaciones multiplataforma o de soluciones cloud, para evitar el mantenimiento remoto y el esfuerzo de integración de los distintos sistemas operativos, modelos y marcas de dispositivo.

4. Normas de uso

Especial atención merece la redacción de las normas que los usuarios deberán cumplir, ya que hasta ahora todas las normas aceptadas se referían a dispositivos que eran propiedad de la empresa y puede causar extrañeza al usuario tener que aceptar normas para el uso de dispositivos que son suyos. En cualquier caso, esta obligación puede verse como la contrapartida a la enorme ventaja de no tener que llevar dos dispositivos móviles encima y es coherente con el hecho de que, a pesar de tratarse de un equipo propio, puede alojar datos personales de clientes e información crítica de la empresa.

Estas normas deberán ser aceptadas antes de la instalación de las aplicaciones corporativas en el dispositivo privado, sin perjuicio de la eventual aceptación a través de correo electrónico, en el momento de la instalación o a través del tradicional popup que ya incorporan algunas empresas en los ordenadores portátiles y de sobremesa para aceptar las normas en el momento del login.

Entre las obligaciones del usuario figurará la no modificación de los parámetros de seguridad, el mantenimiento y actualización del sistema operativo y de las aplicaciones, las limitaciones de uso, la realización de copias de seguridad y el cumplimiento de la normativa de protección de datos, entre otras. Si la empresa ha apostado fuertemente por el cloud computing será posible simplificar algunas obligaciones ya que, salvo en el caso de aplicaciones con sincronización en local, como el correo electrónico, la agenda y los contactos, el dispositivo carecerá de datos corporativos críticos, como los alojados en el ERP de la empresa. Pero ello obligará a seguir dando importancia a la prevención de la ingeniería social, mediante recomendaciones y formación que reduzcan los riesgos de phishing, pharming y cualquier otro engaño orientado a la obtención de contraseñas.

Las normas de uso deberán alertar al usuario sobre los posibles ataques a su privacidad que puedan afectar también a datos corporativos. El usuario tendrá la obligación de extremar la precaución en la descarga de aplicaciones para impedir la entrada de malware que pueda vulnerar la seguridad del dispositivo en sus cuatro capas: la propia aplicación, el hardware, la red y el sistema operativo. Las normas deben prohibir por lo tanto el jailbreak del dispositivo, es decir, la retirada de las limitaciones del sistema operativo para utilizar kernels modificados que posibiliten descargar aplicaciones no homologadas y alterar las medidas de seguridad establecidas por la empresa.

También deberá tenerse en cuenta que si el usuario le deja el iPad a sus hijos para que jueguen es muy probable que naveguen por Internet con criterios de prudencia muy distintos a los del usuario principal, lo cual tendrá sus consecuencias en materia de cookies y publicidad basada en el comportamiento (por ejemplo, el usuario empezará a recibir publicidad de videojuegos), pero también en materia de aceptación de condiciones generales de contratación, spam, malware y otras imprudencias propias de la cibercandidez.

5. Inspección de dispositivos móviles y obtención de pruebas

Otra cuestión a tener en cuenta es el progresivo traslado de los actos desleales, las infracciones y los delitos a los dispositivos móviles. Si un usuario ha decidido suministrar información confidencial a un competidor ya no tiene que extraerla de la empresa mediante acciones que pueden ser rastreadas. Sólo tiene que mostrar los datos en la pantalla de su tablet al comprador de la información.

La movilidad de los usuarios y de la información puede comportar nuevas amenazas y oportunidades. Actualmente, la localización de la información ha pasado a ser irrelevante. Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar sino un flujo a optimizar.

Las características actuales de la información son, a los efectos de este apartado, las siguientes:

1. Puede ser generada en cualquier lugar y momento
2. Puede encontrarse en cualquier lugar: en la nube, en la empresa o en los dispositivos móviles
3. Puede ser compartida y reutilizada con mayor facilidad

Debido a estas características, el control y los esfuerzos destinados a la prevención e investigación de delitos e infracciones ya no recaerá tanto en los dispositivos como en la propia información, esté donde esté.

Un ejemplo claro de ello es la información que está en la nube. El cloud computing puede definir el escenario ideal de control e intervención, con un protocolo sencillo y unas medidas compatibles con el juicio de proporcionalidad. Sin embargo, la característica esencial de la dispersión hace difícil planificar que las pruebas de un delito estén en un entorno único y ordenado. Las pruebas pueden encontrarse en los servidores del proveedor, en los servidores del cliente, en los servidores del proveedor del cliente, en los servidores de la empresa y en los dispositivos de los usuarios. Por ello, habrá de actualizar los protocolos de investigación y obtención de pruebas para adaptarlos a este nuevo escenario, móvil, distribuido y cambiante.

El artículo 20 del Estatuto de los Trabajadores y la doctrina unificada del Tribunal Supremo permiten a la empresa aplicar su actividad de control a los recursos TIC corporativos utilizados por sus usuarios, pero habrá que ser muy prudentes en la extensión de este control a los dispositivos que son propiedad de los usuarios. La capacidad de control de la empresa deberá quedar limitada exclusivamente a las áreas, aplicaciones y contenedores de información corporativa, sin perjuicio del posible análisis forense de todo el contenido del terminal en el seno de una investigación judicial, o con el consentimiento del usuario.

La actividad de prevención y control de la empresa puede tener distintos niveles de proactividad, que van desde la simple conservación de logs hasta la captura secuencial de pantallas sin intervención humana. Esta actividad deberá ser informada a los usuarios y deberá ser proporcional, idónea y necesaria para las finalidades de control previstas en las normas internas y en el ordenamiento jurídico. Los últimos cambios legislativos, entre los que destaca la reforma del Código Penal para dar cabida a la responsabilidad penal de las personas jurídicas, así como las tendencias modernas en materia de seguridad, inspiradas por un criterio de “confianza cero” hacen prever un incremento del control de las empresas sobre sus usuarios y una mayor exigencia de información sobre dicho control.

6. Otras implicaciones jurídicas

Como epílogo a estas reflexiones sobre el uso de dispositivos privados en entornos corporativos cabe enumerar otras consecuencias de la consumerización y del BYOD.

– El cloud computing ofrece mayores garantías para la continuidad del trabajo del usuario, a pesar de que el terminal utilizado no sea de la empresa. Si el usuario ha hecho sus deberes, toda la información estará en el servidor y la baja del trabajador o la pérdida del terminal no impedirán que el trabajo pueda ser continuado por otro usuario. Ello obliga a informar previamente a los usuarios sobre esta posibilidad y a actualizar los protocolos orientados a garantizar la continuidad del trabajo.

– En algunas funciones basadas en la movilidad, las empresas han explotado la capacidad de saber la localización exacta del usuario en cada momento, e incluso de conocer en tiempo real lo que está haciendo. En el caso de dispositivos propios, los usuarios mantienen el control sobre el GPS y pueden gestionar los privilegios de acceso de cada aplicación a los datos de localización. Ello puede exigir la inclusión en las normas de uso de una obligación de permanecer localizables dentro del horario laboral. Esta obligación debe ir acompañada de la necesaria información sobre las posibles finalidades de la geolocalización: optimización de rutas, control de flotas, tracking del transporte de productos y pasajeros, control del absentismo laboral, detección de incumplimientos contractuales, etc.

– Las empresas van creando progresivamente manuales o guías donde recogen buenas prácticas en el uso de las redes sociales. El comportamiento de un usuario en las redes sociales puede cambiar en función de si el dispositivo utilizado es propio o de la empresa. Estos manuales deberán recordar que las obligaciones de confidencialidad respecto a información de la empresa y de sus clientes, no denigración de competidores, etc. no deben relajarse en ningún entorno.

– También hay que limitar la responsabilidad de la empresa respecto a los contenidos y aplicaciones que el usuario pueda alojar en la zona privada de su dispositivo personal. La empresa no tiene control sobre dicha área, pero el usuario debe ser consciente de que sus contenidos pueden llegar a ser asociados a la empresa, al coexistir con aplicaciones corporativas y al compartir una misma dirección IP. Puede ser recomendable pedir al usuario que respete en todo el dispositivo la normativa de propiedad intelectual e industrial y cualquier otra norma cuyo incumplimiento pueda generar responsabilidad para la empresa.

– En empresas multinacionales o en el caso de usuarios que viajen al extranjero, habrá que delimitar claramente las responsabilidades del usuario en relación al contrato que les une al operador, con el fin de evitar sorpresas por facturación adicional derivada de la itinerancia de datos.

Finalmente, y a pesar se ser algo ya mencionado en este artículo y presente en las medidas de los responsables de seguridad, es importante tener siempre a mano el “botón rojo”, es decir, la opción que va a permitir a la empresa desvincularse del dispositivo privado del usuario, borrando toda la información corporativa en el caso de pérdida, sustracción, baja del usuario en la empresa o mal uso del terminal.

Artículo publicado en e-Penteo