BYOD: la AEPD inspeccionando en su casa y Guía del ICO.
Como si se tratase de una continuación de la mesa que sobre el BYOD “Traiga su dispositivo móvil” tuve el honor de moderar en la reciente II Euskal SecuriTIConference (resumen y conclusiones, aquí) y en la que participaron como ponentes David Maeztu, Jorge Campanillas (acaba de publicar sobre el BYOD aquí), Gonzal Gallo y Jon Turrillas (todos ellos ilustres blogeros y tuiteros), acaba de aparecer una Guía sobre el BYOD publicada por la Autoridad de Protección de Datos del Reino Unido.
Dejando a un lado si el BYOD es positivo o negativo, una moda, línea de negocio o cualquier otra cosa que se nos ocurra, lo que más dudas genera es el control de estos dispositivos, que son propiedad del trabajador, por parte del empresario.
La cuestión radica en si es perfectamente aplicable la doctrina que ha fijado el Tribunal Supremo sobre el control de los ordenadores, pero que en este caso, son propiedad del empresario. Ya se sabe, advertencia previa sobre el uso y finalidades de los medios informáticos de la empresa y posterior control.
En este sentido, la Guía del ICO parte de que, siempre y cuando se haya dado una información clara sobre las finalidades y objetivo de este control, se pueda monitorizar el dispositivo aunque sea propiedad del trabajador (páginas 10 y 11 del Guía).
Y ojo, porque en este caso, la expectativa de privacidad del trabajador es aún mayor que respecto al uso de un ordenador propiedad de la empresa. Y el fundamento de que el “ordenador de la empresa es una herramienta de trabajo facilitada por el empresario”, no es aplicable.
A partir de aquí, y planteada ya la duda de si se puede equiparar la doctrina del Tribunal Supremo, surgen aún más cuestiones como las siguientes:
– ¿Cómo se realiza efectivamente ese control sin necesidad de entrar en aquellos archivos que son de la vida personal del trabajador?
– ¿Cómo se controla las visitas de las páginas webs? ¿En función de la hora?
Subimos un peldaño más, incluimos que en el BYOD se utilice un fichero de datos de carácter personal cuyo responsable sea la empresa, y damos entrada a la AEPD y este mar de dudas, lo convertimos en todo un “océano”:
– Si la AEPD puede inspeccionar el dispositivo del trabajador. Entiendo que debe aparecer en el documento de seguridad especificado que se utiliza el mismo para la prestación laboral. Y si no es así, lo veo más complejo, sin perjuicio de que al empresario se le pudiese imputar por obstrucción a la labor inspectora. O no?
– Más problemas: ¿Y si el trabajador hace teletrabajo? Supongo que la AEPD necesitará una orden judicial para entrar en su casa. Esta cuestión no sólo afecta al BYOD, sino a cualquier tipo de teletrabajo. ¿Debe ser el empresario el que se las tenga que apañar para que se pueda realizar la inspección solicitando al trabajador que facilite su ordenador, o en su caso, la entrada a su domicilio? ¿Otra vez obstrucción a la labor inspectora?
Y en ambos supuestos, el caso denunciable ya lo conocemos: trabajador que con su dispositivo realizaba la prestación laboral, como es su dispositivo tenía instalado el P2P que al no configurarlo adecuadamente, permitía el intercambio de archivos con datos de la empresa (historias clínicas, curriculums…elijan lo que quieran).
Hay debate, o no?
Francisco Javier
11 de marzo de 2013 @ 13:27
Debate y del bueno