“No sin mi iPad…” ¿Riesgos del BYOD?

Miniatura noticia

Por Alfonso Pacheco, Luis Salvador y Javier Sempere

Tras haberse agotado la lírica sobre la videovigilancia y el “cloud computing”, con un “derecho al olvido” que va y viene sin solución alguna –parece ser a la espera de que se pronuncie el Tribunal de Justicia Europeo-, y un proyecto de Reglamento de Protección de Datos de la Unión Europea que parece que se lo ha tragado un abismo, el llamado “BYOD” (es decir, “a ver, López ya que lo tiene, tráigase usted al trabajo su ipad y así la empresa se  ahorra comprar uno”) aparece como el nuevo referente de discusión y divagación, también de trabajo, para los próximos tiempos.

Son numerosas las entradas que ilustres blogueros vienen dedicando al respecto, entre los cuales podemos citar: Javier Cao Avellaneda en su blog Apuntes de Seguridad (@javiercao), María González (@meryglezm) en el blog de Écija (@Ecija_LawTech), Joan Figueras (@JoanFiguerasT) en el suyo, o más recientemente TICbeat (@ticbeat) −y seguro que muchos más a los que pedimos perdón por no incluirlos−  e incluso alguna Administración se ha tirado al ruedo con algún proyecto interesante, como puede ser el Hospital de Son Llàtzer en Mallorca, que ha puesto en marcha un programa piloto para que los facultativos puedan acceder a la historia clínica de sus pacientes desde sus dispositivos inteligentes.

Tanto interés parece que suscita el asunto, al menos en el mundillo, que  el 20 de septiembre de 2012 Écija Abogados organizó un evento al respecto, en el cuál, de la mano de María González (@meryglezm) como principal narradora-expositora y conjuntamente con las intervenciones “espontáneas” de Alonso Hurtado Bueno (@ahurtadobueno) y Carlos Pérez se explicó el por qué, el cómo y el cuándo de este fenómeno.

Podríamos recurrir a las transparencias de la presentación que se facilitaron a los asistentes pero haríamos un burdo copia pega y este post perdería su sentido, así que sólo hagamos un breve resumen de lo que allí se dijo:

–      Básicamente, el BYOD consiste en que el trabajador utiliza para el desarrollo de su actividad profesional los dispositivos de su propiedad particular (teléfono, ordenador, tablet…) como si de otras herramientas de la empresa se tratasen. Es decir, él pone este tipo de material.

 –      En un mundo interconectado como el actual, no podemos negar lo interesante de que el trabajador se pueda conectar, nunca mejor dicho, en cualquier parte del mundo, para trabajar. Pensemos un ejemplo muy sencillo: acceso al correo electrónico corporativo.

 –      Al acceder con sus dispositivos se puede producir, por ejemplo, la fuga de información, o la puesta en riesgo de información de la empresa por ataques de malware u otros o por el uso del dispositivo fuera del horario laboral por otro miembro de la unidad familiar del trabajador o incluso por un amigo (“¿Me dejas un día el ipad para probar que tal va y así veo si me compensa comprarme uno?” o “Jolín, Papá, no se cómo se ha borrado eso, yo solo quería jugar a princesas online…”). Esto nos conduce a que el trabajador tenga que firmar o aceptar una política elaborada con la empresa en la cual se detalle cómo va a utilizar los dispositivos que son de su propiedad a la hora de desarrollar la prestación laboral.

 –      En cuanto al control de esos dispositivos por parte del empresario, se acude a la doctrina marcada por el Tribunal Supremo en sus sentencias 6128/2007 de 26 de septiembre y 8876/2011 de 6 de octubre.

 –      Como ventajas, además de poder acceder desde cualquier punto a la información del trabajo, los dispositivos del trabajador pueden ser mejores que los que la empresa pueda ofrecer. Otra cuestión es la negociación de quién paga su uso: empresa, trabajador o ambos (entendiendo en este punto por uso tanto los consumos periódicos de tarifas de datos, por ejemplo, como el propio coste de adquisición del equipo -no olvidar que hasta hace poco, incluso este tipo de prácticas de comprar tecnología para los empleados podía conllevar desgravaciones fiscales para las empresas).

 Nuestras dudas razonables…

En primer lugar, debemos pensar si ese consentimiento es realmente libre…

El Grupo de Trabajo del artículo 29, en septiembre de 2001, publicó su dictamen 8/2001 [versión en inglés] (si prefieren acceder a su contenido en la lengua de Cervantes deberán conformarse con un resumen) que ya “daba pistas” de por donde van los tiros. Cuando hablamos de consentimiento, tenemos claro que éste debe ser libre, informado, específico e inequívoco. Y, desde luego parece claro que en una relación laboral no hay un equilibrio de fuerzas, sino más bien una parte es la que tiene la sartén por el mango, tanto a la hora contratar, como a la hora de mantener el empleo, y más desde los últimos cambios en la normativa laboral que suavizan enormemente las vías por las que el empresario puede dar por finalizada una relación laboral a unos “precios realmente asequibles”… Y por esto, precisamente, el Grupo de Trabajo, en el aludido Dictamen, establece que si un empresario debe tratar datos personales de los trabajadores -a los que reconoce como beneficiarios de los derechos que la Directiva 95/46- como consecuencia de la relación laboral, actuará de forma engañosa si intenta legitimar este tratamiento a través del consentimiento. Afirman solo deberá recurrirse al consentimiento como habilitador del tratamiento en los casos en los que el trabajador pueda expresarse de forma totalmente libre y tenga la posibilidad de rectificar posteriormente sin verse perjudicado por ello.

Este criterio, como parece lógico pensar, conforma el que la Agencia Española viene aplicando en sus informes y resoluciones. Así, por ejemplo,  en su Informe 0529/2009 deja clara la dificultad de conjugar ámbito laboral y “voluntariedad” del trabajador.

Recientemente, la ex-Directora de la Autoridad Catalana de Protección de Datos, Esther Mitjans, resaltaba este tema como uno de los que necesariamente debería incluir la futura nueva norma europea sobre protección de datos (fuente APEP @Asociacion_APEP).

Con toda la argumentación anterior, si ya de por sí resulta imposible “mezclar sin agitar” consentimiento libre y relación laboral, no digamos cuando el consentimiento se refiera al uso de una propiedad del trabajador, y cuando para colmo, si los protocolos de seguridad y control  de la empresa se cumplen, seguramente esto conllevará una limitación en la absoluta libertad de uso particular (y decimos limitación no eliminación).

La mencionada falta de libertad al prestar el consentimiento, y teniendo en cuenta la situación de crisis actual, nos podría conducir sin duda a situaciones del tipo “O usas tus dispositivos, o detrás de ti hay otro candidato que sí está dispuesto”. Ya sabemos que aunque se plantee como una opción, de la opción a la obligatoriedad puede haber un paso. Incluso en la jornada se dijo un “Si no acepta, tendrá que trabajar con el Alcatel que le facilite la empresa”, que podría llegar a considerarse de alguna forma un modo de condicionar la decisión del débil.

Habrá quien pueda hacer otra lectura puesto que este fenómeno del BYOD, puede suponer una reducción de costes para la empresa, es decir, un nuevo modelo de negocio si tenemos en cuenta el contexto al que nos hemos referido en el párrafo anterior: “Al menos, doy trabajo”.

Otro punto caliente es el control por parte del empresario. Pensemos en aplicaciones instaladas en el ordenador propiedad del trabajador. Como se ha dicho anteriormente, se pretende seguir la doctrina del Supremo, pero, que la misma se pueda aplicar a este caso, genera cuanto menos algunas cuestiones.

Hay que recordar que esa doctrina, además del control al trabajador del uso de los medios tecnológicos por la vía del artículo 20.3 del EETT, recoge dos puntos fundamentales:

–      Define que esos medios son una “herramienta que el empresario pone a disposición del trabajador”.

–      Reconoce una expectativa de privacidad del trabajador cuando realiza su trabajo.

Si aplicamos estos dos puntos al BYOD deberemos concluir:

–      Que la doctrina del TS se refiere a un supuesto diferente, ya que aquí es el trabajador el que pone los medios.

–      Que al ser de su propiedad, la expectativa de privacidad es aún mayor.

Habrá que ver, habida cuenta estas importantes particularidades, si el Tribunal Supremo, cuando se le plantee el caso, resuelve en el mismo sentido que lo viene haciendo cuando los medios los pone la empresa, como es el caso de las sentencias antes citadas, o bien adopta un criterio distinto.

Y no olvidemos el tema del necesario “disconnect to connect”: si uso mi teléfono para el trabajo, qué hago en mis descansos (fuera de horario, fines de semana, periodos de vacaciones. ¿Cómo voy a desconectarlo ya que entonces no podré recibir mis llamadas privadas? ¿Es qué tengo que estar todo el tiempo disponible para la empresa? ¿Qué hago con el “ya te llamé y no contestaste” o “te he enviado un correo, puedes verlo con tu ordenador, que está para que hagas tu trabajo”? Por no pensar en las posibles implicaciones de aplicaciones con uso de geolocalización y que cada vez más son empleadas por las empresas…

Con todos estos temores, deberemos seguir de cerca el desarrollo de esta tendencia y en caso de producirse litigios, las interpretaciones que de ello harán tanto los órganos administrativos como previsiblemente los de la administración de justicia…

Imagen: Yutaka Tsutano


17 comentarios

  1. María González (@meryglezm)
    25 de septiembre de 2012 @ 13:03

    Enhorabuena por la iniciativa y el post… Me ha gustado mucho los puntos en los que habeis profundizado.
    Y por supuesto, daros las gracias por las menciones varias que me brindais en el mismo, un autentico honor y lujo para mi.
    Un abrazo a los tres
    @meryglezm

    Responder

    • Luis Salvador
      25 de septiembre de 2012 @ 15:52

      Muchas gracias por dejarte caer, y, de alguna forma por darnos argumentos para alimentar nuestras dudas razonables… De eso se trata en un espacio como este, ¿no?

      Saludos cordiales…

      Responder

  2. Javier IBSALUT
    25 de septiembre de 2012 @ 15:06

    Yo también quiero daros la enhorabuena por la iniciativa y el post… He aprendido, como siempre, y me he reido mucho con el post del “no se muera todavia, vamos a informarle de sus derechos….”.

    Responder

    • Luis Salvador
      25 de septiembre de 2012 @ 15:58

      Muchas gracias, Javier… un gusto verte “de nuevo” por aquí…

      Saludos cordiales.

      Responder

    • Alfonso Pacheco
      25 de septiembre de 2012 @ 16:42

      Javier, esperamos con ansia que te lances a una nueva colaboración, que siempre son bienvenidas.
      Gracias por tus felicitaciones, y asómate por aquí para comentar cuantas veces quieras.
      Un abrazo
      Alfonso

      Responder

  3. Maria Loza @mlozac
    25 de septiembre de 2012 @ 15:36

    estrenando blog!!!!!!! enhorabuena!!!
    estoy totalmente de acuerdo. La STS de 6 de Octubre viene a decir que si el empresario establece una absoluta prohibicion de uso particular de los medios, el incumplimiento del trabajador motivará un despido PROcedente, lo cual entiendo no cabe trasladar al BYOD, y la STS de 2007… a pesar de ser de unificacion de doctrina, no aclara mucho ya que confunde el dcho al secreto delas comunicaciones con el dcho a la intimidad.. Es decir, BYOD y LYV (Luego Ya Veremos 😉

    Responder

    • Luis Salvador
      25 de septiembre de 2012 @ 16:03

      Me ha encantado el LYV…. ¿lo tienes licenciado? ¿Podemos compartir citando la fuente? Es buenísimo, y una verdad como un templo…. y no solo para BYOD…. por desgracia…

      Gracias por tu comentario y hasta pronto (advertimos que de vez en cuando pasamos lista…)

      Responder

      • Maria loza
        26 de septiembre de 2012 @ 07:36

        jajaja!! por supuesto Luis, claro que podéis compartirlo..
        un saludo!!!
        María

        Responder

  4. Joan Figueras
    25 de septiembre de 2012 @ 16:48

    Hola! Muy buen post para “empezar” e interesante el análisis sobre el consentimiento, que en el ámbito de las relaciones laborales suele ser controvertido.
    Un saludo!
    (y muy agradecido por la mención)

    Responder

    • Luis Salvador
      25 de septiembre de 2012 @ 18:12

      Muchas gracias Joan… Espero que la cita a tu post no haya condicionado nuestra inclusión en tu lista de favoritos, jajajajaja…

      Un abrazo.

      Responder

  5. Alfonso Pacheco
    25 de septiembre de 2012 @ 19:26

    Muchas gracias, José Luís
    Esperamos que nos sigas por muuuuuuuuucho tiempo
    Un abrazo

    Responder

  6. Amedeo Maturo
    26 de septiembre de 2012 @ 09:30

    Esto es sólo el comienzo!!! Desde el primer día, un blog imprescindible. Complimenti!

    Responder

    • Alfonso Pacheco
      26 de septiembre de 2012 @ 10:39

      Muchas gracias, Amedeo
      Gran abrazo

      Responder

  7. Amedeo Maturo Senra
    8 de octubre de 2012 @ 12:33

    Hola,
    A propósito del BYOD, pregunto: El profesor que se compra el “cuaderno del profesor” (en papel) en el centro comercial nacional, ¿no está usando un BYOD?. Y ¿si el cuaderno es digital? En el primer caso, el “papel” se queda en casa (Dios mediante), pero en el segundo, los datos los tiene una empresa que te vende la aplicación.
    Ésta es Encargada del Tratamiento, pero ¿con quién firma el contrato? ¿Con el Centro docente, Responsable del Fichero? o ¿Con el profesor, Responsable del Tratamiento?
    Ya está, feliz lunes,
    Amedeo Maturo Senra

    Responder

    • fjaviersempere
      8 de octubre de 2012 @ 18:59

      Muchas gracias, Amedeo.
      Aplicando la “lopd” en sentido estricto tendría que firmarse entre el centro y la empresa, ya que a mi modo de ver el profesor sería un usuario, o quizás como dices, responsable.

      No obstante, partimos de que el aparato es del profesor y es materialmente imposible que el centro firme contratos con los encargados de cada uno de sus profesores. Esto es imposible, y te pongo un ejemplo de ayer mismo: cámaras de grabación en los antidisturbios. ¿le ponen una pegatina con el cartel amarillo de videovigilancia en cada casco? Absurdo.

      Lo que si creo es que la política de privacidad del que vende la aplicación -o más bien de ésta- fuese acorde a la LOPD, o al menos contuviese unos principios básicos de respecto (no usar los datos por ejemplo para marketing).

      Salu2.

      Responder

      • Amedeo Maturo Senra
        7 de noviembre de 2012 @ 09:09

        Hola, no estoy seguro que la analogía con la pegatina en el casco de los antidisturbios pueda aplicarse a nuestro caso, porque las cámaras (o eso espero) no son de los policías, sino del Ministerio de Interior.
        En todo caso, es cierto que hay que concentrarse en la seguridad de la aplicación, pero la empresa no deja de ser encargado del tratamiento de “alguien”. Y este “alguien” sólo puede ser del responsable del tratamiento (el profesor).
        El día en el que el Responsable del Fichero (Concejalía competente o centro privado) dicte normas sobre el uso de BYOD, puede que tengamos que replantearnos la estrategia legal; mientras tanto, sigo pensando que la solución menos mala es la relación contractual, art 12 lOPD en mano, seguirá siendo entre la empresa y el profesor.
        Sigo estudiando, sobre todo gracias a todas las aportaciones y reflexiones que leo en este blog.
        Un saludo,
        Amedeo Maturo

        Responder

Responder a Amedeo Maturo Senra Cancelar

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*