AD 163/2020
RESUMEN: La actual situación de crisis ha supuesto el aumento del uso del teletrabajo, y con ello, habrá que extremar la vigilancia respecto a la Protección de Datos. Ésta se debe proyectar en dos sentidos. Por un lado, en el ámbito laboral, porque puede ocasionar tensiones respecto a los derechos a la intimidad y al secreto de las comunicaciones de los trabajadores frente a las facultades del empleador. Por otro, el empleador deberá crear medidas de seguridad, que los trabajadores deben cumplir para evitar agraviar los derechos de los interesados y que se den fugas de información. Este es el objeto de reflexión del artículo.
Palabras clave: Teletrabajo/ Protección de Datos/ Derechos/ Medidas de seguridad
ABSTRACT : The current crisis situation has led to an increase in the use of teleworking, and with this, it will be necessary to be extremely vigilant with regard to Data Protection. This must be projected in two directions. On the one hand, in the field of employment, because it may cause tensions with respect to the rights to privacy and the secrecy of workers’ communications as opposed to the powers of the employer. On the other hand, the employer must create security measures, which workers must comply with in order to avoid infringing the rights of the data subjects and avoiding leaks of information. This is the subject of the article.
Keywords: Telework/ Data Protection/ Rights/ Security measures
Introducción
Debido a la crisis sanitaria producida por la Covid, las empresas y las Administraciones Públicas han tenido que recurrir a alternativas respecto a las formas de organización que hasta ahora se han aplicado en el ámbito laboral. Se ha generalizado de manera exponencial el teletrabajo como forma de resiliencia del tejido empresarial ante la situación de crisis. Conforme a los datos de la Nota de Prensa del INE, la utilización del teletrabajo se ha incrementado del orden de un 15%- datos previos a la pandemia- a un 48,8% en las empresas. Y viene para quedarse, ya que al menos una tercera parte de las empresas afirman que seguirán usándolo en el futuro, situación que en ningún caso puede considerarse baladí.
Si bien es cierto que el teletrabajo y el trabajo a distancia traen consigo un gran abanico de virtudes, debemos ser realistas y advertir que las empresas han empezado a utilizar esta modalidad de trabajo a marchas forzadas y que ello tiene consecuencias. Esta situación ha provocado, igualmente, que el Gobierno – también a marchas forzadas- tramitase por vía urgente la creación de nueva legislación en este sentido, cuyo fruto ha sido el Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia (en adelante, RDL 28/2020).
A la luz de la situación ante la que nos encontramos, parece interesante realizar un recorrido a través de ciertas cuestiones fundamentales respecto a la protección de datos en el ámbito del teletrabajo, proyectado no solo en relación a los derechos de los trabajadores, si no también a qué deberes conlleva y qué medidas deberían tomarse para no comprometer los datos que están utilizando, evitando brechas de seguridad.
I. Respecto al derecho de intimidad de los trabajadores
Es fundamental no dejar de lado los derechos que asisten a los trabajadores para no ver comprometida su intimidad en aquellos casos en los que se trabaje a distancia o a través de teletrabajo. Tanto en el artículo 20 bis del Estatuto de los Trabajadores como en el artículo 87.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de Derechos Digitales se recogió el derecho a la intimidad en el uso de los dispositivos digitales puestos a disposición de los trabajadores[1].
Nos encontramos en un escenario en el que pueden colisionar por un lado, los derechos a la intimidad y al secreto de las comunicaciones del artículo 18.1 y 3 de la Constitución Española, y por otro, el poder de vigilancia y control de la actividad laboral por parte del empleador, que se recoge en el artículo 20.3 del Estatuto de los Trabajadores y el artículo 22 del RDL 28/2020.
En el caso de empresas donde el empleador ponga a disposición de los empleados dispositivos digitales para desempeñar su trabajo, se considera que éste puede tener un interés legítimo en controlar el uso de tales dispositivos, con la intención de constatar que la plantilla esté cumpliendo con sus obligaciones laborables. Pero, vendrá condicionado, como pone de manifiesto la jurisprudencia del Tribunal Supremo[2], a que el empleador informe previamente de que se puede realizar tal control, de los medios que se adoptarán para garantizar la corrección de los usos, así como de las medidas que deben adoptarse para garantizar la correcta utilización de los dispositivos en el ámbito laboral. Es decir, debe existir un ejercicio de transparencia, y lo ideal sería que el empleador tuviese establecida una política sobre los usos de los sistemas de información y comunicación, en la que especifique claramente qué está o no permitido, para que los empleados no tengan expectativas razonables de intimidad respecto a aquellos medios que se le proporcionan, lo cual incluye la utilización del correo electrónico institucional o corporativo[3]. Pero no solo basta con establecer expresamente las prohibiciones y concesiones, sino que también deberá especificarse cuáles serán los controles que se ejercerán sobre los mismos.
No todo vale, tal control también tendrá que atender al análisis de necesidad, en el que se evalúe la proporcionalidad e idoneidad del tratamiento para evitar posibles intromisiones y que exista un equilibrio entre los derechos del empleado y las potestades del empleador.
¿Podrían los trabajadores utilizar sus dispositivos personales para las actividades laborales?¿Sería aconsejable? Sí que pueden usar sus propios dispositivos, aunque no sea la opción más recomendable. De hecho, en el trabajo presencial hay muchas empresas en las que se permite el uso de BYOD[4]. A pesar de las posibles ventajas que puede traer consigo el uso de los dispositivos personales -entre las que destaca el ahorro de costes en dispositivos y en desplazamientos-, existen grandes riesgos de que cualquier información que maneje el trabajador se vea comprometida. En estos casos no se podría solicitar a los empleados que instalen aplicaciones relacionadas con el control empresarial, más aún, teniendo en cuenta que el consentimiento, dentro de los tratamientos de datos en las relaciones laborales, no es considerado en la mayoría de los casos libre, pues viene condicionado por la posición jurídica superior que ostenta el empleador. Este tipo de tratamientos por tanto son completamente desproporcionados comprometiendo el derecho de intimidad de los trabajadores.
Sin embargo, y a sabiendas de que no sería la mejor opción, si el empresario se decanta por el modelo de uso de dispositivos personales, será fundamental la formación a los trabajadores en protección de datos, así como la existencia de protocolos de uso de los dispositivos en los que se establezcan medidas de seguridad claras y detalladas para intentar mitigar los posibles riesgos, así como la existencia de un protocolo concreto que permita identificar y notificar cualquier brecha de seguridad de la información[5].
II. Recomendaciones para reforzar la seguridad en situaciones de teletrabajo
Una vez adentrados en la tensión entre el derecho de intimidad de los trabajadores y el poder de vigilancia y control que asiste a los empleadores -que conlleva la recomendación de la creación de protocolos sobre los usos de dispositivos digitales- es interesante tratar de manera genérica algunas medidas de seguridad que podrían aplicarse para que el teletrabajo fuese más seguro, e intentar evitar que se den fugas de información o que los datos se vean comprometidos.
Entre las recomendaciones básicas para evitar estas situaciones destaca aquella que aconseja que el equipo esté protegido a través de un antivirus y un cortafuegos, así como que el software siempre esté actualizado de fuentes originarias u oficiales, evitando la descarga de programas fraudulentos. En caso de que el trabajador utilizase su dispositivo personal, es recomendable que separe su cuenta privada de la de la profesional, la cual debe proteger con un acceso restringido a través de contraseña, e igualmente, deberá bloquear la sesión cada vez que abandone la actividad, evitando posibles accesos de terceros no autorizados.
También es interesante establecer medidas respecto al almacenamiento de datos, por ejemplo, a través de pautas para la eliminación de documentos temporales, prohibiendo el uso de soportes externos o estableciendo protocolos de cifrado que garanticen la confidencialidad e integridad de la información.
El siguiente paso consistiría en elegir el método de acceso remoto para los trabajadores a la empresa, valiéndonos de conexiones a través de VPN, o a través de otros medios como escritorios virtuales o soluciones en la nube[6].
Los proveedores de servicios, en todo caso, deben ofrecer garantías suficientes. Es común que éstos tengan contratos tipo preestablecidos y que no podamos realizar un contrato de encargado de tratamiento para cada caso concreto, pero sí que podemos asegurarnos de que tal contrato cumple con las garantías suficientes y que se establece la implementación y mantenimiento continuo de las medidas técnicas y organizativas en los términos establecidos por el RGPD. Deben establecerse claramente, entre otras, las posibles responsabilidades, el cifrado de extremo a extremo, el cumplimiento de un protocolo de brechas de seguridad, protocolos para asegurar la continuidad del servicio, la especificación de la localización de la información, si se cuenta con encargados para el subprocesamiento y si se cumplen el resto de medidas técnicas y organizativas. Será importante comprobar la adhesión de los proveedores a códigos de conducta -en los términos del artículo 41 del RGPD- así como los mecanismos de certificación con los que se cuenta -conforme al artículo 42 del RGPD-.
Una vez elegido el medio de trabajo, se deben establecer permisos específicos de acceso a la información por parte de los trabajadores, quedando registrada a través de autenticación del usuario cualquier acceso a los datos y posibilitando la detección de cualquier intento de acceso no autorizado a la información, por ello, debe establecerse protocolos en los que se especifique cómo deben administrarse las contraseñas así como la identificación y actuación ante brechas de seguridad. Debemos tomar como base la formación e información de los empleados para asegurar que el teletrabajo sea lo más seguro posible para los datos personales.
Queda claro que la situación actual no es fácil de abordar en ninguno de los sentidos, la protección de datos personales en la empresa no queda al margen, pero no por ello deben descuidarse aquellas medidas necesarias para garantizar los derechos de intimidad y secreto de las comunicaciones de los trabajadores, así como de aquellos otros que asisten a los interesados, y es que ante una situación adversa sobrevenida deben de tomarse medidas paliativas que redunden en posibilidades futuras y que no suponga un retroceso.
Bibliografía
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantías de los derechos digitales. Boletín Oficial del Estado, 6 de diciembre de 2018, núm. 294, p. 119788.
Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores. Boletín Oficial del Estado, 24 de octubre de 2015, núm. 255.
Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia. Boletín Oficial del Estado, 23 de septiembre de 2020, núm. 253, p.79929
INCIBE “Seguridad en el teletrabajo: una guía de aproximación al empresario” 15/07/2020 (última consulta: 05/10/2020). Disponible en: https://www.incibe.es/protege-tu-empresa/guias/ciberseguridad-el-teletrabajo-guia-aproximacion-el-empresario
INE “Indicador de Confianza Empresarial (ICE) Módulo de Opinión sobre el Impacto de la COVID-19 Estado de alarma y segundo semestre de 2020” 10/07/2020 (última consulta: 05/10/2020). Disponible en: https://www.ine.es/daco/daco42/ice/ice_mod_covid_0320.pdf
[1] Derecho que se extiende también a los empleados públicos, como manifiesta el artículo 14.j bis) del RDL 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público.
[2] STS de 26 de Setiembre de 2007 (ROJ: STS 6128/2007)
[3] Respecto al uso de correo electrónico, es recomendable tener en cuenta la «Recomendación 1/2013, sobre el uso de correo electrónico en el ámbito laboral» de la Autoridad Catalana de Protección de Datos.
[4] Bring Your Own Device es aquella tendencia en la que se permite el uso de dispositivos personales para usos personales
[5] Es recomendable tener en cuenta la «Guía de dispositivos móviles para uso profesional (BYOD): una guía de aproximación para el empresario» de INCIBE
[6] Para ello, puede ser de utilidad el Informe de Buenas Prácticas “CCN-CERT BP/18 Recomendaciones de Seguridad para situaciones de teletrabajo y refuerzo en vigilancia«
Graduada en Derecho (UGR, 2018), Máster Universitario en Protección de Datos (UNIR, 2019).
Actualmente, desarrollo mi actividad como Consultora y Auditora en Protección de Datos en
CABERSEG.
LinkedIn: https://www.linkedin.com/in/ángela-fernández-antequera-bbb918165
