Mucho se ha escrito y debatido sobre la problemática del uso personal de los medios informáticos de propiedad del empresario (ordenador, email, Internet) y su incidencia en los derechos fundamentales del trabajador (Vid. por ejemplo, Desdentado Bonete/Muñoz Ruiz). Pero, ¿qué ocurre cuando es el trabajador quien utiliza sus propios dispositivos electrónicos (móvil, memoria USB, ordenador, etc.) para fines profesionales? Esta práctica se denomina “Bring your own device” (BYOD) y se refiere a que el trabajador accede con sus medios electrónicos a las aplicaciones corporativas como el email o bases de datos y almacena y trata datos de la empresa así como de los clientes de ésta.
Conviene aclarar que nos referimos a prácticas consentidas por el trabajador ya que la norma laboral no exige que éste facilite estos datos (teléfono, email) al empresario al que presta sus servicios. Es decir, dicho tratamiento excedería de lo permitido por la normativa de protección de datos, y en concreto, de la legitimación empresarial en base a la ejecución de un contrato de trabajo (arts. 6-7 y 9 del RGPD y arts. 6 y 9 LOPDGDD). Luego, se precisa del consentimiento del trabajador que podrá oponerse posteriormente a su tratamiento ejerciendo los derechos de oposición o supresión. Así lo ha confirmado la Sentencia del Tribunal Supremo de 21 septiembre de 2015 (Rº 259/2014) y, también, la Sentencia de la Audiencia Nacional de 6 de febrero de 2019 (Procedimiento nº 0000318/2018) ya comentada en este Blog. Esta última Sentencia resolvió el conflicto colectivo del grupo de repartidores de Telepizza que mostraron su oposición a la cláusula en el contrato de las nuevas contrataciones conforme a la cual los repartidores serían geolocalizados cuando realizasen tareas de reparto mediante una app descargada en sus teléfonos móviles personales. Concluyó la Audiencia Nacional que la aportación de un teléfono móvil con conexión de datos para desarrollar el trabajo en los términos descritos supone un manifiesto abuso de derecho empresarial, ya que quiebra con la ajenidad en los medios que caracteriza el contrato de trabajo (art. 1.1 ET).
Las ventajas para la empresa (ahorre de costes) y para los empleados (flexibilidad, satisfacción) son las razones principales de esta tendencia especialmente en las pequeñas empresas. Pero, ¿realmente no tiene coste para el empresario? El hecho que los trabajadores se conecten desde sus dispositivos a la red corporativa puede conllevar brechas de seguridad. Primero, la integración de dispositivos privados en la red corporativa facilita intrusiones de software maliciosos (virus, troyanos, etc.). Segundo, esta práctica también incrementa la posibilidad de pérdida y robo de datos. En este sentido, el CERT Gubernamental español, que forma parte del Centro Nacional de Inteligencia (CNI), realizó una encuesta a empleados BYOD. Según el CERT, “el dato más preocupante es que cerca de la mitad de los encuestados no manejan la información corporativa de forma cifrada en su dispositivo personal, incluso el 15,6% dice no saber cómo se debe manejar dicha información” (Riesgos y amenazas del Bring Your Own Device (BYOD)). Este tipo de trabajadores podría llegar a conectarse a redes desconocidas inseguras haciendo posible, sin quererlo, que se produzcan sobre sus dispositivos “ciberataques de tipo man-in-the-middle, que podrían interceptar e incluso modificar los datos en tránsito”. Para evitar esta consecuencia, la primera medida de seguridad que recomienda el CERT es “usar mecanismos de cifrado fuerte”, tales como el uso de redes privadas virtuales o VPN y sistemas de cifrado de datos.
No resulta aplicable a estas situaciones novedosas la doctrina judicial sobre la legitimidad del control del ordenador y correo electrónico profesional por parte de la empresa que se apoya en que se trata de medios que son de su propiedad y que la empresa facilita al trabajador para utilizarlos en el cumplimiento de la prestación laboral (Vid. STS de 26 de septiembre de 2007, Rº 966/2006). Ahora bien, parece claro que el empresario conserva su condición de responsable de aquellos datos que forman parte de su actividad empresarial (por ejemplo, datos de clientes). En este sentido, tal y como apunta el Grupo Europeo de Trabajo del artículo 29, el control de la localización y tráfico de tales dispositivos podría ser considerado interés legítimo para proteger los datos de carácter personal de los que es responsable el empresario. Sin embargo, este control podría ser ilegal si trata datos relativos a la vida personal y familiar del empleado. Con el propósito de prevenir el control de información privada, se aconseja adoptar medidas dirigidas a delimitar entre el uso privado y profesional de los dispositivos (Opinion 2/2017 on data processing at work-wp 249). En este sentido, las empresas y entidades públicas deberían recoger medidas para proteger los datos corporativos y los personales de los empleados, entre ellas, formación a los trabajadores sobre esta materia. Al respecto, ya existen algunos ejemplos en el ámbito de la enseñanza donde se observa un uso elevado de esta práctica por parte de los profesores/investigadores debido a su movilidad (Universidad de Valencia).
Al ser una herramienta de uso mixto, se plantean otros problemas que también deberían ser objeto de reflexión. Por ejemplo, ¿Quién asume los gastos de mantenimiento o reparación de los dispositivos electrónicos? En algunos países, se ha abordado esta cuestión en la normativa atribuyendo este coste a la empresa. Sirva de ejemplo la regulación de algunos Estados americanos (California, Illinois, entre otros). En nuestro país, resulta aconsejable que la negociación colectiva fuera incluyendo contenidos vinculados con esta práctica laboral. Siguiendo con este planteamiento, desde los sindicatos ya se han formulado propuestas interesantes al respecto. Sirva de muestra el informe de UGT-FICA que sugiere la siguiente cláusula: “En caso de que un dispositivo o equipo de uso compartido entre la empresa y el trabajador/a sufra un deterioro, pérdida, necesidad de actualización,… el coste recaerá exclusivamente sobre la empresa, sin deber de repercutirse al trabajador/a ni de forma directa ni indirecta” (Guía de Buenas Prácticas. Digitalización y Conectividad, 2019).
En definitiva, sería muy deseable que las empresas y entidades públicas que aplican BYOD pongan en práctica el principio de seguridad proactiva presente en el RGPD y revisen sus políticas de protección de datos para incluir y regular esta problemática mostrando así una especial diligencia en el cumplimiento de sus deberes de protección de datos.
