Caso de estudio:

Empresario preocupado por la productividad de sus trabajadores en su empresa quiere implantar una serie de medidas de control. Plantea prohibir el acceso a redes sociales y el uso de los ordenadores de la empresa con tareas que pueden perjudicar la productividad.

Premisa:

Planteamos al empresario reflexionar sobre el hecho de que limitar ciertos servicios o accesos podría incluso ser contraproducente para su actividad. La información obtenida en internet es importante en cualquier empresa, por lo que limitar a los trabajadores estas herramientas de trabajo podría tener mas inconvenientes que beneficios. Además, un trabajador avezado puede saltarse esas limitaciones sin dificultad, frustrando el propósito del empresario.

Solución propuesta:

A nivel técnico.

Para controlar la productividad de los trabajadores se debe empezar por conocer en detalle las capacidades y alcance de los medios tecnológicos de la empresa. Entenderemos por Medios Tecnológicos cualquier dispositivo hardware o software que pueda estar implicado en el proceso de producción de la misma.
En líneas generales, recomendamos realizar un inventario de todos los medios tecnológicos propios de la empresa, identificarlos de manera unívoca y conocer sus capacidades.
Igualmente, se deberá crear y mantener un registro en que figure a qué trabajador se le ha asignado cada medio (ordenador, tableta, cuenta de correo, móvil, etc.).

A nivel legal. Cumplimiento normativo (Compliance).

Realizado tal inventario, se deberá asegurar tener correctamente implementadas las medidas en materia de Protección de Datos (que no serán objeto de este estudio) perfectamente adecuadas a la actividad de la empresa. Como sugerencia, estas medidas deberían orientarse conforme al Reglamento Europeo de Protección de Datos, que comenzará a aplicarse el 25 de mayo de 2018.
Previamente a la entrega o asignación de los medios tecnológicos, deberá notificarse a todos los trabajadores que:
1. Tales medios son propiedad exclusiva y excluyente de la empresa.
2. Está prohibido utilizarlos con fines privados (prohibición avalada por Tribunal Supremo, Constitucional, Europeo de Justicia y la Agencia de Protección de Datos).
3. Tales Medios pueden ser monitorizados por la empresa con fines de controlar la productividad y el regular funcionamiento de la misma, evitar la comisión de delitos, etc, en definitiva, asegurar la continuidad del negocio.

El cauce para notificar todo esto debe ser, obligatoriamente, un contrato específica y meticulosamente diseñado para no infringir ninguno de los derechos de los trabajadores y acorde a la jurisprudencia.

Pero no basta con firmar un contrato, sino que el empresario debe conocer las características de los medios tecnológicos y los límites legales y, en función de aquellos, disponer las medidas necesarias para que tales límites no se vean superados (niveles de usuario, controles de acceso, etc).

A este respecto, dado que cada empresa tiene un esquema de medios tecnológicos propio, requerirá un contrato confeccionado ad hoc, por lo que no es recomendable la fórmula del copy and paste. En la práctica se están dando casos donde la utilización de un contrato extraído de Internet, aplicado sin criterio en una empresa ha acabado en sanciones de la Agencia de Protección de Datos o, en los casos más graves, en sanciones penales por la comisión de delitos de violación del secreto de las comunicaciones.

Errores frecuentes: que “un contrato salva cualquier situación” o que “la tecnología por sí sola es suficiente”. El mejor contrato no sirve de nada sin un adecuado uso, configuración y control de los medios tecnológicos. Los mejores medios tecnológicos estarán fuera de la ley si no son correctamente auditados y adaptados al marco legal concreto (leyes y contratos). Las consecuencias podrían llegar a acabar con la empresa.

El contrato debe especificar, de manera muy concreta, qué medios tecnológicos se está poniendo a disposición del trabajador, qué actividades están prohibidas y cuales permitidas, enumerando unas reglas de uso claras y transparentes.

Intimidad del trabajador y control de medios tecnológicos. Límites.

El Tribunal Constitucional, en Sentencia de 7 de octubre de 2013, ha señalado claramente: no hay violación de la privacidad cuando la titularidad de la herramienta comunicativa es del empresario, el momento en que se utilice es la jornada laboral o se utilice el correo corporativo, además de que todo esto haya sido correctamente notificado al trabajador.

Limitaciones: ningún contrato puede suponer la renuncia a derechos fundamentales, pues tal renuncia sería nula y por tanto se tendría por no firmada.

Precaución: la Sentencia del Tribunal Supremo de 16 de junio de 2014, Sala de lo Penal, señaló que el control por parte del empresario de los medios tecnológicos de la empresa no puede vulnerar el secreto de las comunicaciones, siendo necesaria la autorización judicial para acceder a material sujeto a tal secreto.

Aplicación práctica: ante un problema con un trabajador, la obtención de la prueba debe tener en cuenta estas premisas, so pena de incurrirse en un delito de violación del secreto de las comunicaciones. Por regla general, se entiende que ha existido violación (y por tanto un delito) en caso de accederse a un correo no abierto por el trabajador.

Cuestión técnica: demostrar que el correo intervenido fue leído, pero se devolvió al estado de “no leído”, requiere la adecuada obtención de la pertinente prueba, a cuyo fin ayuda la propia Sentencia al establecer que el secreto de las comunicaciones no abarca los datos de tráfico y los mensajes recibidos y abiertos por su destinatario, porque no forman parte de la comunicación. Los logs de registro juegan en este caso un importante papel, pero, siempre que nos encontremos ante un excelente dimensionamiento, configuración y control (tecnológico y legal) de los medios tecnológicos.

En todo caso deberá atenderse a que la obtención sea proporcional al fin perseguido, porque, por ejemplo, no haya otra medida más adecuada de obtención de pruebas, según la ocasión.

BYOD (Bring Your Own Device). Utilización de medios tecnológicos privados del trabajador para la actividad de la empresa.

Nos referimos al uso por parte del trabajador de sus propios dispositivos con aplicación laboral.
Regla genérica: Jamás se podrá acceder sin autorización judicial a tales medios tecnológicos (teléfonos móviles, ordenadores, tabletas, etc).

Sin embargo, no se considerará vulneración del secreto de las comunicaciones si el trabajador ha sido debidamente notificado, como se ha explicado anteriormente, y se ejerce control sobre una cuenta de correo (por ejemplo) que es propiedad de la empresa pero que ha sido configurada en el terminal propiedad del trabajador.

Una buena recomendación en este caso es que la empresa tenga correctamente diseñadas, explicadas y notificadas las reglas de uso de cuentas de correo de la empresa configuradas en terminales privados.

Y la mejor de las recomendaciones es actuar siempre con sentido común, proporcionalidad y responsabilidad.

Francisco Rico.

Twitter: @Curro_Rico
Abogado especializado en Derecho Tecnológico y Seguridad Informática. Bufete MERCURE·HUB.