BYOD imparable ¿riesgo controlable?

La aplicación de las nuevas tecnologías en todas las esferas de nuestra vida es imparable. Estamos todo el día pegados a nuestros dispositivos (smartphones, tablets, etc.) y nos resulta tan difícil desprendernos de ellos que nuestros ámbitos de actividad personal y laboral acaban entrelazados y resultan difíciles de separar. Esta circunstancia está cobrando especial relevancia en el ámbito de las relaciones laborales donde la utilización de estas tecnologías de “doble uso” plantea nuevas situaciones que deben ser objeto de consideración cuidadosa a fin de compatibilizar las ventajas que proporciona con el respeto a los derechos de las partes implicadas.

Una de las tendencias que el uso de las nuevas tecnologías está fomentando en la esfera empresarial es la denominada BRING YOUR OWN DEVICE (“trae tu propio dispositivo”) también conocida por su acrónimo BYOD. Conforme a la misma, las empresas permiten que los empleados utilicen sus propios dispositivos personales como herramientas de trabajo, facilitando la conexión a las redes corporativas y autorizando su “uso mixto” tanto para fines personales como corporativos.

La implantación de programas de este tipo en las empresas conlleva una serie de importantes ventajas, pero al ser distintas las reglas de juego, también requiere que se preste especial atención al tratamiento de una serie de aspectos para evitar que acarreen problemas e inconvenientes.

Como beneficios suelen señalarse:

• La mayor productividad que aportan a la organización, derivada del mayor grado de satisfacción mostrado por los trabajadores ya que trabajan más cómodos con unos dispositivos plenamente adaptados a sus preferencias.
• La flexibilidad que para el trabajador comporta su utilización facilitando su movilidad y disponibilidad.
• El ahorro de costes que puede suponer.

Sin embargo, no deben perderse de vista determinadas desventajas entre las que destacan:

• El riesgo que un mal uso de estos sistemas puede representar para la seguridad de la información de la empresa o
• El coste adicional derivado de la implantación de los mecanismos necesarios para garantizar un nivel apropiado de seguridad que proteja el acceso a los sistemas y la información de la empresa.

Lo cierto es que se trata de un fenómeno frente al que a las empresas les resulta cada vez más difícil oponerse ya que la realidad del comportamiento de los usuarios lo está imponiendo. Por ello resulta imprescindible que la empresa contemple, dentro de las políticas que tenga implantadas para controlar el uso de sus medios tecnológicos, los requisitos que la utilización de estos dispositivos deberá observar para poder evaluar y controlar adecuadamente el nivel de riesgo que puede surgir en este entorno sin renunciar a las ventajas que además puede aportarle.

En este sentido deben considerarse tres grandes grupos de materias:

1.- Riesgos para la seguridad. El uso de los dispositivos personales de los empleados para sus tareas laborales supone un riesgo añadido para la estructura TIC de la empresa que debe ser especialmente analizado y controlado. Y no solo por la posibilidad de que se produzca una fuga de información sensible sino también porque pueden ser la puerta de entrada de ataques dirigidos contra los sistemas de la empresa. Por este motivo es imprescindible implantar medidas de seguridad específicas dentro del programa general de control de la seguridad de los medios tecnológicos de la empresa, así como concienciar a los usuarios de los riesgos que comportan e involucrarlos en su detección y control.

2.- Riesgos para la privacidad. En este ámbito debe tenerse en cuenta:

• La necesidad de que los dispositivos personales que tengan acceso a datos de carácter personal manejados por la empresa cuenten con medidas de seguridad del mismo nivel que las que la empresa debe tener implantadas en todos sus dispositivos para cumplir las obligaciones impuestas por la normativa de protección de datos ya que la empresa debe poder controlar y evitar los riesgos de incumplimiento que pudieran serle imputados en este ámbito.
• El ejercicio de las funciones de control que le corresponden al empresario podría provocar en ciertos casos una invasión de la privacidad del empleado por cuanto que el dispositivo es de su propiedad y por tanto contiene información de carácter personal. En este sentido sería recomendable que se pudieran establecer mecanismos de separación de la información personal y laboral contenida en los dispositivos a fin de poder aplicar a cada categoría la normativa correspondiente respetando los límites establecidos legalmente.

3.-Riesgo de vulneración de derechos fundamentales. Con base en el art. 20 del Estatuto de los Trabajadores el empresario puede ejercer su facultad de control sobre los trabajadores y el uso que éstos hacen de los medios informáticos que la empresa pone a su disposición para desempeñar su actividad. Las herramientas proporcionadas por las nuevas tecnologías facilitan este ejercicio, ahora bien, si no se lleva a cabo adecuadamente puede implicar una vulneración de derechos fundamentales. Por este motivo es preciso extremar la cautela en este ámbito.

Nuestra jurisprudencia, y así lo confirma recientemente la sentencia de 12 de enero de 2016 dictada por el Tribunal Europeo de Derechos Humanos en el asunto Barbulescu, ha establecido la licitud del control realizado por la empresa de los dispositivos informáticos que pone a disposición de sus empleados para desarrollar su actividad profesional y que el mismo no supone una violación del derecho al respeto a la vida privada y familiar del trabajador.

Asimismo, a falta de normativa específica sobre esta cuestión, ha venido configurando unos límites a esta facultad de control empresarial con el objetivo de evitar que afecte a derechos fundamentales tales como el derecho a la intimidad o al secreto de las comunicaciones (además del derecho a la protección de datos referido anteriormente) consagrados en el artículo 18 de nuestra Constitución. Reiterada doctrina del Tribunal Constitucional establece que la existencia de una relación laboral no puede legitimar recortes en el ejercicio de estos derechos fundamentales sino únicamente modularlos aplicando medidas restrictivas de manera excepcional y únicamente si superan un triple test de proporcionalidad, para lo que deben ser idóneas, necesarias y proporcionales.

El sistema BYOD supone la introducción de un nuevo elemento en este contexto. Según el Tribunal Supremo la clave para configurar los límites al poder de vigilancia del empresario se encuentra en la titularidad de los medios de trabajo y en la finalidad perseguida. Sin embargo, ahora nos encontramos con una situación diferente puesto que en un sistema BYOD los medios no los pone la empresa sino que son propiedad del trabajador. Y en este caso surgen dudas. p.ej. ¿tendrían la misma consideración que otros elementos personales del trabajador a la hora de ejercitar la facultad de control? En este caso el control debería fundamentarse no en el art. 20 del Estatuto de los Trabajadores sino en el régimen más garantista del art. 18 del mismo texto legal que únicamente permite el control por el empresario de elementos personales del trabajador en circunstancias excepcionales, lo que dificultaría su control ordinario como sucede cuando los medios informáticos los proporciona la empresa. Sería pues necesario establecer una nueva articulación del sistema de garantías a este nuevo entorno.

La adecuada evaluación y control de estos riesgos contribuirá a que la empresa pueda proporcionar una respuesta eficiente a la incorporación a su infraestructura TIC de esta imparable tendencia BYOD permitiéndole beneficiarse de todas sus ventajas.

Mª Isabel Carmona González, abogado

Miembro de ENATIC