martes, 19 de noviembre de 2013

Políticas BYOD: ¿A favor o en contra?

Ha llovido mucho desde que en el año 2007 el Tribunal Supremo dictó aquella famosa sentencia que permitía el control del empresario sobre el uso que hacían los trabajadores de las herramientas informáticas facilitadas para el desarrollo de sus funciones, sin aplicar el régimen establecido en el art. 18 del Estatuto de los Trabajadores. Este artículo, como sin duda saben, determina que “sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo”. Además indica que, en la realización de estos registros, "se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa".

Hasta la sentencia del 2007, algunos tribunales habían considerado que cualquier acceso al correo electrónico corporativo de un empleado debía cumplir los requisitos arriba expuestos. Otros, no. Por eso, cuando en una organización se planteaba esta posibilidad por cualquier motivo (despido, sospechas de conducta desleal, etc), si se solicitaba antes asesoramiento legal, se llegaba a la conclusión de que el derecho no sirve para nada. En última instancia, como aquel personaje de Tennessee Williams, siempre había que confiar en la bondad de los desconocidos (en este caso, el juez).

La sentencia del 2007 fue muy importante porque unificó doctrina, pero tampoco se crean que permite un control libre y desproporcionado. Una de las principales consecuencias que sacamos de su lectura es la necesidad de que, por parte de la empresa, se informe a los trabajadores de los usos aceptados y prohibidos de las herramientas que la empresa pone a su disposición, así como de la posibilidad de efectuar controles sobre los mismos. En conclusión, resulta básico aprobar Políticas de Uso de Herramientas Informáticas. En este blog, hace mucho tiempo, ya les facilité un ejemplo sencillo de este tipo de documentos. Al principio, una parte fundamental de su contenido consistía en reglas de uso de correos electrónicos, navegación por Internet, trabajo en carpetas de red y utilización de equipos portátiles fuera de la empresa.

Ahora las Políticas de Uso de Herramientas Informáticas han variado sustancialmente su contenido. Piensen, por ejemplo, que un empleado ya no necesita usar la conexión a Internet de la empresa para leer durante dos horas el periódico o enviar correos electrónicos, o para conectarse a redes sociales en las que puede hablar de la empresa y colgar fotografía de reuniones o nuevos productos que todavía no se han hecho públicos. Por otro lado, las herramientas que una organización facilita no se limitan ya a los portátiles para asistir a reuniones o trabajar en las oficinas de clientes. Y lo que es peor, en algunos entornos se fomenta el uso de equipos que no pertenecen a la compañía, sino al propio trabajador (“Bring Your Own Device - BYOD” o “Tráete tu propio dispositivo”).

En definitiva, y desde el punto de vista jurídico, nos encontramos en un escenario en el que el control del empresario sobre la actividad de sus empleados cada vez es más difuso, porque el trabajador prescinde de herramientas corporativas para usar las propias (ya sea un perfil personal en una red social o una tablet que se trae de casa). Las normas por la Sentencia del 2007 ya no nos sirven como referencia en todos los supuestos. Habrá que esperar a ver por dónde sale la nueva jurisprudencia.

En fin, en todas las organizaciones siempre habrá alguien que proponga dejar a los trabajadores utilizar sus propios equipos por cualquier motivo (porque mejora el rendimiento del personal permitiendo un entorno de trabajo más flexible, porque los dos tipos raritos del Departamento Creativo insisten en utilizar sus Macs, porque reduce costes que el empleado use su propio móvil en lugar de darle uno de empresa, por lo que sea). Si Ustedes acaban rindiéndose a los argumentos pro-BYOD, quizás estén interesados en leer estos consejos:

1º. Mi primera recomendación es de sentido común. No en todos los tipos de organizaciones y en todos los tipos de trabajo las políticas BYOD son una buena opción. Antes de decidirse a permitir que todos los empleados de la compañía utilicen sus propios dispositivos, analice las ventajas y riesgos que ello supone en cada área concreta. La norma general debe ser la prohibición de dispositivos propios, salvo en determinados casos y con la debida autorización. De hecho, en algunos puestos de trabajo, se debería desincentivar el acceso a recursos corporativos desde equipos personales.

Un ejemplo: Un médico trabaja dos días a la semana en un hospital, además de ejercer en su propia consulta. Este médico encuentra más cómodo utilizar su propio ordenador portátil, en lugar del equipo fijo del hospital (un ordenador antiguo que no funciona bien y que no quieren cambiarle por falta de presupuesto). Por ello, solicita que se le configure un acceso a la aplicación de gestión de las historias clínicas del centro en su portátil. Su idea es utilizar el mismo equipo en su consulta privada y almacenar en un único archivo de su disco duro documentación clínica de interés para analizarla en su domicilio los fines de semana. Poco hay que añadir...

2º. Se debe ser consciente, en todo caso, de que el dispositivo o el equipo utilizado no pertenece a la empresa, y que el trabajador no sólo podrá sacarlo del lugar de trabajo, sino que podrá emplearlo también para fines privados (e incluso,compartirlo con familiares o con terceros ajenos a la empresa). Muchos de los riesgos de seguridad asociados al teletrabajo los encontraremos también en este supuesto. En este caso, resulta muy importante advertir al trabajador de la necesidad de separar la información que almacene de la empresa de los documentos personales.

3º. Y hablando de la documentación corporativa almacenada en dispositivos propios, cuanto menos sea y por menos tiempo, mejor. Se debe concienciar a los trabajadores para borrar periódicamente los documentos de la empresa que guardan en sus propios equipos.

4º. Si bien las medidas de seguridad concretas dependerán en gran medida del tipo de dispositivo que se utilice (no es lo mismo acceder al correo corporativo desde un móvil propio que llevarse al trabajo un portátil personal y conectarlo a la red de la compañía), hay dos aspectos básicos: El uso de contraseñas de acceso adecuadas y la encriptación de las carpetas.

5º. Nunca está demás exigir a los empleados, que si desean utilizar dispositivos propios, autoricen a los servicios técnicos de la empresa realizar determinados mantenimientos sobre los mismos. Esto, como mínimo, desincentivará las peticiones de uso por parte de los empleados, lo cual de por sí ya puede considerarse un aspecto positivo.

Para terminar, les recomiendo dos documentos de interés sobre Políticas BYOD: Un artículo de Dª María González y la Guía elaborada por el ICO (la autoridad británica de protección de datos) sobre este particular. .

Y síganme en Twitter, que me hace ilusión: @AdEdictum.

No hay comentarios: