Conócenos

Uso de dispositivos móviles privados con finalidades empresariales Bring Your Own Device -BYOD-

Por Rocío de Rosselló Moreno

Abogado asociado Responsable del Departamento Nuevas Tecnologías Información y Comunicación (TIC) en CR Consultores Legales

  • Imprimir

1. Introducción

    La revolución tecnológica en la que estamos inmersos y que avanza vertiginosamente, permite acceder mediante cualquier dispositivo privado o profesional (Smartphone, Tablet, Laptop, etc.) a incontable información ubicada en Internet, en la nube o en servidores de la empresa, ya sea con finalidades privadas o profesionales.

    Numerosos artículos doctrinales y jurisprudencia regulan el uso de estos dispositivos propiedad de la empresa puestos a disposición del trabajador para incrementar su eficiencia y productividad en el trabajo, definiendo los límites y usos permitidos.

    Sin embargo, escasa casuística ha contemplado el uso de los dispositivos móviles privados con finalidades empresariales y asociado la facultad de control del empresario sobre aquéllos, siempre que se encuentren configurados de forma separada a la propia información privada que alberga el dispositivo. En este sentido, con la tecnología actual existen diversas aplicaciones informáticas que permiten la configuración a medida del dispositivo particular con acceso a información empresarial ubicada en servidores de la empresa o en la nube, y que en muchas ocasiones recibe el carácter de reservada y/o se encuentra protegida por el secreto empresarial.

    2. Normas técnicas y de seguridad

      Ante el dilema que se plantean las empresas a raíz de la proliferación de los Smartphone privados, sobre permitir o no al trabajador el acceso mediante la configuración de su dispositivo móvil a los recursos de la empresa, tales como el correo electrónico corporativo, servidores de archivos, bases de datos, aplicaciones, datos corporativos y el acceso y almacenamiento de datos personales. Lo primero que han de cuestionarse las empresas es si realmente el acceso a los recursos de la empresa va a incrementar la eficiencia del trabajador en el desempeño de sus funciones o por el contrario, si dicho acceso y los costes de seguridad asociados a la configuración de los dispositivos, no merece la pena asumirlos por el escaso retorno de la inversión efectuada y los riesgos de fuga de información empresarial.

      Es incuestionable, que en caso de permitir a los trabajadores el acceso vía dispositivo móvil privado a información de la empresa, dicho acceso debe quedar regulado en un documento donde se definan aspectos tan sustanciales como los requisitos técnicos y de seguridad, las obligaciones y usos permitidos, la adopción de posibles medidas de vigilancia y control corporativo sobre los recursos de la empresa accesibles vía dispositivo móvil privado, así como, el posible borrado remoto de la información en caso de pérdida del dispositivo, baja en la empresa, sospechas de violación de secretos empresariales. Todo ello dentro de los límites de la legalidad vigente sin vulnerar el derecho a la intimidad ni el derecho al secreto de las comunicaciones del trabajador recogidos en la Constitución Española.

      Los dispositivos móviles privados que permiten el acceso a los recursos y el tratamiento de datos personales, deberán cumplir con los requisitos técnicos y de seguridad que a tal efecto establezca en cada momento la empresa y sujeto al estado de la tecnología y que como mínimo suponen los siguientes:

      1. instalar un programa antivirus permanentemente actualizado.
      2. instalar herramientas informáticas de gestión corporativa que integren los dispositivos móviles permitiendo la gestión de identidad del trabajador, identificándolo y autenticándolo en el acceso y en el uso de las aplicaciones de la red corporativa, de los datos corporativos y el cifrado de la información cuando se acceda a los servidores de la empresa y en general, en el acceso y uso de los recursos y en el acceso y tratamiento de los datos personales.
      3. instalar, si es posible y aplicado al caso concreto, las herramientas informáticas independientes o contenedores separados que permitan el cifrado de la información y de las comunicaciones, la monitorización del uso, el bloqueo y/o borrado remoto de la información almacenada para los casos de robo del dispositivo o finalización de la relación con la empresa.

      3. Obligaciones del usuario y responsabilidades

        El usuario deberá usar el dispositivo móvil de conformidad con unos estándares de buenas prácticas, en la medida en que conviven en el mismo dispositivo información personal e información empresarial.

        Un resumen de buenas prácticas se asociaría a las siguientes conductas:

        1. no usar el dispositivo móvil privado para transmitir contenidos, material e información que sean ilegales, contrarios a la moral, al orden público, inapropiados o nocivos para los menores; que atenten contra la dignidad o los derechos humanos; que inciten induzcan o promuevan hechos delictivos, difamatorios, discriminatorios; que violen los derechos de propiedad intelectual e industrial de terceros o los derechos asociados a su imagen; que atenten contra la intimidad y el derecho al honor; que induzcan a error grave o que por cualquier motivo, el usuario no tenga derecho a transmitir o a hacer público porque sea susceptible de protección legal; que viole secretos mercantiles o de otro tipo; que infrinjan el derecho de secreto de las comunicaciones; que constituyan publicidad ilícita, desleal, incluida la publicidad on-line, etc., en forma de mensaje masivos de tipo publicitario (“spam”) o piramidal, o correo basura; que impida el uso regular de los recursos por otros usuarios; que vulneren la normativa sobre protección de datos; que puedan introducir virus o cualquier otro elemento, que pueda dañar o impedir el normal funcionamiento de los recursos de la empresa o de terceros.
        2. guardar el secreto profesional de forma indefinida sobre la información confidencial sensible, reservada, y/o de valor comercial para la empresa que le haya sido revelada o a la que haya tenido acceso a través del dispositivo móvil con motivo de la relación con la empresa. Obviamente, se ha de determinar en el documento qué tipo de información recibe el carácter de confidencial y/o es susceptible de constituir un secreto empresarial.
        3. En caso de incumplimiento el trabajador respondería de los daños y perjuicios que pudieran ocasionarse a la empresa con ocasión del incumplimiento, sin perjuicio de las acciones que pueda entablar la empresa.

        En este sentido, especial precaución debe tener el trabajador cuando se baja aplicaciones (“aps”) en sus dispositivos móviles privados, ya que estás pueden afectar a los recursos de la empresa si aquéllas no reúnen las suficientes garantías en materia de seguridad y también cuando permite que terceros en el entorno familiar usen dichos dispositivos con finalidades privadas.

        4. Control empresarial sobre dispositivos móviles privados

          La primera cuestión a considerar, es si sería legítimo el establecimiento de medidas de vigilancia y control por parte del empresario sobre los recursos de la empresa accesibles vía dispositivo móvil privado, siempre y cuando puedan configurarse técnicamente en contenedores separados y de modo diferenciado.

          La era de la sociedad de la información que estamos viviendo implica la eliminación de las barreras físicas, de las oficinas, del papel y la apuesta por el teletrabajo, el e-cloud y la prestación de servicios de forma telemática. Por lo que ya en la actualidad, es cada vez mayor el número de trabajadores que puedan acceder a los recursos de la empresa, ya sea mediante dispositivos proporcionados por la propia empresa o mediante dispositivos privados configurados a tal efecto.

          Se podría aplicar por vía analógica la jurisprudencia del Tribunal Supremo y más recientemente la jurisprudencia del Tribunal Constitucional relativa al ejercicio del control empresarial sobre los ordenadores y/o dispositivos móviles propiedad de la empresa puestos a disposición del trabajador, previo cumplimiento de las siguientes premisas y de forma restrictiva:

          1. consentimiento del trabajador para la configuración de su dispositivo privado con finalidades empresariales.
          2. configuraciones de los dispositivos que permiten tener acceso a los recursos de la empresa y/o información empresarial en contenedores, carpetas, aplicaciones separadas del resto de la información, aplicaciones alojadas en el dispositivo.
          3. advertencia al trabajador del establecimiento de medidas de control y los medios que se van a usar en relación al acceso y uso de los recursos de la empresa, y del posible borrado remoto en caso de baja, pérdida o robo del dispositivo o sospechas de transgresión de la buena fe contractual que rige la relación entre las partes.
          4. la adopción y ejecución de dichas medidas debe ajustarse al canon de proporcionalidad y no invadir la privacidad del trabajador.

          A modo de conclusión, no hay duda que el progreso tecnológico genera innumerables ventajas y también nuevos riesgos en los agentes que intervienen. En el presente caso, el legislador no sigue el ritmo de la innovación tecnológica y ante la carencia de una normativa legal específica que regule el uso de los dispositivos privados con finalidades empresariales y la ausencia de pronunciamientos judiciales, proponemos como solución la autorregulación. Ya sea mediante el establecimiento de unas normas de uso o acuerdos voluntarios de obligado cumplimiento para las partes, a modo de reglas que rigen los comportamientos no exigidas por la ley pero voluntariamente fijadas por los interesados o incluso yendo más allá y sugerir la redacción de Códigos de Conducta específicos y homologados que proporcionan a aquellos que se adhieren un sello de garantía o calidad. 

          Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

          Widgets Magazine

          Comentarios jurisprudenciales

          CASE STUDY & MASTER CLASS

          LOPD EN DESPACHOS DE ABOGADOS

          • Procedimientos de seguridad. Control de acceso

            Unos de los procesos a implementar en el despacho jurídico es el del control de acceso a los lugares del despacho donde se almacenan datos personales.

          • Procedimientos de seguridad

            Unos de los procesos a implementar en el despacho jurídico es el de la identificación y autenticación de usuarios en aquellos sistemas de información desde los que se gestionen datos personales.

          • Medidas de seguridad para ficheros no automatizados

            Antes de entrar de lleno a definir procesos de seguridad conviene que se haya planteado adecuadamente los ficheros de datos que deberá registrar y su tipología.

          ebook gratuito

          ENTREVISTAS

          GESTIÓN DE DESPACHOS

          • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

            Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

          • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

            ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

          REDES SOCIALES & ABOGADOS

          • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

            ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

          COLABORA CON NOSOTROS

          Colabora

          Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

          Colaborar

          Enviar Artículo

          He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

          (*) Campos obligatorios

          Pablo García Mexía

          Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

          1

          Carlos Pérez Sanz

          Socio del área de Information Technology y Compliance de ECIJA.

          1

          Raúl Rubio

          Partner, Information Technology & Communications Baker & McKenzie

          1
          feedburner

          Reciba LAW & TIC de forma gratuita.

          Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17