Empresa y trabajadores: Productividad, control y privacidad.

/0 Comentarios/en /por

Caso de estudio:
Empresario preocupado por la productividad de sus trabajadores en su empresa quiere implantar una serie de medidas de control. Plantea prohibir el acceso a redes sociales y el uso de los ordenadores de la empresa con tareas que pueden perjudicar la productividad.
Premisa:
Planteamos al empresario reflexionar sobre el hecho de que limitar ciertos servicios o accesos podría incluso ser contraproducente para su actividad. La información obtenida en internet es importante en cualquier empresa, por lo que limitar a los trabajadores estas herramientas de trabajo podría tener mas inconvenientes que beneficios. Además, un trabajador avezado puede saltarse esas limitaciones sin dificultad, frustrando el propósito del empresario.
Solución propuesta:
A nivel técnico.
Para controlar la productividad de los trabajadores se debe empezar por conocer en detalle las capacidades y alcance de los medios tecnológicos de la empresa. Entenderemos por Medios Tecnológicos cualquier dispositivo hardware o software que pueda estar implicado en el proceso de producción de la misma.
En líneas generales, recomendamos realizar un inventario de todos los medios tecnológicos propios de la empresa, identificarlos de manera unívoca y conocer sus capacidades.
Igualmente, se deberá crear y mantener un registro en que figure a qué trabajador se le ha asignado cada medio (ordenador, tableta, cuenta de correo, móvil, etc.).
A nivel legal. Cumplimiento normativo (Compliance).
Realizado tal inventario, se deberá asegurar tener correctamente implementadas las medidas en materia de Protección de Datos (que no serán objeto de este estudio) perfectamente adecuadas a la actividad de la empresa. Como sugerencia, estas medidas deberían orientarse conforme al Reglamento Europeo de Protección de Datos, que comenzará a aplicarse el 25 de mayo de 2018.
Previamente a la entrega o asignación de los medios tecnológicos, deberá notificarse a todos los trabajadores que:
1. Tales medios son propiedad exclusiva y excluyente de la empresa.
2. Está prohibido utilizarlos con fines privados (prohibición avalada por Tribunal Supremo, Constitucional, Europeo de Justicia y la Agencia de Protección de Datos).
3. Tales Medios pueden ser monitorizados por la empresa con fines de controlar la productividad y el regular funcionamiento de la misma, evitar la comisión de delitos, etc, en definitiva, asegurar la continuidad del negocio.

El cauce para notificar todo esto debe ser, obligatoriamente, un contrato específica y meticulosamente diseñado para no infringir ninguno de los derechos de los trabajadores y acorde a la jurisprudencia.
Pero no basta con firmar un contrato, sino que el empresario debe conocer las características de los medios tecnológicos y los límites legales y, en función de aquellos, disponer las medidas necesarias para que tales límites no se vean superados (niveles de usuario, controles de acceso, etc).
A este respecto, dado que cada empresa tiene un esquema de medios tecnológicos propio, requerirá un contrato confeccionado ad hoc, por lo que no es recomendable la fórmula del copy and paste. En la práctica se están dando casos donde la utilización de un contrato extraído de Internet, aplicado sin criterio en una empresa ha acabado en sanciones de la Agencia de Protección de Datos o, en los casos más graves, en sanciones penales por la comisión de delitos de violación del secreto de las comunicaciones.
Errores frecuentes: que “un contrato salva cualquier situación” o que “la tecnología por sí sola es suficiente”. El mejor contrato no sirve de nada sin un adecuado uso, configuración y control de los medios tecnológicos. Los mejores medios tecnológicos estarán fuera de la ley si no son correctamente auditados y adaptados al marco legal concreto (leyes y contratos). Las consecuencias podrían llegar a acabar con la empresa.
El contrato debe especificar, de manera muy concreta, qué medios tecnológicos se está poniendo a disposición del trabajador, qué actividades están prohibidas y cuales permitidas, enumerando unas reglas de uso claras y transparentes.
Intimidad del trabajador y control de medios tecnológicos. Límites.
El Tribunal Constitucional, en Sentencia de 7 de octubre de 2013, ha señalado claramente: no hay violación de la privacidad cuando la titularidad de la herramienta comunicativa es del empresario, el momento en que se utilice es la jornada laboral o se utilice el correo corporativo, además de que todo esto haya sido correctamente notificado al trabajador.
Limitaciones: ningún contrato puede suponer la renuncia a derechos fundamentales, pues tal renuncia sería nula y por tanto se tendría por no firmada.
Precaución: la Sentencia del Tribunal Supremo de 16 de junio de 2014, Sala de
lo Penal, señaló que el control por parte del empresario de los medios tecnológicos de la empresa no puede vulnerar el secreto de las comunicaciones, siendo necesaria la autorización judicial para acceder a material sujeto a tal secreto.
Aplicación práctica: ante un problema con un trabajador, la obtención de la prueba debe tener en cuenta estas premisas, so pena de incurrirse en un delito de violación del secreto de las comunicaciones. Por regla general, se entiende que ha existido violación (y por tanto un delito) en caso de accederse a un correo no abierto por el trabajador.
Cuestión técnica: demostrar que el correo intervenido fue leído, pero se devolvió al estado de “no leído”, requiere la adecuada obtención de la pertinente prueba, a cuyo fin ayuda la propia Sentencia al establecer que el secreto de las comunicaciones no abarca los datos de tráfico y los mensajes recibidos y abiertos por su destinatario, porque no forman parte de la comunicación. Los logs de registro juegan en este caso un importante papel, pero, siempre que nos encontremos ante un excelente dimensionamiento, configuración y control (tecnológico y legal) de los medios tecnológicos.
En todo caso deberá atenderse a que la obtención sea proporcional al fin perseguido, porque, por ejemplo, no haya otra medida más adecuada de obtención de pruebas, según la ocasión.
BYOD (Bring Your Own Device). Utilización de medios tecnológicos privados del trabajador para la actividad de la empresa.
Nos referimos al uso por parte del trabajador de sus propios dispositivos con aplicación laboral.
Regla genérica: Jamás se podrá acceder sin autorización judicial a tales medios tecnológicos (teléfonos móviles, ordenadores, tabletas, etc).
Sin embargo, no se considerará vulneración del secreto de las comunicaciones si el trabajador ha sido debidamente notificado, como se ha explicado anteriormente, y se ejerce control sobre una cuenta de correo (por ejemplo) que es propiedad de la empresa pero que ha sido configurada en el terminal propiedad del trabajador.
Una buena recomendación en este caso es que la empresa tenga correctamente diseñadas, explicadas y notificadas las reglas de uso de cuentas de correo de la empresa configuradas en terminales privados.
Y la mejor de las recomendaciones es actuar siempre con sentido común, proporcionalidad y responsabilidad.

Francisco Rico
Twitter: @Curro_Rico
Abogado especializado en Derecho Tecnológico y Seguridad Informática. Bufete MERCURE·HUB.

«Robolución» y Responsabilidad Social del sector TIC

/0 Comentarios/en /por

Es innegable que las cifras de negocio del sector de las TICs se han visto incrementadas en los últimos años, tanto en volumen como en actores implicados, siendo un relevante indicador económico de la globalización de los mercados, con la aparición en la última década de grupos empresariales de notable capacidad de influencia y decisión sobre todos los stakeholders, incluidos los organismos reguladores.

No parece tampoco cuestionarse el proceso expansivo de la llamada “robolución”, distinta a las anteriores revoluciones industriales por la velocidad y virulencia de sus cambios disruptivos, con efectos también en otras áreas como la agricultura, el transporte, la asistencia sanitaria, la seguridad o, en general, reconfigurando los servicios comunes de las ciudades (smatcities); también el sector legal, tanto en las técnicas del management de despachos, como en los contenidos de las áreas de práctica y formas de relacionarse con los clientes. Las amplias consecuencias de la “ola robótica-inteligencia artificial” se extienden hasta el ámbito público, abocado, parece al fin, por imperativo legal, a la transformación en verdadera administración electrónica.

En este contexto de grandes innovaciones, pero mayores incertidumbres, se detectan algunas paradojas (S. Zamagni) como el aumento de las desigualdades extremando  las diferencias entre clases sociales (Branko Milanovic); la creación de nuevas ocupaciones tecnológicas y el desempleo endémico (la categoría de los Not in Education, Employment or Training); o la destrucción del medio ambiente, con sus graves implicaciones en el desarrollo de generaciones futuras, respecto de las que la pujante actividad de las TICs no se encuentra al margen.

Una muestra del debate y preocupación por los importantes cambios actuales, es el ampliamente divulgado Informe del Parlamento Europeo con las recomendaciones a la Comisión sobre robótica, con propuestas como la creación de una personalidad electrónica, o un código ético para robots, y que reflexiona sobre los inmediatos impactos negativos, en particular, en la destrucción y precariedad del empleo y la difícil transición hasta que se haya consolidado el nuevo modelo productivo; advertencia para los países desarrollados formulada también desde otros organizaciones como las Naciones Unidas.

Ante estos tiempos de “modernidad líquida” (Z. Bauman), muchos son los que claman por superar el esquema del empresario, en particular el boyante TIC, obligado exclusivamente a no causar estrictamente perjuicios directos o indirectos según establezcan los mínimos de la legalidad aplicable. Así la evolución ideológica de la dirección estratégica ha caminado desde el individualismo libertario al personalismo; de la economía política (separada de la Ética y la Política) a la economía civil; del negocio bajo la premisa de la maximización de la ganancia (homo homini lupus) a ser un instrumento contribuyente del bien común (homo homini natura amicus).

En este último sentido, podemos destacar especialmente, entre las diversas estrategias y acciones recientemente adoptadas, los Diez Principios del Pacto Mundial de las Naciones Unidas, referentes a los derechos humanos, laborales, el medio ambiente y la lucha contra la corrupción;  los 17 Objetivos de Desarrollo Sostenible, el Acuerdo de París sobre el Cambio Climático, la Estrategia Española de Desarrollo Sostenible, por citar solo algunas, con multitud de líneas y planes de actuación, que sitúan a la empresa en el epicentro de las medidas que deben contribuir a paliar las desigualdades de la Revolución 4.0 y la mejora de la sociedad con la que interactúa.

Pero también deben enfatizarse las oportunidades y ventajas que supone la implicación en políticas y prácticas socialmente responsables, dando así respuesta a las demandas de transparencia de empleados, accionistas, proveedores y clientes, muchos dispuestos a pagar un extra por aquellos productos o servicios que provengan de compañías que han implementado programas que retribuyen a la sociedad; igualmente atendiendo a las expectativas de la ciudadanía digital y los grupos sociales interesados en conocer no sólo cómo se invierten los beneficios de los negocios, sino de dónde se obtienen; cooperando a la lucha contra la corrupción, la sostenibilidad ambiental y la solidaridad; o diferenciando los productos y servicios de otros competidores en los valores que se perciben en la reputación de la marca y en la organización que los produce o presta, con su compromiso con el entorno local y global del que forma parte.

Esos beneficios para las empresas responsables se expanden aún más al sector TIC, proclive a la internacionalización de sus negocios, donde es vital lograr organizaciones eficientes y rentables, mediante acciones que facilitan el acceso a mercados nacionales, con resultados de percepciones positivas reputacionales, lo que conlleva la atracción de inversores, partners, consumidores y talento laboral. Para ello se deben implementar políticas de aportación de valor, por ejemplo, en transparencia financiera y tributaria, rendición de cuentas, diligencia debida con proveedores locales, atención del cliente, inclusión de la diversidad y protección del medio ambiente (economía circular).

Desde el ámbito de la consultoría jurídica, con independencia de la recomendable y propia implicación, se abre la posibilidad de apoyar esa necesaria reorientación del negocio con servicios enfocados desde la perspectiva de integrar la responsabilidad social desde la misma estrategia corporativa. Como ejemplo de áreas de práctica en esta materia, dirigidas al sector privado, en especial el de las TIC y startups, pero también para las administraciones públicas, se pueden mencionar:

  • Guías para la acción empresarial y la implantación de los Principios del Pacto Mundial y Objetivos de Desarrollo Sostenible, elaboradas por Global Reporting Initiative, Pacto Global de las Naciones Unidas o el Consejo Empresarial Mundial para el Desarrollo Sostenible.

Estándares certificables:

  • IQnet SR10, basado en la Norma ISO 26000, los Principios del Pacto Mundial, los Convenios de la Organización Internacional del Trabajo, las directrices de la Unión Europea, etc.
  • SA 8000, para el establecimiento o la mejora de los derechos de los trabajadores y las condiciones del lugar de trabajo.
  • SGE 21 (Forética – España), para la gestión ética y socialmente responsable.
  • Sello BEQUAL (Fundación Bequal – España), referente en identificación y visibilidad de organizaciones socialmente responsables con las personas con discapacidad.

Subsistemas de gestión, para la implementación de determinadas actuaciones exigidas por los estándares anteriores, con ventajosa posibilidad de integrar los mismos en un marco de directrices comunes (Norma ISO 19600):

  • Prevención de riesgos penales: sistemas de gestión de compliance penal (Norma UNE 19601), sistemas de anticorrupción (Norma ISO 37001), prevención del blanqueo de capitales, seguridad de la información (Norma ISO 27001) y protección de datos personales.
  • Gestión ambiental (Norma ISO 14001) de la calidad (Norma ISO 9001).
  • Prevención de riesgos laborales (Norma OHSAS 18001).
  • Accesibilidad universal (Norma UNE 170001).
  • Legislación y prácticas de ámbito internacional, nacional, autonómica y local sobre transparencia y buen gobierno.
  • Memorias de sostenibilidad, bajo estándares como el Global Reporting Initiative, para aquellas organizaciones que desean o tienen la obligación de informar sobre los aspectos económicos, medioambientales y sociales de sus actividades, productos y servicios.

Todos los instrumentos anteriores tienen en común la necesidad de ser promovidos e impulsados en particular por los directores de responsabilidad social (dirses) que se constituyen como segunda línea de defensa de sus organizaciones y palanca de transformación empresarial, liderando los programas sociales y mejorando el engagement con los stakeholders; también en sintonía con las últimas tendencias en intangibles, que señalan como principales preocupaciones de los directivos la gestión de la confianza, la digitalización, la sostenibilidad o la transparencia mediante nuevas formas de comunicar, pasando del puro reporting al storytelling.

Es aquí donde los dirses deben trabajar junto con los compliance officers y otras funciones internas de la empresa, para asegurar y asumir la gobernanza del cumplimiento de todos los compromisos derivados de las políticas de responsabilidad social y la mitigación de restantes riesgos reputacionales.

En definitiva un importante reto para todos el de la “robolución” y a la vez una gran oportunidad, seguramente bajo la premisa machadiana de “repensar lo pensado y de saber lo sabido”.

Mauricio Rodríguez Bermúdez
Abogado – Codirector de “R&B = a+c”
www.rbac.es

¿Qué esperamos de la futura regulación de privacidad?

/0 Comentarios/en /por

Una de las preguntas más sonadas en los últimos tiempos es si necesitamos una ley mundial que proteja la privacidad en la red. La información de las personas que circula por Internet es más valiosa de lo que se puede pensar, por lo que no sería descabellado ver cómo en 2018 tenemos una regulación de la privacidad mundial.

La necesidad de una ley mundial que cuide nuestra privacidad en la red.

Redes sociales como Facebook, sin ir más lejos, han sido acusadas en muchas ocasiones de asaltar la privacidad de los usuarios. ¿Qué han hecho que se ha considerado tan grave? Compartir la información de algunos usuarios con empresas; es su modelo de negocio. Digamos que estas aplicaciones web nos ofrecen un servicio y se lo “pagamos” con nuestra información.

¿Preferirías pagar por usar Facebook o que sea gratis y a cambio la red social pueda hacer uso de tu información personal? En Internet, nuestra información es lo más valioso que tenemos y muchas personas se han cuestionado la posibilidad de pagar por conseguir esa protección legal de la información.

Estamos en un momento en el que la protección de la información es más importante que nunca y son muchas las compañías que guardan datos de los usuarios en Internet sin ningún control ni directrices.

Por tanto, necesitamos una legislación de Privacidad en la Red. Términos como privacy by desing and by default o el derecho al olvido se han hecho muy relevantes en los últimos años porque los usuarios queremos usar determinadas aplicaciones con total garantía de que no hay nadie detrás espiando o vendiendo nuestra información a terceros.

Es el momento de empezar a cambiar las cosas y regular expresamente la privacidad en Internet. Los usuarios tienen derecho a eliminar su información personal de cualquier página de Internet, no sólo si se considera intrusiva o molesta (derecho al olvido), sino también sin necesidad de alegar ningún motivo (un verdadero derecho de cancelación).

Los usuarios no son conscientes de la información que comparten.

Toda la información que compartimos en Internet queda registrada para siempre y será tratada, analizada, segmentada y utilizada por las grandes compañías (Big Data). Estas empresas trabajan con nuestra información para ofrecernos algo a cambio: anuncios en Facebook, productos que podrían interesarnos comprar en Amazon…

A nivel internacional, en los últimos años, se está haciendo hincapié en el hecho de crear nuevas normativas dirigidas a proteger nuestra información en la red. De esta manera, habría un control para las compañías que se hacen con la información de los usuarios.

Joseph Cannataci, primer relator especial de la ONU sobre derecho a la privacidad, considera que es el momento de proteger nuestra información por medio de una normativa, porque seguimos sin ser conscientes de todo lo que ciertas empresas pueden saber de nosotros. Entre sus declaraciones, compartía: “son necesarias nuevas reglas para asegurar nuestra privacidad. La mayor parte de las personas no es consciente de la cantidad de metadatos que genera cada día”.

Joseph Cannataci ya había criticado en muchas ocasiones la legislación de vigilancia de Reino Unido, y considera que es el momento de poner fin a esta situación y que no se vuelva a repetir, ya que es mucha la información personal que está en juego.

Incrementar la seguridad de los países no es vigilar constantemente.

Es importante tener claro que el hecho de incrementar la seguridad de los países, no tiene que ver con una vigilancia constante, lo suyo, es contar con distintos niveles de protección.

La seguridad es importante, pero no debe primar sobre la privacidad y, en todo caso, debe protegerse de manera acorde a la normativa vigente, que es la encargada de marcar los límites para estar protegidos ante cualquier tipo de situación.

Esta normativa internacional de privacidad es más que necesaria. Es la protección de un derecho que todas las personas tenemos y que las páginas web, herramientas online y aplicaciones web, deben aceptar, para cuidar nuestra información y no facilitarla de cualquier modo a terceros.

Es preciso por tanto, no solo una normativa más, sino una que otorgue una mayor protección y seguridad jurídica a los datos de los usuarios. Necesitamos sentirnos más seguros cuando navegamos por Internet, poder confiar y saber que nuestra información no está en manos de cualquiera.

¿Qué países están más avanzados en la regulación de la privacidad?

En estos momentos, dentro de la Unión Europea, tras la aprobación del Reglamento General de Protección de Datos, Alemania destaca como el país más avanzado hasta la fecha a la hora de implantar la nueva normativa. España, por su parte, le sigue de cerca.

Los cambios en la Ley Orgánica de Protección de Datos se llevarán a cabo pronto. Los últimos rumores ya hablan de una posible fecha para esto en marzo del próximo año para que se pudiera tramitar antes de mayo de 2018, fecha en la que entra en vigor el Reglamento europeo.

Abel Loeches Márquez
Abogado especializado en Derecho Digital
Twitter: @AbelLomar