Conócenos

Case Study & Master Class

La atribución de responsabilidad en un supuesto de BYOD ante la falta de licenciamiento de software

Por Javier Rubio Alamillo

Perito informático forense

  • Imprimir

En la filial española de la multinacional danesa X dedicada a la comercialización de espacios publicitarios en secciones concretas de programas de canales de teletexto de las principales cadenas televisivas, se acaba de adoptar la decisión de despedir a Arabela, trabajadora con más de nueve años de experiencia en labores comerciales en la empresa, por razones de incumplimiento de consecución de objetivos de ventas. 

Arabela en represalia por la que considera injusta decisión ha formulado denuncia anónima en la web de la BSA - The Software Alliance donde denuncia que en la delegación española de la empresa X se utiliza software sin licencia, es decir, pirata, en algunos ordenadores portátiles que utilizan los comerciales para realizar su trabajo en lo referente a hojas de cálculo, tratamiento de textos, gestor de correo electrónico y otros programas ofimáticos.

Resulta que la empresa permite al Departamento Comercial poder trabajar con sus propios equipos personales (portátiles, tablets y smartphones) en régimen BYOD, proporcionando la empresa la conexión WIFI a Internet y la conexión de datos con una operadora para cuando están fuera de la oficina.

¿De quién es la responsabilidad de garantizar el correcto licenciamiento y actualización del software que bajo régimen de BYOD utiliza la trabajadora en su ordenador portátil propio y personal dentro de las instalaciones de la empresa? ¿La responsabilidad es de la empresa, del trabajador o de ambos?

Es la empresa la encargada de establecer un protocolo claro que deben conocer todos y cada uno de los trabajadores de la misma, al expreso objeto de regular las condiciones sobre el régimen de BYOD al que pueden acogerse sus empleados al utilizar sus dispositivos. En este protocolo también se podría prohibir taxativamente la utilización de dispositivos propios para el ejercicio de la actividad profesional en el seno de la empresa, minimizando el riesgo para esta y, dotando la empresa, por tanto, a sus trabajadores, de todos los efectos y dispositivos informáticos necesarios para el desarrollo del trabajo.

Así pues, si la empresa permite la práctica conocida como BYOD (Bring Your Own Device), debe ser consciente de sus ventajas e inconvenientes. A este respecto, la empresa únicamente podrá establecer medidas de control sobre los mencionados dispositivos, en lo referente al ámbito exclusiva y estrictamente profesional, según la jurisprudencia aplicable del Tribunal Supremo (o recogiendo dicha advertencia en el convenio colectivo, según jurisprudencia del Tribunal Constitucional), siempre informando previamente al empleado.

¿La empresa puede ver agravada su sanción por carecer de un protocolo interno que regule el BYOD?

Como se ha indicado anteriormente, la empresa debe recoger, en un protocolo interno, la normativa aplicable tanto a la utilización de dispositivos informáticos en régimen de BYOD, como la vigilancia o control que sobre los mismos se va a llevar a cabo, fundamentada esta en el artículo 20 del Estatuto de los Trabajadores, pero siempre respetando los derechos fundamentales del empleado recogidos en el artículo 18 de la Constitución y estando alineados dicho control y vigilancia con la mencionada jurisprudencia, tanto del Tribunal Supremo, como del Tribunal Constitucional.

Por tanto, se podría decir que, efectivamente, si la empresa carece de normativa interna que recoja la utilización de dispositivos, por parte de sus empleados, en régimen de BYOD, podría enfrentarse a un aumento de la responsabilidad en los hechos delictivos que cometieren sus empleados, en sus instalaciones y en horario de trabajo, con sus propios dispositivos.

¿Qué medidas hubiesen sido las correctas adoptar por parte de la empresa y desde el primer momento que admite el BYOD a sus trabajadores?

La empresa debe ser consciente del riesgo que comporta la utilización de dispositivos en régimen de BYOD y, por tanto, si permite esta práctica, debe minimizar dicho riesgo. Para ello y en primer lugar, debe elaborar una normativa exhaustiva y escrupulosa, que prohíba taxativamente la instalación y utilización, en los dispositivos que vayan a ser usados en régimen de BYOD, de sistemas de software informático no licenciados.

Asimismo, se debe prohibir la utilización del correo electrónico y otro tipo de programas empresariales, instalados en el dispositivo que va a ser usado en régimen de BYOD, para fines distintos al ejercicio profesional. Igualmente, la empresa, dentro de sus prerrogativas recogidas en el artículo 20 del Estatuto de los Trabajadores y siempre respetando el artículo 18 de la Constitución y la jurisprudencia aplicable, debe reservarse el derecho a controlar, mientras el empleado trabaje para la empresa, la información corporativa considerada confidencial o sensible almacenada en el dispositivo, así como a poder eliminarla y a estar segura de que se ha eliminado, cuando el empleado abandone la compañía.

Master Class:

La utilización de dispositivos propios en el lugar de trabajo y para las actividades propias del trabajo, plantea retos muy complejos para las empresas, tanto a nivel técnico como a nivel legal. A nivel técnico, porque los administradores de sistemas deben lidiar con diferentes tipologías de dispositivos, que poseen características distintas y muchas veces incompatibles entre sí, con todos los problemas que ello genera para la seguridad informática corporativa. A nivel legal, porque esta práctica aún se halla en un limbo jurídico (la tecnología, como siempre, va muy por delante de la legislación y la práctica procesal), por lo que no existe legislación ni jurisprudencia que la sustente.

La prohibición expresa de la práctica, aunque no es descartable debido al elevado coste que supondrá para la empresa el mantenimiento de un registro de dispositivos BYOD para todos y cada uno de los empleados, no es el camino, menos aun cuando la tecnología se encuentra, debido a sus precios tan asequibles, cada vez más al alcance de todo el mundo, pero sí debe existir una normativa interna en la compañía, clara y puesta en conocimiento de todos los empleados, mediante circular, en la que se manifiesten las restricciones aplicables a la práctica del BYOD.

Como resulta lógico, las citadas restricciones deben ir en la línea de prohibir taxativamente la utilización de software informático no licenciado para realizar actividades laborales, la de llevar a cabo actividades delictivas utilizando herramientas que también van a utilizarse para el trabajo, la de permitir el control, por parte de la empresa, de todas las actividades relacionadas con el trabajo desarrollado en el dispositivo, siempre respetando la Constitución, las leyes y la jurisprudencia, así como la de permitir el borrado remoto de datos relacionados con el trabajo y la potestad de comprobar que no permanece información confidencial o sensible para la empresa en el dispositivo cuando el empleado abandone la empresa.

Al objeto de controlar y afrontar con el mínimo impacto posible las eventualidades que pudieran surgir de la práctica del BYOD por parte de los empleados de la compañía, esta, como ya se ha indicado anteriormente, deberá mantener, por tanto, un registro con todos y cada uno de los dispositivos que, en régimen de BYOD, utilicen sus empleados.

Así pues, periódicamente, la empresa deberá enviar circulares corporativas en las que se obligue, de forma taxativa, a los empleados que utilicen dispositivos propios para trabajar, a registrarlos en el Departamento de Soporte Informático, donde se deberá mantener una base de datos (que, por supuesto, deberá ser dada de alta en la Agencia Española de Protección de Datos como fichero), en la que se almacenen la fecha de inscripción del dispositivo, el nombre y los apellidos del sujeto, su número de empleado dentro de la compañía y, por cada uno de los dispositivos que el empleado utilice en régimen de BYOD, la marca, el modelo, el número de serie, un listado del software que en él se halla instalado, con su correspondiente número de licencia y, si es posible, con una captura de pantalla o fotografía en la que se visualice, para cada programa instalado, dicho número de licencia.

Asimismo, si en la auditoría de inscripción del dispositivo se detectase algún tipo de software no licenciado, se deberá indicar al empleado que debe desinstalarlo de forma inmediata si realmente quiere inscribir el dispositivo como propio para poder trabajar con él en régimen de BYOD. Sería conveniente también la toma de una fotografía, para adjuntar al expediente de inscripción del dispositivo, del menú del mismo que muestra el listado completo de todos los programas licenciados instalados en el aparato (es decir, una vez desinstalados aquellos que no tuviesen licencia, si los hubiera).

El mantenimiento de un listado de estas características será muy costoso para la compañía, pero es la única forma de que esta pueda, en lenguaje llano, cubrirse las espaldas frente a posibles negligencias de empleados que hayan utilizado su propio dispositivo para trabajar. Si la empresa no puede asumir este gasto, es recomendable prohibir expresamente la práctica, comunicándolo mediante circular a todos sus empleados de forma periódica, al objeto de alegar esta prohibición en una eventual causa judicial.

Jurisprudencia citada:

- EDJ 2007/166164 STS Sala 4ª de 26 septiembre 2007.

- EDJ 2011/308825 STS Sala 4ª de 6 octubre 2011.

- EDJ 2013/182887 STC Sala 1ª de 7 octubre 2013.


Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Congreso DENAE - Mercado Único Digital

El Congreso DENAE sobre el Mercado Único Digital Europeo, se celebrará el próximo jueves 14 de diciembre en la sede de la Comisión Europea en Madrid. Sin lugar a duda, se trata de una gran oportunidad informativa sobre el estado de la cuestión. Se abordarán con los representantes institucionales y con el mundo de la empresa las implicaciones de esta ambiciosa iniciativa comunitaria.

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17