lunes, 2 de noviembre de 2015

Sé lo que hicisteis la última jornada

Uno de las aspectos, a mi juicio, más controvertido y cada vez más frecuente en lo que respecta a la privacidad y protección de datos de carácter personal en el ámbito laboral es el control empresarial del cumplimiento de las obligaciones y deberes de los trabajadores utilizando todo tipo de medios, desde la auditoría de los sistemas de información de la compañía (conexión a Internet y correo electrónico incluidos), pasando por las cámaras de videovigilancia con esa finalidad, hasta la instalación de GPS en los vehículos de la empresa, etc.

Tanto empresarios como trabajadores, a la hora de implantar controles de este tipo o cuando se implantan, respectivamente, suelen hacer la misma pregunta: ¿es legal?, aunque evidentemente por razones diametralmente opuestas.

Los primeros suelen querer implantar medidas de este tipo cuando sospechan, al menos es lo que ellos dicen, que algún empleado se escaquea impunemente de forma habitual de sus obligaciones, aunque en ocasiones también puede ser, más bien yo diría que es con bastante frecuencia, una forma de "buscarle las vueltas" a algún trabajador con el fin de intentar utilizar como causa de despido cualquier incumplimiento de éste, por mínimo que sea, es decir, realmente el fin es echar al empleado intentando justificar el despido como sea.

Además, en ocasiones los empresarios suelen utilizar medios de este tipo sin encomendarse a dios ni al diablo, es decir, "haciéndolo a la brava" y sin la oportuna reflexión sobre los pasos previos a dar para llevarlo a la práctica de forma idónea, respetando convenientemente la privacidad y el derecho a la protección de datos de carácter personal del trabajador implicado y, lo que incluso es más importante, de terceros (otros trabajadores y/o personas que se relacionen con el primero), asunto a tener muy en cuenta cuando por ejemplo se inspecciona el correo electrónico corporativo de un empleado.

Pero... ¿se puede hacer, sí o no?. Vaya por delante que este tema no es nada nuevo y en este post sólo pretendo hacer una breve reflexión sobre ello (me temo que hay multitud de aspectos involucrados y que es necesario estudiar caso a caso: si se puede o no y, en caso afirmativo, cómo hacerlo). Dicho esto y en esa línea, cuando recibo consultas por parte de una empresa en este sentido yo siempre aviso de que se están "metiendo en un jardín" de consecuencias imprevisibles (se puede hacer, pero teniendo muy en cuenta eso que he comentado de considerar cada caso concreto y todos los aspectos que le son de aplicación).

Muy resumidamente, en primer lugar siempre les digo que conforme al artículo 20.3 del Estatuto de los Trabajadores:

“El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

En este momento mi interlocutor se viene arriba:

"Vale, entonces se puede hacer".

Y yo continúo contándole que en virtud de lo expuesto entiendo que existe legitimación para establecer ciertos mecanismos (no todo vale), pero, lógicamente, siempre que se trate de instalaciones y medios de la propia empresa implicados en el desarrollo de las funciones laborales de los trabajadores (por ejemplo, cuidado con el BYOD, cada vez más usual en muchas organizaciones por el simple ahorro de costes que supone para éstas, y que yo entiendo como un absoluto despropósito desde muchos puntos de vista - éste incluido, pero además: seguridad de la información, administración de los sistemas,... - ) y siempre que se haya informado previamente a éstos sobre los medios de control que se van a utilizar.

Respecto al último de los asuntos citados en el párrafo precedente, le suelo preguntar: ¿has informado a los trabajadores de que los medios que la empresa les proporciona son para un uso estrictamente profesional y de los mecanismos de control que puede emplear ésta para asegurarse de que eso sea realmente así?. En la inmensa mayoría de las ocasiones la respuesta es no; pues así mal vamos, les suelo comentar...

De ahí que yo siempre suela hacer hincapié en la importancia de elaborar una normativa que establezca previamente las reglas de uso de los medios que la empresa pone a disposición de los trabajadores (entre otros muchos: puestos informáticos, acceso a Internet, correo electrónico,...) y, además, en que es imprescindible informar de los controles que se instaurarán así como de las medidas que se adoptarán en caso de existir abusos (para el caso de los recursos informáticos y de comunicaciones ya escribí hace bastante tiempo un post sobre esta cuestión).

Esta normativa, a mi juicio, es fundamental, y no sólo para evitar que algunos trabajadores (seguro que los menos, no seamos mal pensados) puedan hacer un uso malicioso o inadecuado a sabiendas de dichos recursos, sino para evitar además una utilización de los mismos que pueda suponer un menoscabo del prestigio y del buen nombre de la empresa (e incluso responsabilidad de la misma) por la realización sin conocimiento de actividades ilegales o inapropiadas, y, al mismo tiempo, que sirva para garantizar la seguridad (confidencialidad, integridad y disponibilidad) y un rendimiento óptimo de los sistemas de información de la compañía.

En este punto, mi interlocutor me suele preguntar (ya le ve algo más de dificultad a este asunto):


"Vale, entonces... si les doy a firmar un 'papelito' (él llama así a la normativa y al compromiso de cumplirla por parte de los trabajadores), ¿ya se puede hacer?".

Y es aquí cuando continúo: sí, si además se respetan los principios de idoneidad, necesidad y proporcionalidad en sentido estricto; que les suelo explicar con "peras y manzanas", es decir: ¿los mecanismos a utilizar son idóneos para lograr verificar el cumplimiento de las obligaciones y deberes laborales por parte de los trabajadores?, ¿son necesarios para ello o puedes utilizar para esa finalidad otros con igual eficacia menos invasivos para la privacidad y el derecho a la protección de datos de los trabajadores y de terceros? y, finalmente, ¿guardan proporcionalidad entre los derechos de los trabajadores y las facultades atribuidas a los empresarios para el control del cumplimiento de las obligaciones y deberes laborales de éstos?.


Ya aquí mi interlocutor enmudece y no me pregunta nada más (la cara que suele poner me recuerda al emoticono "alucinado"), se levanta y me quedo con la sensación de que, le diga lo que le diga, tenía ya tomada la decisión, sólo me preguntaba para que le confirmara que, efectivamente, podía hacer lo que le viniera en gana y, es más, estoy seguro de que lo hará.

Un tema muy interesante, que da para mucho y que como digo se plantea cada vez de forma más frecuente en las empresas, y sobre el que PRIBATUA (Asociación Vasca de Privacidad y Seguridad de la Información / Pribatutasun eta Informazio Segurtasuneko Euskal Elkartea) tiene previsto realizar en breve una jornada.

No hay comentarios:

Publicar un comentario