Case Study & Master Class

La atribución de responsabilidad en un supuesto de BYOD ante la falta de licenciamiento de software

Tribuna

En la filial española de la multinacional danesa X dedicada a la comercialización de espacios publicitarios en secciones concretas de programas de canales de teletexto de las principales cadenas televisivas, se acaba de adoptar la decisión de despedir a Arabela, trabajadora con más de nueve años de experiencia en labores comerciales en la empresa, por razones de incumplimiento de consecución de objetivos de ventas. 

Arabela en represalia por la que considera injusta decisión ha formulado denuncia anónima en la web de la BSA - The Software Alliance donde denuncia que en la delegación española de la empresa X se utiliza software sin licencia, es decir, pirata, en algunos ordenadores portátiles que utilizan los comerciales para realizar su trabajo en lo referente a hojas de cálculo, tratamiento de textos, gestor de correo electrónico y otros programas ofimáticos.

Resulta que la empresa permite al Departamento Comercial poder trabajar con sus propios equipos personales (portátiles, tablets y smartphones) en régimen BYOD, proporcionando la empresa la conexión WIFI a Internet y la conexión de datos con una operadora para cuando están fuera de la oficina.

¿De quién es la responsabilidad de garantizar el correcto licenciamiento y actualización del software que bajo régimen de BYOD utiliza la trabajadora en su ordenador portátil propio y personal dentro de las instalaciones de la empresa? ¿La responsabilidad es de la empresa, del trabajador o de ambos?

Es la empresa la encargada de establecer un protocolo claro que deben conocer todos y cada uno de los trabajadores de la misma, al expreso objeto de regular las condiciones sobre el régimen de BYOD al que pueden acogerse sus empleados al utilizar sus dispositivos. En este protocolo también se podría prohibir taxativamente la utilización de dispositivos propios para el ejercicio de la actividad profesional en el seno de la empresa, minimizando el riesgo para esta y, dotando la empresa, por tanto, a sus trabajadores, de todos los efectos y dispositivos informáticos necesarios para el desarrollo del trabajo.

Así pues, si la empresa permite la práctica conocida como BYOD (Bring Your Own Device), debe ser consciente de sus ventajas e inconvenientes. A este respecto, la empresa únicamente podrá establecer medidas de control sobre los mencionados dispositivos, en lo referente al ámbito exclusiva y estrictamente profesional, según la jurisprudencia aplicable del Tribunal Supremo (o recogiendo dicha advertencia en el convenio colectivo, según jurisprudencia del Tribunal Constitucional), siempre informando previamente al empleado.

¿La empresa puede ver agravada su sanción por carecer de un protocolo interno que regule el BYOD?

Como se ha indicado anteriormente, la empresa debe recoger, en un protocolo interno, la normativa aplicable tanto a la utilización de dispositivos informáticos en régimen de BYOD, como la vigilancia o control que sobre los mismos se va a llevar a cabo, fundamentada esta en el artículo 20 del Estatuto de los Trabajadores, pero siempre respetando los derechos fundamentales del empleado recogidos en el artículo 18 de la Constitución y estando alineados dicho control y vigilancia con la mencionada jurisprudencia, tanto del Tribunal Supremo, como del Tribunal Constitucional.

Por tanto, se podría decir que, efectivamente, si la empresa carece de normativa interna que recoja la utilización de dispositivos, por parte de sus empleados, en régimen de BYOD, podría enfrentarse a un aumento de la responsabilidad en los hechos delictivos que cometieren sus empleados, en sus instalaciones y en horario de trabajo, con sus propios dispositivos.

¿Qué medidas hubiesen sido las correctas adoptar por parte de la empresa y desde el primer momento que admite el BYOD a sus trabajadores?

La empresa debe ser consciente del riesgo que comporta la utilización de dispositivos en régimen de BYOD y, por tanto, si permite esta práctica, debe minimizar dicho riesgo. Para ello y en primer lugar, debe elaborar una normativa exhaustiva y escrupulosa, que prohíba taxativamente la instalación y utilización, en los dispositivos que vayan a ser usados en régimen de BYOD, de sistemas de software informático no licenciados.

Asimismo, se debe prohibir la utilización del correo electrónico y otro tipo de programas empresariales, instalados en el dispositivo que va a ser usado en régimen de BYOD, para fines distintos al ejercicio profesional. Igualmente, la empresa, dentro de sus prerrogativas recogidas en el artículo 20 del Estatuto de los Trabajadores y siempre respetando el artículo 18 de la Constitución y la jurisprudencia aplicable, debe reservarse el derecho a controlar, mientras el empleado trabaje para la empresa, la información corporativa considerada confidencial o sensible almacenada en el dispositivo, así como a poder eliminarla y a estar segura de que se ha eliminado, cuando el empleado abandone la compañía.

Master Class:

La utilización de dispositivos propios en el lugar de trabajo y para las actividades propias del trabajo, plantea retos muy complejos para las empresas, tanto a nivel técnico como a nivel legal. A nivel técnico, porque los administradores de sistemas deben lidiar con diferentes tipologías de dispositivos, que poseen características distintas y muchas veces incompatibles entre sí, con todos los problemas que ello genera para la seguridad informática corporativa. A nivel legal, porque esta práctica aún se halla en un limbo jurídico (la tecnología, como siempre, va muy por delante de la legislación y la práctica procesal), por lo que no existe legislación ni jurisprudencia que la sustente.

La prohibición expresa de la práctica, aunque no es descartable debido al elevado coste que supondrá para la empresa el mantenimiento de un registro de dispositivos BYOD para todos y cada uno de los empleados, no es el camino, menos aun cuando la tecnología se encuentra, debido a sus precios tan asequibles, cada vez más al alcance de todo el mundo, pero sí debe existir una normativa interna en la compañía, clara y puesta en conocimiento de todos los empleados, mediante circular, en la que se manifiesten las restricciones aplicables a la práctica del BYOD.

Como resulta lógico, las citadas restricciones deben ir en la línea de prohibir taxativamente la utilización de software informático no licenciado para realizar actividades laborales, la de llevar a cabo actividades delictivas utilizando herramientas que también van a utilizarse para el trabajo, la de permitir el control, por parte de la empresa, de todas las actividades relacionadas con el trabajo desarrollado en el dispositivo, siempre respetando la Constitución, las leyes y la jurisprudencia, así como la de permitir el borrado remoto de datos relacionados con el trabajo y la potestad de comprobar que no permanece información confidencial o sensible para la empresa en el dispositivo cuando el empleado abandone la empresa.

Al objeto de controlar y afrontar con el mínimo impacto posible las eventualidades que pudieran surgir de la práctica del BYOD por parte de los empleados de la compañía, esta, como ya se ha indicado anteriormente, deberá mantener, por tanto, un registro con todos y cada uno de los dispositivos que, en régimen de BYOD, utilicen sus empleados.

Así pues, periódicamente, la empresa deberá enviar circulares corporativas en las que se obligue, de forma taxativa, a los empleados que utilicen dispositivos propios para trabajar, a registrarlos en el Departamento de Soporte Informático, donde se deberá mantener una base de datos (que, por supuesto, deberá ser dada de alta en la Agencia Española de Protección de Datos como fichero), en la que se almacenen la fecha de inscripción del dispositivo, el nombre y los apellidos del sujeto, su número de empleado dentro de la compañía y, por cada uno de los dispositivos que el empleado utilice en régimen de BYOD, la marca, el modelo, el número de serie, un listado del software que en él se halla instalado, con su correspondiente número de licencia y, si es posible, con una captura de pantalla o fotografía en la que se visualice, para cada programa instalado, dicho número de licencia.

Asimismo, si en la auditoría de inscripción del dispositivo se detectase algún tipo de software no licenciado, se deberá indicar al empleado que debe desinstalarlo de forma inmediata si realmente quiere inscribir el dispositivo como propio para poder trabajar con él en régimen de BYOD. Sería conveniente también la toma de una fotografía, para adjuntar al expediente de inscripción del dispositivo, del menú del mismo que muestra el listado completo de todos los programas licenciados instalados en el aparato (es decir, una vez desinstalados aquellos que no tuviesen licencia, si los hubiera).

El mantenimiento de un listado de estas características será muy costoso para la compañía, pero es la única forma de que esta pueda, en lenguaje llano, cubrirse las espaldas frente a posibles negligencias de empleados que hayan utilizado su propio dispositivo para trabajar. Si la empresa no puede asumir este gasto, es recomendable prohibir expresamente la práctica, comunicándolo mediante circular a todos sus empleados de forma periódica, al objeto de alegar esta prohibición en una eventual causa judicial.

Jurisprudencia citada:

- EDJ 2007/166164 STS Sala 4ª de 26 septiembre 2007.

- EDJ 2011/308825 STS Sala 4ª de 6 octubre 2011.

- EDJ 2013/182887 STC Sala 1ª de 7 octubre 2013.