Secretos

Seguridad y teletrabajo. En la “to do list” de las empresas

Hace unos días el Banco de España puso en evidencia que un 80% de las empresas habían aumentado el teletrabajo como consecuencia de las medidas de confinamiento decretadas por el estado de alarma, y que más del 30% de los empleos o actividades profesionales podrían realizarse en remoto (estudio analítico “EL Teletrabajo en España). De hecho, que “el teletrabajo ha llegado para quedase” es un recurrente en redes sociales, en especial tras el anuncio de Google y Facebook de mantener el teletrabajo como fórmula principal hasta finales de año. Y luego ya se verá.

No hemos tenido otra que aprender rápido y hemos sabido adaptarnos en tres meses a una forma de trabajar que durante muchos años se proclamaba como posible y óptima, pero que no llegó a tener implantación (en el año 2019, menos del 5% de los trabajadores teletrabajaron). Pero también es cierto que la urgencia ha obligado a empresas y organizaciones a ir parcheando, y es ahora cuando se preguntan sobre qué cambios han de implementar para adaptar sus procesos en caso de que esta forma de trabajo se mantenga más allá del estado de alarma, ya sea porque las circunstancias obliguen, o porque la elección de este modelo organizativo sea una opción adecuada.

En este contexto, es incuestionable la importancia de desarrollar un entorno seguro  que proteja las comunicaciones, preserve los secretos empresariales y evite que los datos de trabajadores, clientes o colaboradores se vean comprometidos. Por lo que se hace imprescindible adoptar medidas tecnológicas, protocolos de seguridad y formar a directivos y empleados adecuadamente, lo que no tiene porqué suponer una gran inversión y, sin embargo, redunda en importantes ventajas en términos de seguridad.

No hay que perder de vista que la Ley 1/2019 de 20 de febrero, de Secretos Empresariales, y la definición -muy amplia- de secreto que contiene. Así, resulta que se considera secreto (i) cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero; (ii) siempre que tenga un valor empresarial, real o potencial, por el hecho de ser secreto, en el sentido de tener un interés económico y/o competitivo para su titular; y (iii) siempre y cuando su titular haya adoptado medidas razonables y específicas para mantenerlos en secreto.

Por lo que puede ser secreto, y gozar de la protección que le otorga la Ley de Secretos Empresariales, desde una aplicación, un software o un algoritmo, pasando por una fórmula científica, un desarrollo en proceso o una invención no patentada, hasta las estrategias comerciales, los planes financieros o los listados e históricos de clientes o de proveedores y productos. Siempre y cuando, eso sí, el empresario adopte una actitud activa e implemente las medidas necesarias para preservar que se mantenga reservado y confidencial.

Ello implica, en primer lugar, desarrollar o revisar contratos de confidencialidad y no divulgación con directivos y trabajadores (también, en su caso, con clientes y proveedores), y restringir el acceso a la información por perfiles o por identidades  en aquellos casos en los que sea posible.

Sin embargo, en código teletrabajo dichas medidas pueden ser insuficientes, y se hace altamente recomendable crear protocolos en los que se combinen avisos relacionados con la titularidad de la empresa sobre la información, el software y, en su caso, los propios dispositivos; junto con  medidas de control y políticas internas de uso de medios informáticos, en los que se establezcan obligaciones básicas de seguridad, como son, por ejemplo:

  • La obligación de almacenar en servicios corporativos en espacios y de compartir la información confidencial a través de espacios seguros en los que el acceso requiera autorización o se limite por perfiles o nominalmente.
  • El establecimiento de contraseñas seguras y robustas, con caducidad, o el uso de sistemas de identificación (token).
  • La obligación de apagar el dispositivo en caso de ausencia y establecer sistemas de bloqueo.
  • Las restricciones del uso del correo electrónico o de acceso a aplicaciones de terceros.
  • O la obligación de mantener actualizadas las aplicaciones para impedir ataques de ciberseguridad.

Dichos protocolos habrán de completarse con la formación necesaria con el objetivo de crear una cultura general que permita compatibilizar el teletrabajo con el secreto de la información, de los conocimientos y de los elementos de la empresa y evite fugas de información o intromisiones no legítimas de terceros.

Y además, por la más pura lógica de las cosas, dichos protocolos habrán de ser coherentes con las medidas implementadas por la empresa para preservar el secreto y evitar cualquier fuga de información estratégica o que afecte a datos personales, así como cualquier intromisión por parte de tercero. A modo de ejemplo:

  • Poner a disposición de los trabajadores los dispositivos y equipos corporativos, siempre que sea posible.
  • Evitar que la información se guarde en el local, y priorizar que se utilicen los servicios corporativos.
  • Emplear para el acceso en remoto con los servicios corporativos conexiones cifradas (VPN, escritorios remotos o sitios web con certificados de seguridad).
  • Establecer perfiles o sistemas nominativos de acceso a información estratégica o secreta.
  • Control de contraseñas y sistemas de identificación.
  • Establecer sistemas que eviten descargas, copias, envíos, o impresiones de información estratégica o aplicaciones de la empresa.
  • Controlar el acceso electrónico a la información de la empresa.
  • Establecer protocolos de actuación para el supuesto de que se aprecie una brecha de seguridad o un riesgo de fuga de información

Y para cerrar el círculo, todo ello ha de formar parte del programa de compliance de la empresa.

Desconozco si las predicciones se cumplirán y el trabajo en remoto formará parte de nuestra cultura empresarial de ahora para siempre. Pero sí me permito compartir la opinión muy extendida de que la Covid-19 ha acelerado la transformación digital a todos los niveles, también en el trabajo, situando en la primera línea del listado de deberes de la empresa los quehaceres necesarios para preservar sus secretos empresariales y el resto de información sensible, como pueden ser los datos personales.

Os deseo un feliz fin de semana

Ana Soto Pino

12 de junio de 2020

 

La Agencia Española de Protección de Datos (AEPD) educa a los cibernáutas.

¿Sabéis qué es exactamente el sexting, el grooming o el ciberacoso?. ¿Y sabéis cómo prevenirlo?

Éstas son algunas de las conductas  de usuarios on line que la AEPD se ha encargado de definir, junto con las recomendaciones a las víctimas que las sufren,  en la Guía sobre Protecció de Datos y Protección de Delitos que recientemente ha publicado y presentado

En dicha guía, que recomendamos al cien por cien,  la AEPD va más allá. En efecto, consciente de la intensificación del uso de información personal,  propia o de terceros, en redes sociales y mensajería instantánea, incluye recomendaciones sobre aquellas conductas que incluso podríamos haber asumido como normales, pero que sin embargo pueden suponer un uso de información personal a través de Internet contrario a la normativa, o en ocasiones constitutivo de un delito.

Nos referimos a conductas cuya ilicitud puede no ser consciente y que  en ningún caso son excepcionales, como por ejemplo publicar una foto íntima de un conocido en una web sin su consentimiento; difundir a través de una red social información que pudiera tener el tratamiento de reservada, o datos personales de terceros;  o acceder sin permiso a una cuenta de correo ajena, que pudiera pertenecer incluso a un familiar. Y también aquéllas otras conductas que en la mayoría de los cosas presuponen una intencionalidad, como sucede con las calumnias o injurias, el acoso, la suplantación de identidad, delitos de odio, estafas, propagación de virus informático, etc.

Las recomendaciones de la AEPD se dirigen al “como evitar cometer la infracción”, y también al “como evitar ser víctima de la misma”.

Os recordamos que la AEPD ya había publicado otras guías dirigidas a los jóvenes y a sus familiares. Por si os pueden ser útiles, aquí os las dejamos también.

Os deseamos un feliz día

El Tribunal Supremo reafirma su visto bueno al acceso “idóneo”, “necesario” y “proporcional” del empresario, a las comunicaciones digitales del trabajador realizada con los medios de la empresa

Hoy os queremos hablar de la reciente Sentencia 594/2018, dictada por la Sala de lo Social del Tribunal Supremo de 8 de febrero de 2018, porque contiene una elaborada reflexión de un tema sensible de gestión empresarial: el acceso del empresario al email del trabajador.

El Supremo estima el recurso de suplicación por unificación de doctrina interpuesto por la empresa Inditex  contra la Sentencia del Tribunal Superior de Justicia de La Coruña,  que a los efectos de considerar procedente el despido no tuvo en cuenta, sin embargo, por considerarlas ilícitas, las pruebas obtenidas por Inditex a través del control del correo electrónico del trabajador después de que casualmente encontrara información sobre los hechos que motivaron su despido.

A modo de enseñanza, hemos de tener en cuenta que Inditex contaba con un protocolo para empleados, en el que se incluían medidas que regulan las comunicaciones electrónicas. Así, el Tribunal Supremo resuelve la cuestión considerando el hecho probado de que los trabajadores del Grupo Inditex, cada vez que acceden con su ordenador a los sistemas informáticos de la compañía, y de forma previa a dicho acceso, deben de aceptar las directrices establecidas en la Política de Seguridad de la Información del Grupo Inditex, en la que se señala que el acceso lo es para fines estrictamente profesionales, y no particulares, reservándose la empresa el derecho de adoptar las medidas de vigilancia y control de cumplimiento de las directrices de uso de los medios informáticos.

Con base en ello, la Sentencia concluye que  si el trabajador no tenía derecho a utilizar el ordenador para usos personales, no puede pretender, ni esperar,  un derecho de uso de los medios de la empresa en unas condiciones que garanticen la intimidad o el  secreto de las comunicaciones.

Nos encanta este razonamiento. Por  la más pura lógica de las cosas, la inexistencia de un derecho al uso de los medios de Inditex para comunicaciones privadas comporta la inexistencia de un derecho de intimidad o privacidad de las comunicaciones resultantes de dicho uso.

Por lo demás, dice la Sentencia que Inditex actuó de forma respetuosa durante el acceso a las comunicaciones digitales de su trabajador, superado los juicios de idoneidad, necesidad y proporcionalidad a los que se refiere la jurisprudencia constitucional  (por ejemplo, el acceso fue consecuencia de la investigación derivada del hallazgo casual de documentos incriminatorios;  el análisis de los correos electrónicos no se hizo de forma genérica e indiscriminada, sino a través de búsquedas de palabras clave, en el período interesado y a través del acceso al servidor de la empresa, y no a dispositivos particulares del trabajador).

Lo que más nos gusta de la Sentencia es la reflexión que contiene sobre las exigencias en relación con el acceso a comunicaciones electrónicas del trabajador, recogidas por la Sentencia del Tribunal Europeo de Derechos Humanos  (TEDH), de fecha 5 de septiembre de 2017  [Caso Barbulescu vs Rumanía], que si bien no aplica directamente por tratarse de una resolución posterior a los hechos enjuiciados, trata en profundidad para convencernos de que su criterio es coincidente con los requisitos establecidos por el Alto Tribunal Europeo. Recordando, la Sentencia del TEDH consideró que existía intromisión de la empresa a la privacidad del trabajador por la monitorización y el acceso, sin previo aviso, a los correos electrónicos personales del trabajador (correos a su hermano y a su novia, alguno de ellos íntimos) realizados con los medios de la empresa, que motivaron la procedencia de su despido.

Os resumimos a continuación lo que el Tribunal Supremo recoge de la referida Sentencia del TEDH, a pesar de que alertar con carácter previo sobre manifiestas diferencias existentes entre los supuestos de hecho enjuiciados por cada tribunal,

(i)          Las comunicaciones que se emiten desde el puesto de trabajo, así como las del domicilio, pueden incluirse en las nociones de “vida privada” y de “correspondencia” a que se refiere el artículo 8 del Convenio», cuando el trabajador puede «razonablemente suponer que su privacidad estaba protegida y era respetada» [ap. 73]. Y, en este sentido, los  tribunales nacionales deben velar porque el establecimiento por una empresa de medidas para vigilar la correspondencia y otras comunicaciones, sea cual sea su alcance y duración, vaya acompañado de garantías adecuadas y suficientes contra los abusos» [ap. 119].

(ii)          A los efectos de calificar la supervisión del empleador y la posible intromisión en la vida privada, considera el TEDH que se deben tener en cuenta  los siguientes factores:

–          ¿El empleado ha sido informado  de  la posibilidad de que el empleador tome medidas para supervisar su correspondencia y otras comunicaciones, así como la aplicación de tales medidas?

El TEDH exige que la información se haya facilitado “de forma clara”.

–          ¿Cuál fue el alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada del empleado?

Al respecto, habrá que considerarse si el control es del flujo de las comunicaciones o de su contenido; si el acceso a sido general o limitado a parte de ellas, a un período temporal;  un número de personas, etc.

–          ¿El empleador ha presentado argumentos legítimos para justificar la vigilancia de las comunicaciones y el acceso a su contenido?

Se requiere la justificación fundada atendiendo a que por su naturaleza el acceso a las comunicaciones del trabajador es un medio invasivo.

–          ¿Habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado?

El Tribunal se refiere a la necesidad de evaluar, en función de las circunstancias particulares de cada caso, si el objetivo perseguido por el empresario puede alcanzarse sin que éste tenga pleno y directo acceso al contenido de las comunicaciones del empleado.

–          ¿Cuáles fueron las consecuencias de la supervisión para el empleado afectado? ¿De qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida?

Se trata de que exista proporcionalidad entre el perjuicio para el trabajador y el beneficio de la medida considerando el objetivo que la fundamenta.

–          ¿Al empleado se le ofrecieron garantías adecuadas, particularmente cuando las medidas de supervisión del empleador tenían carácter intrusivo?

En particular, estas garantías se dirigen impedir que el empresario tenga acceso a las comunicaciones de su trabajador sin que éste haya sido previamente notificado de dicha posibilidad.

Tras esta reflexión, la Sentencia de nuestro Alto Tribunal recoge, a modo de conclusión, la mención que nos permitimos transcribir:

“La lectura de los prolijos razonamientos utilizados por el TEDH en el asunto «Barbulescu», pone de manifiesto -entendemos- que el norte de su resolución estriba en la ponderación de los intereses en juego, al objeto de alcanzar un justo equilibrio entre el derecho del trabajador al respeto de su vida privada y de su correspondencia, y los intereses de la empresa empleadora (así, en los apartados 29, 30, 57, 99, 131 y 144). Y al efecto -resumimos- son decisivos factores a tener en cuenta: a) el grado de intromisión del empresario; b) la concurrencia de legítima razón empresarial justificativa de la monitorización; c) la inexistencia o existencia de medios menos intrusivos para la consecución del mismo objetivo; d) el destino dado por la empresa al resultado del control; e) la previsión de garantías para el trabajador Como es de observar, tales consideraciones del Tribunal Europeo nada sustancial añaden a la doctrina tradicional de esta propia Sala (…) pues sin lugar a dudas los factores que acabamos de relatar y que para el TEDH deben tenerse en cuenta en la obligada ponderación de intereses, creemos que se reconducen básicamente a los tres sucesivos juicios de «idoneidad», «necesidad» y «proporcionalidad» requeridos por el TC y a los que nos hemos referido en el FD Quinto [5.b)]”

Consejo práctico: no olvidemos tener y mantener el protocolo de empleados y de comunicaciones electrónica y acceso a medios digitales.

Os dejamos aquí la Sentencia 594/2018, dictada por la Sala de lo Social del Tribunal Supremo de 8 de febrero de 2018, y aquí la Sentencia del Tribunal Europeo de Derechos Humanos (Gran Sala), de fecha 5 de septiembre de 2017 [Caso Barbulescu].

 

Ana Soto

De paseo por el MWC

La semana pasada paseábamos por el MWC mientras nevó en Barcelona. Y ambas experiencias merecen ser citadas en nuestro blog con el calificativo de extraordinarias.

¿Cuál es nuestra reflexión tras la visita al MWC?

Pues que ya no hay excusas. Los abogados debemos conocer y dominar la complejidad jurídica derivada de aplicar a los negocios tradicionales las nuevas tecnologías digitales, y no me refiero solamente a los que somos especialistas en estas áreas de negocio.  La contratación mediante medios digitales, los aplicativos de pago para smartphone y tablet, los sistemas de reconocimiento, forman parte de nuestra vida cotidiana, tanto desde el punto de vista de la empresa como del consumo. El MWC nos muestra que en unos días todo girará en torno a la nueva red 5G, la industria 4.0, el big data, la inteligencia artificial y el internet de las cosas.

En resumen, todo está conectado y estará aún más conectado en el futuro. Y de ahí que a nadie sorprenda que las principales marcas de coches, por ejemplo, tengan un espacio para presentar sus novedades de conectividad como expositores en el principal congreso de comunicación móvil. Y como aviso a lectores, por ello también, ahora y en el futuro, los grandes protagonistas serán los datos.

La nieve en Barcelona merece más de observación que de reflexión.

Gracias por la invitación a MWC.

Ana Soto & Mª Luisa Osuna

 

 

 

Sobre secretos empresariales: noticias del Anteproyecto de Ley

 

En un tiempo en el que la información ha pasado a ser un valioso bien objeto de mercadeo, las empresas necesitan más que nunca medidas que ayuden a preservar sus desarrollos, tratamientos y estrategias empresariales y evitar, o al menos reparar, la pérdida de su valor estratégico  como consecuencia de una divulgación no deseada. Es incuestionable que preservar el secreto de la información estratégica es sinónimo de preservar la ventaja concurrencial que con ella se ha procurado legítimamente su propietario. Y, por lo mismo, es incontestable que la violación del secreto de la información de valor para la empresa es un acto contrario al normal funcionamiento del mercado, que desincentiva la iniciativa, la innovación y la inventiva y, por ello, la inversión, y puede causar graves daños al titular del secreto técnico o comercial.

En el año 2016 aplaudimos al legislador comunitario por la sensibilidad mostrada por estos aferes con la Directiva (UE) 2016/943, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas. La regulación contenida en la Directiva crea el marco legal suficiente a partir del cual los estados miembros deben desarrollar, mediante la correspondiente actividad legislativa de transposición, una sólida y eficaz normativa interna de protección del secreto empresarial y represión contra quienes realizan actos de intromisión y quienes se aprovechan de los mismos. En nuestro caso, la Directiva completa la escueta regulación contenida en la Sección 7 ADPIC 〈1〉 y la Ley de Competencia Desleal, que en su artículo 13 prohíbe la violación de secretos y en el siguiente 14, tipifica determinados actos que son causa y/o consecuencia de dicha violación.

En este escenario, el Consejo de Ministros, a propuesta del Ministerio de Justicia, ha publicado el nuevo Anteproyecto de Ley de Secretos Empresariales, producto de la obligación del estado español de transponer a su ordenamiento jurídico la Directiva (UE) 2016/943.

Seguiremos muy de cerca este desarrollo, que se tramita con carácter preferente, así que pronto sabremos cuál será el texto definitivo. Por ahora el anteproyecto se encuentra en la fase de trámite de audiencia e información pública, por lo que puede sufrir cambias fruto de enmiendas y modificaciones.

A pesar de lo prematuro del tema, sí deseamos destacar que en Anteproyecto de  Ley, siguiendo la Directiva que  hace de marco legal, considera de forma gratamente amplia el objeto de protección, extendiéndolo a cualquier información relativa a cualquier ámbito de la empresa, siempre que sea secreta, porque cumple con estos tres requisitos (Capítulo I):

(I)         Porque no es generalmente conocida ni fácilmente accesible por las personas que habitualmente hacen uso del tipo de información.

(II)       Porque, por lo anterior, tiene valor empresarial.

(III)     Siempre que haya sido objeto de medidas razonables para mantenerla en secreto.

El anteproyecto de Ley también es estricto al regular la infracción (Capítulo 2), acogiendo una ancha tipología de ilícitos de conformidad con el marco definido por la Directiva. De esta forma, podrán ser actos ilícitos la obtención y/o revelación de secretos empresariales obtenidos de forma ilícita o como consecuencia del incumplimiento de pactos de no revelación, así como su utilización cuando el autor sepa, o simplemente deba saber, que la información utilizada había sido obtenida o revelada de forma ilícita. Junto a dichos actos de infracción, el anteproyecto de Ley define “Mercancía infractora” como aquélla que se beneficia de forma significativa de obtención, revelación o uso ilícito de secretos empresariales.

Las acciones recogidas en el texto legal, según el mismo aclara, deberán aplicarse de forma proporcionada y evitando tanto la creación de obstáculos al libre comercio, como su ejercicio de forma abusiva o de mala fe.

Ahí lo dejamos hasta nuevas noticias. Mientras tanto, aquí tenéis el texto del Anteproyecto de Ley de Secretos Empresariales.

 

(1)  Acuerdo de la Organización Mundial del Comercio sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio, ratificado por España el 30 de diciembre de 1994 (BOE de 24 de enero de 1995), artículo 39 de la Sección 7 sobre protección de la información no divulgada.