A vueltas con el uso corporativo del teléfono móvil personal

Ciberderecho

A vueltas con el uso corporativo del teléfono móvil personal

2024/04/24

Martínez Martínez, Ricard

La sentencia de 5 de febrero de 2024 de la Sala de lo Social de la Audiencia Nacional dictada en el recurso núm. 297/2023 resuelve de modo parcial un asunto que sin duda sigue presentando muchas aristas.

I. Objeto del asunto

La cuestión es que a pesar de lo que pueda parecer resuelve de modo muy sucinto una cuestión compleja. En esencia, las políticas de protección de datos de la compañía que despliega un esquema de teletrabajo señalan:

Por motivos de ciberseguridad, tanto la Compañía y DXC como sus clientes están desplegando de forma progresiva métodos de autentificación y acceso a sistemas o aplicaciones necesarias para la prestación de los servicios. Por ello, la Compañía y DXC puede solicitar a la Persona Trabajadora, puntualmente, su número de teléfono móvil para la recepción de mensajes de tipo SMS y/o para acceder a aplicaciones que permiten confirmar la identidad, únicamente durante el horario de trabajo establecido. El tratamiento del dato de número de teléfono móvil se limitará a la finalidad de verificarla identidad de la Persona Trabajadora durante el acceso a sistemas y aplicaciones, estando este tratamiento amparado en el interés legítimo de la Compañía y DXC en garantizar la seguridad de la información y los sistemas.

No se aprecia ni en las alegaciones ni en la descripción de hechos probados que juicio de balance de intereses ha realizado el responsable del tratamiento al considerar que su interés en el tratamiento prevalece sobre los derechos fundamentales del trabajador. Y el juez se limita a una mera constatación formal: el convenio no lo permite.

Noveno: (…) Sin duda la Sala reconoce que uno de los procedimientos más difundidos para garantizar la seguridad de las comunicaciones informáticas consiste en el empleo de métodos de autentificación a través de mensajes SMS que remiten un código que el destinatario debe emplear para acceder a determinadas aplicaciones.
El empleo de estos mecanismos para garantizar la identificación de los que acceden a tales aplicaciones no lo cuestionamos, lo que sí resulta controvertido es que los mensajes SMS se remitan al teléfono móvil personal de cada trabajador por cuanto con ello se le impone el empleo para el trabajo de sus personales herramientas y dispositivos.
El art. 19.7 del convenio establece que Las empresas no podrán utilizar herramientas, aplicaciones o dispositivos de las personas trabajadoras que no sean facilitadas por la propia empresa. En el caso de que fuera necesario un sistema de doble factor de autenticación, la empresa deberá facilitar las herramientas y medios necesarios para su uso. Como caso excepcional y exclusivamente para esta finalidad, si la persona trabajadora rechaza la herramienta facilitada por la empresa, podrá dar su consentimiento al uso de dispositivos o herramientas de su propiedad.
De la norma convencional se deduce que los negociadores acuerdan prohibir el empleo de aplicaciones y dispositivos del trabajador y que de ser necesario usar un doble factor de autentificación
De la norma convencional se deduce que los negociadores acuerdan prohibir el empleo de aplicaciones y dispositivos del trabajador y que de ser necesario usar un doble factor de autentificación, lo que ocurre con la emisión de mensajes SMS que remiten un código para acceder a las aplicaciones, el empresario será quien deba facilitar las herramientas y medios precisos.
Esta previsión convencional se incumple con la cláusula contenida en los acuerdos individuales de trabajo a distancia, que como puede apreciarse, impone al trabajador el uso para la autentificación de su personal teléfono.
Procede que estimemos también esta pretensión.

A nuestro juicio la cuestión resulta particularmente compleja y podría en el futuro ser objeto de análisis con mayor detalle. El fundamento último de la necesidad de usar el procedimiento de doble autenticación reside en el hecho de que el control de acceso basado exclusivamente en el conocimiento de un secreto, como es una contraseña de acceso, se ha demostrado insuficiente ante los ataques que pueden presentarse. Se requiere, por tanto, un nivel de seguridad adicional para permitir el acceso a los sistemas. Entre las medidas de seguridad aplicables cabe la activación de un segundo factor de autenticación adicional. El doble factor de autenticación puede ser de diversos tipos, por ejemplo:

• Llamada vocal a un número de teléfono (móvil o fijo).
• SMS enviado a un móvil.
• Códigos de un único uso que se pueden generar con aplicaciones móviles como Google Authenticator o Microsoft Authenticator, FreeOTP, KeepassXC, etc.
• Aplicación de tokens o contraseñas de un único uso.
• Existen generadores de código que funcionan como extensión del navegador y que puede usarse en el ordenador del puesto de trabajo.

De acuerdo con los hechos:

La Compañía ha hecho entrega a la Persona Trabajadora de los medios materiales necesarios para el ejercicio de su actividad profesional, los cuales se mencionan a continuación, detallándose igualmente la vida útil que se calcula a cada uno de ellos:

— Ordenador
— Teclado
— Ratón
— Otros

A todos estos medios se les atribuye una vida útil de seis años. El uso de los medios relacionados está exclusivamente limitado al ejercicio de la actividad profesional, no pudiéndose emplear para fines personales, y teniendo en cuenta lo establecido en la política de desconexión digital.

Todo parece indicar que, presupuestariamente hablando, facilitar un teléfono móvil corporativo excedía de las posibilidades consideradas por la empresa.

II. A propósito de la garantía de los derechos en el teletrabajo

Las modalidades de prestación laboral tomando como referencia la Ley 10/2021, de 9 de julio, de trabajo a distancia (LA LEY 15851/2021) son:

a) «Trabajo a distancia»: forma de organización del trabajo o de realización de la actividad laboral conforme a la cual esta se presta en el domicilio de la persona trabajadora o en el lugar elegido por esta, durante toda su jornada o parte de ella, con carácter regular.
b) «Teletrabajo»: aquel trabajo a distancia que se lleva a cabo mediante el uso exclusivo o prevalente de medios y sistemas informáticos, telemáticos y de telecomunicación.
c) «Trabajo presencial»: aquel trabajo que se presta en el centro de trabajo o en el lugar determinado por la empresa.

Al respecto del asunto que nos ocupa resulta relevante como referente de interpretación lo dispuesto por la Ley 10/2021, de 9 de julio, de trabajo a distancia (LA LEY 15851/2021):

Artículo 17. Derecho a la intimidad y a la protección de datos.
1. La utilización de los medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos garantizará adecuadamente el derecho a la intimidad y a la protección de datos, en los términos previstos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018), de acuerdo con los principios de idoneidad, necesidad y proporcionalidad de los medios utilizados.
2. La empresa no podrá exigir la instalación de programas o aplicaciones en dispositivos propiedad de la persona trabajadora, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia.
3. Las empresas deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos legal y constitucionalmente. En su elaboración deberá participar la representación legal de las personas trabajadoras.
Los convenios o acuerdos colectivos podrán especificar los términos dentro de los cuales las personas trabajadoras pueden hacer uso por motivos personales de los equipos informáticos puestos a su disposición por parte de la empresa para el desarrollo del trabajo a distancia, teniendo en cuenta los usos sociales de dichos medios y las particularidades del trabajo a distancia.

Los derechos que protegen la esfera privada del trabajador y singularmente el derecho a la intimidad y el derecho fundamental a la protección de datos confieren al trabajador un ámbito de autodeterminación individual que opera como límite a las decisiones del empleador. Ello sin perjuicio de una cuestión por lo demás obvia. No existe garantía alguna de que un dispositivo privado sea de uso exclusivo de una única persona. Por lo tanto, la garantía de los derechos alcanza a la dimensión de la intimidad personal y familiar. No debe olvidarse que de tan lejana fecha como la de la publicación de la STC 254/1993 (LA LEY 2282-TC/1993), el Tribunal Constitucional señaló expresamente en relación con el derecho fundamental a la protección de datos y la intimidad que:

Los derechos y libertades fundamentales vinculan a todos los poderes públicos, y son origen inmediato de derechos y obligaciones, y no meros principios programáticos. Este principio general de aplicabilidad inmediata no sufre más excepciones que las que imponga la propia Constitución, expresamente o bien por la naturaleza misma de la norma (FJ 6)

Por ello, debe tenerse presente en todo momento que la persona trabajadora es quien establece las condiciones de uso en los dispositivos personales de su propiedad. El empleador no puede disponer de dispositivos privados con esta finalidad. No será obligatorio, por tanto, ni su aportación al centro de trabajo ni la instalación de ningún tipo de aplicación, como autenticadores similares a Google Authenticator o Microsoft Authenticator o aplicaciones para notificaciones push, ni facilitar el número de teléfono personal. Tampoco se podrá obligar, ni tampoco se recomienda en absoluto, a la instalación de aplicaciones o a la descarga de información alguna en un dispositivo privado situado fuera del alcance de las políticas de seguridad de una empresa.

III. A propósito del consentimiento

El Comité Europeo de Protección de Datos ha señalado de modo muy específico en sus Directrices 5/2020, de 4 de mayo de 2020, sobre el consentimiento en el sentido del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (v. 1.1), que el consentimiento no es un fundamento adecuado cuando se da una asimetría en la relación jurídica, así señala:

21. También en el contexto del empleo se produce un desequilibrio de poder. Dada la dependencia que resulta de la relación entre el empleador y el empleado, no es probable que el interesado pueda negar a su empleador el consentimiento para el tratamiento de datos sin experimentar temor o riesgo real de que su negativa produzca efectos perjudiciales. Parece poco probable que un empleado pudiera responder libremente a una solicitud de consentimiento de su empleador para, por ejemplo, activar sistemas de vigilancia por cámara en el lugar de trabajo o para rellenar impresos de evaluación, sin sentirse presionado a dar su consentimiento. Por tanto, el CEPD considera problemático que los empleadores realicen el tratamiento de datos personales de empleados actuales o futuros sobre la base del consentimiento, ya que no es probable que este se otorgue libremente. En el caso de la mayoría de estos tratamientos de datos en el trabajo, la base jurídica no puede y no debe ser el consentimiento de los trabajadores [artículo 6, apartado 1, letra a)] debido a la naturaleza de la relación entre empleador y empleado.
22. No obstante, esto no significa que los empleadores no puedan basarse nunca en el consentimiento como base jurídica para el tratamiento de datos. Puede haber situaciones en las que el empleador pueda demostrar que el consentimiento se ha dado libremente. Dado el desequilibrio de poder entre un empleador y los miembros de su personal, los trabajadores únicamente pueden dar su libre consentimiento en circunstancias excepcionales, cuando el hecho de que otorguen o no dicho consentimiento no tenga consecuencias adversas.

Debe tenerse presente aquí la resolución de la AEPD EXP202100091, en la se apercibió a la Policía municipal del Ayuntamiento de Madrid por la utilización del número de teléfono móvil de los agentes como segundo factor de autenticación sin concurrir base legitimadora alguna de las recogidas en el artículo 6.1 RGPD (LA LEY 6637/2016). Por tanto, el consentimiento para el uso del número de teléfono personal no sería suficiente. No podrá solicitarse el consentimiento de la persona trabajadora para el uso de su dispositivo móvil o número de teléfono personal, si no se ofrece una alternativa realista que permita prescindir de esta opción. De otro modo, este consentimiento se prestaría en condiciones reales de libertad decisoria y sería nulo de pleno derecho.

Para poder basar el uso del número de teléfono personal en el consentimiento, deberán proveerse opciones que implementen el segundo factor de autenticación sin que exista necesidad de facilitarlo. Las alternativas no deberían ser tan gravosas para la persona trabajadora que la única opción realista sea utilizar su número de teléfono. De existir otras opciones que permitan prescindir realmente del dispositivo de la persona trabajadora, esta podrá otorgar su consentimiento para el uso de su dispositivo o su número de teléfono personal siempre que se aseguren condiciones de libertad y ausencia de influencia alguna por parte del empleador. Por ejemplo, si se encuentra al alcance del empleador la provisión de una firma electrónica, por ejemplo mediante concierto con un proveedor, el uso de un medio personal sería residual. Cuestión distinta sería que se tratase de una línea telefónica provista por el empleador.

No debe olvidarse que del marco de tutela del derecho fundamental a la protección de datos que contiene distintos artículos de la LOPDGDD (LA LEY 19303/2018), y singularmente el Título X sobre garantía de los derechos digitales, y los principios de limitación de la finalidad y minimización del artículo 5 del RGPD (LA LEY 6637/2016), así como del juicio de proporcionalidad que debe regir el análisis de impacto en los derechos fundamentales del artículo 24 del RGPD (LA LEY 6637/2016) deriva la aplicación por defecto de lo que podríamos definir como principio de mínima invasividad.

Cualquier solución que implique un poder de disposición debería ser transparente en cuanto al uso de medios personales privados y ofrecer necesariamente alternativas equivalente

Por tanto, cualquier solución que implique un poder de disposición debería ser transparente en cuanto al uso de medios personales privados y ofrecer necesariamente alternativas equivalentes. Ello sin perjuicio, desde el punto de vista del análisis de riesgos nada impide que en el futuro la interpretación de la Agencia Española de Protección de Datos, o de los tribunales, pudieran ser más rigurosas, así como de los riesgos para la propia seguridad que implica el uso de medios fuera del control de la institución sobre los que, a continuación, realizaremos alguna consideración. Por ello, es preciso recordar que el uso del número de teléfono personal debería restringirse exclusivamente a este uso, sin que exista la posibilidad de que el responsable del tratamiento pueda utilizarlo para otras finalidades, ya que potencialmente contravendría el principio básico de la limitación de la finalidad del artículo 5.b RGPD (LA LEY 6637/2016).

IV. Sobre el derecho de propiedad, el interés legítimo y el valor de la seguridad

A nuestro juicio, existe un conjunto de elementos que deberían haberse tenido en cuenta a la hora de evaluar la prevalencia del interés legítimo como fundamento legal para el tratamiento. Y también, desde el punto de vista del análisis de riesgos. Se trataría en esencia de determinar:

1. Si el hecho de que el teléfono sea propiedad del trabajador introduce un elemento diferencial en el juicio de ponderación sobre el interés legítimo del responsable del tratamiento.
2. Si en la medida en la que el doble factor de autenticación se corresponde con una política o medida de seguridad puede adquirir un perfil de riesgo específico cuando se aplica un medio ajeno a la titularidad de la empresa.

1. La propiedad del terminal

En ausencia de información sobre el balance de intereses realizado podemos inferir su contenido. Lo normal es que se haya identificado un conflicto básico, esto es, la contraposición entre la seguridad que persigue la empresa y el derecho a la intimidad del trabajador. Sin embargo, existe un factor clave adicional relativo a la propiedad del dispositivo y el entorno en el que es utilizado.

En nuestra opinión, en ningún caso existe, ni puede existir, una obligación de aportar medios propios para desempeñar su prestación laboral. Es una obviedad que los dispositivos del trabajador son de su exclusiva propiedad y que el empleador no puede disponer de ellos salvo la oportuna compensación por tal hecho. Por ello, y desde este exclusivo punto de vista la invocación del interés legítimo como criterio de legitimación es inviable. Defender lo contrario sería volver a la época en la que el salario debía gastarse en el economato de la empresa. Entiéndase bien nuestra afirmación. Como han señalado la AEPD y el CEPD existe un espacio para el consentimiento libre del trabajador, pero ese consentimiento se despliega sobre un entorno digital, y sobre un objeto que es propiedad del trabajador. Y aquí la prevalencia de este derecho nos parece tan indiscutible.

En este sentido, resulta de obligada cita el asunto BĂRBULESCU CONTRA ROMANIA(Demanda n.^o 61496/08) que expresa una posición común en nuestros tribunales. En el caso de referencia existe una prohibición expresa del uso de internet en el puesto de trabajo, pero al mismo tiempo el trabajador demandante había creado una cuenta de Yahoo Messenger siguiendo las instrucciones de su empresario para responder a las preguntas de los clientes y el empresario tenía acceso a ella. Como punto de partida, en el considerando 81 de la sentencia el TEDH 81. llega a la conclusión de que las comunicaciones del demandante en el lugar de trabajo estaban comprendidas en los conceptos de «vida privada» y «correspondencia». Esta es, a nuestro juicio, una primera cuestión relevante ya que, al fin y al cabo, el teléfono móvil es un instrumento necesario en el contexto de las comunicaciones. La sentencia va destilando un conjunto de conclusiones relevantes:

▪ La relación empresario-empleado es contractual, con derechos y obligaciones particulares para ambas partes, y se caracteriza por la subordinación jurídica.
▪ Desde una perspectiva regulatoria, el derecho laboral deja un margen de negociación entre las partes en el contrato de trabajo.
▪ Las autoridades nacionales deben velar por que la introducción por un empresario de medidas para supervisar la correspondencia y otras comunicaciones, independientemente del alcance y la duración de esas medidas, vaya acompañada de garantías adecuadas y suficientes contra los abusos.

Y es en este punto en el que señala cuáles deban ser estas garantías:

(i) Si se ha notificado al empleado la posibilidad de que el empresario adopte medidas para supervisar la correspondencia y otras comunicaciones, y la implementación de esas medidas. La notificación debería normalmente ser clara sobre la naturaleza de la supervisión y darse con antelación.
(ii) El alcance de la supervisión por parte del empresario y el grado de intrusión en la intimidad del empleado.
(iii) Si el empresario ha proporcionado razones legítimas para justificar la monitorización de las comunicaciones y el acceso a su contenido real.
(iv) Si hubiera sido posible establecer un sistema de supervisión basado en métodos y medidas menos intrusivos, que el acceso directo al contenido de las comunicaciones del empleado.
(v) Las consecuencias del control para el empleado sometido a él (véase, mutatis mutandis, el criterio similar aplicado en la evaluación de la proporcionalidad de una injerencia en el ejercicio de la libertad de expresión.
(vi) Si se habían proporcionado al empleado las garantías adecuadas, especialmente cuando las operaciones de supervisión del empresario eran de carácter intrusivo.

Nótese, por tanto, que la actuación de la empresa hubiera sido impecable si el medio empleado fuera de su titularidad, es más, la base de legitimación para el tratamiento hubiera sido diversa basándose en la relación laboral y en las facultades de control empresarial.

2. La política de seguridad

Pero no es el caso, el terminal es propiedad del empresario. Y es aquí donde el valor de la seguridad entra en juego. En el diseño de un tratamiento no sólo hay que considerar el balance de intereses, sino aplicar un enfoque de riesgo. Y aquí, desde un punto de vista estrictamente personal surge una duda. ¿Qué debería suceder cuando se produce un incidente de seguridad vinculado al doble factor de autenticación? ¿Y si es una brecha de seguridad? Imagine el lector una hipótesis por lo demás obvia. El atacante que intuye que los trabajadores tienen listas privadas de WhatsApp consigue instalar malware y forzar una doble autenticación a cuentas que ahora controla. Parece razonable pensar que una parte de la auditoría a realizar incluiría una prueba pericial sobre los teléfonos móviles particulares de los empleados. ¿Con qué legitimación? ¿Con qué nivel de acceso? ¿Con qué consecuencias?

En este sentido en el párrafo cuarto de los hechos probados se señala que:

8. Medios de control empresarial. La Compañía podrá adoptar las medidas de vigilancia y control que estime más oportunas para verificar el cumplimiento por la Persona Trabajadora de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad.
No obstante lo anterior, se prohíbe expresamente la utilización de las cámaras de los dispositivos electrónicos para controlar la actividad laboral de la persona trabajadora durante el trabajo a distancia, así como cualquier otro sistema de control que invada su intimidad.

Pero además, de modo específico se señala el deber del trabajador de observar, de respetar y aplicar las medidas de seguridad que tenga establecidas la Compañía para garantizar la seguridad de los datos. En virtud de ello,

(…) la Persona Trabajadora se compromete a:
(…)
• No descargar ni instalar aplicaciones o software que no hayan sido previamente autorizados por la Compañía.
• Evitar la conexión de los dispositivos a la red corporativa desde lugares públicos, así como la conexión a redes WIFI abiertas no seguras.
(…)
• Una vez concluida la jornada laboral, desconectar la sesión de acceso remoto y apagar o bloquear el acceso al dispositivo.
• No almacenar la información generada de forma local en el dispositivo utilizado, siendo preferible hacer uso de los recursos de almacenamiento compartidos o en la nube proporcionados por la Compañía.
• Comunicar con carácter inmediato cualquier indicio o sospecha de que la información ha podido verse comprometida.

Por otra parte, el artículo 11 de la Ley 10/2021, de 9 de julio, de trabajo a distancia (LA LEY 15851/2021) introduce el derecho del trabajador a la dotación de medios, equipos y herramientas:

Artículo 11.Derecho a la dotación suficiente y mantenimiento de medios, equipos y herramientas.
1. Las personas que trabajan a distancia tendrán derecho a la dotación y mantenimiento adecuado por parte de la empresa de todos los medios, equipos y herramientas necesarios para el desarrollo de la actividad, de conformidad con el inventario incorporado en el acuerdo referido en el artículo 7 y con los términos establecidos, en su caso, en el convenio o acuerdo colectivo de aplicación. En el caso de personas con discapacidad trabajadoras, la empresa asegurará que esos medios, equipos y herramientas, incluidos los digitales, sean universalmente accesibles, para evitar cualquier exclusión por esta causa.
2. Asimismo, se garantizará la atención precisa en el caso de dificultades técnicas, especialmente en el caso de teletrabajo.

Cuando el empleador sea el propietario de los dispositivos móviles que pone a disposición del trabajador puede decidir las condiciones de uso con las debidas garantías. En consecuencia, podría instruir al trabajador para utilizar exclusivamente dicho dispositivo y ordenar la instalación de las aplicaciones necesarias que sirvan como segundo factor de autenticación, así como auditar la seguridad en caso de incidente.

Sin embargo, en el caso de los medios personales nos enfrentamos a una paradoja significativa. En el contexto de un teléfono estrictamente personal todas las disposiciones que se aplican a los medios de la compañía poseen pleno sentido respecto de la protección del dispositivo que se use para el doble factor de autenticación. Pero ello implica no haber tenido en cuenta dos factores. El primero, es el relativo a las condiciones de uso de un dispositivo personal. El móvil se presta a un hijo para que juegue o vea redes sociales, a la pareja para que realice una llamada de urgencia, se abandona sobre la mesa de un restaurante. Es decir, se escoge un medio esencialmente inseguro y se destina a una función esencial para un control de acceso lógico. Y, como se ha señalado más arriba, cuando el sistema fracase debido a esa inseguridad consustancial se carecerá de herramientas para la auditoría del dispositivo.

Por todo ello, podemos concluir que el uso de dispositivos personales como doble factor de autenticación de la persona trabajadora fuera del centro de trabajo, no puede ser de uso obligado por el empleador, y el juicio de interés legítimo debió haber resultado negativo por tres razones:

▪ Afecta a un espacio de intimidad y secreto de las comunicaciones.
▪ Supone un poder de disposición sobre una propiedad del trabajador.
▪ En caso de incidente de seguridad es prácticamente imposible de auditar sin vulnerar el derecho a la intimidad personal y familiar.

Volver a página de inicio

Volver a página de inicio