Compliance i privacitat: riscos penals del teletreball en el context del Covid-19
El món viu una situació d’emergència sanitària sense precedents, que –entre d’altres moltes coses-, amenaça amb tenir un fort impacte econòmic. Per tractar de pal·liar-lo, els governs i les empreses estan adoptant una sèrie de mesures extraordinàries i moltes han recorregut a les noves tecnologies, tot accelerant així el seu procés de transformació digital. Es tracta d’un canvi que, a més d’haver tingut lloc en molts casos de manera inesperada, planteja diversos interrogants relacionats amb la productivitat, la prevenció de riscos laborals, la privacitat i la seguretat cibernètica.
En aquest post s’exposaran algunes d’aquestes qüestions, a fi de considerar dos aspectes:
Per una banda, els riscos penals pels quals podrien arribar a respondre les empreses i organismes que han apostat per continuar la seva activitat al ciberespai, si no compleixen degudament amb la normativa.
D’altra banda, considerem els riscos que poden patir les referides entitats com a víctimes d’un hackeig o d’altres classes d’atacs cibernètics que afectin a la privacitat de les seves dades.
El treball a distància
La situació actual ofereix una oportunitat única per aprendre i innovar en matèria d’estratègia digital. És possible que en molts sectors o activitats el teletreball hagi vingut per quedar-se, però, a dia d’avui, treballar des de casa és per a molts quelcom nou i fins i tot difícil.
D’acord amb la legislació laboral i de prevenció de riscos d’Espanya, els empresaris tenen el deure de protegir els empleats dels riscos laborals, de facilitar les condicions en què poden prestar els seus serveis i de vigilar periòdicament les condicions de salut dels empleats amb respecte als riscos inherents a la feina. Tot això, respectant sempre el dret a la intimitat dels treballadors i la confidencialitat de les seves dades.
Davant d’aquest escenari, des del punt de vista del compliance o gestió de compliment normatiu, és convenient que les empreses on s’opti per mantenir l’activitat mitjançant teletreball, garanteixin –en la mesura de les seves possibilitats-, que tots els treballadors compten amb els recursos necessaris (ordinador, telèfon, accés a internet, etc.) i amb unes condicions que facilitin la seva concentració.
Per a això, existeixen també múltiples eines que s’estan posant a disposició de les empreses sense cap cost per al temps que duri l’alerta sanitària. És el cas, per exemple, de Microsoft. Des de l’11 de març ofereix 6 mesos d’accés gratuït a la seva plataforma «Teams», un espai perquè els equips puguin xatejar i realitzar video-trucades de manera segura (ja que només admet usuaris registrats amb el nom de domini professional) i inclusiva (atès que permet activar opcions d’accessibilitat a persones amb capacitats disminuïdes). També han compartit una guia de treball des de casa, amb consells pràctics per millorar la nostra productivitat.
En molts casos, tanmateix, facilitar que el treballador pugui desenvolupar correctament les seves funcions des de casa, requereix tenir en compte qüestions que van més enllà de l’eficiència. Per il·lustrar-ho, faig meva una reflexió de Jeff Weiner, CEO de LinkedIn, qui recentment publicava en xarxes socials: “Els empleats que treballin a distància no només buscaran eines que facilitin la productivitat i la col·laboració, sinó també software que els permeti sentir-se vistos, escoltats, verdaderament connectats amb els seu col·legues, i recolzats per la seva empresa, és a dir, l’oficina virtual com a comunitat.” Així, en aquestes difícils circumstàncies, el tone from the top que requereix qualsevol sistema de compliance es tradueix en un necessari desvetllament per part dels qui lideren les diferents empreses i organitzacions per garantir el benestar dels seus empleats, tot mantenint un diàleg obert, assegurant-se que dediquen el temps necessari al descans, i promovent petites iniciatives que els ajudin a sentir-se menys aïllats.
La manera de portar això a terme ja fou apuntada per la Circular de Fiscalia General de l’Estat 1/2016, en la qual s’indicava que l’òrgan de compliment, encarregat de controlar i supervisar el programa de compliance, pot servir-se de l’ajuda d’altres departaments, com recursos humans o informàtica.
Privacitat
La legislació en matèria de protecció de dades preveu una sèrie de directrius relatives a la tramitació de dades personals en un context com el del COVID-19. Concretament, en el marc d’una epidèmia on es veu afectada la salut pública, el Reglament General de Protecció de Dades de la Unió Europea (GDPR) permet a les autoritats sanitàries i als empresaris processar dades personals, sense necessitat de comptar amb el consentiment dels individus. La qual cosa coincideix amb allò expressat per l’AEPD, en un informe de 12 de març, on s’afirma que el context de les relacions empresa-empleat, els articles 6.1c) i 9.2b) del Reglament sobre la Protecció de Dades poden construir bases legals rellevants i excepcions per al tractament de dades sanitàries i d’altres dades personals. Ara bé, el 19 de març de 2020, la Junta Europea de Protecció de Dades («EDPB») va emetre un breu comunicat per aclarir algunes qüestions relacionades amb la privacitat en el context de COVID-19, tot insistint en el caràcter temporal i excepcional de moltes de les mesures adoptades.
Aquestes mesures, encara que legítimes, situen a les empreses i organitzacions en una franja on s’incrementen els riscos d’incórrer en una infracció de la normativa de protecció de dades, i fins i tot en un delicte de revelació de secrets (art. 197 ss. Del Codi penal). Per això, des d’un punt de vista del compliance, és aconsellable tenir en compte una sèrie de recomanacions, com ara les següents:
- Hauria de documentar-se i assenyalar-se expressament que les mesures d’emergència que —d’acord amb la legislació— adopti l’empresari, estaran estrictament limitades a la durada de l’estat d’excepcionalitat que les justifica.
- Les dades personals que siguin necessàries per a aconseguir els objectius pretesos, han de ser processades per a finalitats específiques i explícites.
- A més, els interessats han de rebre informació transparent sobre les activitats de tractament que s’estan duent a terme i les seves principals característiques, inclòs el període de retenció de les dades recopilades i les finalitats del tractament. La informació proporcionada ha de ser fàcilment accessible i facilitar-se en un llenguatge clar i senzill.
- És important adoptar mesures de seguretat i polítiques de confidencialitat adequades que garanteixin que les dades personals no es revelin a persones no autoritzades.
- Per a tot això, serà necessari garantir que les mesures aplicades per gestionar l’emergència actual i el procés subjacent d’adopció de decisions es troben degudament documentats.
Ciberseguretat
Amb casos de coronavirus registrats en més de 150 països, la creixent dependència de les eines digitals i de la incertesa provocada per la crisi del COVID-19, ha contribuït a augmentar el risc dels ciberatacs. De fet, ja són diverses les empreses de seguretat cibernètica com FireEye, Recorded Future, Check Point o Agari, que han informat d’un augment dels atacs en els últims mesos.
En aquest context, comptar amb sòlides mesures de ciberseguretat és més important que mai. En concret, des del punt de vista del compliance, les empreses tenen l’obligació de conscienciar als seus treballadors que els virus digitals es propaguen de forma molt semblant als físics, i que els seus errors en línia podrien afectar seriosament altres persones. Al cap i a la fi, no pot oblidar-se que les persones jurídiques poden ser responsables penals de delictes de revelació de secrets (article 197 quinquies del Codi penal), espionatge industrial (article 288 del Codi penal) i danys informàtics (article 264 quáter del Codi penal).
Per tal de prevenir aquests riscos i assegurar que el compliance de l’empresa s’adequa a l’excepcional situació que estem vivint, poden resultar d’utilitat les recomanacions d’un article recent del World Economic Fòrum. En concret, convé impulsar les següents mesures bàsiques de ciberseguretat:
- Utilitzar una VPN fiable per a l’accés a Internet, sempre que sigui possible.
- Comprovar que es disposa d’una contrasenya de router llarga i complexa per al wifi domèstic, i que els tallafocs del sistema estan actius.
- Evitar reutilitzar les contrasenyes en la web (un administrador de contrasenyes és una gran inversió).
- Ser més prudents que mai a l’hora d’instal·lar un software o fer clic en els enllaços que ens arriben per correu electrònic.
- Actualitzar el software i les aplicacions del sistema amb regularitat.
Després de tot, els experts opinen que la dècada de 2020 portarà canvis normatius fonamentals en el món de la tecnologia, i les empreses i els governs hauran de treballar junts. Així ho va expressar en aquest recent article Brad Smith, President de Microsoft i co-autor d’un llibre dedicat a explorar les promeses i els riscos de l’era digital en el marc empresarial (Tools & Weapons: The Promise and the Peril of the Digital Age).
En una situació tan excepcional com la que ens està tocant viure, el comportament personal de cadascú és decisiu per prevenir la propagació d’infeccions perilloses: tant en línia, com en el món físic.
Advocada Consultora de Molins Defensa Penal.
Professora Doctora en Dret Penal