Compliance y privacidad: riesgos penales del teletrabajo en el contexto del Covid-19

El mundo vive una situación de emergencia sanitaria sin precedentes, que —entre otras muchas cosas—, amenaza con tener un fuerte impacto económico. Para tratar de paliarlo, los gobiernos y las empresas están adoptando una serie de medidas extraordinarias y muchas han recurrido a las nuevas tecnologías, acelerando así su proceso de transformación digital. Se trata de un cambio que, además de que en muchos casos se ha dado de forma inesperada, plantea diversos interrogantes relacionados con la productividad, la prevención de riesgos laborales, la privacidad y la seguridad cibernética.

 

En este post se expondrán algunas de estas cuestiones, a fin de considerar dos aspectos:

  1. Por un lado, los riesgos penales por los que podrían llegar a responder las empresas y organismos que han apostado por continuar su actividad en el ciberespacio, si no cumplen debidamente con la normativa.
  2. Por otro lado, consideraremos los riesgos que pueden sufrir las referidas entidades como víctimas de hackeos u otra clase de ataques cibernéticos que afecten a la privacidad de sus datos.

 

El trabajo a distancia

La situación actual ofrece una oportunidad única para aprender e innovar en materia de estrategia digital. Es posible que en muchos sectores o actividades el teletrabajo haya venido para quedarse, pero a día de hoy, trabajar desde casa es para muchos algo nuevo e incluso difícil.

De acuerdo con la legislación laboral y de prevención de riesgos de España, los empresarios tienen el deber de proteger a los empleados de los riesgos laborales, de facilitar las condiciones en las que pueden prestar sus servicios y de vigilar periódicamente las condiciones de salud de los empleados con respecto a los riesgos inherentes al trabajo. Todo ello, respetando siempre el derecho a la intimidad de los empleados y la confidencialidad de sus datos.

Ante este escenario, desde el punto de vista del compliance o gestión de cumplimiento normativo, es conveniente que las empresas en las que se opte por mantener la actividad mediante el teletrabajo, garanticen —en la medida de lo posible—, que todos los trabajadores cuentan con los recursos necesarios (ordenador, teléfono, acceso a internet, etc.) y con unas condiciones que faciliten su concentración.

Para ello, existen múltiples herramientas que, además, se están poniendo a disposición de las empresas sin coste alguno mientras dure la alerta sanitaria. Es el caso, por ejemplo, de Microsoft. Desde el 11 de marzo ofrece 6 meses de acceso gratuito a su plataforma «Teams», un espacio para que los equipos puedan chatear y realizar video-llamadas de forma segura (ya que solo admite usuarios registrados con el nombre de dominio profesional), e inclusiva (pues permite activar opciones de accesibilidad a personas con capacidades disminuidas). También han compartido una guía de trabajo desde casa, con consejos prácticos para mejorar nuestra productividad.

En muchos casos, sin embargo, facilitar que el trabajador pueda desempeñar correctamente sus funciones desde casa, requiere tener en cuenta cuestiones que van más allá de la eficiencia. Para ilustrarlo, hago mía una reflexión de Jeff Weiner, CEO de LinkedIn, que recientemente publicaba en redes sociales: “Los empleados que trabajen a distancia no sólo buscarán herramientas que faciliten la productividad y la colaboración, sino también software que les permita sentirse vistos, escuchados, verdaderamente conectados con sus colegas y apoyados por su empresa, es decir, la oficina virtual como comunidad.” Así, en estas difíciles circunstancias, el tone from the top que requiere cualquier sistema de compliance se traduce en un necesario desvelo por parte de quienes lideran las distintas empresas y organizaciones por garantizar el bienestar de sus empleados, manteniendo un diálogo abierto, asegurándose de que dedican el tiempo necesario al descanso, y promoviendo pequeñas iniciativas que les ayuden a sentirse menos aislados.

El modo de llevar a cabo lo anterior ya fue apuntado por la Circular de Fiscalía general del Estado 1/2016, en la que se apunta que el órgano de cumplimiento, encargado de controlar y supervisar el programa de compliance, puede servirse de la ayuda de otros departamentos, como recursos humanos o informática.

 

Privacidad

La legislación en materia de protección de datos prevé una serie de directrices relativas a la tramitación de datos personales en un contexto como el del COVID-19. Concretamente, en el marco de una epidemia donde se ve afectada la salud pública, el Reglamento General de Protección de Datos de la Unión Europea (GDPR) permite a las autoridades sanitarias y a los empleadores procesar datos personales, sin necesidad de contar con el consentimiento de los individuos. Algo que coincide con lo expresado por la AEPD, en un informe de 12 de marzo, donde se afirma que en el contexto de las relaciones empresa-empleado, los artículos 6.1.c) y 9.2.b) del Reglamento sobre la Protección de Datos pueden constituir bases legales relevantes y excepciones para el tratamiento de datos sanitarios y otros datos personales. Ahora bien, el 19 de marzo de 2020, la Junta Europea de Protección de Datos («EDPB») emitió un breve comunicado para aclarar algunas cuestiones relacionadas con la privacidad en el contexto de COVID-19, insistiendo en el carácter temporal y excepcional de muchas de las medidas adoptadas.

Estas medidas, aunque legítimas, sitúan a las empresas y organizaciones en una franja donde se incrementan los riesgos de incurrir en una infracción de la normativa de protección de datos, e incluso en un delito de revelación de secretos (art. 197 ss. Del Código penal). Por ello desde un punto de vista del compliance, es aconsejable tener en cuenta una serie de recomendaciones, tales como las siguientes:

  • Debería documentarse y señalarse expresamente que las medidas de emergencia que —de acuerdo con la legislación— adopte el empleador, estarán estrictamente limitadas a la duración del estado de excepcionalidad que las justifica.
  • Los datos personales que sean necesarios para alcanzar los objetivos pretendidos, deben ser procesados para fines específicos y explícitos.
  • Además, los interesados deben recibir información transparente sobre las actividades de tratamiento que se están llevando a cabo y sus principales características, incluido el período de retención de los datos recopilados y los fines del tratamiento. La información proporcionada debe ser fácilmente accesible y facilitarse en un lenguaje claro y sencillo.
  • Es importante adoptar medidas de seguridad y políticas de confidencialidad adecuadas que garanticen que los datos personales no se revelen a personas no autorizadas.
  • Para todo ello, será necesario garantizar que las medidas aplicadas para gestionar la emergencia actual y el proceso subyacente de adopción de decisiones se encuentran debidamente documentadas.

 

Ciberseguridad

Con casos de coronavirus registrados en más de 150 países, la creciente dependencia de las herramientas digitales y de la incertidumbre provocada por la crisis del COVID-19, ha contribuido a aumentar el riesgo de los ciberataques. De hecho, ya son varias las empresas de seguridad cibernética como FireEye, Recorded Future, Check Point o Agari, que han informado de un aumento de los ataques en los últimos meses.

En este contexto, contar con sólidas medidas de ciberseguridad es más importante que nunca. En concreto, desde el punto de vista del compliance, las empresas tienen la obligación de concienciar a sus trabajadores de que los virus digitales se propagan de forma muy parecida a los físicos, y de que sus errores en línea podrían afectar seriamente a otras personas. A fin de cuentas, no puede olvidarse que las personas jurídicas pueden ser responsables penales de delitos de revelación de secretos (artículo 197 quinquies del Código penal), espionaje industrial (artículo 288 del Código penal) y daños informáticos (artículo 264 quáter del Código penal).

Para prevenir estos riesgos y asegurar que el compliance de la empresa se adecúa a la excepcional situación que estamos viviendo, pueden resultar de utilidad las recomendaciones de un artículo reciente del Worl Economic Forum. En concreto, conviene impulsar las siguientes medidas básicas de ciberseguridad:

  • Utilizar una VPN fiable para el acceso a Internet, siempre que sea posible.
  • Comprobar que se dispone de una contraseña de router larga y compleja para el wifi doméstico, y que los cortafuegos del sistema están activos.
  • Evitar reutilizar las contraseñas en la web (un administrador de contraseñas es una gran inversión).
  • Ser más prudentes que nunca a la hora de instalar un software o hacer clic en los enlaces que nos llegan por correo electrónico.
  • Actualizar el software y las aplicaciones del sistema con regularidad.

 

Con todo, los expertos opinan que la década de 2020 traerá consigo cambios normativos fundamentales en el mundo de la tecnología, y las empresas y los gobiernos deberán trabajar juntos. Así lo expresó en este reciente artículo Brad Smith, Presidente de Microsoft y co-autor de un libro dedicado a explorar las promesas y los riesgos de la era digital en el marco empresarial (Tools & Weapons: The Promise and the Peril of the Digital Age).

En una situación tan excepcional como la que nos está tocando vivir, el comportamiento personal de cada uno es decisivo para prevenir la propagación de infecciones peligrosas: tanto en línea, como en el mundo físico.

 

Beatriz Goena

Abogada Consultora de Molins Defensa Penal.

Profesora Doctora en Derecho Penal

Update cookies preferences