Protección de la información y derechos de los empleados en el entorno laboral

Entrevista a Juan Carlos Fernández: Protección de la información y derechos de los empleados en el entorno laboral, y la importancia de la colaboración con el Perito Judicial Informático en los casos legales relacionados con la tecnología y ciberseguridad

En GlobátiKa Lab, tenemos el honor de presentar una entrevista exclusiva con el distinguido Juan Carlos Fernández, derecho tecnológico, protección de datos y ciberseguridad, quien se desempeña como director de Tecnogados. En este encuentro, nos adentraremos en aspectos de vital importancia relacionados con la protección de la información en el entorno laboral y los derechos de los empleados. Una entrevista dirigida a abogados, empresarios y trabajadores que buscan estar informados y actualizados en material legal y la informática forense.

¿Puede un empresario acceder a la información almacenada en los equipos corporativos de la empresa sin el consentimiento del empleado?

Si acudimos a lo regulado en la actual Ley de Protección de Datos y Garantía de Derechos Digitales, concretamente a lo regulado en su artículo 87, sobre el Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, nos indica su apartado 2º que “El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales …”. Además, el artículo 20 del Estatuto de los trabajadores, nos indica respecto a la dirección y control de la actividad laboral, que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones …”.

Por lo que, existe un poder de control empresarial respecto al cumplimiento laboral del trabajador, pero es esencial entender que es obligación del empresario el respetar el derecho de la intimidad en cuanto al uso de los dispositivos digitales, todo ello acorde al artículo 87 de la Ley de protección de datos, así como al artículo 18 de la Constitución Española que dice que se considera un Derecho Fundamental: “Se garantiza el derecho al honor, a la intimidad personal …” de cualquier ciudadano español.

En el caso de un convenio colectivo, ¿Puede este recoger los fallos de ciberseguridad y las posibles implicaciones tanto para la empresa como para los empleados?

Se pudo leer en la web Business Insider el siguiente titular “La ciberseguridad aterriza en los derechos laborales, pero los convenios de Telefónica, Mercadona, Inditex y la mayoría de empresas siguen descargando la responsabilidad en los trabajadores”. Esta publicación indica que los fallos de ciberseguridad de los trabajadores podrían dar lugar a sanciones muy graves y, en consecuencia, estas podrían derivar incluso en despidos.

¿Podrías explicarnos qué es la doctrina del Test Babulescu II, y cómo se aplica en el ámbito laboral? ¿Cuál es su impacto en los derechos de los trabajadores y la monitorización en el teletrabajo?

La doctrina del Test Babulescu II, es una doctrina del Tribunal Europeo de Derechos Humanos, en la que viene a definir cuáles son los principios rectores que debe tener en cuenta el empresario, para acceder de manera lícita a la información de equipos corporativos de empresa. El primer detalle a tener en cuenta es la necesidad de que el empresario debe acreditar la sospecha previa de incumplimiento, en mi opinión, dicho requisito permite descartar la arbitrariedad del empresario respecto al acceso a un trabajador y por qué no a otro. Una vez acreditada la sospecha previa el empresario tiene que cumplir los siguientes principios rectores, con el fin de maximizar el respecto al derecho a la intimidad del trabajador, y cumplir los principios de necesidad, idoneidad y proporcionalidad en el acceso a la información de equipos corporativos.

El derecho a la intimidad está recogido en nuestra Constitución. ¿Cómo se protege este derecho en el contexto laboral y qué medidas se pueden implementar para garantizar un equilibrio adecuado entre la privacidad del empleado y las necesidades de la empresa?

Como ya hemos dicho el Derecho a la Intimidad es un Derecho Fundamental, no sólo en España, si no que en toda la Unión Europea.

La mejor herramienta que tiene el empresario para ponderar entre el derecho a la intimidad del trabajador y el acceso a la información de equipos corporativos de empresa, es recurrir a la regulación de los “… criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad …”, como nos indica el artículo 87 de la Ley de Protección de Datos. Esta regulación del uso y políticas de los dispositivos y medios de empresa permite al empresario, por un lado, establecer sistemas de trabajo donde prime la seguridad de la información corporativa, prohibiendo usos personales, basados en la priorización de la ciberseguridad de los datos corporativos de la empresa y, por otro lado, para informar al trabajador sobre cuáles son las medidas de control que el empresario está tomando para comprobar la actividad laboral.

En el caso de que un empresario sospeche claramente que se ha producido un robo de información en el entorno de trabajo, ¿Cómo puede abordar esta situación de forma legal y proteger los derechos de su empresa?

Como hemos dicho una vez acreditada la sospecha previa de incumplimiento, el empresario puede tomar medidas de acceso a la información de equipos corporativos de empresa, cumpliendo los principios rectores indicados. Es aquí donde surge efecto el buen trabajo previo de los sistemas de información de la empresa, en el que gracias al sistema de auditoría queda constancia de los movimientos de ficheros realizados por los usuarios, fechas, destino, … En caso contrario, se vería la posibilidad de poder llevar a cabo un estudio a posteriori, acudiendo a los logs y registros de los ficheros de Windows.

Los casos de phishing y suplantación de facturas en correos electrónicos han aumentado en los últimos años. ¿Qué medidas de seguridad deben implementar las empresas para prevenir y responder adecuadamente a estas amenazas? ¿Cuáles son las implicaciones legales en caso de que se produzca una violación de datos?

El problema del phishing en el entorno empresarial es uno de los problemas actuales de la empresa donde, por un lado, el empresario puede ser víctima de un ransomware con el cifrado de su información corporativa y posteriormente va a ser extorsionado por el ciberdelincuente, para pagar por la clave de descifrado de sus datos y, por otro lado, pueden darse distintos tipos de ciberestafas como son cargos fraudulentos en tarjetas de crédito corporativas de sus trabajadores y, actualmente, en el entorno empresarial existe un preocupante incremento respecto a la suplantación del número de cuenta bancaria en facturas emitidas o recibidas, normalmente suelen emitirse en formato pdf.

Aquí existen muchas variedades, pero en definitiva lo más frecuente es, que alguna de las partes tiene comprometido el correo corporativo, consiguiendo el ciberdelincuente modificar el número de la cuenta bancaria a ingresar, y en la que el destinatario de la factura finalmente acaba realizando la transferencia a un tercero acreedor aparente. Y una vez ingresado el dinero en la cuenta bancaria de destino es extraído rápidamente de la misma, perdiéndose finalmente el rastro del mismo y donde el titular de la cuenta va a ser o un mulero o una suplantación de identidad del titular, donde en pocas ocasiones se va a poder recuperar el importe.

Aquí la principal medida de prevención y muy simple es, recurrir a la firma electrónica de la factura, tanto para las emitidas como para las recibidas.

¿Qué cambios o desarrollos legales prevés en el ámbito del peritaje informático y la ciberseguridad en el entorno laboral en el futuro cercano?

Actualmente, la PYME cumple lo regulado en materia de protección de datos, pero, sin embargo, ha pasado por alto la regulación del uso de dispositivos de empresa en el entorno laboral. Esta falta de regulación hace que cuando el empresario acredita la sospecha previa de incumplimiento y, en consecuencia, accede a la información digital que acredita el hecho irregular.

Y es aquí tras el acceso, ante la ausencia de regulación, el trabajador va a alegar vulnerado su derecho a la intimidad basado en los usos sociales de los dispositivos corporativos y, en caso, de que el tribunal entienda vulnerado dicho Derecho Fundamental del trabajador respecto a la información obtenida por el empresario que acredita el incumplimiento, podría llegar el tribunal a declarar la fuente de prueba nula por ser vulneradora de un Derecho Fundamental y, en consecuencia, no podrá tenerse en consideración en el proceso judicial, es decir, que aun acreditado el incumplimiento, esta información no podría ser utilizada en el proceso judicial como, por ejemplo, para llevarse a cabo un despido disciplinario.

Por último Juan Carlos, ¿Cómo trabaja un abogado especialista en derecho tecnológico y ciberseguridad con un Perito Informático? Y ¿Cómo de importante es el papel del perito informático en los casos de búsqueda de información en los equipos corporativos?

En esta modalidad de trabajos periciales-legales, yo los denomino «binomio» abogado y perito, ambos especialistas en temas tecnológicos, donde, por un lado, la labor de letrado es fijar una estrategia procesal previa con el cliente, con el fin de que perito informático pueda para acreditar los hechos digitales que nos van a permitir en el proceso judicial probar lo ocurrido en el entorno digital, con el fin de que el trabajo sea conjunto y, en consecuencia, el cliente quede satisfecho con las prestaciones de los servicios legales y periciales.

Respecto a la labor del perito informático en el ámbito laboral, es esencial fijar una previa estrategia procesal donde el perito informático pueda acreditar los hechos de los incumplimientos laborales del trabajador y el abogado dar la seguridad jurídica a la obtención de las evidencias, respecto al cumplimiento de los principios rectores indicados previamente, como son necesidad, idoneidad de la medida y proporcionalidad en cuanto a la adquisición de la fuente de prueba, ya que la adquisición podría acabar finalmente en un proceso judicial y, en consecuencia, lo actuado tendrá que cumplir lo regulado en la jurisprudencia. Ponderando siempre entre el acceso a la información de los equipos corporativos que acrediten los incumplimientos y el respeto al Derecho a la intimidad del trabajador.

Muchas gracias, a Juan Carlos, por compartir tus conocimientos y experiencia con nosotros en estos temas tan relevantes.

Nota sobre el invitado:

Juan Carlos Fernández Martínez es un reconocido abogado y experto en derecho tecnológico, protección de datos y ciberseguridad, quien se desempeña como CEO del despacho TECNOGADOS. Además, es Legal Partner en la startup Visualeo (2021-2023). Cuenta con una destacada trayectoria como profesor, impartiendo clases en el Máster de Ciberseguridad de la UCLM, en el Máster Executive en Derecho Digital de Garrigues (2021/2022) y en el Curso de Peritaje del Colegio de Ingenieros de Madrid, así como en diversas escuelas de negocio como EOI, IEBS, EDEM, EES, AIN e INESE. Como ponente, ha participado en universidades y congresos de seguridad informática a nivel nacional, como RootedCon (2020 y 2023), Navaja Negra, MoretureloCon, entre otros, y ha sido invitado a las XIII Jornadas STIC CCN-CERT del Centro Nacional Criptológico en Madrid, así como a los Ilustres Colegios de Abogados de Madrid (2020 y 2022) y Burgos (2022). También ha sido CSE (Chief Security Envoy) de ElevenPaths  (2020 – 2021 por finalización del programa), una destacada posición en el campo de la ciberseguridad, y ha sido speaker en charlas TEDx.

Contacte con GlobátiKa Lab y nuestro Perito Judicial Informático

En Globátika Lab contamos con peritos informáticos cualificados en toda España, y multitud de casos de éxito en la investigación, realización de informes periciales y la ratificación en sala de nuestro perito judicial informático con un lenguaje judicial apropiado para el entendimiento de sus señorías. Así como el asesoramiento a bufetes y colegios de abogados.

Para cualquier consulta, no dude en llamarnos al teléfono gratuito 900 649 252o ponerse contacto a través del formulario de contacto de nuestra página webestaremos encantados de atenderle.