Ricard Castellet

El pasado martes 13 entró en vigor la nueva Ley del Teletrabajo que regula el trabajo a distancia. La norma quiere dar forma jurídica a las relaciones laborales en el marco del teletrabajo, una realidad que cada día se impone más. Y no sólo por la pandemia, acelerador de la transformación digital como ningún otro, sino porque ambas partes -trabajador y empresa- han encontrado ventajas que en muchos casos superan a las desventajas.

Y, como es natural, situaciones jurídicas que conocíamos del trabajo presencial, continúan estando presentes en la nueva normativa. Así como hablábamos hace poco de la desconexión digital (a raíz de una multa de la AEPD), ahora hay que hablar otra vez de los derechos del trabajador -sobretodo intimidad y privacidad- y también de la potestad discrecional que tiene el empresario, siempre cumpliendo la normativa, en el ámbito del teletrabajo.

En el contexto del teletrabajo todo es más complejo por diferentes razones: por la novedad (quiero decir, inexperiencia), el uso intensivo de la tecnología, la falta de medios y de cultura de teletrabajo, el respeto a los derechos de unos y otros , la supervisión del empresario y otros aspectos que todos hemos sufrido estos últimos meses (como, por ejemplo, hacer una videoconferencia desde el salón de casa con los niños corriendo arriba y abajo).

El teletrabajo ha llegado para quedarse. Y la normativa, también. El futuro se plantea con soluciones mixtas -presencial y a distancia, en proporciones variables según situaciones- y la normativa debe ser lo suficientemente flexible para proporcionar posibilidades antes que recortarlas. Y, si queremos ser competitivos, entre todos debemos hacerlo posible.

Y en este contexto, la Ley faculta a las empresas (artículo 22) a «adoptar las medidas que estimen más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, incluyendo la utilización de medios telemáticos». Y en el artículo 17, Derecho a la intimidad y la protección de datos, dice «La utilización de los medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos garantizará adecuadamente el derecho a la intimidad y la protección de datos».

Expuestas las condiciones, ahora es necesario aterrizar las cuestiones jurídicas planteadas. Para eso tendremos que responder a múltiples preguntas:

• ¿Qué programas y dispositivos puede usar el empresario para controlar a los trabajadores?
• La empresa ¿debe proporcionar los medios informáticos y de comunicaciones al trabajador?
• ¿Cómo se hace efectivo el derecho a la desconexión digital (a través del Registro de jornada?)?
• ¿Puede el empresario obligar al trabajador a instalar determinados programas en su portátil?
• ¿Y a usar su conexión wifi? ¿Y el móvil?

La Ley impone al empresario la obligación de informar a los trabajadores de los protocolos de uso de los dispositivos electrónicos y las vías por las que las tareas pueden ser monitorizadas. Y todo ello con dos límites: la intimidad y la protección de datos del trabajador, observando los principios de «idoneidad, necesidad y proporcionalidad».

Como podemos ver, nos queda un largo camino por delante. Y lo tenemos que recorrer rápido y bien. No hay otra.

El aumento imparable de la ciberdelincuencia es un hecho en nuestro país y en todas partes. Según un Informe de Cibercriminalidad del Ministerio del Interior de 2019, los ciberdelitos ya representan el 10% de las infracciones penales conocidas. Y los fraudes en Internet son el segundo delito más común por detrás de los hurtos.

Y este hecho no ha hecho más que empeorar en tiempos de pandemia. El teletrabajo a toda prisa, sin medios y sin preparación por parte de las empresas y trabajadores ha sido un campo abonado para todo tipo de fraudes, estafas y, lo que más nos importa ahora y aquí, los ciberataques a las empresas.

Check Point, proveedor especializado en Ciberseguridad a nivel mundial, en su Informe «Cyber ​​Attack Trends: 2020 Mid-Year Report«, muestra cómo los cibercriminales han aprovechado del Covid-19 para lanzar campañas contra las empresas de todo el mundo y todos los sectores, incluyendo gobiernos, infraestructuras críticas, instituciones sanitarias, proveedores de servicio, usuarios finales y otros. Los datos señalan que las empresas españolas han sufrido más de 450 ciberataques semanales de media. Y las cifras no dejan de aumentar. Por nuestra parte, apuntar que este año, por primera vez, algunos clientes han sufrido ataques en la nube (ransomware, encriptación de datos con petición de rescate).

Y todo esto, que es necesario conocer, qué tiene que ver con la protección de datos? Pues tiene mucho que ver en dos aspectos: por una parte, por la obligación que tiene el responsable del tratamiento de preservar adecuadamente los datos personales que se lo encomiendan. Y por el otro, la posibilidad que tiene la empresa de aprovechar la adecuación al Reglamento para hacer extensivo a todos los intangibles de la empresa las medidas implementadas.

En efecto, de acuerdo con el Reglamento General de Protección de Datos (RGPD), la primera medida que debe impulsar el responsable es un Análisis de Riesgo que permita valorar los riesgos que se asumen al tratar datos personales. A partir de esta valoración, el responsable viene obligado a implementar, de forma discrecional (partiendo de la responsabilidad proactiva), medidas técnicas y organizativas para garantizar la seguridad de los datos.

Y nuestra recomendación es extender el Análisis de Riesgo en el resto de activos intangibles de la empresa (know-how, proyectos, patentes, marcas, planes de marketing, clientes, etc.) y, una vez hecha la valoración global , ampliar y reforzar las medidas de seguridad que, además de garantizar el cumplimiento de la normativa en materia de protección de datos, preserve todo nuestro patrimonio empresarial intangible y, sobre todo, que preserve nuestra reputación.

Imagen Pixabay

El «marketing de permiso» es un término acuñado por Seth Godin hace años en su libro «Permission Marketing», en el que expone este concepto que revolucionó la manera en que los profesionales del marketing enfocaban este medio. La pregunta es, si hace veinte años que expuso su teoría en bastante éxito, porque cuesta tanto entender el concepto desde el punto de vista de la protección de datos si ambos están bastante alineados.

El artículo 11.4 del RGPD (Reglamento General de Protección de Datos) define el «consentimiento del interesado» como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen«. Esto no quiere decir, claro, que sea fácil conseguir el permiso de tus clientes potenciales. Pero si queremos tener éxito en el largo plazo, hay que considerarlo como una inversión que dará frutos a lo largo del tiempo.

Y esta definición coincide punto por punto con el concepto de Godin. De hecho el subtítulo del libro es «Turning Strangers into Friends, and Friends into Customers«, o lo que es lo mismo, «Convirtiendo Desconocidos en Amigos, y Amigos en Clientes«. De hecho, el mismo Godin termina la frase convirtiendo los Clientes en Vendedores «.

Por una de esas coincidencias cósmicas, el libro se publicó en 1.999, el mismo año que en España se promulgaba la LOPD (Ley Orgánica de Protección de Datos). Si en ese momento hubiéramos empezado con el marketing de permiso, cumpliendo con la normativa de Protección de datos, ahora tendríamos unas sólidas relaciones establecidas sobre la base de la confianza. Pero siempre hay un momento para empezar y podría ser ahora.

Porque el marketing de permiso es Anticipado (el usuario espera recibir tu mensaje), Personal (los mensajes están directamente relacionados con la persona y Relevante (el mensaje tiene interés por el receptor). Y esto coincide cien por cien con la normativa de protección de datos.

El reverso de la moneda es el marketing de interrupción que no respeta al usuario para que no pide su permiso, es invasivo y genera rechazo y desconfianza. Hagamos las cosas bien porque como decía hace muchos años un eslogan institucional «el trabajo bien hecho, no tiene fronteras; el trabajo mal hecho, no tiene futuro «.

Es una consulta frecuente. Ya hablamos en un post, allá por el mes de mayo, sobre los textos legales de la web. Lo que interesa explicar hoy es que para tener una web legal es necesario que la empresa como tal cumpla con el Reglamento General de Protección de Datos (RGPD). No basta con que los textos legales tengan apariencia de legalidad, necesitamos hacer más cosas.

En Internet es frecuente encontrar todo tipo de textos legales. Aparte de los correctos (en denominación y contenido), podemos ver textos con nombres inventados (Términos y condiciones de uso de Privacidad), texto copiados ( «fusilados», con el peligro que supone utilizar los textos de otra empresa) , textos incompletos y una larga casuística de la que nos ocuparemos otro día.

Hoy quiero llamar la atención a las empresas que utilizan textos sin haberse adecuado al Reglamento. Empecemos por decir que los textos legales que aparecen en la web son la parte pública de la adecuación. Pero para disponer de estos textos, la empresa tiene que, previamente y entre otros, haber hecho un Análisis de Riesgos, tener un Registro de Actividades de Tratamiento, definir una Estructura técnica y organizativa, haber establecido las Medidas de seguridad correspondientes, firmar los necesarios Acuerdos de confidencialidad con los empleados y el Contratos de encargado de tratamiento con empresas terceras que tratan datos por cuenta nuestra, generar los Protocolos de información y comunicación (cláusulas de tratamiento, Internet, Derechos del usuario, … ) y producir los Informes reglamentarios.

Sólo cuando la empresa está adecuada al Reglamento se puede generar la Política de Privacidad y los textos necesarios para los formularios que recogen los datos personales de los usuarios. Naturalmente, tendremos que añadir otros textos que dependen de otras normativas, según el caso, como son el Aviso legal, la Política de Cookies (con el banner correspondiente) y las Condiciones de Contratación (si tenemos una tienda virtual).

Copiar los textos de otro web (o prácticas similares) porque no tenemos la empresa adecuada es un fraude que está perseguido por las autoridades. Y es bastante fácil detectarlo y, por tanto, sancionarlo.

La Protección de datos no es compleja pero hay que hacerlo bien. En los supuestos más sencillos, el propio usuario la puede implementar siguiendo las indicaciones de la Agencia Española de Protección de Datos (AEPD) a través del programa FACILITA. Por el resto, recomendamos buscar la ayuda de un profesional.

Recordemos que implantar la Protección de Datos tiene un coste cierto y muchas ventajas como evitar costes reputacionales y sanciones y generar confianza entre empleados, clientes, proveedores, entre otros. No tener un programa de Protección de Datos, en cambio, puede tener un coste incalculable.

Imagen Pixabay

Ya nos referimos en un post anterior ( ‘Efecto Bruselas’: puñetazo de la UE sobre la mesa) a la decisión del Tribunal de Justicia de la Unión Europea (TJUE) que invalidaba el acuerdo conocido como «Privacy Shield «que garantizaba que las empresas estadounidenses adheridas al mismo, más de 5.000, aplicaban los mismos estándares de protección de datos que las empresas europeas afectadas por el RGPD. Esta decisión permitía, entre otras cosas, que las transferencias de datos entre países adecuados y Estados Unidos se pudieran realizar como si de un país europeo adecuado se tratara.

La razón, según dice el Tribunal, es que la normativa interna americana relativa al acceso y utilización de datos personales por las autoridades no ofrece las garantías suficientes ya que los programas de vigilancia no se limitan a lo estrictamente necesario, vulnerando el principio de proporcionalidad.

Y esta decisión conlleva, naturalmente, consecuencias en diferentes órdenes de valor y por diferentes sectores. Lo que nos ocupa aquí es el sector del marketing para muchas empresas del sector utilizan plataformas de envío masivo, por ejemplo MailChimp, que están ubicadas en los Estados Unidos. Como sea que el Privacy Shield sse ha anulado sin periodo de transición ni moratoria alguna, todos los flujos se han quedado sin soporte legal y, en rigor, se deberían suspender (desde el pasado 16 de julio, fecha de la sentencia).

En el momento de escribir estas líneas no se ven alternativas de cumplimiento plenamente satisfactorias. La única solución, ahora mismo, es mover los datos personales a plataformas ubicadas en territorio europeo (si es necesario, cambiando de proveedor). Somos conscientes de las dificultades operativas de hacer esto en la mayoría de los casos, sobre todo si supone cambio de proveedor.

Las demás soluciones, como por ejemplo recabar el consentimiento explícito de los usuarios o suscribir con el importador nuevas o mejoradas cláusulas contractuales tipo, no son fáciles de implementar y, actualmente, no está claro que cumplan la legalidad. Hay que estudiar caso por caso.

Recomendamos insistentemente pedir consejo profesional si se encuentra en la circunstancia de tener que tratar datos personales que se alojan en servidores en Estados Unidos. No se la juegue!

Imagen Pixabay