Hablando del BYOD en la securiTIConference 2013

por Jorge Campanillas Ciaurriz

publicado el 7 marzo 2013

Categorías: Abogados / Derecho Laboral / Opinión / Privacidad / Protección de Datos / Tecnología

Ayer tuve el honor de participar, junto con otros grandes profesionales y amigos como David Maeztu, Gontzal Gallo, Jon Turrillas y Javier Sempere en una mesa redonda dentro de la jornada «securiTIConference 2013» organizada por la asociación Pribatua y el Colegio Oficial de Ingenieros en Informática del País Vasco. La mesa tenía por título «BYOD (Traiga su propio dispositivo)» , y se debatió sobre este otro término, que se une, como quedó claro según los ponentes de la jornada, a otros grandes términos «marketingnianos» como el «cloud computing», «smart cities» o «big data». Dejando de lado el uso de los términos que están de moda, la mesa debatió sobre el anclaje jurídico del «BYOD» dentro de nuestras empresas. En la mesa además de presentar el BYOD, esto es el «traiga su propio dispositivo» y la realidad social que hay tras de ello, se habló de su anclaje jurídico, de la obligatoriedad o no de la toma de esta decisión, quedando claro por parte de los ponentes que debe ser una medida consensuada entre trabajador y empresario; si bien se puso en duda su efectividad a fin de la jurisprudencia social y la puesta a disposición de los empresarios de los medios de producción.

Por ello, dejo en este post, las notas que realicé para mi participación, que como comprobaréis son más cuestiones que certidumbres sobre el BYOD:

A la hora de hablar de BYOD, primero hay que hacerse algunas preguntas,  ¿De que estamos hablando? ¿Cual es el limite del «cacharro», «dispositivo» que se permite? ¿nos vale una ps3? ¿Movil, smartphones, portátil, tablet? Está claro que se deberá definir en las políticas de uso de herramientas informáticas de la empresa los dispositivos de los que estamos hablando y todo aquello que corresponde a su uso, alcance y medidas de seguridad a aplicar.

El BYOD, está claro que viene a ser una realidad generada por la comodidad para empleador y trabajador y la reducción de costes para la empresa, que reduce el número de dispositivos que tiene que poner a disposición de los trabajadores. Todos tenemos buenos dispositivos, incluso mejores que los que la empresa a veces puede proporcionar, y ello hace que los trabajadores prefieran incluso sus dispositivos y la empresa ve en ello una mejora, o posible mejora en la productividad de sus trabajadores. Sin embargo a su vez, tenemos que ser conscientes que estos dispositivos  son capaces de vulnerar cualquier normativa y unos grandes agujeros de seguridad.

Pero ante esta comodidad y posible reducción de costes estamos descuidando temas importantes, por lo menos a mí me generan 3 cuestiones:

¿Estamos hablando solo de privacidad?  En el BYOD, si es cierto, que los problemas pueden venir sobre el control de los dispositivos por parte del empresario, también se pueden poner plantear otros problemas como la disponibilidad, problemas de formatos, rendimiento, etc. Habrá que determinar realmente cuales son los dispositivos óptimos para que realmente el trabajador pueda utilziarlos y no genere mayores problemas que aquellos que su uso viene a mejorar

¿Seguridad? Las personas somos el eslabón mas débil y nuestros dispositivos a los que les instalamos miles de aplicaciones puede ser un gran agujero de seguridad ¿Como puede proteger el responsable de seguridad de la empresa estos dispositivos personales? ¿medidas y programas específicos para su protección?. Incluso en la anterior ponencia se nos ha planteado como incluir estos temas en los Esquemas Nacionales seguridad, no están determinados para ello.

Inclusión en las políticas de uso de las herramientas de la empresa. ¿Hasta donde buena fe vs acceso y proteccion de la intimidad? ¿Es suficiente la regulación establecida jurisprudencialmente sobre el acceso a las herramientas informáticas por parte de los empresarios? ¿está el trabajador protegido, o su intimidad, en caso de que el empresario deba acceder para controlar los dispositivos? Si ya de por si se hace complicada la forma de acceso en el momento que se constata que se ha quebrado la buena fe por parte del trabajador cuando las herramientas de trabajo son de la empresa, será más complicado, incluso podría ser requerida mandamiento judicial, el acceso a los dispositivos del trabajador.

Mi conclusión ante las preguntas es que «BYOD», quizá, pero analizando bien riesgos, ventajas, amenazas y determinando perfiles dentro de la empresa que permita que los trabajadores utilicen sus propios dispositivos. Por supuesto, debe ser una medida consensuada entre las partes y recogida en una extensa política de uso de los dispositivos, que determine el uso y alcance de la misma. Asimismo, en la situación actual, veo complicado cumplir con medidas, por ejemplo, de nivel alto de seguridad en materia de protección de datos en esta política de que los trabajadores se traigan sus propios dispositivos.