?Puede leer tu empresa los mensajes de tu m¨®vil del trabajo?

A principios de 2017, una mujer fue despedida porque su empresa descubri¨® que utilizaba el tiempo libre que le dejaba su jornada reducida para realizar otros trabajos. Al a?o siguiente, una sentencia del Tribunal Superior de Justicia de Madrid encontr¨® que su despido era improcedente, entre otras cosas, porque la empresa hab¨ªa descubierto lo que la empleada hac¨ªa por las tardes a trav¨¦s de una conversaci¨®n que tuvo con otra compa?era por Skype durante su horario laboral. En este caso, se consider...

A principios de 2017, una mujer fue despedida porque su empresa descubri¨® que utilizaba el tiempo libre que le dejaba su jornada reducida para realizar otros trabajos. Al a?o siguiente, una sentencia del Tribunal Superior de Justicia de Madrid encontr¨® que su despido era improcedente, entre otras cosas, porque la empresa hab¨ªa descubierto lo que la empleada hac¨ªa por las tardes a trav¨¦s de una conversaci¨®n que tuvo con otra compa?era por Skype durante su horario laboral. En este caso, se consider¨® que el derecho a la privacidad de la trabajadora hab¨ªa sido vulnerado porque la empresa no la hab¨ªa avisado de que pod¨ªa acceder al contenido de sus conversaciones.

Confiada de su privacidad, la mujer manten¨ªa conversaciones personales utilizando los dispositivos de la empresa. No era consciente de hasta qu¨¦ punto la compa?¨ªa puede monitorizar y vigilar la actividad de sus empleados a trav¨¦s de, por ejemplo, el m¨®vil de trabajo. ¡°Sin tener en cuenta la parte legal y centr¨¢ndonos en las posibilidades que ofrece la tecnolog¨ªa, s¨ª, la empresa puede ver todo lo que haces con tu m¨®vil de trabajo y lo que guardas en ¨¦l¡±, asegura Herv¨¦ Lambert, responsable de operaciones del ¨¢rea de consumo en Panda Security. ¡°Se puede utilizar un malware para acceder a la informaci¨®n, es bastante f¨¢cil y est¨¢ al alcance de cualquiera. Existen packs completos de herramientas en la dark web y no ser¨ªa muy dif¨ªcil saber lo que hace uno de tus empleados o de tus colaboradores¡±.

Pero la mayor¨ªa de las veces las empresas ni siquiera necesitan recurrir a software malicioso. Dado que los dispositivos son suyos, no tienen que hackear el m¨®vil para ver lo que hay dentro, sino dar a las aplicaciones los permisos necesarios, por ejemplo, para acceder a la c¨¢mara. Tambi¨¦n hay configuraciones que permiten a la empresa ver las fotos del tel¨¦fono: ¡°Si est¨¢ registrado con el correo electr¨®nico de la compa?¨ªa y est¨¢ utilizando un servicio en la nube corporativa, entonces los administradores del sistema pueden acceder a la cuenta de cloud donde se guardan esas im¨¢genes autom¨¢ticamente¡±, explica David Jacoby, investigador de seguridad de Kaspersky.

Adem¨¢s, la empresa tambi¨¦n puede preinstalar software que recoja la informaci¨®n que busca, normalmente relacionada con el tiempo de uso de las aplicaciones, las redes sociales o Whatsapp, el env¨ªo y contenido de los mensajes y las llamadas e incluso la ubicaci¨®n. ¡°En general, tienen acceso a todo lo que haces con tel¨¦fono¡±, explica Lambert. ¡°Pueden instalar cualquier aplicaci¨®n capaz de hacer un espionaje completo de lo que hay en el m¨®vil y acceder a ¨¦l como un usuario normal de ese tel¨¦fono, por lo que podr¨ªan ver todo¡±, coincide Eusebio Nieva, director t¨¦cnico de CheckPoint en Espa?a y Portugal. ¡°Excepto aquellas aplicaciones que tengan cifrado como Whatsapp¡±.

Nieva da una de las claves: los contenidos cifrados, como las comunicaciones a trav¨¦s de Whatsapp, son m¨¢s dif¨ªciles de acceder. Las conversaciones de este servicio de mensajer¨ªa y la informaci¨®n que se comparte est¨¢n protegidas de extremo a extremo, lo que significa que no permite que haya nadie entre emisor y receptor monitoreando la comunicaci¨®n. ¡°Entonces lo m¨¢s probable, a no ser que utilicen t¨¦cnicas de hacking, es que no puedan leer esos chats¡±, explica Nieva. ¡°Aunque todos los sistemas tienen fallas y se puede husmear en casi todo. Hacen falta conocimientos t¨¦cnicos y habilidad tecnol¨®gica importante, pero que sea complicado no significa que sea imposible¡±, a?ade Lambert.

Otra v¨ªa de entrada, al margen de preinstalar el software, es la conexi¨®n wifi. Cuando el dispositivo se conecta a la red de la compa?¨ªa, tambi¨¦n se puede acceder a su contenido, ¡°ver lo que guardas, lo que est¨¢s haciendo, descubrir tus claves de acceso a distintas p¨¢ginas¡­ Es como cuando te conectas a una red wifi p¨²blica¡±, explica Lambert. Aunque insiste en que la informaci¨®n cifrada es m¨¢s dif¨ªcil de monitorear, sea cual sea la forma de acceso a la informaci¨®n.

Aunque los t¨¦cnicos encargados de la ciberseguridad de la empresa pueden acceder a toda esta informaci¨®n, normalmente estos mecanismos no se utilizan para capturar datos, sino para proteger los dispositivos. ¡°Hay un ataque que se llama man in the middle o ataque de intermediario. Significa que alguien se pone entre tu dispositivo y el sitio web que quieres visitar. Cualquiera que est¨¦ conectado a la wifi puede hacerlo¡±, explica Eusebio Nieva, director t¨¦cnico de CheckPoint en Espa?a y Portugal. ¡°Es una practica muy com¨²n para tener los ordenadores protegidos: ponen un certificado de la propia compa?¨ªa en medio para poder saber si lo que te est¨¢s descargando es da?ino o no; igual que escanean tu correo para ver si te est¨¢n enviando virus¡±. En este caso, la empresa est¨¢ haciendo una intercepci¨®n de las comunicaciones, normalmente, para analizar si lo que se descarga es seguro.

Si durante esta monitorizaci¨®n la compa?¨ªa detecta alg¨²n comportamiento que considera que va en contra de sus intereses, puede tomar medidas. Pero solo podr¨¢ utilizar los datos a los que accede en los m¨®viles de los empleados si antes les ha avisado de que est¨¢n siendo observados. Esta es una de las pocas cuestiones legales que son aplicables casi a cualquier caso. ¡°Para que un empresario pueda controlar la utilizaci¨®n de los dispositivos ha de existir una comunicaci¨®n previa¡±, explica Eva G¨®mez, abogada laboralista de Sanahuja Miranda. ¡°La empresa tiene que avisar de que puede acceder al contenido de los dispositivos y especificar si el trabajador tiene o no permiso para utilizarlos con fines personales¡±, explica Cecilia P¨¦rez, socia del Departamento Laboral de Garrigues y experta en temas de econom¨ªa digital.

Si la empresa no comunica expresamente que est¨¢ prohibido utilizar el m¨®vil de trabajo para fines personales, ¡°hay una regla impl¨ªcita que dice que no puede controlar el dispositivo, porque le haya dado carta blanca al empleado¡±, explica P¨¦rez. ¡°Si nadie le avisa de lo contrario, el trabajador act¨²a bajo una expectativa de privacidad¡±.

Se considera que la empresa ha avisado a los trabajadores si entrega una circular a la plantilla prohibiendo la utilizaci¨®n de estos dispositivos para uso personal indicando que podr¨ªa haber sanciones. Tambi¨¦n es posible que se incluya como una cl¨¢usula en el contrato de trabajo, en un formato similar al de los T¨¦rminos y Condiciones de Privacidad que los usuarios tienen que aceptar al darse de alta en cualquier red social. ¡°Esto sirve para establecer los criterios de utilizaci¨®n y, en caso de duda, tener unas normas que consultar¡±, explica G¨®mez.

Aunque cada caso es diferente y se mueve entre grises. El Estatuto de los Trabajadores se?ala que ¡°el empresario podr¨¢ adoptar las medidas que estime m¨¢s oportunas de vigilancia y control para verificar el cumplimiento de las obligaciones de cada trabajador¡± pero tambi¨¦n que ¡°los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposici¨®n por el empleador¡±. Entonces, ?d¨®nde est¨¢ el l¨ªmite? ?Hasta d¨®nde puede fisgonear la empresa? ¡°En la pr¨¢ctica se tiene que hacer un examen caso por caso de cada situaci¨®n¡±, explica G¨®mez. ¡°La empresa puede acceder al dispositivo para asegurarse de que el trabajador est¨¢ cumpliendo con su trabajo pero no de forma ilimitada¡±.

Llegado el caso, el juez eval¨²a si el control del empresario ha vulnerado la intimidad del trabajador. ¡°Se valora si existe otra medida menos intrusiva para controlar la actividad del empleado que espiar todo lo que hace¡±, explica P¨¦rez. Por ejemplo, si existe el indicio de que el trabajador ha podido tener un cruce de correos diciendo algo que va contra la pol¨ªtica de la compa?¨ªa, y la empresa necesita, porque no hay otra forma de llegar a esa prueba, acceder al dispositivo, lo id¨®neo es que lo haga buscando palabras clave en el correo electr¨®nico. Ese ser¨ªa un control proporcional, lo que se considerar¨ªa excesivo en ese caso ser¨ªa leer todos los mensajes o monitorizar informaci¨®n que no est¨¢ relacionada, como las fotos.