Introducción
Auge e implantación de los sistemas de autenticación multi-factor como medida de seguridad derivado del teletrabajo
En la actualidad, el trabajo a distancia se ha convertido en una práctica habitual en muchos sectores y empresas. Sin embargo, este cambio no está exento de desafíos, ya que ha provocado un aumento significativo en las amenazas y vulnerabilidades en la seguridad de los sistemas de información.
Con el fin de garantizar la seguridad e integridad de los sistemas de información y las herramientas digitales utilizadas por los empleados, especialmente en el contexto del trabajo a distancia, numerosas organizaciones amparándose en motivos de ciberseguridad, están desplegando métodos de autenticación y acceso a sistemas o aplicaciones corporativas necesarias para la prestación de los servicios. Frecuentemente para ello, se solicita a los empleados que instalen dichos sistemas en sus teléfonos móviles personales o que proporcionen su número de teléfono móvil para la recepción de mensajes de tipo SMS que permiten verificar la identidad del empleado durante el acceso a los sistemas y aplicaciones.
Si bien desde una perspectiva del derecho laboral los expertos han evidenciado la ilegalidad de las cláusulas contractuales que obligan a los trabajadores a aportar sus dispositivos personales para el desempeño de la actividad laboral; existen otras cuestiones en materia de protección de datos que deben ser tenidas en cuenta con carácter previo a la implementación de estas soluciones, y que se abordan en el presente artículo al hilo de la reciente Sentencia 14/2024 de la Sala de lo Social de la Audiencia Nacional (“Sentencia 14/2024”) publicada a principios de este mes de febrero.
Breve análisis de la Sentencia 14/2024 desde la perspectiva laboral
La Sentencia tiene su origen en la demanda presentada por la Federación de Servicios CCOO debido a los acuerdos individuales que el empresario presentaba al personal para trabajar a distancia, las cuales infringían la normativa convencional y legal, ya que el empleador solicitaba el uso del teléfono personal de sus empleados durante el desarrollo de su trabajo en régimen de trabajo a distancia.
Cabe mencionar que, en el marco del trabajo a distancia, es de aplicación la Ley 10/2021, de 9 de julio, de trabajo a distancia, cuyo artículo 11.1 garantiza el derecho de las personas que trabajen a distancia a recibir por parte de la empresa la dotación y mantenimiento adecuado de todos los medios, equipos y herramientas necesarios para el desarrollo de la actividad, de conformidad con lo establecido en el inventario incorporado en el acuerdo de trabajo a distancia y, en su caso, con lo establecido en el convenio o acuerdo colectivo de aplicación.
Desde la pandemia, parte del personal de la empresa demandada venía prestando servicios en régimen de trabajo a distancia. Posteriormente, se inició un proceso de negociación con la Representación Legal de los Trabajadores (“RLT”) para regularizar este régimen de trabajo a distancia.
Tras varias reuniones, la empresa demandada presentó una propuesta regulatoria que no fue aceptada por la RLT, que condujo al cierre del proceso negociador sin llegar a un acuerdo.
La demandada basándose en su propuesta, procedió a suscribir acuerdos individuales de trabajo a distancia con los trabajadores, y amparándose en el interés legítimo de la Compañía en garantizar la seguridad de la información y los sistemas, exigía al trabajador utilizar su teléfono personal para realizar la autenticación para acceder a las aplicaciones corporativas. Además, se le informaba de que el tratamiento del dato del número de teléfono móvil se limitaría a la finalidad de verificar la identidad del empleado durante el acceso a sistemas y aplicaciones.
El convenio colectivo aplicable a la empresa demandada establecía que, era la empresa quien en el caso de ser necesario un sistema de doble factor de autenticación, debía facilitar las herramientas y medios necesarios para su uso a los trabajadores. En este sentido, la Sala determina que esta disposición convencional se ve contravenida por la cláusula incluida en los acuerdos individuales de trabajo a distancia, y, por ende, declara nulo el contenido de la cláusula del acuerdo individual de teletrabajo.
La Sala de lo social de la Audiencia Nacional reconoce la eficacia de los métodos de autenticación mediante mensajes SMS para asegurar la seguridad de las comunicaciones informáticas, no cuestionando su utilidad para garantizar la identificación de los que acceden, sin embargo, no se pronuncia respecto de la licitud del tratamiento.
Licitud del tratamiento desde la perspectiva de protección de datos
La Agencia Española de Protección de Datos (“Agencia” y/o “AEPD”) en su resolución del procedimiento sancionador EXP202100091, sin pronunciarse sobre la eficacia del método de autenticación, pero sí sobre la licitud del tratamiento del número del teléfono móvil personal de los trabajadores que conlleva el uso de estas aplicaciones de autenticación, sanciona con apercibimiento a un Ayuntamiento por utilizar los teléfonos móviles personales de sus empleados públicos como segundo factor de autenticación, sin disponer de base legitimadora adecuada de conformidad con el artículo 6.1 del RGPD.
En este contexto, la Agencia indica que el uso de dispositivos móviles personales como parte de un sistema de doble factor de autenticación por parte de una entidad pública carece de legitimación. Esto se debe a que las bases jurídicas que supuestamente podrían legitimar dicho tratamiento de datos por parte del Ayuntamiento son principalmente dos: en primer lugar, el cumplimiento de una obligación legal aplicable al responsable del tratamiento (artículo 6.1.c) del RGPD), posibilidad que se descarta debido a la inexistencia de una norma de la Unión Europea o una norma de rango legal que contemple dicho tratamiento; en segundo lugar; el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (artículo 6.1. e) del RGPD), condición que tampoco se cumple en este caso.
Es importante recordar que el propio RGPD excluye la posibilidad de que los tratamientos llevados a cabo por las autoridades públicas en el ejercicio de sus funciones puedan fundamentarse en el interés legítimo (artículo 6.1.f) del RGPD).
¿Puede una entidad privada requerir el uso de los dispositivos móviles personales...
...de los empleados para implantar un sistema de autenticación multi-factor?
Visto lo anterior, nos preguntamos si una entidad privada, en la que no concurran las circunstancias anteriormente indicadas, es decir, la existencia de un convenio que prohíba el uso de estos sistemas en dispositivos personales y/o la negociación infructuosa con el RLT, puede tratar de conformidad con el RGPD el número de teléfono móvil personal del empleado en régimen de trabajo a distancia para utilizar un sistema de autenticación multi-factor.
A primera vista y considerando lo comentado previamente, parece que podría considerarse el uso del número de teléfono móvil personal del empleado en un sistema de autenticación multi-factor, siempre y cuando se cumplan ciertos requisitos.
El requisito más importante y sin el cual no podríamos realizar dicho tratamiento al resultar invalidado, es contar con una base legitimadora válida. Considerando que el consentimiento del empleado no podría ser apreciado como válido debido al desequilibrio de poder entre la relación empleado-empleador, ni tampoco tendrían encaje el resto de las bases legitimadoras previstas en el artículo 6.1 del RGPD, debemos valorar si puede prosperar el interés legítimo del responsable (artículo 6.1.f) del RGPD), como hacia el Ayuntamiento que fue objeto de apercibimiento.
Aunque en la resolución mencionada, la AEPD excluyó el uso del interés legítimo para la implementación de un sistema de doble factor de autenticación, debido a que dicha base legal no puede ser empleada por autoridades públicas en el ejercicio de sus funciones, no podemos descartar su uso para entidades privadas. Para basarse en el interés legítimo, deberá realizarse un ejercicio de ponderación de prevalencia de este frente a los derechos de los empleados, en el que se analice y supere el triple juicio de idoneidad, necesidad y proporcionalidad necesarios para llevar a cabo el tratamiento.
Durante la ponderación, existen argumentos en favor de un interés legítimo, respaldados por el propio RGPD, como su Considerando 49, en el que se prevé que el tratamiento de datos personales para garantizar la seguridad de la red y de sistemas de información constituye un interés legítimo del responsable del tratamiento. Además, este interés legítimo puede asociarse con la necesidad del responsable del tratamiento de implementar medidas técnicas y organizativas adecuadas, conforme al artículo 32 del RGPD, para garantizar un nivel de seguridad adecuado al riesgo identificado.
Los preceptos del RGPD mencionados anteriormente podrán relacionarse con el artículo 20 de la Ley 10/2021, de 9 de julio, de trabajo a distancia, el cual establece que los empleados, en el desarrollo del trabajo a distancia, deberán cumplir las instrucciones sobre seguridad de la información específicamente fijados por la empresa.
De igual modo, al realizar la ponderación, se debe tener en cuenta la obligación del empleador de proveer a los empleados en régimen de trabajo a distancia de los medios, equipos y herramientas necesarios para el desarrollo de su actividad, así como encargarse de su mantenimiento (artículo 11.1 de la Ley 10/2021, de 9 de julio, de trabajo a distancia). Esto dependerá de lo establecido en el inventario incorporado en el acuerdo de trabajo a distancia y, en su caso, de lo dispuesto en el convenio o acuerdo colectivo aplicable. Además, deberán considerarse otras obligaciones o medidas necesarias conforme a lo establecido por la legislación laboral vigente.
Artículo elaborado por Samanta Murillo Geiser, manager de Regulación Digital de PwC Tax & Legal y Paula Monsó Corbella, associate de Regulación Digital de PwC Tax & Legal.
Contacta con nosotros
