El pasado 11 de enero de 2021 fue publicado en el Diario Oficial de la Federación el decreto por virtud del cual se reforma el artículo 311 y se adiciona el capítulo XII Bis de la Ley Federal del Trabajo, en materia de Teletrabajo.
El mundo vive en una constante transformación. Los diversos sectores e industrias a nivel global han evolucionado, la era digital ha tenido un impacto en la vida cotidiana de las personas y en el mundo de los negocios; cambiando no sólo las herramientas con las que trabajamos o desempeñamos nuestras actividades, sino también las metodologías de trabajo tradicionales. En consecuencia –por lo menos así debería ser–, las distintas regulaciones a nivel mundial han intentado adaptarse a la actualidad, en este caso, al teletrabajo.
La publicación de dicho decreto ha generado diversas interrogantes que no sólo se concentran en cuestiones puras del derecho laboral –tradicional–, sino también en temas relacionados a la seguridad de la información, los derechos inherentes a la personalidad, la desconexión digital, entre otros. Cuestiones que, como veremos más adelante, en su mayoría ya se consideraban, no obstante, en este ordenamiento se reafirman o se les da mayor importancia, pero, reitero, eran cuestiones que estaban reguladas y aplican independientemente de la modalidad de trabajo.
La entrada en vigor de esta reforma pareciera que llega en un momento adecuado, incluso pareciera que su origen es la famosa pandemia. Pero no, esto lleva años discutiéndose en el legislativo y la situación actual sólo aceleró el proceso de algo que tarde o temprano iba a suceder. Y si, la realidad es que llega algo tarde, pues durante los últimos años y tras la constante evolución de la era digital, junto con el distinguido abogado Mauricio Sánchez Lemus hemos advertido sobre los retos y riesgos que presupone el uso –descontrolado y a veces desregulado– de la tecnología, en particular de las herramientas tecnológicas en el ámbito laboral, esto sin importar la modalidad.
Esta reforma tiene como propósito regular el teletrabajo, conocido también como home office. El Capítulo XII bis de la Ley Federal de Trabajo, en el artículo 330-A, dispone de forma general los siguientes aspectos a destacar:
- El teletrabajo es aquel que se ejecuta en lugares distintos al establecimiento del patrón, por medio de las Tecnologías de la Información y Comunicación.
- No será considerado teletrabajo aquel que se realice de forma ocasional o esporádica.
- Únicamente se considerará como teletrabajo aquel que se desarrolle más del cuarenta por ciento del tiempo en el domicilio elegido por el trabajador.
- La relación laboral bajo esta modalidad deberá hacerse constar en un contrato, el cual deberá cumplir con los requisitos que se detallan en el numeral 330-B de la Ley Federal del Trabajo.
- El cambio de modalidad presencial a teletrabajo deberá ser voluntario o por causas de fuerza mayor y que las partes podrán revertir estos cambios para regresar a la modalidad anterior (presencial).
- Los patrones –entre otras obligaciones– deberán proporcionar, instalar y encargarse del mantenimiento de los equipos necesarios para el teletrabajo, asumir los costos proporcionales derivados de este, incluyendo, en su caso, el pago de servicios de telecomunicación y electricidad.
Ahora bien, como lo mencionaba al inicio, el nuevo capítulo sobre teletrabajo tiene varios puntos a destacar y que me llaman mucho la atención. Al respecto, me quiero concentrar en aquellos que considero relevantes y que pudieran –en su caso– tener un enfoque alineado a temas como la seguridad de la información, tecnología, derechos de la personalidad (intimidad, privacidad, datos personales, etc.).
Obligaciones para el patrón
- Implementar mecanismos que preserven la seguridad de la información y datos utilizados por las personas trabajadoras en la modalidad de teletrabajo.
En este nuevo capítulo de la Ley Federal del Trabajo, se le impone al patrón la obligación de implementar mecanismos encaminados a preservar la seguridad de la información, así como de los datos personales a los que tengan acceso los trabajadores o que sean utilizados por estos en el desempeño de sus actividades.
Si bien esta obligación no aplica únicamente a la modalidad de teletrabajo, sino también a la modalidad presencial, lo que es un hecho es que el riesgo aumenta cuando el aprovechamiento o tratamiento de la información o de los datos se da fuera de las empresas y a través de redes y dispositivos sobre los cuales no se tiene, generalmente, un control interno e institucional.
“Cuando se habla de seguridad de la información debemos entenderlo y atenderlo desde dos flancos, el primero de ellos el tecnológico, es decir, desde la seguridad informática y/o ciberseguridad y, por el otro, sobre la seguridad enfocada en el factor humano.”
Al respecto, entrando más al fondo de este análisis, considero que es importante mencionar que cuando se habla de seguridad de la información debemos entenderlo y atenderlo desde dos flancos, el primero de ellos el tecnológico, es decir, desde la seguridad informática y/o ciberseguridad y, por el otro, sobre la seguridad enfocada en el factor humano. Esto que menciono resulta sumamente relevante pues tal cual lo refleja un estudio realizado por la consultora Berkeley Research Group, la principal causa de brechas de seguridad es el factor humano y no necesariamente el tecnológico, es decir, es el eslabón más débil de la cadena, razón por la cual no podemos atender uno y dejar de lado el otro.
Para poder implementar una estrategia efectiva, junto con el abogado Mauricio Sánchez Lemus, preparamos un cuadro en el cual se proponen diversas recomendaciones tendientes a ejemplificar un escenario de cumplimiento integral alineado no nada más a cumplir con el capítulo de teletrabajo, sino general:
“Es sumamente recomendable firmar contratos de confidencialidad ad-hoc con los trabajadores en los cuales se establezcan de forma clara y precisa las obligaciones para la guarda, custodia y no divulgación de la información considerada confidencial de la organización, así como de aquella que no necesariamente sea propiedad de la organización pero que conozcan naturalmente por el desempeño de su trabajo.”
Como podemos observar, el tema de seguridad de la información es sumamente relevante y cuenta con diversas aristas, pues la obligación no nada más tiene un origen en la reforma sobre teletrabajo, sino en diversas fuentes, por ejemplo, en los contratos de confidencialidad que firman las empresas con terceros, las certificaciones de calidad, las políticas de sus matrices, los lineamientos de empresas públicas, los compromisos de reporteo a inversionistas y esquemas de autorregulación. Además, existen marcos jurídicos que obligan a tener este tipo de medidas, por ejemplo, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la Ley Federal de Protección a la Propiedad Industrial y las disposiciones de carácter general o circulares aplicables a instituciones financieras.
Recordemos que la información hoy en día es considerada el nuevo petróleo. Por ello hoy más que nunca es relevante contar con medidas adecuadas y pertinentes para su resguardo.
- Respetar el derecho a la desconexión de las personas trabajadoras en la modalidad de teletrabajo al término de la jornada laboral.
En cuanto al derecho a la desconexión digital, este no es más que el derecho de los trabajadores a no contestar comunicaciones, llamadas, correos electrónicos, mensajes, etc., de trabajo fuera de su horario laboral. Se deberá considerar esto también para el descanso, permisos, vacaciones, etc.
Un punto relevante sobre este derecho en relación con el teletrabajo es que si la herramienta es proporcionada por los patrones (tal cual lo indica esta reforma), se han elaborado lineamientos para su uso alineados a este derecho y se cuenta con las responsivas firmadas por los trabajadores –según sea el caso–, la herramienta de trabajo no debería ser utilizada fuera de los horarios laborales, de lo contrario pudiera presumirse que se le está dando un uso distinto para el cual fue entregada. Cuestión que pudiera detonar la prohibición que dispone el artículo 135, fracción IX de la Ley Federal de Trabajo.
En este sentido, cobra mayor relevancia establecer las reglas claras sobre el uso de las herramientas de trabajo, firmar las responsivas y vincular la herramienta al trabajador. Pues como lo mencioné, el uso de las herramientas de trabajo para un fin distinto para el cual fueron proporcionadas, puede traer como consecuencia la rescisión del contrato laboral sin responsabilidad para el patrón, y los lineamientos y responsivas son los documentos idóneos para acreditar que el trabajador conoce los términos y condiciones de uso de dichas herramientas. Independientemente de ello, es una forma en la que el patrón pudiera deslindarse de una responsabilidad por el mal uso de las mismas.
Más allá de lo anterior y en estricta observancia del derecho a la desconexión digital, el patrón podrá establecer medidas para garantizar que la herramienta únicamente sea utilizada en horarios laborales y para fines relacionados con las funciones del trabajador. Ello podrá materializarse en candados de horario y avisos sobre el tiempo efectivo de uso de la herramienta. En caso de que se deseen implementar mecanismos de seguimiento para garantizar que la herramienta se utilice para fines laborales, deberá realizarse una evaluación de impacto a la privacidad de trabajador a la luz de las características específicas de dicha funcionalidad. Cabe apuntar que deberán privilegiarse los métodos menos invasivos posibles, a la luz del principio de proporcionalidad, como se apuntará en el siguiente apartado.
- Los mecanismos, sistemas operativos y cualquier tecnología utilizada para supervisar el teletrabajo deberán ser proporcionales a su objetivo, garantizando el derecho a la intimidad de las personas trabajadoras bajo la modalidad de teletrabajo, y respetando el marco jurídico aplicable en materia de protección de datos personales.
En este punto se reafirma la importancia de garantizar y velar por los derechos a la protección de datos personales, el derecho a la intimidad y la privacidad, es decir, impone la obligación a los patrones para que las tecnologías que se utilicen para supervisar las actividades de los trabajadores sean siempre respetando su privacidad, intimidad y en estricto apego a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y demás normativa aplicable en la materia.
Sobre el particular, como nota al margen me gustaría mencionar que el derecho a la protección de datos personales, la privacidad y la intimidad, si bien son derechos de la personalidad, incluso relacionados de alguna forma, no son lo mismo, pues son derechos distintos y como tal, la vía para ejercerlos es diferente. Puntualmente, abarcan ámbitos diferentes de la esfera jurídica de un individuo. Por una parte, el derecho a la protección de datos personales se basa en la autodeterminación informativa, es decir, en el poder de decisión y control que goza el individuo sobre el tratamiento de su información. El derecho a la privacidad se traduce, como dirían los americanos fieles a la simplificación pura, en no ser molestado. Por último, el derecho a la intimidad engloba la posibilidad de desarrollar una vida privada y libre. En este tenor, los tres derechos podrían ser vulnerados por una falta de proporcionalidad en las medidas implementadas por el patrón.
Una de las mayores dudas que se ha generado en el ámbito laboral sobre este punto, incluso previo a la publicación de este decreto, es el tema relativo a si los patrones pueden revisar los correos electrónicos de los trabajadores. Sin afán de entrar al fondo del debate, en lo personal considero que el correo electrónico –siempre y cuando sea una cuenta proporcionada por el patrón– al ser considerada una herramienta de trabajo pagada y gestionada por el patrón, sí podría ser supervisada sin violar las comunicaciones privadas o la privacidad de los trabajadores; siempre y cuando en los “lineamientos de correo electrónico” y en la responsiva correspondiente se establezca que la cuenta que se le asigna al colaborador es considerada una herramienta de trabajo, la cual podrá ser monitoreada en todo momento y que sólo podrá ser utilizada para cuestiones estrictamente afines a su función laboral.
Lo anterior, en consecuencia, podrá extenderse al resto de las herramientas utilizadas por el trabajador para el ejercicio de sus funciones. Lo que abarcaría desde las plataformas de videoconferencia y mensajería instantánea, hasta aquellas utilizadas para el almacenamiento de archivos en la nube. Así, cobra relevancia que se distingan las herramientas utilizadas, se proporcionen cuentas corporativas a los trabajadores y, por supuesto, la compañía realice el pago de las suscripciones que correspondan. Por otra parte, en el supuesto de que el patrón no hubiere proporcionado dichas cuentas, deberá elaborarse una Política BYOC (Bring Your Own Cloud) que detalle los lineamientos para la incorporación de información confidencial, la responsabilidad y la transmisión de sus claves de acceso a la brigada de atención de incidentes en caso de presentarse una vulneración.
Ahora bien, por lo que hace a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP”), independientemente de que en este punto de la reforma se obliga a los patrones a cumplir con dicha ley y demás normativa aplicable en la materia, esto no quiere decir que la modalidad presencial de trabajo signifique una exención a su cumplimiento. De conformidad con su artículo 2, la LFPDPPP aplica a que los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales. En consecuencia, en el caso de caer en este supuesto, las empresas deberán cumplir con los ocho principios (licitud, consentimiento, información, finalidad, proporcionalidad, calidad, lealtad y responsabilidad) y los dos deberes (confidencialidad y seguridad). Es decir, en general e independientemente de la modalidad de trabajo, deberán tener un Aviso de Privacidad, contar con una política de privacidad, tener un inventario de datos, elaborar, inventario de sistemas de tratamiento, hacer un análisis de riesgo, llevar a cabo programas de capacitación, etc.
Obligaciones para el trabajador
En el apartado de las obligaciones impuestas en esta reforma a cargo de los trabajadores, destaco: a) Atender y utilizar los mecanismos y sistemas operativos para la supervisión de sus actividades y b) Atender las políticas y mecanismos de protección de datos utilizados en el desempeño de sus actividades, así como las restricciones sobre su uso y almacenamiento.
Como podemos observar, a los trabajadores también se les imponen obligaciones relacionadas con atender las instrucciones y políticas desarrolladas por parte de los patrones, por lo que para que los trabajadores estén en posibilidades de cumplir, será fundamental que los patrones, como parte de sus obligaciones desarrollen e implementen políticas y directrices tendientes a establecer las reglas, términos y condiciones en el entorno del teletrabajo. De lo contrario, no se podrán deslindar de una responsabilidad por el mal uso de una herramienta de trabajo o negligencia en el actuar de los trabajadores.
Tal como se señaló anteriormente, el patrón no está exento de cumplir con la normatividad en materia de protección de datos personales, por lo que deberá implementar las medidas necesarias para garantizar que las actividades de sus colaboradores se ajusten a los extremos de la legislación. Ello se logrará elaborando la documentación que traslade la obligación -en la operación del día a día- al trabajador, como parte de sus funciones.
Conclusiones
Esta reforma no se limita a regular una “nueva” modalidad de trabajo, el espectro es mucho mayor, pues reafirma la importancia de velar por los derechos de la personalidad, los cuales son más vulnerables en el entorno digital. Además, hace un especial énfasis sobre la importancia de contar con medidas de seguridad adecuadas para el resguardo de la información, cuestión prioritaria en las organizaciones. Lo que, para efectos prácticos, se traduce en un protocolo de actuación integral que privilegie los derechos del trabajador y el cumplimiento del marco normativo aplicable.
En este orden de ideas, toma relevancia apuntar que, a fin de asegurar que la estrategia de home office cumpla con los extremos de la legislación laboral y de las disposiciones en materia de protección de datos personales, deberá privilegiarse su diseño mediante el principio de Privacy by Design, el concepto que impera en las recomendaciones y análisis vertidos en el presente artículo.