El pasado 11 de enero de 2021 fue publicado en el Diario Oficial de la Federación el decreto por virtud del cual se reforma el artículo 311 y se adiciona el capítulo XII Bis de la Ley Federal del Trabajo, en materia de Teletrabajo.
El mundo vive en una constante transformación. Los diversos sectores e industrias a nivel global han evolucionado, la era digital ha tenido un impacto en la vida cotidiana de las personas y en el mundo de los negocios; cambiando no sólo las herramientas con las que trabajamos o desempeñamos nuestras actividades, sino también las metodologías de trabajo tradicionales. En consecuencia –por lo menos así debería ser–, las distintas regulaciones a nivel mundial han intentado adaptarse a la actualidad. En este caso, al “teletrabajo”.
La publicación de dicho decreto ha generado diversas interrogantes que no sólo se concentran en cuestiones puras del derecho laboral –tradicional–, sino también en temas relacionados a la seguridad de la información, los derechos inherentes a la personalidad, la desconexión digital, entre otros. Cuestiones que como veremos más adelante –en su mayoría– ya se consideraban, no obstante, en este ordenamiento se reafirman o se les da mayor importancia, pero reitero, ya eran cuestiones que estaban reguladas y que aplican independientemente de la modalidad de trabajo.
La entrada en vigor de esta reforma pareciera que llega en un momento adecuado, incluso pareciera que su origen es la famosa pandemia. Pero no, esto lleva años discutiéndose en el legislativo y la situación actual sólo aceleró el proceso de algo que tarde o temprano iba a suceder. Y si, la realidad es que llega algo tarde, pues durante los últimos años y tras la constante evolución de la era digital, junto con el distinguido abogado Mauricio Sánchez Lemus, hemos advertido sobre los retos y riesgos que presupone el uso –descontrolado y a veces desregulado– de la tecnología; en particular de las herramientas tecnológicas en el ámbito laboral, esto sin importar la modalidad.
Esta reforma tiene como propósito regular el teletrabajo, conocido también como “home office”. El Capítulo XII Bis de la Ley Federal de Trabajo, en el artículo 330-A dispone de forma general los siguientes aspectos a destacar:
- El teletrabajo es aquel que se ejecuta en lugares distintos al establecimiento del patrón, por medio de las Tecnologías de la Información y Comunicación.
- No será considerado teletrabajo aquel que se realice de forma ocasional o esporádica.
- Únicamente se considerará como teletrabajo aquel que se desarrolle más del cuarenta por ciento del tiempo en el domicilio elegido por el trabajador.
- La relación laboral bajo esta modalidad deberá hacerse constar en un contrato, el cual deberá cumplir con los requisitos que se detallan en el numeral 330-B de la Ley Federal del Trabajo.
- El cambio de modalidad presencial a teletrabajo deberá ser voluntario o por causas de fuerza mayor y que las partes podrán revertir estos cambios para regresar a la modalidad anterior (presencial).
- Los patrones –entre otras obligaciones– deberán proporcionar, instalar y encargarse del mantenimiento de los equipos necesarios para el teletrabajo, asumir los costos proporcionales derivados de este, incluyendo, en su caso, el pago de servicios de telecomunicación y electricidad.
Ahora bien, como lo mencionaba al inicio, el nuevo capítulo sobre teletrabajo tiene varios puntos a destacar y que me llaman mucho la atención. Al respecto, me quiero concentrar en aquellos que considero relevantes y que pudieran –en su caso– tener un enfoque alineado a temas como la seguridad de la información, tecnología, derechos de la personalidad (intimidad, privacidad, datos personales), etc.
A. Obligaciones para el patrón.
- Implementar mecanismos que preserven la seguridad de la información y datos utilizados por las personas trabajadoras en la modalidad de teletrabajo.
En este nuevo capítulo de la Ley Federal del Trabajo, se le impone al patrón la obligación de implementar mecanismos encaminados a preservar la seguridad de la información así como de los datos personales a los que tengan acceso los trabajadores o que sean utilizados por estos en el desempeño de sus actividades.
Si bien esta obligación no aplica únicamente a la modalidad de teletrabajo, sino que también a la modalidad presencial, lo que es un hecho es que el riesgo aumenta cuando el aprovechamiento o tratamiento de la información o de los datos se da fuera de las empresas y a través de redes y dispositivos sobre los cuales no se tiene –generalmente– un control interno e institucional.
Al respecto, entrando más al fondo de este análisis, considero que es importante mencionar que cuando se habla de seguridad de la información, debemos entenderlo y atenderlo desde dos flancos, el primero de ellos el tecnológico, es decir desde la seguridad informática y/o ciberseguridad y, por el otro, sobre la seguridad enfocada al factor humano. Esto que menciono resulta sumamente relevante pues tal cual lo refleja un estudio realizado por la consultora Berkeley Research Group, la principal causa de brechas de seguridad es el factor humano y no necesariamente el tecnológico, es decir, es el eslabón más débil de la cadena, razón por la cual no podemos atender uno y dejar de lado el otro.
Para poder implementar una estrategia efectiva, junto con el abogado Mauricio Sánchez Lemus, preparamos un cuadro en el cual se desprenden diversas recomendaciones tendientes a ejemplificar un escenario de cumplimiento integral alineado no nada más a cumplir con el capítulo de Teletrabajo, sino general:
Clasificar la información. | Es sumamente recomendable clasificar el tipo de información para poder asignarle el nivel adecuado de seguridad que requiere en función del riesgo y su tipo.
Al clasificar la información, resulta relevante asignar el nivel de riesgo que implicaría que sufriese una vulneración. Con base en ello, deberá elaborarse una política de privilegios y accesos que regule el nivel de apertura de cada tipo de información.
|
Lineamientos de herramientas de trabajo. | Para cumplir con las obligaciones a cargo del patrón y los trabajadores, es indispensable establecer lineamientos claros y puntales en los que se establezcan los términos y condiciones de uso de las herramientas de trabajo proporcionadas por la organización, destacando –como ejemplo–, entre otros, los siguientes:
|
Contratos de Confidencialidad. | Es sumamente recomendable firmar contratos de confidencialidad “Ad-hoc” con los trabajadores en los cuales se establezcan de forma clara y precisa las obligaciones para la guarda, custodia y no divulgación de la información considerada confidencial de la organización, así como de aquella que no necesariamente sea propiedad de la organización pero que conozcan naturalmente por el desempeño de su trabajo.
Es imprescindible contar con un inventario sobre qué colaboradores han firmado los contratos. Además, toma importancia contar con un mecanismo de control de la vigencia de dichos contratos, las obligaciones a las que se sujetó la compañía y aquellas que podrán ser exigidas a terceros.
|
Responsivas de las herramientas de trabajo. | Se recomienda firmar responsivas sobre cada una de las herramientas de trabajo que se les entregan a los trabajadores, las cuales deberán de estar alineadas a los lineamientos de la herramienta que corresponda y que contenga la información que identifique al dispositivo, herramienta o cuenta y lo relacione con el trabajador.
|
Inventario de medidas de Seguridad |
Las organizaciones deben tener perfectamente mapeadas y documentadas las medidas de seguridad físicas, administrativas, técnicas y/o tecnológicas con las que cuenten, las cuales deberán ser proporcionales a las actividades, funciones y riesgos.
Idealmente, debe realizarse un análisis de brecha que determine las medidas de seguridad faltantes. En caso de identificarse, se sugiere trazar un plan para su implementación.
|
Inventario de sistemas de tratamiento.
|
Es obligatorio documentar y generar un inventario en el que se conozca el tipo de soportes o sistemas que procesan la información, así como sus finalidades y justificaciones legales. Es importante determinar el destino de la información tratada en dichos sistemas, así como relacionarlos con áreas o departamentos específicos de la empresa.
|
Análisis de riesgo. | Es, de cierta forma obligatorio, llevar a cabo un análisis de riesgo sobre procesamiento y/o tratamiento información según su clasificación y naturaleza. Este debe ser un ejercicio periódico y continuo. Incluso cuando se pretenda implementar una nueva herramienta, un nuevo proceso o un nuevo producto. (Evaluación de impacto)
|
Capacitación. | La capacitación es un ejercicio esencial. Es indispensable conocer el alcance y riesgos de las herramientas de trabajo y capacitar a los trabajadores sobre su uso y sobre las consecuencias del uso indebido e incluso de cómo es que deben reaccionar ante una eventualidad como el robo, pérdida, vulneración, etc. de una herramienta.
Asimismo, es recomendable hacer un ejercicio en el que la organización conozca los riesgos e implicaciones del uso de cada herramienta en particular, para determinar su idoneidad en el uso en la organización. |
Protocolo de Atención de Incidentes. | Deberá elaborarse en dos niveles:
(i) Protocolo de actuación para trabajadores que identifiquen una vulneración en sus equipos, herramientas o credenciales de acceso. Deberá especificar cómo evaluar el incidente, a quién contactar y qué medidas inmediatas tomar para mitigar el daño. (ii) Lineamientos para el equipo directivo, que incluyan el nombramiento de un líder de la brigada de atención a incidentes, la información de contacto de especialistas y los criterios de evaluación inicial de la vulneración. Deberá contar con una relación de acciones aplicables a cada caso, tomando en consideración la evaluación inicial. Se recomienda que estos documentos sean aprobados por el Consejo de Administración. |
Como podemos observar, el tema de seguridad de la información es sumamente relevante y cuenta con diversas aristas, pues la obligación no nada más tiene un origen en la reforma sobre teletrabajo, sino en diversas fuentes, como por ejemplo en los contratos de confidencialidad que firman las empresas con terceros, las certificaciones de calidad, las políticas de sus matrices, los lineamientos de empresas públicas, los compromisos de reporteo a inversionistas y esquemas de autorregulación. Además, existen marcos jurídicos que obligan a tener este tipo de medidas, como por ejemplo lo es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la Ley Federal de Protección a la Propiedad Industrial y las disposiciones de carácter general o circulares aplicables a instituciones financieras.
Recordemos que la información hoy en día es considerada el nuevo petróleo. Por ello hoy más que nuca es relevante el contar con medidas adecuadas y pertinentes para su resguardo.
2. Respetar el derecho a la desconexión de las personas trabajadoras en la modalidad de teletrabajo al término de la jornada laboral.
Por cuanto hace al derecho a la desconexión digital, este no es más que el derecho de los trabajadores a no contestar comunicaciones, llamadas, correos electrónicos, mensajes, etc, de trabajo fuera de su horario laboral. Se deberá considerar esto también para el descanso, permisos, vacaciones, etc.
Un punto relevante sobre este derecho en relación con el teletrabajo, es que si la herramienta es proporcionada por los patrones (tal cual lo indica esta reforma), se han elaborado lineamientos para su uso alineados a este derecho y se cuenta con las responsivas firmadas por los trabajadores –según sea el caso– la herramienta de trabajo no debería ser utilizada fuera de los horarios laborales, de lo contrario pudiera presumirse que se le está dando un uso distinto para el cual fue entregada. Cuestión que pudiera detonar la prohibición que dispone el artículo 135, fracción IX de la Ley Federal de Trabajo.
En este sentido, cobra mayor relevancia establecer las reglas claras sobre el uso de las herramientas de trabajo, firmar las responsivas y vincular la herramienta al trabajador. Pues como lo mencioné, el uso de las herramientas de trabajo para un fin distinto para el cual fueron proporcionadas, pudieran traer como consecuencia la rescisión del contrato laboral sin responsabilidad para el patrón, y los lineamientos y responsivas son los documentos idóneos para acreditar que el trabajador conoce los términos y condiciones de uso de dichas herramientas; independientemente de ello, es una forma en la que el patrón pudiera deslindarse de una responsabilidad por el mal uso de las mismas
Más allá de lo anterior y en estricta observancia del derecho a la desconexión digital, el patrón podrá establecer medidas para garantizar que la herramienta únicamente sea utilizada en horarios laborales y para fines relacionados con las funciones del trabajador. Ello podrá materializarse en candados de horario y avisos sobre el tiempo efectivo de uso de la herramienta. En caso de que se deseen implementar mecanismos de seguimiento para garantizar que la herramienta se utilice para fines laborales, deberá realizarse una evaluación de impacto a la privacidad de trabajador a la luz de las características específicas de dicha funcionalidad. Cabe apuntar que deberán privilegiarse los métodos menos invasivos posibles, a la luz del principio de proporcionalidad, como se apuntará en el siguiente apartado.
3. Los mecanismos, sistemas operativos y cualquier tecnología utilizada para supervisar el teletrabajo deberán ser proporcionales a su objetivo, garantizando el derecho a la intimidad de las personas trabajadoras bajo la modalidad de teletrabajo, y respetando el marco jurídico aplicable en materia de protección de datos personales.
En este punto se reafirma la importancia garantizar y velar por los derechos a la protección de datos personales, el derecho a la intimidad y la privacidad, es decir, impone la obligación a los patrones para que las tecnologías que se utilicen para supervisar las actividades de los trabajadores sean siempre respetando su privacidad, intimidad y en estricto apego a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y demás normativa aplicable en la materia.
Sobre el particular, como nota al margen me gustaría mencionar que el derecho a la protección de datos personales, la privacidad y la intimidad, si bien son derechos de la personalidad, incluso relacionados de alguna forma, no son lo mismo, pues son derecho distintos y como tal, la vía para ejercerlos es diferente. Puntualmente, abarcan ámbitos diferentes de la esfera jurídica de un individuo. Por una parte, el derecho a la protección de datos personales se basa en la autodeterminación informativa, es decir, en el poder de decisión y control que goza el individuo sobre el tratamiento de su información. El derecho a la privacidad se traduce -como dirían los americanos, fieles a la simplificación pura- en no ser molestado. Por último, el derecho a la intimidad engloba la posibilidad de desarrollar una vida privada y libre. En este tenor, los tres derechos podrían ser vulnerados por una falta de proporcionalidad en las medidas implementadas por el patrón.
Una de las mayores dudas que se ha generado en el ámbito laboral sobre este punto, incluso previo a la publicación de este decreto, es el tema relativo a si los patrones pueden revisar los correos electrónicos de los trabajadores. Sin afán de entrar al fondo del debate, en lo personal considero que el correo electrónico –siempre y cuando sea una cuenta proporcionada por el patrón– al ser considerada una herramienta de trabajo pagada y gestionada por el patrón, sí podría ser supervisada sin violar las comunicaciones privadas o la privacidad de los trabajadores; siempre y cuando en los “lineamientos de correo electrónico” y en la responsiva correspondiente, e establezca que la cuenta que se le asigna al colaborador es considerada una herramienta de trabajo, la cual podrá ser monitoreada en todo momento y que sólo podrá ser utilizada para cuestiones estrictamente afines a su función laboral.
Lo anterior, en consecuencia, podrá extenderse al resto de las herramientas utilizadas por el trabajador para el ejercicio de sus funciones. Ello abarcaría desde las plataformas de videoconferencia y mensajería instantánea, hasta aquellas utilizadas para el almacenamiento de archivos en la nube. Ante ello, cobra relevancia que se distingan las herramientas utilizadas, se proporcionen cuentas corporativas a los trabajadores y, por supuesto, la compañía realice el pago de las suscripciones que correspondan. Por otra parte, en el supuesto de que el patrón no hubiere proporcionado dichas cuentas, deberá elaborarse una Política BYOC (Bring Your Own Cloud) que detalle los lineamientos para la incorporación de información confidencial, la responsabilidad sobre su y la transmisión de sus claves de acceso a la brigada de atención de incidentes, en caso de presentarse una vulneración.
Ahora bien, por lo que hace a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDPPP”), independientemente de que en este punto de la reforma se obliga a los patrones a cumplir con dicha ley y demás normativa aplicable en la materia, esto no quiere decir que la modalidad presencial de trabajo signifique una exención a su cumplimiento. De conformidad con su artículo 2, la LFPDPPP aplica a los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales. En consecuencia, en el caso de caer en este supuesto, las empresas que deberán cumplir con los 8 principios (licitud, consentimiento, información, finalidad, proporcionalidad, calidad, lealtad y responsabilidad) y los 2 deberes (confidencialidad y seguridad). Es decir, en general e independientemente de la modalidad de trabajo, deberán tener un Aviso de Privacidad, contar con una política de privacidad, tener un inventario de datos, elaborar, inventario de sistemas de tratamiento, hacer un análisis de riesgo, llevar a cabo programas de capacitación, etc.
B. Obligaciones para el trabajador.
Por lo que hace a las obligaciones impuestas en esta reforma a cargo de los trabajadores, destaco por un lado: i) Atender y utilizar los mecanismos y sistemas operativos para la supervisión de sus actividades; y por el otro: ii) Atender las políticas y mecanismos de protección de datos utilizados en el desempeño de sus actividades, así como las restricciones sobre su uso y almacenamiento.
Como podemos observar, a los trabajadores también se les imponen obligaciones relacionadas a atender las instrucciones y políticas desarrolladas por parte de los patrones, por lo que, para que los trabajadores estén en posibilidades de cumplir, será fundamental que los patrones, –como parte de sus obligaciones –desarrollen e implemente políticas y directrices tendientes a establecer las reglas, términos y condiciones en el entorno del teletrabajo. De lo contrario, no se podrán deslindar de una responsabilidad por el mal uso de una herramienta de trabajo o negligencia en el actuar de los trabajadores.
Tal como se señaló anteriormente, el patrón no está exento de cumplir con la normatividad en materia de protección de datos personales, por lo que deberá implementar las medidas necesarias para garantizar que las actividades de sus colaboradores se ajusten a los extremos de la legislación. Ello se logrará elaborando la documentación que traslade la obligación -en la operación del día a día- al trabajador, como parte de sus funciones.
C. Conclusiones
En conclusión, esta reforma no se limita a regular una “nueva” modalidad de trabajo, sino que el espectro es mucho mayor, pues reafirma la importancia de velar por los derechos de la personalidad; los cuales son más vulnerables en el entorno digital. Además, hace un especial énfasis sobre la importancia de contar con medidas de seguridad adecuadas para el resguardo de la información, cuestión prioritaria en las organizaciones. Ello, para efectos prácticos, se traduce en un protocolo de actuación integral que privilegie los derechos del trabajador y el cumplimiento del marco normativo aplicable.
En este orden de ideas, toma relevancia apuntar que, a fin de asegurar que la estrategia de “home office” cumpla con los extremos de la legislación laboral y de las disposiciones en materia de protección de datos personales, deberá privilegiarse su diseño mediante el principio de “privacy by design”, que es el concepto que impera en las recomendaciones y análisis vertidos en el presente.