TELETRABAJO Y SMART WORKING: Lo que vamos a aprender del Covid-19

Una reflexión más allá de los aspectos jurídicos y de datos personales sobre la llamada «crisis del coronavirus»

Vivimos una situación sin precedentes que nos está obligando a modificar radicalmente y de forma súbita, nuestros hábitos de vida y trabajo.

Llevamos unos días de confinamiento en los que muchos podemos trabajar desde nuestros domicilios. Considerémonos unos privilegiados por poder minimizar al máximo los riesgos, seguir, dentro de lo que cabe, con nuestra actividad profesional sin tener que desplazarnos.

Para muchos de nosotros esta situación no es nueva: la que suscribe ha trabajado desde hospitales, residencias, trenes, aviones, espacios compartidos, empresas de clientes, desde el despacho y por supuesto desde casa. Y el servicio profesional siempre se ha prestado sin problema. Este es un lujo que los abogados podemos permitirnos. Sin embargo, es el nuestro un sector que se ha resistido a estas cosas por la maldita cultura del “presentismo”.

Primera lección: no es necesario estar físicamente en un despacho para poder prestar asesoramiento (o realizar el trabajo que sea -insisto, siempre que el propio trabajo lo permita-). Algunos ya lo sabían, la mayoría, ahora lo van a comprobar.

Segunda lección: la confianza. Trabajar en remoto implica un ejercicio de confianza en las empresas. La mayoría de los trabajadores son responsables, quieren seguir haciendo su trabajo con normalidad y cumplir con su labor. No se necesita un “vigilante” ni tener a todos recogidos en un mismo recinto para que las cosas se hagan. Se trata de ser responsable. Nos han pedido “responsabilidad” a todos. En esto también vamos a ser responsables.

Esto quizá suponga un antes y un después en la forma de trabajar. Curiosamente grandes empresas y las muy pequeñas (entre las que me incluyo) ya lo habíamos descubierto hace mucho tiempo. Trabajar desde casa aumenta la productividad y disminuye los costes. No hay desplazamientos, se reduce la contaminación. No hay que calentar (o enfriar en verano) grandes recintos ni se necesitan grandes infraestructuras. En las grandes empresas cada vez es más frecuente el concepto “sitios calientes”: llegas con tu portátil y te enchufas… En casa, con un poco de suerte, siempre tendrás tu espacio de trabajo confortable y a tu gusto…

Tercera lección: reducir el estrés. El concepto “downshifting” acuñado hace años por los que con un poco de perspectiva invitaban a pisar el freno y tomarse las cosas con calma en general, cobra, ahora más que nunca, un gran sentido. Estamos en casa, no tenemos que ir corriendo de un lado a otro. No tenemos que sufrir atascos, ni achuchones en los transportes públicos. Podemos dormir más. No hay que recoger a los niños del colegio, ni llevarlos a clases de baloncesto o patinaje. Casi todo puede esperar: nos han interrumpido los plazos administrativos y judiciales. No hay juicios. Las reuniones son ahora virtuales… Es verdad que estar en casa con niños pequeños y sin salir a pasear pueda resultar estresante pero…. ¿no es verdad que el trabajo puede hacerse de una forma más tranquila?

Cuarta lección: regreso a las cosas sencillas (back to the roots). Trabajo, gimnasio, compras, actividades extraescolares, quedar con amigos, pasear… Todo eso hay que hacerlo ahora en casa y desde casa. Hay más tiempo y muchas cosas que todos postergamos para “cuando tengamos tiempo”: leer, leer esas cosas que vamos dejando “para algún día”, ordenar papeles, jugar con nuestros hijos o nuestra familia, ver una buena película, organizar las fotos, cocinar a fuego lento, disfrutar de una comida rica todos juntos, escribir… Podemos disfrutar de nuestro trabajo de una forma más pausada, sin el traje y la corbata (que en nuestro sector siguen proliferando), en ese hogar que vemos poco porque siempre estamos fuera “haciendo cosas”.

Quinta lección: pensar. O meditar. Pensar en estas lecciones de vida que todos vamos a extraer. Pensar en nuevas oportunidades de negocio, en proyectos. Pensar en iniciativas desde casa, en cómo podemos ayudar a los demás (además de quedarnos en casa). Pensar en si estamos viviendo la vida que verdaderamente queremos vivir…

Sexta lección: la tecnología vino para ayudarnos. No imaginamos estos días sin Internet ni medios de comunicación. Podemos trabajar desde casa porque existen herramientas para ello. Nos podemos comunicar. Podemos hablar con nuestros seres queridos y verles aunque se encuentren a kilómetros de distancia. Recibimos noticias a tiempo real y los locutores de la radio trabajan la mayoría desde su casa. Nos reunimos con nuestros clientes y resolvemos sus problemas… en la distancia. Y ni siquiera necesitamos tener los servidores físicamente en casa o en la oficina porque podemos trabajan en la “nube” con herramientas comunes que facilitan el trabajo colectivo.

Eso sí, hay que trabajar seguro. Por ello, estas situaciones excepcionales no deben hacer que bajemos la guardia en la observancia de las medidas de seguridad habituales que protegen la información y los datos personales.

Algunas recomendaciones de seguridad que no debemos olvidar:

1.- Las conexiones remotas deben ser seguras. Para ello existen las VPN. En estos días los informáticos trabajan a destajo para que todo el mundo pueda trabajar utilizando este sistema.

2.- Debería trabajarse siempre desde ordenadores corporativos. Los peligros de trabajar desde el mismo ordenador desde el que nuestros hijos estudian, juegan, descargan películas o se conecta toda la familia, son grandes.El trabajo desde ordenadores propios de cada trabajador obliga a las empresas a establecer políticas BYOD (bring your own device) para regular situaciones como la que estamos viviendo a fin de evitar situaciones que pongan en riesgo la seguridad de una organización.

3.- La política de seguridad en el puesto de trabajo (contraseñas, no apuntarlas, accesos unívocos etc) debe mantenerse en casa. Algunos están en familia, otros en pisos compartidos. El momento de trabajar implica guardar confidencialidad sobre lo que se hace como si estuviéramos en el lugar físico de trabajo. Si se puede trabajar en un sitio en el que estemos nosotros solos, mejor.

4.- Ojo con las campañas de phishing con información o curas del Covid-19. Los desaprensivos también trabajan desde casa. No relajarse. Incluso se están recibiendo emails fraudulentos con instrucciones para el teletrabajo con enlaces para pedir credenciales. Mucho cuidado con esto.

5.- El whasapp y las aplicaciones de mensajería son para comunicarse pero no para tratar temas confidenciales. Mejor utilizar el correo corporativo y las herramientas que la empresa utilice para comunicarse. Estamos aislados pero no incomunicados. Las reuniones vía Teams, Skype etc pueden celebrarse y seguramente serán mucho más productivas que las presenciales en las que a menudo se pierde mucho el tiempo.

El punto de madurez tecnológica de muchas empresas se está poniendo a prueba ahora. Muchos despachos de abogados están sufriendo sus reticencias a utilizar sistemas de almacenamiento en la nube y no han querido ni hablar de transformación digital. Esta crisis supondrá un punto de inflexión en los modelos productivos, en las formas de trabajo y de prestación de los servicios.

Miremos el lado positivo del confinamiento. Seamos responsables. Pongamos nuestro granito de arena para que los contagios disminuyan, para que los sanitarios trabajen con menos agobio, para que esto pase lo antes posible.

Dicen que se aprende más de las situaciones difíciles. Este es el momento.

#yomequedoencasa
#losdetallesimportan

Paz Martin
17 de marzo de 2020

Comienza la cuenta atrás: Aprobado el Proyecto de nueva Ley Orgánica de Protección de Datos de carácter personal

El pasado viernes 10 de noviembre el Consejo de Ministros aprobó la remisión a las Cortes Generales el Proyecto de Ley Orgáncica de Protección de Datos (LOPD), el nuevo texto que sustituirá a la actual LOPD.

El propósito de este proyecto es adaptar la legislación española a las exigencias del Reglamento UE 2016/679 General de Protección de Datos, reglamento que como sabemos entrará en pleno funcionamiento el próximo 25 de mayo de 2018.

Destacamos a continuación algunas novedades significativas en el entendimiento de que esta Ley Orgánica no podrá legislar contraviniendo lo ya regulado en el Reglamento aunque sí matizar algunos aspectos. Recordemos igualmente que los reglamentos comunitarios no precisan de trasposición, por lo que esta nueva LOPD contemplará aspectos que el Reglamento no deja desarrollados o remite a la regulación de los estados miembros.

La mayoría de edad para los datos personales

Se adelanta la edad de consentimiento para el tratamiento de datos a 13 años. Un menor de 13 años podrá facilitar sus datos personales por sí mismo y sin el consentimiento de sus padres o tutores (actualmente la edad es de 14 años).

Tratamiento de datos de las personas fallecidas

Se toma en cuenta especialmente en lo que se refiere a la solicitud de los herederos (pensemos en las nuevas realidades de las redes sociales y la posible cancelación de los datos ejercitada lógicamente por los herederos de las personas fallecidas).

Consentimientos

Siendo este uno de los temas críticos del nuevo RGPD, se contempla igualmente en el proyecto eliminándose el consentimiento tácito y por silencio para dar paso a la acción afirmativa y expresa. Se acabó el «acepto» para múltiples finalidades o el «si no nos dice lo contrario»…

Principio de transparencia

Otro principio acuñado por el RGPD y que se traduce en el derecho de los afectados (los titulares de los datos) a ser informados sobre los tratamientos de una forma clara y sobre más aspectos de los que hasta ahora contemplaba el artículo 5 de la LOPD, además de contemplar los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.

Categorías especiales de datos

Se mantiene la prohibición de almacenar datos de ideología, religión, afiliación sindical, religición, orientación sexcual, origen racial o étnico y creencias. No basta con el consentimiento para el tratamiento de estos datos

Interés legítimo

El tratamiento de datos será lícito si se basa en el consentimiento, en una norma con rango de ley pero también en el interés legítimo de quien trata los datos (en determinadas cuestiones). La nueva LOPD contemplará situaciones en las que prevalece el interés legítimo del responsable del tratamiento como en los sistemas de intervención crediticia y probablemente alineado con el reciente pronunciamiento de la Agencia Española de Protección de Datos a través del Informe 0195/2017 del Gabinete Jurídico aclarando precisamente este aspecto.

El Delegado de Protección de Datos

La nueva LOPD recogerá obligaciones de esta nueva figura así como un catálogo no exhaustivo de responsables de tratamiento que estarán obligados a designar esta figura.

Otras cuestiones

Mecanismos de autorregulaciónnuevos derechos (limitación y portabilidad), la posibilidad de que los canales internos de denuncias puedan ser anónimos, coordinación con otras autoridades tanto autonómicas como de otros estados miembros a través de procedimientos de cooperación, serán algunas cuestiones que abordarán el nuevo texto.

Se nos plantean algunas incógnitas una vez el proyecto avance en sede parlamentaria ante el actual panorama político y la particular configuración parlamentaria. Recordemos que el derecho a la protección de datos es un derecho fundamental, recogido en el artículo 18 de nuestra Constitución y su regulación se hace imprescindible para garantizarlo.

Seguiremos informando pero desde luego es hora, si no lo han hecho ya, de ponerse manos a la obra para adaptarse a la nueva legislación pues la nueva LOPD no va a ampliar el Reglamento europeo sino en todo caso lo va a matizar. Esperar a su aprobación sería una temeridad para las organizaciones pues un cambio legislativo como al que nos enfrentamos no se aborda de un día para otro.

La idea es que la nueva Ley Orgánica de Protección de Datos de Carácter Personal entre en vigor a la vez que el nuevo Reglamento…

Es hora de reflexionar sobre lo que se está haciendo, cómo se tratan los datos, qué novedades nos exige el RGPD y empezar a hacer los cambios para que el 25 de mayo de 2018 estemos tranquilos.

Paz Martin

¿De quién es el código fuente de una App, web o software? Propiedad intelectual y contratos

Siendo un tema habitual no es por ello menos recurrente la consulta de a quién pertenece el código fuente de un programa de ordenador o de una app.

Ambos son objeto de propiedad intelectual y sus particulares circunstancias están reguladas en el Texto Refundido de la Ley de Propiedad Intelectual (Real Decreto Legislativo 1/1996, de 12 de abril).

El código fuente es una parte del programa de ordenador y pertenece como el resto de las partes, de entrada, a su autor, a su creador, en nuestra terminología: al desarrollador.

Los derechos de propiedad intelectual se transmiten (excepto los morales que son irrenunciables e inalienables).

Ahora bien, nada dice la Ley al respecto del código fuente (con excepción de los límites a la solicitud de consentimiento- véase artículo 100) y surgen algunas dudas sobre si el código fuente, esto es, el lenguaje de programación pertenece a su creador para siempre o si es transmitido a quien ha pagado, por ejemplo, por el desarrollo de tal programa (web, app, etc). Además, lo habitual es que quien haya desarrollado la web o la app se ocupe igualmente de su mantenimiento, actualización etc.

¿Qué sucede cuándo el cliente «exige» el código fuente?

En este punto utilizaremos una de nuestras palabras favoritas: “depende”.

Vaya por delante que este post no es un artículo doctrinal sino que pretende recoger unas líneas prácticas básicas de cuestiones reiteradamente planteadas por clientes: desarrolladores y clientes que encargan productos.

Pensemos en esos programas o aplicaciones por las que al pagar, en el fondo, estamos adquiriendo una licencia de uso. No encargamos un desarrollo, simplemente usamos algo que ha sido creado y es propiedad de otro (ojo que pueden ser personas distintas). En este caso, el usuario no tiene más derechos que los que se derivan de la propia licencia de uso.

Segundo escenario: una aplicación o programa comercial, necesita para adaptarse a nuestra empresa, una “personalización” o desarrollo específico para que funcione en nuestra organización. Hay una parte de desarrollo que el desarrollador vende a diferentes empresas y que supone la esencia de su propio negocio (y que por supuesto no estará dispuesto a entregar) y otra parte que implica un desarrollo muy personalizado de esa aplicación digamos «comercial». De aquí surgen la mayoría de las consultas.

Tercer escenario: solicitamos “un traje a medida” un desarrollo específico siguiendo nuestras instrucciones e indicaciones precisas de lo que queremos, cómo lo queremos y cómo queremos que funcione. Digamos que el desarrollador es un «ejecutor» de las instrucciones del cliente.

Vaya por delante que en materia de aplicaciones, webs y software de gestión “personalizado” nos encontramos ante situaciones “híbridas” y ni el traje a medida es tan a medida ni el desarrollador es un mero “ejecutor” sino que parte de un know-how y desarrollos y conocimientos propios y previos.

Se trata de tres escenarios distintos en los que lo habitual, es que no medie ningún tipo de contrato en el que se especifique de quién son los derechos de propiedad intelectual. Quizás, sólo en el primer caso, en las licencias de uso o End-User Licence Agreement (EULA), la descarga o instalación suele ir acompañada de una aceptación de unos términos y condiciones donde se admite que estamos claramente ante una licencia de uso sin más derechos que los establecidos en la Ley de Propiedad Intelectual.

En el resto de los casos, la propuesta de trabajo, el presupuesto o los términos del desarrollo rara vez especifican claramente la propiedad intelectual del desarrollo y lo que es más importante, la obligación o no de entregar el código fuente al “cliente”, esto es, a quien ha encargado el desarrollo y/o lo va a utilizar.

Esta cuestión ha llegado a los tribunales y contamos de hecho con dos resoluciones, una de ellas del Tribunal Supremo que abordan claramente esta cuestión y que nos ofrecen una pauta de lo que debería ser: Nos referimos a la Sentencia de la Sala Primera del Tribunal Supremo17 de mayo de 2003 (num. 492/2003) en la que fruto de un conflicto entre desarrollador y cliente, se discute la obligación de la entrega del código fuente para realizar modificaciones para adaptarlo a las necesidades del usuario y actualizarlo.

En el caso de autos el programa se había encargado “a medida” y la Sala concluye que procede la entrega del código fuente al “cliente” porque “hay que tener presente que el programa informático objeto de autos, no se refiere a un producto standard, sino que ha sido un programa individualizado y además sobredimensionado; lo que pretenden hacer los demandados no es una reproducción del mismo, sino de una modificación para adaptarlo a las necesidades del usuario que encargó el programa de ordenador, lo que unido a la circunstancia de que se cumplen los supuestos del citado precepto -similar al actual artículo 100 de la Ley actual-:

  1. Los reconvinientes son los legítimos usuarios del programa.
  2. Que los actos de modificación son necesarios para la utilización del programa de ordenador con arreglo a la finalidad propuesta. Supuesto este último que se deduce de la propia prueba pericial acordada para mejor proveer, y del propio hecho de que los demandados reconvinientes tuvieron que adquirir de distinto proveedor nuevo programa, apenas utilizado el anterior y ello, por no haberles sido entregada una copia de las “fuentes” del programa de ordenador individualizado, ya que sin ella no se puede actualizar el programa hecho a medida ni por supuesto introducir posibles mejoras”.

De esta Sentencia y de otra posterior de la Audiencia Provincial de Valencia de 13 de marzo de 2006 (num. 164/2006) se infieren varias a cuestiones a tener en cuenta:

  1. Que es fundamental especificar en los contratos la entrega o no del código fuente y en su caso, el cobro de una cantidad adicional por aquel, para aclarar la posición de las partes y para evitar interpretaciones posteriores, especialmente si estamos ante desarrollos en los que ni el desarrollador parte de cero sino que utiliza como base desarrollos propios anteriores, es decir que el traje “a medida” es discutible.
  2. Que en función del tipo de desarrollo podemos estar o no obligados a dicha entrega pues de hecho los desarrolladores, como autores materiales del programa, aducen que “habitualmente no se entrega pues constituye el instrumento empresarial para la creación de las páginas web”.
  3. Las reglas de interpretación de los contratos tienen en cuenta en primer lugar lo pactado por las partes pero también la propia naturaleza del encargo (si es a medida o no) y que en el caso de haberse realizado a medida no se admitirían restricciones al respecto. Es especialmente ilustrativa a efectos de la interpretación de la voluntad de las partes en un contrato de estas características la Sentencia de la Audiencia Provincial de Málaga de 26 de diciembre de 2014 (num. 910/2014) que cita a su vez una consolidada doctrina jurisprudencial del Tribunal Supremo que afirma que “si la claridad de los términos de un contrato no dejan duda sobre la intención de las partes, no cabe la posibilidad de que entren en juego las restantes reglas contenidos en los artículos siguientes (al 1281 del Código civil) que vienen a funcionar con el carácter de subsidiarias.

Los supuestos comentados y objeto de sentencia tienen unas características concretas y las conclusiones a las que llegan los tribunales no son absolutas sino aplicadas a esos casos. En cualquier caso, sí apuntan, como se puede comprobar, a la voluntad de las partes desde el comienzo de la relación. El problema es cuando «la voluntad de las partes» no queda clara en ninguna parte y es contradictoria.

Por lo tanto y a modo de conclusión, consejos para desarrolladores, creadores y demás:

  • Recoger todos los aspectos en un contrato, más sencillo o más complejo, pero en el que queden definidas estas cuestiones que posteriormente pueden dar lugar a conflictos.
  • En el caso de desarrollos más o menos a medida, en lugar de una entrega inmediata del código fuente, se puede pactar su depósito en un tercero de confianza mediante la firma de un “contrato de escrow”, de forma que el código es recuperable por el cliente en los casos en los que el desarrollador desaparezca o se encuentre en posición de no poder garantizar el mantenimiento o el soporte de dicho desarrollo.
  • Y por supuesto consultar antes de entregar todo o de decir que no de forma taxativa, pues en estas cuestiones no reguladas específicamente en las leyes, más vale prevenir…

Paz Martin

¿Qué va a pasar con los ficheros de datos declarados ante la Agencia Española de Protección de Datos?

Como ya sabemos, el 25 de mayo de 2018 será de plena aplicación el nuevo Reglamento UE 2016/679 General de Protección de Datos (al que nos referimos ya como RGPD). Esta nueva legislación establece nuevas obligaciones y sobre todo exige un cambio de mentalidad en la organizaciones en lo que a la protección de la privacidad se refiere.

Sin embargo, una de las obligaciones que hasta la fecha era casi la «protagonista» del cumplimiento formal de la normativa de protección de datos, desaparece: nos estamos refiriendo a la obligación de declarar los ficheros de datos ante el Registro de la Agencia Española de Protección de Datos.

Esta obligación era considerada para muchos la única y principal en lo que a cumplimiento de la ahora vigente LOPD: nada más lejos de la realidad. Sin embargo sí ha servido durante estos casi dieciocho años para comprobar la estructura de los tratamientos en las organizaciones, la tipología de los datos tratados, las actividades e incluso la propia estructura interna de las organizaciones (si tienen o no canal de denuncias, si tienen o no cámaras de videovigilancia, etc).

El RGPD no contempla esta obligación y por lo tanto, a partir del 25 de mayo, ya no será necesario comunicar los ficheros ante la Agencia Española de Protección de Datos.

Hasta entonces ¿sigue siendo obligatorio declarar ficheros?

La respuesta es sí. La actual LOPD quedará sin efecto con la entrada en vigor del nuevo Reglamento que como sabemos deroga la Directiva 95/46/CE de la que deriva nuestra actual LOPD. Por lo tanto, y mientras tanto, será obligatorio declarar ficheros, actualizar lo que corresponda y cancelar los que ya no existan.

Pero además existe una nueva obligación contemplada en el RGPD para la que la declaración actual de los ficheros es clave: la obligación de registro de las actividad de tratamiento establecida en el artículo 30. Pero ojo, esta obligación no aplica en todos los casos:

  • No se aplica a empresas u organizaciones que emplee a menos de 250 personas
  • A menos que el tratamiento que realice pueda entrañar un reisgo para los derechos y libertades de los intereados
  • No sea ocasional
  • o incluya categorías especiales de datos personales
  • o datos personales relativos a condenas e infracciones penales

¿En qué consiste ese «registro de actividades de tratamiento» que establece la nueva legislación?

Pues se trata de llevar una relación de lo que se hace en materia de datos que incluya, al menos:

a) El nombre y los datos de contacto del responsable así como del Delegado de protección de datos

b) Los fines del tratamiento

c) Una descripción de las categorías de interesados y de las categorías de datos personales

d) Las categorías de destinatarios a quienes se comunicaron o cumunicarán los datos personales, incluidos lo que se encuentren en terceros países u organizaciones internacionales

e) las transferencias internacionales de datos

f) Los plazos previstos para la supresión de las diferentes categorías de datos

g) Una descripción, cuando sea posible, de las medidas técnicas y organizativas adoptadas

También los encargados de tratamiento deberán indicar las actividades de tratamiento realizadas para un responsable.

Al que haya declarado ficheros ante la Agencia Española de Protección de Datos, lo anterior no le resultará completamente ajeno por lo que los actuales ficheros podrán servir, sin lugar a dudas, como base para cumplir con la obligación de llevar un registro de actividades de tratamiento puesto que gran parte de la información ya está recogida.

No en vano, la propia Agencia Española de Protección de Datos acaba de habilitar recientemente una nueva funcionalidad en su sede electrónica precisamente para solicitar copia de los ficheros inscritos que será facilita en formato electrónico.

Lo que pase a partir del 25 de mayo de 2018 con ese registro, es, en principio un misterio pues al dejar de ser obligatoria la declaración, el Registro de la Agencia quedará desactualizado aunque no sabemos si se mantendrá un tiempo para facilitar a los responsables la «reconversión» de sus ficheros o si quedará sin acceso. No obstante, antes de la citada fecha, conviene hacer los deberes en los casos en los que la empresa u organización vengan obligados a llevar ese registro.

Por lo tanto y como recomendación:

1.- Revisar los ficheros actuales, actualizando y modificando lo que proceda pues nos van a servir de base para otras obligaciones que sí establece el RGPD.

2.- Solicitar en su caso a la propia Agencia Española de Protección de Datos esa copia para comenzar a confeccionar el registro de actividades de tratamiento descrita en el artículo 30 del RGPD.

3.- Reflexionar y abordar la transición al nuevo Reglamento para que el cumplimiento, llegada la fecha, sea adecuado y no «entren prisas».

4.- Y sobre todo y no menos importante, no está de más, dejarse asesorar por profesionales cualificados que diseñen planes a medida y ayuden en el cumplimiento más adecuado para cada organización.

Paz Martin