Concretamente, en el supuesto al que hacemos alusión, un trabajador usó de forma indebida las herramientas informáticas de la empresa, para descargar la copia pirata de una película a través de un determinado portal en internet, lo que propició la entrada de un virus troyano en los sistemas de la empresa, que permitió a los ciberdelincuentes acceder los sistemas de “2gether”, una sociedad española de custodia de criptoactivos.
Como consecuencia de lo anterior, los ciberdelincuentes consiguieron sustraer una importante cantidad de criptomonedas (114 bitcoins y 276 etherums, valorados en el año 2020 cuando sucedieron los hechos, en 1,2 millones de euros).
Si bien desconocemos la política de uso de herramientas informáticas que tenía instaurada la empresa del caso expuesto con sus empleados (si es que la tenía), lo cierto es que resulta indispensable, especialmente en el caso de empresas que disponen de datos o activos financieros almacenados en servidores, disponer de una serie de reglas que delimiten el uso de estas herramientas.
En este sentido, el artículo 87 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, regula el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, que si bien en su apartado primero reconoce el derecho a la protección de la intimidad del trabajador en el uso de los dispositivos digitales proporcionados por el empleador, también contempla en su apartado segundo el derecho del empresario de acceder a dichos dispositivos a efectos de controlar el cumplimiento de las obligaciones laborales y de garantizar su integridad.
Pero la clave es que, como dispone el apartado tercero del citado artículo, para ello será necesario que previamente se hayan establecido los criterios de utilización de los dispositivos digitales, determinando lo que se consideran usos prohibidos, o si se permite un uso profesional y personal de los mismos.
En consecuencia, y sin perjuicio de las limitaciones informáticas que se puedan implementar en los dispositivos electrónicos que se ponen a disposición del trabajador para impedir el acceso a determinadas páginas o portales que pudieran ser conflictivos, mediante un protocolo o política de usos informáticos se puede regular la expectativa razonable de confidencialidad e intimidad del trabajador, o incorporar la prohibición expresa del uso de dispositivos informáticos para fines privados y no relacionado con la actividad laboral, de modo que si el trabajador incumple dicho protocolo de uso de dispositivos informáticos, sin perjuicio de las sanciones disciplinarias que pudieran imponerse en el ámbito laboral, se le podrá exigir también una responsabilidad por los daños provocados derivados de un uso indebido.
Es cuestión de medir el valor de los activos que debemos proteger y el grado de exposición de los mismos a un ciberataque para encontrar la mejor manera de mantenerlos a salvo, no solo desde un punto de vista de ciberseguridad de la empresa sino también desde la creación de protocolos que contribuyan a mejores prácticas y supongan medidas de protección para los trabajadores.
Autor: Roberto Corrochano Sánchez EJASO ETL GLOBAL