¿Pueden despedirme por no guardar de forma segura las contraseñas para trabajar?

TIEMPO DE LECTURA:

  • Autor: José Juan Candamio Boutureira
  • Materia: Laboral
  • Fecha: 14/12/2022

Noticias Iberley

 

Es habitual que muchos trabajadores tengan las contraseñas de usuario que necesitan para el desempeño de sus tareas apuntadas de forma manual, o que las claves de acceso a los sistemas se faciliten a otros usuarios para que puedan hacer determinadas tareas que sus perfiles no le permiten. Esto choca con los múltiples esfuerzos que realizan las mercantiles para garantizar la seguridad en el acceso a los datos de los clientes, en el abono de cantidades, control de procesos, etc. La duda surge cuando ante un problema de seguridad la empresa pretende tomar medidas disciplinarias.

Posible tipificación de la infracción

Centraremos el análisis en los aspectos laborales, pero los incumplimientos analizados (en función de sus repercusiones) podrían encuadrarse en diferentes ámbitos:

Ámbito laboral: con carácter general se imputará a la persona trabajadora la comisión de una conducta tipificada como falta muy grave, consistente en trasgresión de la buena contractual, deslealtad, fraude o abuso de confianza tipificada en el art. 54.2 del Estatuto de los Trabajadores y en el convenio colectivo aplicable.

Ámbito penal: el art. 197 bis.1 del CP tipifica dentro del descubrimiento y revelación de secretos:

«El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años».

Ámbito de la protección de datos: el art. 4 del RGPD considera violación de seguridad de los datos de carácter personal:

«(...) toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Ámbito de responsabilidad civil (posibles daños y perjuicios causados derivados de la existencia de un perjuicio económico para la empresa). A pesar de que imputar este tipo de responsabilidades al trabajador es difícil, el Código Civil establece:

«Quedan sujetos a la indemnización de los daños y perjuicios causados los que en el cumplimiento de sus obligaciones incurrieren en dolo, negligencia o morosidad, y los que de cualquier modo contravinieren al tenor de aquéllas» (art. 1101 del Código Civil).

«El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado» (art. 1902 del Código Civil).

¿La negligencia en la custodia de las contraseñas justifica el despido disciplinario?

No es posible dar una respuesta cerrada a esta duda.

Partiendo de que los tribunales analizarán cada caso de modo individual y en base a las repercusiones ocasionadas, a la gravedad de la negligencia de la persona trabajadora o a la tolerancia de la empresa sobre las conductas realizadas, dada la disparidad de posibles supuestos, analizaremos las claves de dos casos resueltos por los tribunales con distintos resultados:

1.- STSJ de Castilla y León, rec. 2010/2022, de 3 de noviembre de 2022, ECLI:ES:TSJCL:2022:4365

El despido disciplinario ante una negligente custodia de las contraseñas se considera improcedente en base a los siguientes aspectos:

- Razonabilidad de tener apuntada la contraseña. 

Para la sala de lo social resulta razonable que la persona trabajadora tenga apuntadas sus contraseñas en una libreta o papel, teniendo en cuenta, como sucede en múltiples ocasiones, que era necesario cambiarlas cada cierto tiempo (en el supuesto analizado dos meses).

- Atribución de responsabilidad genérica a los trabajadores del uso correcto de las contraseñas. 

La existencia de un código interno o instrucciones sobre la responsabilidad en el uso de las contraseñas tampoco justifica el despido de forma rotunda. En el caso, cuando la persona trabajadora había recibido su clave de usuario y contraseña, había sido advertida por parte de la empresa de la obligación de adoptar las medidas necesarias para su custodia evitando su uso por terceros e indicando textualmente:

«En consecuencia siempre Usted será la única persona responsable de la utilización correcta de su clave de usuario».

- Falta de un lugar seguro para tener custodiadas bajo llave las contraseñas.

En el caso, la empresa, más allá de la atribución de responsabilidad genérica a los trabajadores del uso correcto de las contraseñas, no facilitó ningún lugar seguro para tenerlas custodiadas bajo llave.

2.- STSJ de Castilla-La Mancha, rec. 765/2022, de 30 de junio de 2022, ECLI:ES:TSJCLM:2022:2022

Se considera procedente el despido disciplinario de un trabajador que envía sus contraseñas a otro compañero por Whatsapp para cubrir los objetivos de ventas. En este caso se facilitan contraseñas con un fin defraudatorio asociado a mejorar resultados y cobrar incentivos.

- No existe tolerancia empresarial a estas actuaciones.

«(...) no existe rastro alguno (...) de que se produjera la indicada tolerancia de la empresa. De manera más concreta, no existe información alguna de que pueda derivarse que alguna persona con cargo directivo o responsable conociera tal práctica, ni mucho menos que fuese recomendad o incentivada por la empresa». «Por el contrario, lo único que se sabe con seguridad es que se trata de una conducta de la
demandante, consciente y voluntaria, no mediatizada por órdenes, insinuaciones u omisiones de la empresa».

- Conducta encaminada a incrementar la constancia de sus ventas

En aplicación de la doctrina sobre el principio general de la buena fe forma como parte esencial del contrato de trabajo, el TSJ entiende que la trabajadora ha desarrollado una conducta encaminada a
incrementar la constancia de sus ventas, para obtener los beneficios económicos asociados a la consecución de objetivos, mediante la cesión de contraseñas de forma tal que otro trabajador pudiera atribuirle el resultado de sus gestiones de venta.

Dicha conducta implica una vulneración de la precitada exigencia de buena fe, mediante utilización de una mecánica que implica una transgresión de aquella buena fe contractual con abuso de confianza. 

Falta de un lugar seguro para tener custodiadas bajo llave las contraseñas.

En este caso aparece nuevamente la ausencia de un lugar seguro donde guardar las contraseñas en la empresa. En concreto, en el recurso, se solicita la adición de un nuevo ordinal para hacer constar que «las claves de usuario del personal obran en carpetas personales de los trabajadores perfectamente accesibles».

Algunos consejos

- Política y protocolos para controlar el uso de medios tecnológicos en la empresa y en concreto del acceso a internet

Los sistemas informáticos son un instrumento de trabajo sujeto al control del empresario, pero debe existir una política interna que regule el uso de equipos informáticos. Como es lógico, la política interna que se profese no podrá ser contraria a lo estipulado en la negociación colectiva, ni con los principios de la LOPDGDD.

En la elaboración de este protocolo deben participar los representantes de las personas trabajadoras a los que ha de requerirse la elaboración de un informe en el plazo de 15 días conforme dispone el art. 64.5.f) del ET, y por supuesto, es necesario informar a los trabajadores sobre las medidas de control.

- No basta con una mera información inicial

Es necesario la comunicación continua de la existencia y contenido de este protocolo puesto que como refiere la LOPDGDD «Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado». (STS, n.º 723/2016, de 13 de septiembre de 2016, ECLI:ES:TS:2016:4198).

- Proporcionar un lugar «seguro» donde guardar las claves por escrito

De ser necesario, y siguiendo los fallos analizados, parece un recurso válido.

Nuevas tecnologías en el ámbito laboral.
Daños y perjuicios
Datos personales
Despido disciplinario
Abuso de confianza
Acceso a datos personales
Fraude
Convenio colectivo aplicable
Descubrimiento y revelación de secretos
Medidas de seguridad
Protección de datos
Violación de la seguridad de los datos personales
Responsabilidad civil
Perjuicios económicos
Perjuicio económico
Dolo
Indemnización del daño
Morosidad
Omisión
Reparación del daño
Culpa
Buena fe
Mensajería instantánea
Política interna
Contrato de Trabajo
Buena fe contractual
Negociación colectiva

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores. VIGENTE

Boletín: Boletín Oficial del Estado Número: 255 Fecha de Publicación: 24/10/2015 Fecha de entrada en vigor: 13/11/2015 Órgano Emisor: Ministerio De Empleo Y Seguridad Social

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Documentos relacionados
Ver más documentos relacionados
  • La responsabilidad civil contractual del profesional

    Orden: Civil Fecha última revisión: 15/02/2022

    La responsabilidad civil profesional es aquella que corresponde al profesional por los daños causados a un tercero como consecuencia de una acción u omisión negligente en el ejercicio de su actividad profesional. En el contrato de arrendamiento d...

  • Trasgresión de la buena fe y abuso de confianza como causa de despido disciplinario

    Orden: Laboral Fecha última revisión: 11/07/2022

    Para que la trasgresión de la buena fe contractual, así como el abuso de confianza, puedan constituirse en causa que justifique el despido disciplinario, ha de alcanzar niveles de gravedad y culpabilidad suficientes; siendo necesario un análisis i...

  • Principio de confidencialidad en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 01/06/2021

    El artículo 5.1.f) del RGPD expone que los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad. Ya en la LOPDGDD se establece el deber de confidencialidad de los datos en su artículo 5.El deber de con...

  • Despido disciplinario por abuso de confianza

    Orden: Laboral Fecha última revisión: 11/07/2022

    La transgresión de la buena fe contractual, así como el abuso de confianza en el desempeño del trabajo se configuran como motivo de despido disciplinario en el art. 54.2 d) del ET.Despido por abuso de confianza y deslealtadEl abuso de confianza en...

  • Causas de incumplimiento de las obligaciones

    Orden: Civil Fecha última revisión: 22/09/2016

    El incumplimiento de la obligación es la falta de realización de la acción u omisión acordada en origen de la relación jurídica, tanto por realización incompleta, defectuosa o irregular, dando lugar a consecuencias jurídicas para el deudor c...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados