¿Pueden despedirme por no guardar de forma segura las contraseñas para trabajar?

Es habitual que muchos trabajadores tengan las contraseñas de usuario que necesitan para el desempeño de sus tareas apuntadas de forma manual, o que las claves de acceso a los sistemas se faciliten a otros usuarios para que puedan hacer determinadas tareas que sus perfiles no le permiten. Esto choca con los múltiples esfuerzos que realizan las mercantiles para garantizar la seguridad en el acceso a los datos de los clientes, en el abono de cantidades, control de procesos, etc. La duda surge cuando ante un problema de seguridad la empresa pretende tomar medidas disciplinarias.

Posible tipificación de la infracción

Centraremos el análisis en los aspectos laborales, pero los incumplimientos analizados (en función de sus repercusiones) podrían encuadrarse en diferentes ámbitos:

Ámbito laboral: con carácter general se imputará a la persona trabajadora la comisión de una conducta tipificada como falta muy grave, consistente en trasgresión de la buena contractual, deslealtad, fraude o abuso de confianza tipificada en el art. 54.2 del Estatuto de los Trabajadores y en el convenio colectivo aplicable.

Ámbito penal: el art. 197 bis.1 del CP tipifica dentro del descubrimiento y revelación de secretos:

«El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años».

Ámbito de la protección de datos: el art. 4 del RGPD considera violación de seguridad de los datos de carácter personal:

«(...) toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Ámbito de responsabilidad civil (posibles daños y perjuicios causados derivados de la existencia de un perjuicio económico para la empresa). A pesar de que imputar este tipo de responsabilidades al trabajador es difícil, el Código Civil establece:

«Quedan sujetos a la indemnización de los daños y perjuicios causados los que en el cumplimiento de sus obligaciones incurrieren en dolo, negligencia o morosidad, y los que de cualquier modo contravinieren al tenor de aquéllas» (art. 1101 del Código Civil).

«El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado» (art. 1902 del Código Civil).

¿La negligencia en la custodia de las contraseñas justifica el despido disciplinario?

No es posible dar una respuesta cerrada a esta duda.

Partiendo de que los tribunales analizarán cada caso de modo individual y en base a las repercusiones ocasionadas, a la gravedad de la negligencia de la persona trabajadora o a la tolerancia de la empresa sobre las conductas realizadas, dada la disparidad de posibles supuestos, analizaremos las claves de dos casos resueltos por los tribunales con distintos resultados:

1.- STSJ de Castilla y León, rec. 2010/2022, de 3 de noviembre de 2022, ECLI:ES:TSJCL:2022:4365

El despido disciplinario ante una negligente custodia de las contraseñas se considera improcedente en base a los siguientes aspectos:

- Razonabilidad de tener apuntada la contraseña. 

Para la sala de lo social resulta razonable que la persona trabajadora tenga apuntadas sus contraseñas en una libreta o papel, teniendo en cuenta, como sucede en múltiples ocasiones, que era necesario cambiarlas cada cierto tiempo (en el supuesto analizado dos meses).

- Atribución de responsabilidad genérica a los trabajadores del uso correcto de las contraseñas. 

La existencia de un código interno o instrucciones sobre la responsabilidad en el uso de las contraseñas tampoco justifica el despido de forma rotunda. En el caso, cuando la persona trabajadora había recibido su clave de usuario y contraseña, había sido advertida por parte de la empresa de la obligación de adoptar las medidas necesarias para su custodia evitando su uso por terceros e indicando textualmente:

«En consecuencia siempre Usted será la única persona responsable de la utilización correcta de su clave de usuario».

- Falta de un lugar seguro para tener custodiadas bajo llave las contraseñas.

En el caso, la empresa, más allá de la atribución de responsabilidad genérica a los trabajadores del uso correcto de las contraseñas, no facilitó ningún lugar seguro para tenerlas custodiadas bajo llave.

2.- STSJ de Castilla-La Mancha, rec. 765/2022, de 30 de junio de 2022, ECLI:ES:TSJCLM:2022:2022

Se considera procedente el despido disciplinario de un trabajador que envía sus contraseñas a otro compañero por Whatsapp para cubrir los objetivos de ventas. En este caso se facilitan contraseñas con un fin defraudatorio asociado a mejorar resultados y cobrar incentivos.

- No existe tolerancia empresarial a estas actuaciones.

«(...) no existe rastro alguno (...) de que se produjera la indicada tolerancia de la empresa. De manera más concreta, no existe información alguna de que pueda derivarse que alguna persona con cargo directivo o responsable conociera tal práctica, ni mucho menos que fuese recomendad o incentivada por la empresa». «Por el contrario, lo único que se sabe con seguridad es que se trata de una conducta de la
demandante, consciente y voluntaria, no mediatizada por órdenes, insinuaciones u omisiones de la empresa».

- Conducta encaminada a incrementar la constancia de sus ventas

En aplicación de la doctrina sobre el principio general de la buena fe forma como parte esencial del contrato de trabajo, el TSJ entiende que la trabajadora ha desarrollado una conducta encaminada a
incrementar la constancia de sus ventas, para obtener los beneficios económicos asociados a la consecución de objetivos, mediante la cesión de contraseñas de forma tal que otro trabajador pudiera atribuirle el resultado de sus gestiones de venta.

Dicha conducta implica una vulneración de la precitada exigencia de buena fe, mediante utilización de una mecánica que implica una transgresión de aquella buena fe contractual con abuso de confianza. 

- Falta de un lugar seguro para tener custodiadas bajo llave las contraseñas.

En este caso aparece nuevamente la ausencia de un lugar seguro donde guardar las contraseñas en la empresa. En concreto, en el recurso, se solicita la adición de un nuevo ordinal para hacer constar que «las claves de usuario del personal obran en carpetas personales de los trabajadores perfectamente accesibles».

Algunos consejos

- Política y protocolos para controlar el uso de medios tecnológicos en la empresa y en concreto del acceso a internet

Los sistemas informáticos son un instrumento de trabajo sujeto al control del empresario, pero debe existir una política interna que regule el uso de equipos informáticos. Como es lógico, la política interna que se profese no podrá ser contraria a lo estipulado en la negociación colectiva, ni con los principios de la LOPDGDD.

En la elaboración de este protocolo deben participar los representantes de las personas trabajadoras a los que ha de requerirse la elaboración de un informe en el plazo de 15 días conforme dispone el art. 64.5.f) del ET, y por supuesto, es necesario informar a los trabajadores sobre las medidas de control.

- No basta con una mera información inicial

Es necesario la comunicación continua de la existencia y contenido de este protocolo puesto que como refiere la LOPDGDD «Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado». (STS, n.º 723/2016, de 13 de septiembre de 2016, ECLI:ES:TS:2016:4198).

- Proporcionar un lugar «seguro» donde guardar las claves por escrito

De ser necesario, y siguiendo los fallos analizados, parece un recurso válido.