En compañías tecnológicas como Twitter o Meta, en las que se han anunciado despidos masivos, cabe preguntarse: ¿qué pasa con la información a la que los trabajadores despedidos han tenido acceso durante meses, o años?
Tras la toma de control de Twitter por parte de Elon Musk, el magnate sudafricano ha emprendido la tarea de adelgazar la plantilla con una ola de despidos masivos. Junto a los problemas éticos y económicos derivados de esa decisión, en una compañía tecnológica como es Twitter surge rápidamente la pregunta: ¿qué pasa con la información a la que los trabajadores despedidos han tenido acceso durante meses, o años?
El fantasma de la fuga de datos, o del uso que el conocimiento de los sistemas de la empresa, podría tener si cae en malas manos, debería sobrevolar cualquier organización que despide a un empleado, especialmente si este forma parte del departamento tecnológico.
Vamos a analizar las implicaciones de esta situación para el área de TI, pero también para la de Recursos Humanos, así como el marco legal que afecta a los exempleados y a la propia compañía en lo relativo al manejo y conservación de la información almacenada en los sistemas corporativos.
El despido, un problema para Recursos Humanos... y para TI
Finalizar la relación laboral de un empleado siempre es una decisión desagradable. Para el trabajador, por motivos obvios, pero también para la empresa. Un despido no deja de ser el último paso de un camino de problemas, imputables a la compañía, al trabajador o a ambos. Hacer que este último paso, además de difícil, no resulte traumático suele ser tarea del departamento de Recursos Humanos, aunque dependiendo de la empresa, el superior directo del empleado o los miembros del equipo directivo también tienen mucho que decir. A ellos se sumarían el área legal y, considerando que en las organizaciones de hoy casi todos los puestos implican el uso de herramientas tecnológicas, también el departamento de TI.
Desde el Observatorio de RRHH, recomiendan ser directos y concretos con el empleado despedido: comunicarle la decisión sin agresividad pero sin rodeos y, a continuación, explicarle las razones de su despido, de manera argumentada y aportando ejemplos que respalden estos argumentos. Es importante hacerle ver que el motivo es el trabajo de esa persona, no la propia persona. Ello contribuye a evitar que se tome el despido como una afrenta personal e incluso puede serle útil para mejorar de cara a su próximo empleo.
Además, es fundamental establecer un proceso y unos protocolos de salida que conozcan tanto el trabajador como los departamentos implicados. Estos dependen del tipo de despido y sus causas. En España existen tres tipos de despido: objetivo (por circunstancias atribuibles a la empresa, como una caída significativa de los ingresos), disciplinario (derivado del comportamiento del trabajador) y colectivo (el despido objetivo que afecta a un número importante de trabajadores, normalmente por causas económicas).
"El 69% de las compañías ha sufrido en el último año un intento de sustracción de datos sensibles por parte de sus empleados, cifra que aumenta hasta el 77% entre las empresas del sector TIC.
A priori, el más conflictivo puede ser el disciplinario, aunque son frecuentes los despidos colectivos que vienen precedidos de movilizaciones de los empleados para mantener sus salarios y condiciones de trabajo y, en última instancia, el propio puesto. Con todo, en todos los casos el departamento Legal debe tomar parte, asesorando a la empresa en la forma de comunicar el despido, en los plazos requeridos en su caso, en la respuesta ante una posible demanda por despido improcedente, en la gestión de la consiguiente indemnización, etc.
Y teniendo en cuenta, como hemos señalado, que la práctica totalidad de las compañías actuales hace uso de tecnologías digitales, aparece aquí un tercer departamento que juega un papel en la gestión de los procesos de despido: el de TI. El caso de los despidos masivos en una compañía tecnológica como Twitter, que se nutre de muchos perfiles técnicos -ingenieros de software, expertos en datos y analítica...-, es muy significativo, pero lo cierto es que el uso de tecnologías de la información afecta a empresas de todos los sectores, y todas se enfrentan a riesgos derivados del acceso malintencionado a las redes y bases de datos corporativos.
A finales del año pasado, Pfizer denunciaba el robo de información sobre el desarrollo de la vacuna contra el Covid-19 por parte de una antigua empleada. Y según Gesprodat, el 69% de las compañías ha sufrido en el último año un intento de sustracción de datos sensibles por parte de sus empleados, cifra que aumenta hasta el 77% entre las empresas del sector TIC.
Por ello, la compañía debe tener muy en cuenta el papel del personal de TI a la hora de implementar medidas proactivas que reduzcan los riesgos de sustracción de datos por parte de un trabajador despedido, así como implicar a este departamento en el protocolo de actuación que se pone en marcha una vez se toma la decisión de poner fin a la relación laboral de uno o varios empleados.
Empleos en riesgo, datos en riesgo
Durante la crisis de 2008-2012, el Ponemon Institute estadounidense publicó un informe en el que se ponía de manifiesto que seis de cada diez empleados despedidos de su trabajo en 2008 se habían llevado consigo información interna de las empresas en las que trabajaban. Este robo de información se debe principalmente a dos motivos: el deseo de venganza o la intención de utilizar esos datos en su próximo trabajo. A ello se añade la posibilidad de que el trabajador disconforme con su despido sabotee los sistemas de la compañía.
Despedir a cualquier empleado conlleva un riesgo, pero el caso del personal informático clave, como administradores de redes y aquellos que tienen acceso a los servidores centrales, requiere una especial atención.
Los riesgos de que un empleado insatisfecho cause un daño a la empresa a través de sus sistemas, redes y bases de datos son diversos. En primer lugar, puede aprovechar su acceso a los datos almacenados en su equipo, o a los colocados en servidores o en la nube desde su puesto en la red interna de la organización. Y a partir de aquí, optar por eliminarlos, modificarlos o hacer una copia subrepticia de los mismos. Naturalmente, despedir a cualquier empleado conlleva un riesgo, pero el caso del personal informático clave, como administradores de redes y aquellos que tienen acceso a los servidores centrales, requiere una especial atención.
Los datos obtenidos ilegítimamente podrían acabar en manos de una firma de la competencia, o divulgados por los medios de comunicación si la información o la compañía de la que procede es lo suficientemente relevante para el público, o vendidos al mejor postor en cualquiera de los numerosos marketplaces ilegales de datos.
Los datos más jugosos y, por tanto, más susceptibles de ser robados o alterados por un trabajador resentido son los relativos a los clientes de la empresa, a los directivos y otros empleados de la misma, los documentos confidenciales de negocios, códigos de acceso y contraseñas, documentación de proyectos y estrategias, correos electrónicos, software de código cerrado, patentes y elementos protegidos por derechos de propiedad intelectual.
Otro problema serio vendría si el empleado, o empleados, que pierden el trabajo poseen las claves de acceso a las cuentas bancarias y/o tarjetas de crédito de la compañía.
Si un empleado que usa su propio smartphone o portátil para trabajar abandona la empresa, ¿cómo se garantiza que borra toda esa información y esos accesos son eliminados del dispositivo?
A ellos se suma un riesgo derivado de la creciente tendencia a la movilidad y a la proliferación de modelos BYOD (“trae tu propio dispositivo”) y COPE (“Corporate-Owned, Personally-Enabled”), en los que datos corporativos y acceso a las redes y la nube de la compañía se encuentran en dispositivos de uso no exclusivamente profesional que, por tanto, no siempre están ubicados en sus instalaciones, lo que dificulta su control. Si un empleado que usa su propio smartphone o portátil para trabajar abandona la empresa, ¿cómo se garantiza que borra toda esa información y esos accesos son eliminados del dispositivo?
Por último, otra potencial brecha de seguridad es la permanencia de cuentas fantasma, esto es, cuentas de usuario de sistema y/o de correo electrónico que no son eliminadas cuando la persona deja la organización. De esta forma, un antiguo empleado sería capaz de acceder a los sistemas de la empresa utilizando sus viejas credenciales. La peligrosa pero común costumbre de compartir contraseñas con otros compañeros también contribuye a dejar información sensible en más manos de las deseadas.
Consecuencias legales y económicas
La fuga o pérdida de información corporativa confidencial es indudablemente un grave problema que acarrea serias consecuencias. A los citados daños técnicos y de seguridad se añaden las consecuencias legales y económicas que pueden tener para la empresa, pero también para el trabajador que incumpla sus obligaciones de confidencialidad para con su empleador.
Una organización puede imponer a sus empleados ciertas obligaciones en términos de integridad y privacidad de los datos propiedad de la compañía o custodiados por ella, tanto cuando trabajan para ella como cuando se marchan o son despedidos. Además, como requisito previo a la contratación de un profesional, es posible establecer un acuerdo de uso aceptable de las tecnologías de la información dentro de la empresa. Este documento estipula prácticas y restricciones en el acceso a los equipos informáticos, la red corporativa, a Internet o a otros sistemas y recursos técnicos de la compañía. Su finalidad es que el empleado sea consciente de sus obligaciones y limitaciones en el uso de información corporativa.
En el caso de que un trabajador decida llevarse consigo o hacer pública información confidencial de la empresa tras ser despedido, se enfrentaría a una serie de consecuencias legales, de tipo civil y penal. Aunque el robo de datos y documentos supone un incumplimiento del deber de confidencialidad y sigilo profesional de los empleados, recogido en el artículo 5 del Estatuto de los Trabajadores, en este caso la sanción laboral no tendría cabida, puesto que el trabajador ya ha sido despedido. En cambio, sí se podría actuar por la vía civil, ya que el artículo 1.258 del Código Civil recoge la obligación de observar “la buena fe, el uso y la ley” en el cumplimiento de un contrato.
En cuanto a la vía penal, estaría vulnerando la Ley 1/2019 de Secretos Empresariales. Esta considera como ilícito el “acceso, apropiación o copia no autorizadas de documentos, objetos, materiales, ficheros electrónicos u otros soportes, que contengan el secreto empresarial”. En el caso de que el empleado divulgara la información sustraída a terceros, podría enfrentarse a un delito de revelación de secretos ajenos, de los que haya tenido conocimiento por razón de su oficio o sus relaciones laborales, castigado en el artículo 197 del Código Penal con una pena de prisión de uno a tres años y multa de seis a doce meses.
Eso sí, si la empresa quiere emprender acciones legales contra el trabajador por incumplir la normativa de protección de datos debe aportar pruebas de dicho incumplimiento.
Pero no solo el empleado se enfrenta a problemas legales si decide vengarse de su despido sustrayendo información confidencial. La empresa, obligada a la custodia eficaz de los datos que obran en su poder, también puede sufrir consecuencias. La Ley de Protección de Datos Personales (LOPD) considera falta grave “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”, con unas sanciones que van de 60.000 a 300.000 euros. En cuanto al Reglamento General de Protección de Datos europeo (RGPD), establece una sanción por robo de información sensible de terceras personas de hasta 20 millones de euros o el 4 % de la facturación anual de la empresa. A ello se añade la responsabilidad civil subsidiaria que la empresa podría contraer con las personas o entidades afectadas si la sustracción de sus datos les causa algún tipo de perjuicio.
Aunque el RGPD no exime de responsabilidad a la compañía cuando hay un robo de datos por parte de un empleado, si este se produce las autoridades de protección de datos investigarán las medidas que haya tomado la empresa para salvaguardar la información y las tendrán en cuenta a la hora de determinar el alcance de la sanción. Otro aspecto importante es la obligación de informar a la Agencia Española de Protección de Datos si se produce una fuga de información, en un plazo máximo de 72 horas, independientemente de que se sepa o no con certeza que el autor sea un empleado. Incumplir este mandato se considera una negligencia por parte de la empresa, lo que agravaría la sanción.
A las repercusiones legales para la compañía, se suman las económicas, en términos de costes de subsanación de las brechas de seguridad y pago de sanciones e indemnizaciones. Pero también hay un daño económico derivado del impacto del robo en las operaciones de la empresa, de la filtración a la competencia de información sobre productos clave y estrategia de negocio, y del daño a la imagen pública de la organización. En conjunto, Kaspersky calcula que el coste medio de una fuga de datos para una gran empresa es de 927.000 dólares, y de 105.000 para una pyme.
Cómo reducir los riesgos
Hemos visto que un despido conflictivo puede terminar en un problema que va más allá del Derecho laboral, con consecuencias técnicas, de seguridad, legales y económicas. Por ello, antes de iniciar el procedimiento de extinción de la relación laboral, los departamentos implicados deberían preparar una serie de acciones preventivas que reduzcan esos riesgos.
Obviamente, la mejor manera de evitar conflictos es rescindir el contrato de la forma más amigable posible para ambas partes. Aun así, y en previsión de que eso no sea posible, el proceso de despido debe sincronizarse entre todos los departamentos, combinando diversas medidas y herramientas preventivas y ejecutivas.
Así, cuando la empresa toma la decisión de prescindir de los servicios del trabajador, dicha decisión debe comunicarse no solo a Recursos Humanos, sino también a TI, para que en el mismo momento en que se notifica el despido proceda a bloquear los accesos del empleado a los sistemas corporativos, así como a recoger los dispositivos -ordenadores, portátiles, smartphones, pendrives...- con los que este trabaja habitualmente. De esta forma se previenen fugas de información y sabotajes.
Si el trabajador está autorizado para operar en nombre de la empresa ante otras entidades -bancos, proveedores, Administraciones Públicas-, debe comunicarse a dichas entidades la fecha a partir de la cual esa autorización dejará de ser efectiva. También es recomendable cambiar las claves de acceso a cuentas bancarias. Y naturalmente, solicitar al empleado que devuelva las tarjetas de crédito corporativas, junto a las llaves, tarjetas o pases de seguridad que tuviera en su poder.
Además de las claves bancarias, el departamento de TI debería cambiar periódicamente las contraseñas corporativas de acceso a sistemas y bases de datos para impedir su uso por parte de personas que ya no trabajan para la compañía. Paralelamente, hay que eliminar las cuentas y perfiles de los exempleados. En las cuentas de correo electrónico, es interesante enviar un email a todos los contactos registrados comunicándoles el cierre de la cuenta y ofreciéndoles una dirección de correo alternativa.
En el caso de los dispositivos BYOD, una protección suplementaria al cierre de cuentas y cambio de contraseñas es el uso de soluciones de gestión de identidades y autenticación de factor múltiple. Diseñar los accesos conforme a roles y perfiles y restringirlos a ubicaciones seguras conocidas permite controlar mucho mejor quién puede conectarse a las redes corporativas por parte de los responsables de TI. Para los dispositivos COPE, propiedad de la empresa pero autorizados para uso personal, ha de existir un protocolo para recuperarlos junto al resto de pertenencias de la empresa que estén en manos del empleado.
Finalmente, una medida muy útil es incluir una cláusula en la carta de despido, en la que el empleado reconozca su obligación de devolver pertenencias clave y declare que desde ese momento no está autorizado a acceder a las instalaciones y las redes de la compañía, ni a contactar con socios o proveedores en nombre de la misma. Aquí se precisa la colaboración del departamento Legal. Si se niega o contraviene lo firmado, la empresa estaría en condiciones de emprender acciones legales contra el ya exempleado.