Bring your own device (BYOD): tendencia digital con trampas

En la di­gi­ta­li­za­da sociedad actual, la vida pro­fe­sio­nal y la privada están cada vez más en­tre­la­za­das. En Europa esta in­te­r­co­ne­xión entre ambos aspectos de la vida de las personas se refleja en una tendencia que se ha ido ex­te­n­die­n­do durante los últimos años y que proviene de EE.UU.: BYOD o, lo que es lo mismo, Bring your own device. De hecho, son ya muchos los empleados que utilizan sus po­r­tá­ti­les, tablets y sma­r­t­pho­nes pe­r­so­na­les para trabajar, ya que para muchos es más cómodo y esto, en co­n­se­cue­n­cia, puede tra­du­ci­r­se en un aumento de la pro­du­c­ti­vi­dad. Al mismo tiempo BYOD re­pre­se­n­ta una auténtica pesadilla para los pro­te­c­to­res de datos y juristas, razón por la cual el principio aún no se ha es­ta­ble­ci­do en todos los países europeos.

Bring your own device traducido al español significa “Trae tu propio di­s­po­si­ti­vo”. Dicho de forma sencilla, con este concepto se hace re­fe­re­n­cia a la uti­li­za­ción de los di­s­po­si­ti­vos móviles privados en la oficina por parte del empleado en lugar de trabajar con el ordenador de la empresa. La decisión de utilizar di­s­po­si­ti­vos privados, no obstante, es to­ta­l­me­n­te vo­lu­n­ta­ria, porque el em­pre­sa­rio no puede obligar a sus empleados a trabajar con hardware privado. Sí tiene la obli­ga­ción, en cambio, de poner a di­s­po­si­ción del tra­ba­ja­dor todos los recursos ne­ce­sa­rios para de­sem­pe­ñar la actividad laboral.

El término BYOD no solo se utiliza en un contexto pro­fe­sio­nal, sino que también es aplicable en uni­ve­r­si­da­des, bi­blio­te­cas, escuelas y otras in­s­ti­tu­cio­nes edu­ca­ti­vas. También en este caso se hace re­fe­re­n­cia al acto de de­s­pla­zar­se en la red interna de una in­s­ti­tu­ción de­te­r­mi­na­da con di­s­po­si­ti­vos móviles propios. La im­ple­me­n­ta­ción del principio BYOD requiere unas di­re­c­tri­ces claras (política BYOD) que definan cómo pueden los usuarios utilizar sus propios di­s­po­si­ti­vos ele­c­tró­ni­cos en la red, cuáles son los re­qui­si­tos de seguridad y qué normas de conducta deben ob­se­r­var­se.

Dentro de una empresa, estas di­re­c­tri­ces se suelen elaborar en co­la­bo­ra­ción con el empleado o el comité de empresa y se es­ta­ble­cen en una cláusula adicional incluida dentro del contrato de trabajo. Esto es necesario porque los programas BYOD están asociados a numerosos temas cuya co­m­ple­ji­dad requiere acla­ra­cio­nes precisas como, por ejemplo, los derechos de control y acceso, la pri­va­ci­dad de los empleados y la pro­te­c­ción de datos en la empresa. Dado que Bring Your Own Device sigue re­pre­se­n­ta­n­do un te­rri­to­rio legal in­e­x­plo­ra­do en muchos países europeos, es el propio em­pre­sa­rio el que crea la base jurídica necesaria a la que todos los pa­r­ti­ci­pa­n­tes deben orie­n­tar­se.

La política “Trae tu propio di­s­po­si­ti­vo” tiene sentido siempre que se trate de ámbitos en los que las tareas se de­sa­rro­llen con di­s­po­si­ti­vos ele­c­tró­ni­cos, de forma que estas también puedan de­sem­pe­ñar­se desde di­s­po­si­ti­vos privados. Hasta ahora, BYOD se ha utilizado pri­n­ci­pa­l­me­n­te en el sector de la educación y en el co­r­po­ra­ti­vo.

En la mayoría de las uni­ve­r­si­da­des viene siendo natural desde hace años que los es­tu­dia­n­tes lleven sus or­de­na­do­res po­r­tá­ti­les al campus para preparar pre­se­n­ta­cio­nes y tareas en las horas libres entre clases. Pero el uso de or­de­na­do­res po­r­tá­ti­les o teléfonos in­te­li­ge­n­tes de los alumnos también se está in­te­gra­n­do cada vez más en los planes de estudio de los colegios. Sin embargo, ante la pregunta sobre los be­ne­fi­cios edu­ca­ti­vos reales que estos sistemas BYOD presentan, los pros y los contras están equi­li­bra­dos.

El III Estudio sobre el uso de la Te­c­no­lo­gía en el Aula, elaborado por Bli­n­kLea­r­ni­ng en co­la­bo­ra­ción con la Uni­ve­r­si­dad Rey Juan Carlos, señala que el 83 % de los pro­fe­so­res españoles considera que la mo­ti­va­ción en el aula aumenta cuando se emplean nuevas te­c­no­lo­gías. No obstante, existen críticas al respecto. En un estudio de la OCDE la or­ga­ni­za­ción pro­po­r­cio­na un argumento en contra del uso de BYOD en las escuelas, afirmando que los es­tu­dia­n­tes que mejores re­su­l­ta­dos obtienen en los exámenes no son los que más utilizan los medios digitales para estudiar.

Un argumento empleado a menudo en contra de este punto de vista es que los di­s­po­si­ti­vos ele­c­tró­ni­cos en el aula no deben enfocarse en mejorar el re­n­di­mie­n­to en los exámenes, ya que el objetivo de su uso es impartir co­no­ci­mie­n­tos in­fo­r­má­ti­cos que ayuden a los es­tu­dia­n­tes a enfrentar la di­gi­ta­li­za­ción imperante en la vida cotidiana y en el mundo laboral actual. Los pa­r­ti­da­rios de BYOD afirman que si los teléfonos in­te­li­ge­n­tes pe­r­so­na­les se utilizan con sensatez, pueden en­ri­que­cer la misión educativa co­n­te­m­po­rá­nea.

Por esta razón, el proyecto seguirá avanzando aunque hasta la fecha haya cosechado solo un éxito moderado. En la enseñanza pública española, no obstante, las clásicas aulas de or­de­na­do­res están des­apa­re­cie­n­do, pues cada vez es más común que los alumnos lleven su di­s­po­si­ti­vo personal y llevarse a todas partes la in­fo­r­ma­ción que en él almacenan durante las horas lectivas. Existen de hecho, co­mu­ni­da­des autónomas como Ex­tre­ma­du­ra donde se regulan las normas para la buena uti­li­za­ción y co­n­se­r­va­ción de di­s­po­si­ti­vos ele­c­tró­ni­cos en las aulas.

Para los empleados, la in­tro­du­c­ción del principio BYOD significa, sobre todo, una cosa: mayor comodidad en el día a día laboral. En lugar de trabajar con hardware de la empresa, a veces lento y raramente ac­tua­li­za­do, el empleado puede utilizar di­s­po­si­ti­vos propios que, a menudo, son de última ge­ne­ra­ción. En los viajes de negocios también es un alivio no tener que llevar un segundo di­s­po­si­ti­vo contigo además de tu ordenador portátil privado. La ini­cia­ti­va de aplicar la política BYOD en la empresa, por lo tanto, proviene pri­n­ci­pa­l­me­n­te de los empleados, en especial de los más jóvenes, puesto que crecieron con di­s­po­si­ti­vos móviles.

Por esta razón, los em­plea­do­res que están abiertos a Bring Your Own Device tienen a mano un valioso incentivo que será de gran ayuda para encontrar ca­n­di­da­tos. Después de todo, la compañía demuestra con ello que se preocupa por la sa­ti­s­fa­c­ción de sus empleados. Los pioneros de BYOD como IBM también esperan una mayor pro­du­c­ti­vi­dad cuando los empleados trabajan con di­s­po­si­ti­vos que conocen mejor. Además, la in­te­gra­ción de di­s­po­si­ti­vos móviles pe­r­so­na­les en la vida laboral pro­po­r­cio­na una base ideal para el fomento del te­le­tra­ba­jo y el trabajo flexible. Las ventajas eco­nó­mi­cas y eco­ló­gi­cas también son dignas de mención: los em­plea­do­res ahorran costes en la ad­qui­si­ción de nuevos equipos de oficina y, como co­n­se­cue­n­cia de ello, también reducen su impacto negativo en el medio ambiente.

La otra cara de la moneda son los altos costes de im­ple­me­n­ta­ción y ma­n­te­ni­mie­n­to que plantea. BYOD puede llevar, además, a una mayor co­m­ple­ji­dad en el fu­n­cio­na­mie­n­to de la empresa y, por lo tanto, se opone a la es­tra­te­gia ge­ne­ra­li­za­da de es­ta­n­da­ri­za­ción de la in­frae­s­tru­c­tu­ra de IT dentro de una or­ga­ni­za­ción. Por lo tanto, la via­bi­li­dad depende de la intensa coope­ra­ción de los empleados. Esta es la única manera de dominar los diversos desafíos técnicos y or­ga­ni­za­ti­vos que lo acompañan.

BYOD también puede presentar algunas de­s­ve­n­ta­jas para los empleados: después de co­n­fi­gu­rar todos los servicios ne­ce­sa­rios en el PC doméstico, a veces tienen que aceptar que la empresa tendrá cierto control sobre el di­s­po­si­ti­vo para ga­ra­n­ti­zar la seguridad de los datos de la empresa y de la red interna. Además, el usuario a veces tiene que co­n­tri­buir con los costes que esto genera. Otro problema es el posible deterioro de la co­n­ci­lia­ción laboral y familiar: si tienes acceso continuo desde casa a apli­ca­cio­nes de la oficina, como buzones de correo ele­c­tró­ni­co, es más probable que te veas obligado a estar co­n­s­ta­n­te­me­n­te lo­ca­li­za­ble, ya que las fronteras entre la vida pro­fe­sio­nal y laboral se diluyen. Y a la inversa, otra cuestión es si es más fácil di­s­trae­r­se cuando se trabaja en un portátil privado que en un ordenador de la empresa.

Aunque BYOD tiene be­ne­fi­cios obvios para los maestros y es­tu­dia­n­tes, así como para los em­plea­do­res y empleados, está re­la­cio­na­do con algunos riesgos legales y de seguridad.

Sin importar si se lleva a cabo en la empresa o en cualquier otra or­ga­ni­za­ción, la política “Bring Your Own Device” siempre re­pre­se­n­ta un riesgo de seguridad que no debe ser su­b­e­s­ti­ma­do. Para entender cuán delicado es el tema de la pro­te­c­ción de datos en este contexto, imagínate los si­guie­n­tes es­ce­na­rios:

• Escenario 1: los datos sensibles de clientes, empleados y empresas se almacenan y procesan en un di­s­po­si­ti­vo externo que no se puede controlar, completa o pa­r­cia­l­me­n­te. Dado que se trata de un hardware y un software que ha sido utilizado pri­n­ci­pa­l­me­n­te para uso personal, el pro­pie­ta­rio puede haber instalado me­ca­ni­s­mos de seguridad más débiles de lo que sería común en un entorno de TI co­r­po­ra­ti­vo. También puede ser más laxo con los mensajes de spam y los enlaces si­nie­s­tros, lo que aumenta el riesgo de éxito del phising. También es posible que el di­s­po­si­ti­vo sea robado o se pierda, lo que supondría un grave problema de seguridad.
• Escenario 2: por otro lado, un terminal privado también re­pre­se­n­ta un riesgo de seguridad para la red interna de la empresa. Si se conecta a través de una conexión no cifrada o si ya está co­n­ta­mi­na­do por malware, puede dañar la in­frae­s­tru­c­tu­ra de IT o incluso espiar bases de datos secretas.

Ac­tua­l­me­n­te, la pro­te­c­ción de datos, en especial la de datos pe­r­so­na­les de acuerdo a lo previsto en el RGPD, también puede sa­l­va­gua­r­dar­se en di­s­po­si­ti­vos privados. La empresa, y no el empleado, es la única re­s­po­n­sa­ble de ello. Esto plantea im­po­r­ta­n­tes retos le­gi­s­la­ti­vos, técnicos y ad­mi­ni­s­tra­ti­vos, es­pe­cia­l­me­n­te cuando un gran número de di­s­po­si­ti­vos di­fe­re­n­tes con diversos sistemas ope­ra­ti­vos y programas tienen que estar in­te­gra­dos en la misma red.

En estas ci­r­cu­n­s­ta­n­cias, es ab­so­lu­ta­me­n­te legítimo que la dirección tenga cierto control sobre el equipo. Esto incluye el control de la apli­ca­ción de las medidas de pro­te­c­ción de datos ne­ce­sa­rias, la garantía de la estricta se­pa­ra­ción de los datos em­pre­sa­ria­les y privados y, en caso de duda, la eli­mi­na­ción o re­s­tau­ra­ción remota de los datos. Al mismo tiempo, estos esfuerzos deben co­n­ci­liar­se con el derecho del usuario a la au­to­de­te­r­mi­na­ción in­fo­r­ma­ti­va en el marco del RGPD, una cuestión compleja y, al mismo tiempo, co­n­fli­c­ti­va, en la que debe tenerse en cuenta cada pequeño detalle.

Todas las preguntas al respecto deben tener una respuesta clara, por ejemplo: ¿puede la familia de un empleado utilizar el di­s­po­si­ti­vo?, y ¿qué sucede con los datos de la empresa si el empleado dimite? La eli­mi­na­ción de estas am­bi­güe­da­des iniciales puede re­pre­se­n­tar un esfuerzo adicional para la empresa que no debe su­b­e­s­ti­mar­se. La política final de BYOD debe co­mu­ni­car­se de forma abierta y tra­n­s­pa­re­n­te al personal para reducir el riesgo de fugas de datos e in­fra­c­cio­nes de las leyes de pro­te­c­ción de datos. Sin embargo, siempre queda un cierto riesgo residual, ya que el empleador también renuncia a parte de su control al confiar en sus empleados.

En lo que respecta a la parte técnica, los de­pa­r­ta­me­n­tos de in­fo­r­má­ti­ca a los que se ha confiado la im­ple­me­n­ta­ción de un concepto BYOD utilizan di­fe­re­n­tes enfoques:

• Los ob­s­tácu­los comunes: estos incluyen co­ne­xio­nes cifradas a través de redes privadas virtuales o VPN, ofertas de servicios re­s­tri­n­gi­dos y la au­te­n­ti­ca­ción de dos factores.

• So­lu­cio­nes de co­n­te­ne­do­res: para ga­ra­n­ti­zar la seguridad de los datos sensibles en los di­s­po­si­ti­vos privados, muchas empresas confían en los co­n­te­ne­do­res cifrados. Son pa­r­ti­cio­nes aisladas y re­s­tri­n­gi­das en el espacio del disco duro local donde se almacenan los datos y desde donde se establece la conexión a la red de la empresa.

• Gestión de di­s­po­si­ti­vos móviles: el software MDM como AirWatch o Mo­bi­leI­ron se utiliza para la in­te­gra­ción y ad­mi­ni­s­tra­ción central de di­s­po­si­ti­vos privados en las empresas. Las in­te­r­fa­ces de usuario pro­fe­sio­na­les se utilizan para gestionar datos, instalar ac­tua­li­za­cio­nes y co­n­fi­gu­rar bloqueos para co­ne­xio­nes WLAN inseguras y apli­ca­cio­nes de pro­vee­do­res externos de­s­co­no­ci­dos. Sin embargo, como los empleados tienen que cambiar entre las es­ta­cio­nes de trabajo separadas para uso privado y pro­fe­sio­nal, la gestión de los di­s­po­si­ti­vos móviles va en de­tri­me­n­to de la ex­pe­rie­n­cia del usuario. El mayor control por parte del empleador también tiene im­pli­ca­cio­nes negativas para la pri­va­ci­dad.

• So­lu­cio­nes Sandbox: una al­te­r­na­ti­va de uso frecuente a las so­lu­cio­nes me­n­cio­na­das an­te­rio­r­me­n­te son las in­frae­s­tru­c­tu­ras de es­cri­to­rio virtual así como las apli­ca­cio­nes web, que permiten el acceso remoto desde el di­s­po­si­ti­vo privado al ordenador de la empresa y, por lo tanto, no almacenan datos co­n­fi­de­n­cia­les en di­s­po­si­ti­vos externos. Estos incluyen servicios en la nube y pla­ta­fo­r­mas de co­la­bo­ra­ción en línea como Microsoft Exchange.

Mientras en regiones eco­nó­mi­cas de rápido cre­ci­mie­n­to como Asia es co­m­ple­ta­me­n­te normal trabajar con un portátil personal, hay muchos países europeos que han de­mo­s­tra­do ser re­la­ti­va­me­n­te reacios a esta tendencia. Como ya se ha descrito, esto se debe, por una parte, a las preo­cu­pa­cio­nes en materia de política de seguridad, pero también a aspectos jurídicos co­n­tro­ve­r­ti­dos. El problema es que el principio “Trae tu propio di­s­po­si­ti­vo” no está aún regulado en la le­gi­s­la­ción nacional y no existen pre­ce­de­n­tes ju­di­cia­les.

Por ejemplo, todavía no se han aclarado de forma ce­n­tra­li­za­da im­po­r­ta­n­tes cue­s­tio­nes de re­s­po­n­sa­bi­li­dad en relación con BYOD. ¿Qué sucede si el propio servidor de una empresa sufre daños por malware in­tro­du­ci­do desde el exterior?, ¿quién es re­s­po­n­sa­ble de un ordenador portátil privado si se destruye o se pierde?, y ¿quién paga por el volumen de datos que se consume en el trabajo?

Otro ejemplo de co­m­ple­ji­dad legal se puede encontrar en la ley de licencias: tal vez no todo el mundo es co­n­s­cie­n­te de que una licencia privada de Microsoft Office no puede ser utilizada así como así. Una simple pre­se­n­ta­ción en Po­we­r­Poi­nt para una reunión de empresa puede plantear un problema al co­n­si­de­rar­se una in­fra­c­ción de los derechos de autor. La obtención de licencias co­me­r­cia­les para cada empleado puede re­pre­se­n­tar un coste adicional si se aplica el principio “Bring Your Own Device”.

Otro motivo de debate son las cue­s­tio­nes de derecho fiscal, en pa­r­ti­cu­lar en lo que se refiere al Impuesto sobre la Renta y al Impuesto sobre el Valor Añadido. Estos incluyen aspectos tales como la de­du­ci­bi­li­dad de los costes de los equipos por gastos de ex­plo­ta­ción o gastos re­la­cio­na­dos con los ingresos, que requieren la di­s­ti­n­ción ve­ri­fi­ca­ble entre el uso privado y pro­fe­sio­nal de un di­s­po­si­ti­vo. Para aclarar estas cue­s­tio­nes, a veces es necesario consultar al comité de empresa y a un abogado.

Sobre la base de los aspectos edu­ca­ti­vos, laborales, de seguridad y jurídicos de BYOD, queda claro que las ventajas de este principio parecen ser co­m­pe­n­sa­das por el mismo número de de­s­ve­n­ta­jas. A co­n­ti­nua­ción, resumimos los ar­gu­me­n­tos a favor y en contra de BYOD derivados de esto una vez más:

Ob­via­me­n­te, las políticas BYOD ofrecen muchas ventajas tanto para los empleados como para los em­plea­do­res. Sin embargo, todavía no ha sido am­plia­me­n­te aceptado en España, lo que se debe pri­n­ci­pa­l­me­n­te a que con esta política la empresa no puede ga­ra­n­ti­zar por completo que se cumpla con la normativa relativa a la pro­te­c­ción de datos pe­r­so­na­les. Además, según un estudio de Bitkom de 2013, casi la mitad de las empresas rechazan la tendencia BYOD porque los ahorros de costes previstos se verían co­m­pe­n­sa­dos en gran medida por los costes de ma­n­te­ni­mie­n­to y seguridad. Otros estudios indican valores aún más altos.

De hecho, en EE.UU., país de donde proviene el concepto ori­gi­na­l­me­n­te, ya hay signos ine­quí­vo­cos de un cambio de tendencia: el uso de sistemas BYOD ha di­s­mi­nui­do si­g­ni­fi­ca­ti­va­me­n­te en los últimos años. La era de los di­s­po­si­ti­vos privados en el lugar de trabajo ha terminado y en su lugar se han es­ta­ble­ci­do dos conceptos co­n­tra­rios que dan a los em­plea­do­res más control sobre sus datos de nuevo:

• Elije tu propio di­s­po­si­ti­vo (CYOD): los empleados pueden elegir entre una amplia gama de di­s­po­si­ti­vos fi­na­n­cia­dos por la empresa y, por lo tanto, son propiedad de la empresa. Sin embargo, el uso con fines privados debe estar ex­plí­ci­ta­me­n­te ga­ra­n­ti­za­do en una política.
• Di­s­po­si­ti­vos propiedad de la empresa ha­bi­li­ta­dos para uso personal (COPE): los empleados tienen permiso explícito para usar el di­s­po­si­ti­vo propio de una compañía de forma privada. Sin embargo, dado que son re­s­po­n­sa­bles de la co­n­fi­gu­ra­ción básica y del soporte básico del di­s­po­si­ti­vo, este principio requiere un cierto nivel de co­no­ci­mie­n­tos técnicos.

Queda por ver si la tendencia em­pre­sa­rial BYOD di­s­mi­nui­rá de nuevo antes de que se haya afianzado realmente.

Por favor, ten en cuenta el aviso legal relativo a este artículo.