¿Proveen las Políticas Corporativas una Protección Injusta?

BYOD – Traer su Propio Dispositivo

¿Deberían los demandados ser permitidos de adoptar una política concerniente al uso de dispositivos personales del empleado en el negocio que beneficia al demandado, escondiéndose detrás de su beneficio, en el proceso de investigación de una demanda judicial?

La Conferencia en Sedona, una organización esencial en el proceso de investigación moderna, ha presentado, recientemente, una guía y la ha puesto al servicio del comentario público.  Ella está titulada: Comentario sobre BYOD: Principios y Guía para el Desarrollo de las Políticas y Obligaciones Reunidas en la Investigación.

El tema cubrió en estos principios que son llamados Traer Su Propio Dispositivo (BYOD); es una política que se ha extendido en toda la América Corporativa. En una examinación objetiva de la política de BYOD ilustra que la política es adoptada, típicamente, porque, ella beneficia a la América Corporativa.

Los principios básicos cubiertos en la publicación de Sedona está resumidos como:

•  Principio 1: Las organizaciones deberían considerar las necesidades y objetivos de sus negocios, sus derechos legales y obligaciones, los derechos y expectaciones de sus empleados cuando deciden permitir o requerir BYOD.
• Principio 2: El programa BYOD de una organización debería ayudar a obtener los objetivos del negocio mientras, también, protege a ambos: el negocio y la información personal de un acceso no autorizado, exposición y uso.
• Principio 3: El empleado dueño de los dispositivos que contienen ESI (Información Almacenada Electrónicamente), única y relevante, debería ser considerada como fuente de investigación
• Principio 4: La política y prácticas de BYOD de una organización deberían minimizar el almacenamiento, facilitar la preservación y colección de ESI, única y relevante de los dispositivos BYOD.
• Principio 5: El empleado dueño de los dispositivos que no contienen ESI, única y relevante, necesita no ser considerada fuente de investigación.

¿Cómo ello trabaja en general? La Corporación ABC tiene posiciones para 500 empleados, teniendo la compañía el deseo de contactar al empleado por los dispositivos móviles y permitir a los empleados tener acceso listo a las comunicaciones tales como los llamados celulares, textos y correo electrónico. También, beneficia a la corporación para facilitar la habilidad del empleado al acceso remoto de la información de la compañía. ¿Compra ABC 500 teléfonos inteligentes y 500 computadoras o tabletas para sus empleados o adopta la política requiriendo al empleado de proveer sus propios dispositivos móviles de computación? Un futuro ahorro para ABC de $500.000 dólares.

La Corporación ABC adopta la política de BYOD y ahorra cientos de miles de dólares. ¿Es todo ello correcto? ABC y sus empleados principales pueden comunicarse, eficientemente, uno con otro.

Si bien el sistema BYOD provee acceso a los empleados, cuando el sistema es llevado, apropiadamente, viene con un importante paquete en términos de administración y supervisión. Aunque la compañía ahorra al frente, cuesta lo mismo o más al final del proceso de computación. La seguridad, la información protegida y las políticas de computación son como o más complicadas que en un ambiente sin BYOD. Existe la preocupación de la piratería, virus, spam y muchas otras amenazas de intrusiones en el sistema corporativo. Estas preocupaciones están amplificadas cuando los empleados tienen la libertad de instalar cualquier programa que ellos quieren en sus dispositivos; después de todo, ellos son sus dueños.

Cuando se aplican las políticas de la corporación a los dispositivos personales tienen sus problemas compartidos: ABC debe de tratar de manejar esas políticas corporativas a través del software, a través de la política o una combinación de ambos.  A través del software permitirá a la corporación controlar la seguridad de la información, por ejemplo; pero, a expensa de la libertad del empleado dueño del dispositivo, el cual ellos pagan.

¿Cuáles son las “medidas razonables” que las corporaciones deberían tomar para estar en la posición de responder al proceso de investigación de las demandas judiciales y cómo se logra una preservación razonable para salvar al mundo de “Traer Su Propio Dispositivo” (BYOD)?

 Como nosotros hemos discutidos en artículos previos, hay preocupaciones básicas para los que adoptan BYOD quienes deberían ser sostenidos responsables:

•  Información de gobernación. ¿Quién es el dueño de la información y cómo la corporación controla la información, particularmente, con los ex – empleados? ¿Puede trabajar un espacio virtual de seguridad, sin interferencia de los procesos reales?
• Confidencialidad y privacidad. ¿Es correcto que la esposa use el teléfono, también? ¿Puede compartir el correo electrónico?
• ¿Quién controla los requerimientos de seguridad? ¿Qué sucede si el empleado deja el teléfono en un bar, taxi o algún otro lugar? ¿Puede la corporación hacer el tracking del dispositivo? ¿Puede la corporación “matar” el dispositivo?
• Control remoto. ¿Puede la corporación vigilar y controlar el acceso al almacenamiento virtual (cloud)?
• Regulaciones obligatorias. ¿Puede la corporación responder a la obligación con HIPAA y otros requerimientos legales?
• Acciones legales. ¿Cómo será manejada la investigación legal de la información de BYOD? ¿Cómo se manejará la información confidencial? ¿Cómo se administrarán los exámenes forenses, particularmente, de los ex – empleados?
• Mantenimiento y reparación de los dispositivos. ¿Cómo se atenderá esta situación? ¿Puede la corporación obligar a los negocios de reparación firmar un contrato de confidencialidad? ¿Pueden ellos obligar a los empleados a dirigirse, solamente, a las facilidades pre – aprobadas?

Sin embargo, la pregunta es: ¿Qué sucede cuando una demanda judicial es presentada y la investigación legítima es conducida y los empleados importantes han dejado la compañía, la información ha sido sacada de los dispositivos personales, los dispositivos de BYOD por su baja calidad han fallado y no fueron protegidos? ¿Debería la compañía adoptar el programa BYOD para protegerse y por el cual el demandado corporativo puede esconderse detrás de las sanciones?

Dados los últimos cambios de las Leyes Federales de Procedimiento Civil, yo pienso que es justo decir que los demandados corporativos pueden ser permitidos, muy bien, de usar por la falta de control inherente a la política de BYOD, como una protección.  La Ley Federal de Procedimiento Civil (37) establece lo siguiente:

(e) Fallo de Preservar el Almacenamiento Electrónicamente. Si la información almacenada electrónicamente, que debería haber sido preservada en anticipación o por litigación de conducta, es perdida porque la parte falló de tomar los pasos razonables para preservarla y no puede ser recuperada o reemplazada a través de una investigación adicional la corte:

(1) Al encontrar prejuicio por la otra parte de la pérdida de la información puede ordenar medidas no mayores que lo necesario para curar el prejuicio; o

(2) Solamente, al encontrar que la parte actuó con la intención de privar a la otra parte de dicha información usada en la litigación puede;

(A) presumir que la información era desfavorable para la otra parte;

(B)instruir al jurado que puede o debe presumir que la información era desfavorable a la parte; o

(C) Retirar la acción o entrar un juicio por defecto.

¿Serán aceptadas las políticas y procedimientos por la corte por la mera existencia de BYOD como “pasos razonables para preservar” y que la parte no actuó” …con la intención de privar…?”

¿Será imputado la destrucción de la información o la información electrónica por el empleado (dueño del dispositivo) al demandado corporativo?

Como Sedona establece a continuación, será considerado expoliación la inhabilidad del demandado corporativo en un ambiente BYOD, aun cuando el demandado corporativo sabía o debería haber sabido de las consecuencias del despliegue de la política.

Las organizaciones enfrentan un montón de obstáculos posibles para obtener la información de los dispositivos los cuales son propiedad de los empleados, incluyendo lo siguiente:

1.  Los empleados pueden negarse a entregar su dispositivo personal o negarse a dar su código de acceso, que se necesita para acceder a la información del dispositivo.
2. Aún, los empleados que quieren cooperar son incapaces de proveer un acceso completo, ejemplo: si una parte de los dispositivos están bloqueados por los dispositivos de los fabricantes.
3. Los dispositivos protegidos o la información relacionada pueden ser almacenadas en una computadora o un sistema que es separado del dispositivo e inaccesible al empleado y al empleador.
4. La red electrónica del empleado o el proveedor del servicio celular puede limitar la cantidad y tipo de información disponible a la persona que usa el dispositivo si esa persona no es el subscripto principal de la cuenta o no está permitido al acceso de la información que el proveedor del servicio posee, concerniente a ese dispositivo.
5. El empleado puede no ser el dueño de su propio dispositivo o el empleado puede ser dueño conjunto con otros quienes pueden no consentir con el requerimiento del empleador concerniente al dispositivo (ejemplo: el teléfono puede ser propiedad de un miembro familiar o el proveedor del servicio celular puede rentar el teléfono al empleado).

 ¿Cómo están los ex – empleados y cómo son sus dispositivos personales atendidos en términos de expoliación? ¿Será suficiente que el empleador tenía políticas establecidas para colectar la información del dispositivo, pero, falló en hacerlo?

Entonces el problema mayor está bajo FRCP 37(e) que es la revisión que permite a la corte de imponer sanciones, solamente, al encontrar que la parte actuó con la intención de privar a la otra parte del uso de la información en la litigación.”

Finalmente: ¿Permitirán o no permitirán los cambios de las leyes dar una cobertura importante a los negocios de BYOD si ellos siguen sus políticas y procedimientos?