¿Quién es responsable de custodiar las contraseñas de la empresa? ¿Trabajador o empresario?

Una reciente sentencia del TSJ de Castilla-León, Sala de lo social, de 3-11-2022, ha declarado como improcedente el despido de una trabajadora por no custodiar correctamente las contraseñas de la empresa.

Los hechos se produjeron cuando un compañero de dicha trabajadora inició sesión en el equipo informático de ésta, fuera de su turno laboral y sin su consentimiento, y consultó una carpeta donde la trabajadora guardaba las contraseñas de la empresa. El compañero ordenó varios pagos sin consentimiento ni autorización de la demandante. Entre ellos, realizó un abono de 1443,51 € y anuló un contrato de permanencia.

A raíz de lo sucedido, la empresa despidió de forma procedente a la trabajadora, a la que se le atribuyeron las siguientes infracciones:

• Trasgresión de la buena fe contractual, así como el abuso de confianza en el desempeño del trabajo.
• Falsedad, deslealtad, fraude, el abuso de confianza y el hurto o robo, tanto a sus compañeros de trabajo como a la empresa o a terceros relacionados con el servicio durante el desempeño de sus tareas o fuera de las mismas.
• Incumplimiento de las obligaciones de guarda y custodia de la contraseña, permitiendo su uso por otro trabajador que realizó actuaciones injustificadas, lo que supone una grave perjuicio para la empresa al cuestionarse las medidas para garantizar los distintos accesos a los datos de los clientes e igualmente al realizarse abonos de una cantidad económicamente significativa, sin motivo ni justificación alguna.

No obstante, la trabajadora denunció su despido como improcedente y el TSJ le ha dado la razón, veamos a continuación por qué.

La empresa es responsable de proporcionar a sus empleados un lugar seguro donde custodiar las contraseñas

Todos los hechos fueron probados, pero el TSJ se declaró a favor de la trabajadora despedida por la política de gestión de las contraseñas establecida por la empresa:

• La empresa tenía como norma cambiar las contraseñas cada dos meses. Si bien es muy recomendable renovar las contraseñas a menudo, consideramos que hacerlo cada dos meses es una frecuencia bastante elevada.
• La empresa no proporcionaba ningún sistema para la custodia de las contraseñas, por lo que los empleados debían cambiar las contraseñas cada dos meses y no contaban con herramientas adecuadas para memorizarlas.
• Como solución para recordar las contraseñas, la trabajadora las apuntaba en el interior de una carpeta de su equipo informático. Esto es algo que jamás deberíamos hacer, no sin las medidas adecuadas (cifrado preventivo y otros).

Por lo que finalmente el TSJ y el juzgado de lo social han sentenciado que no existe negligencia relevante en la conducta de la trabajadora y declarado su despido como improcedente. Los motivos:

• El elemento intencional no está acreditado precisamente porque la utilización de sus contraseñas se hizo sin conocimiento y consentimiento de la misma.
• Tampoco lo está la existencia de negligencia relevante en la custodia de las contraseñas, siendo razonable que teniendo que cambiarse cada dos meses se tuvieran que apuntar en algún sitio para su recordatorio y teniendo en cuenta que la propia empresa, más allá de la atribución de responsabilidad genérica a los trabajadores del uso correcto de las contraseñas, no facilitó ningún lugar seguro para tenerlas custodiadas bajo llave.

La mayoría de brechas de seguridad que sufren las empresas son de origen interno

Este es un caso de brecha de seguridad interna por partida doble:

• Por un lado, el trabajador que de forma maliciosa accedió al ordenador de la compañera para el robo de contraseñas y realización de pagos sin autorización.
• Por el otro lado, la trabajadora despedida de forma improcedente, que si bien no custodiaba las contraseñas de forma segura, la causa fue la alta exigencia en la gestión de contraseñas sin facilitar protocolos ni herramientas adecuadas para ello.

Al final, la principal responsable y perjudicada es la propia empresa, por implantar una política de ciberseguridad ineficiente. Si piensas que tu empresa necesita una puesta al día de sus protocolos de seguridad informática, en Edorteam tenemos una solución a medida de tu negocio.

Solución: guarda las credenciales de acceso en archivos y carpetas cifradas

ET Encrypt es un software de cifrado perfecto para proteger cualquier archivo o carpeta de tu ordenador con un algoritmo prácticamente impenetrable.

Una de sus múltiples funciones permite crear una carpeta de cifrado automático en tu equipo informático. Simplemente con click derecho y establecer una contraseña, todo el contenido que haya en esa carpeta se cifrará automáticamente. Podrás abrir la carpeta y ver qué archivos contiene, pero si tratas de abrir uno de ellos, te solicitará la contraseña.

Así, los empleados pueden guardar los documentos que contengan las credenciales de acceso a los diferentes servicios que usan en su día a día en esa carpeta cifrada y evitar que un tercero acceda a la información sin autorización. Es más sencillo recordar y renovar asiduamente una sola contraseña y usarla para custodiar todas las demás credenciales.

Además, también protegerás esa información ante ataques informáticos y/o secuestros de información, ya que los ciberdelincuentes tampoco podrán acceder a su contenido. Contacta con nosotros para que te expliquemos en detalle todas sus funciones.