El trabajo remoto ha llegado para quedarse.
Pero mientras muchas empresas celebran sus ventajas operativas y de costes, siguen pasando por alto un aspecto crítico: la ciberseguridad y sus implicaciones legales.
El teletrabajo mal gestionado no solo expone datos y sistemas; también genera responsabilidades jurídicas directas para la empresa y, en determinados casos, para sus administradores.
Qué implica legalmente el teletrabajo (más allá de lo laboral y lo técnico)
El teletrabajo no es únicamente una modalidad flexible de prestación de servicios.
Desde un punto de vista legal, implica un cambio estructural en la organización del trabajo, con efectos directos en:
- La seguridad de la información.
- La protección de datos personales.
- El cumplimiento normativo (compliance).
- La responsabilidad empresarial y del órgano de administración.
El error más habitual consiste en tratar el teletrabajo como una cuestión meramente laboral o tecnológica, cuando en realidad exige un enfoque transversal jurídico, técnico y organizativo.
¿Cómo es el deber de diligencia empresarial en entornos remotos?
Una obligación que no se diluye por trabajar desde casa
El hecho de que los empleados trabajen desde su domicilio no reduce ni traslada la responsabilidad legal de la empresa.
Al contrario: incrementa el deber de diligencia.
Desde la óptica mercantil y de compliance, la empresa debe:
- Identificar los riesgos derivados del trabajo remoto.
- Adoptar medidas técnicas y organizativas adecuadas.
- Documentar dichas medidas.
- Supervisar su cumplimiento.
Este deber deriva, entre otras normas, de:
- El artículo 32 del RGPD (seguridad del tratamiento).
- La Ley Orgánica 3/2018 (LOPDGDD).
- La Ley de Servicios de la Sociedad de la Información (LSSI).
- La normativa mercantil sobre diligencia del administrador.
¿Se pueden utilizar los dispositivos personales en el teletrabajo?
Uno de los riesgos más frecuentes en teletrabajo es el uso de dispositivos personales (Bring Your Own Device – BYOD) sin control corporativo.
En la práctica, muchas empresas permiten que el empleado acceda a:
- Correos corporativos.
- Servidores internos.
- Aplicaciones con datos personales o confidenciales.
Todo ello desde ordenadores, móviles o tablets privados, sin ninguna medida formal.
Riesgos jurídicos asociados al BYOD
- Ausencia de control sobre antivirus, parches y actualizaciones.
- Uso compartido del dispositivo con terceros.
- Pérdida o robo del terminal sin cifrado.
- Imposibilidad de borrado remoto de datos.
Desde el punto de vista del RGPD, esto puede suponer:
- Falta de medidas de seguridad adecuadas.
- Tratamientos no autorizados.
- Brechas de seguridad evitables.
Accesos remotos inseguros: cuales los son fallos que la AEPD considera “deficiencias organizativas”
Las resoluciones de la Agencia Española de Protección de Datos (AEPD) y las guías del European Data Protection Board (EDPB) coinciden en señalar una serie de fallos recurrentes:
- VPN mal configuradas o sin cifrado robusto.
- Credenciales compartidas entre empleados.
- Contraseñas débiles o reutilizadas.
- Ausencia de autenticación multifactor (MFA).
- Accesos sin registro ni trazabilidad.
Estos fallos no se consideran meros errores técnicos, sino deficiencias organizativas imputables a la empresa.
Consecuencias legales de una brecha de seguridad derivada de accesos remotos inseguros
- Sanciones administrativas por infracción del RGPD.
- Reclamaciones de daños y perjuicios.
- Responsabilidad contractual frente a clientes y proveedores.
- Riesgos reputacionales significativos.
Importancia de la política interna de teletrabajo
Mucho más que un documento laboral
Muchas empresas cuentan con acuerdos individuales de teletrabajo, pero carecen de una política interna específica con impacto jurídico real.
Una política de teletrabajo eficaz debe integrar:
- Normas de ciberseguridad.
- Uso de dispositivos y redes.
- Gestión de incidentes.
- Protección de datos.
- Confidencialidad reforzada.
Consecuencias de no tener una política de teletrabajo eficaz
La ausencia de una política clara implica:
- Falta de prueba de diligencia ante una inspección.
- Dificultad para exigir responsabilidades al empleado.
- Mayor exposición a sanciones.
- Debilitamiento del sistema de compliance.
¿Te pueden sancionar por brechas de seguridad en el teletrabajo?
La AEPD no distingue entre oficina y domicilio
La Agencia Española de Protección de Datos ha dejado claro que el lugar físico desde el que se produce la brecha es irrelevante.
Lo determinante es si la empresa adoptó o no medidas adecuadas.
En los últimos años se han impuesto sanciones por:
- Envío de datos desde redes domésticas inseguras.
- Pérdida de portátiles sin cifrar.
- Accesos indebidos por credenciales compartidas.
- Falta de formación en ciberseguridad en teletrabajo.
Criterios agravantes habituales
- Falta de políticas documentadas.
- Ausencia de evaluación de riesgos.
- Reincidencia.
- Volumen y sensibilidad de los datos afectados.
¿Cual es la responsabilidad del administrador en materia de ciberseguridad?
La ciberseguridad ya no es una cuestión técnica delegable sin más.
Forma parte del deber de diligencia del administrador, especialmente cuando:
- El teletrabajo es estructural.
- Se tratan datos personales a gran escala.
- Existen riesgos conocidos y no mitigados.
Posibles escenarios de responsabilidad
El administrador puede enfrentarse a:
- Responsabilidad frente a la sociedad.
- Reclamaciones de socios.
- Acciones de responsabilidad concursal.
- Pérdida de cobertura de seguros D&O.
Especialmente si se acredita que ignoró riesgos evidentes o no aprobó medidas mínimas de seguridad.
Medidas mínimas exigibles en teletrabajo (visión práctica)
| Área | Medida mínima exigible |
| Dispositivos | Equipos corporativos o BYOD regulado |
| Accesos | VPN segura y autenticación multifactor |
| Datos | Cifrado de discos y comunicaciones |
| Organización | Política interna de teletrabajo |
| Formación | Sensibilización periódica al empleado |
| Control | Registro de accesos y gestión de incidentes |
Estas medidas no garantizan riesgo cero, pero sí acreditan diligencia, elemento clave ante cualquier procedimiento sancionador.
Preguntas frecuentes sobre teletrabajo y ciberseguridad legal
No es obligatorio permitir el uso de dispositivos personales.
Si se permite, es obligatorio regularlo, estableciendo controles proporcionales y respetuosos con la privacidad.
La empresa, como responsable del tratamiento.
Posteriormente podrá repetir contra el trabajador si existe negligencia grave y así está previsto internamente.
No.
Las autoridades consideran insuficientes las cláusulas genéricas sin medidas técnicas y organizativas que las respalden.
El RGPD no enumera medidas cerradas, pero exige:
– Análisis de riesgos.
– Medidas técnicas y organizativas adecuadas.
– Revisión periódica.
– Documentación.
Sí, especialmente si se acredita falta de diligencia, omisión de controles o ausencia de decisiones informadas sobre riesgos conocidos.
Guías y criterios de referencia
Para reforzar la seguridad jurídica, es recomendable apoyarse en:
- Guías de la AEPD sobre seguridad de la información.
- Directrices del EDPB sobre medidas técnicas y organizativas.
- Esquema Nacional de Seguridad (como referencia).
- Buenas prácticas ISO 27001 (no obligatorias, pero orientativas).
Estas fuentes son habitualmente citadas en procedimientos sancionadores como estándar de referencia.
Cuando el teletrabajo deja de ser una ventaja competitiva
El teletrabajo mal gestionado puede convertirse en:
- Un foco de sanciones administrativas.
- Un riesgo para la continuidad del negocio.
- Un problema personal para administradores y directivos.
Abordarlo desde una perspectiva jurídica, preventiva y estratégica no es una opción, sino una necesidad empresarial.
Invertir en políticas claras, medidas técnicas adecuadas y asesoramiento especializado no solo reduce riesgos, sino que transmite confianza a clientes, empleados y socios.
Porque en ciberseguridad, como en derecho mercantil, la improvisación suele salir cara.
RRYP Global, abogados de ciberlegal.
