Claves en manos de trabajadores vengativos que pueden acabar con una empresa

El caso de la desaparición de los contenidos de un canal de Youtube
Caso XXX1. Tarde de un 2 de enero de 2016. Empresa de contenidos digitales que utiliza un canal de Youtube como portal. Publican capítulos de series, vídeos monográficos, entrevistas y documentales. Hablo de Youtube, un servidor web gratuito pero también podría ser uno privado. Que mencione uno gratuito y fuera de España es porque sólo complica las labores de investigación. El canal lleva varios años de solvente actividad, con cientos de miles de suscriptores y seguidores que ven sus contenidos. Varios contratos publicitarios sostienen la empresa.

A la mañana siguiente, el canal de Youtube en cuestión sólo conserva su nombre, pero no hay rastro de los contenidos, han desaparecido. ¿Qué ha pasado con todo el trabajo realizado?

Se supone que el acceso y la modificación de los contenidos de esa cuenta corporativa era gestionada por varios trabajadores de la empresa, pero sólo era una suposición, ya que no existía registro legal escrito, ni tan siquiera privado, que lo acreditara. Publicaban y modificaban contenidos de buena fe por el interés de la empresa cuando se debía hacer. Existía un acuerdo verbal entre ellos sin ningún tipo de documento en el que constara una responsabilidad o la fecha de inicio y fin de la autorización para la gestión de dichos accesos y el tratamiento de dichos contenidos.

Los empleados malignos, pero de verdad
presuntamente, dos de los empleados, los cuales participaban de la gestión del canal, se enteraron por algún compañero de posibles movimientos futuros de la empresa, que los situaría en un lugar poco favorable. Antes de comunicar sus intenciones de abandonarla y por motivos desconocidos, decidieron escoger esa fría madrugada para borrar todos los contenidos publicados en el canal durante años, como forma de “agradecimiento”. Fue una decisión propia y aún formaban parte de la entidad.

Cuando el resto de administradores de la cuenta accedieron al canal y vieron que el contenido había sido borrado, se sumieron en profundas lamentaciones. Al menos, nos quedarán las copias de seguridad, ¿NO? La última es de hace un año. Para colmo de males, solo existe una cuenta de Gmail vinculada al canal, por lo que todos los accesos serán desde la misma, lo que dificulta más las averiguaciones.

Ahora vas y lo denuncias
Vayamos a comisaría o al juzgado. Si denunciamos, Youtube facilitará los logs de acceso a la cuenta (aunque pueda ser que las conexiones no sean muy reveladoras).

¿Qué pasará cuando una denuncia por estos hechos llegue a un Juzgado? Para abrir un procedimiento judicial, debe estimar la existencia de indicios de delito.  De esta forma y como continuación a las diligencias de investigación, sería necesario que la autoridad judicial expidiese una petición de auxilio judicial dirigida a Youtube por un delito de daños informáticos del artículo 264ter del Código Penal. Ahora bien, recordemos que este precepto penal requiere que a los datos o programas informáticos o documentos electrónicos dañados (en este caso borrados) se accediera autorización o fueran ajenos, lo cual no es el caso.

Los presuntos autores tenían plena autorización y capacidad para administrar y gestionar la cuenta, así que por el momento no se daban los elementos del delito, y por tanto la posibilidad de que un Juez autorice la petición de datos a Youtube, con lo que eso implica.

Si este mismo caso hubiera pasado después de cesar la relación laboral, los contenidos hubieran sido ajenos pero, ¿qué hay de la autorización? Aún seguían conservando la clave y la contraseña y no constaba mención expresa al acceso. Cambiar las claves tampoco hubiera estado de más. Pequeños matices y grandes catástrofes.

¿Cómo se podría haber evitado?
Por culpa de esta NO previsión legal, acreditar esa NO autorización es muy complicado y habrá que tener en cuenta otras pruebas o declaraciones testificales, si es que las hay, para poder demostrar que hubo mala fe en el borrado de los contenidos y que no fue obra casual de intrusiones ajenas.

Si existe la gestión compartida de una cuenta, para evitar este tipo de situaciones, la firma de un contrato o unas cláusulas específicas en ese sentido, a pesar del mal generado, puede ayudar sobremanera a la exigencia de responsabilidades penales y civiles. Ya no hablamos del back-up inexistente.

Nunca lo he visto en mi ámbito de trabajo y desconozco si en el empresarial serán frecuentes este tipo de contratos.  No obstante, @moadiario me informó de que se puede añadir a un contrato el “ceder accesos” mientras hay relación comercial. @Samuel_Parra, de @eprivacidad, manifesta que incluso si se configura como un encargado del tratamiento de esa cuenta, debería figurar en el registro de ficheros de la Agencia Española de Protección de Datos.