Política BYOD — plantilla para PYME

Bring-Your-Own-Device suena a ahorro de costes hasta su primera brecha. El dispositivo personal de un solo empleado puede arrastrar a toda su organización a notificación RGPD Artículo 33, notificación de incidente NIS2 e incumplimientos contractuales con clientes B2B — sin que usted tenga control técnico alguno del dispositivo afectado. Una política BYOD defendible es lo único entre usted y ese escenario.

• El RGPD Artículo 32 exige medidas técnicas apropiadas independientemente de la propiedad del dispositivo
• NIS2 Artículo 21(2)(i) exige seguridad de RRHH y gestión de activos — BYOD complica ambas
• La mayoría de pólizas de ciberseguro excluyen brechas BYOD sin política escrita
• El derecho laboral español, francés y alemán restringe qué controles puede imponer sobre dispositivos personales

Nuestra plantilla, refinada en 40+ despliegues PYME, contiene siete cláusulas que sobreviven al escrutinio de la APD y a impugnaciones de juzgados de lo social.

• Elegibilidad — qué roles pueden usar BYOD, flujo de aprobación, exclusiones
• Dispositivos permitidos y línea base mínima de seguridad (versión SO, cifrado, bloqueo de pantalla)
• Inscripción MDM/MAM obligatoria con separación clara de datos (contenedor de trabajo vs personal)
• Apps permitidas y clasificación de datos (qué datos de trabajo se permiten en BYOD)
• Procedimiento pérdida/robo con autoridad de borrado remoto inmediato del contenedor de trabajo
• Off-boarding — borrado del contenedor de trabajo, verificación del empleado, registro de evidencia
• Reembolso de costes, límites de soporte y derechos del interesado para el dispositivo personal

La Gestión de Dispositivos Móviles (MDM) completa borra todo el dispositivo al revocar — incluidas las fotos personales del empleado. Los juzgados de lo social UE han dictaminado repetidamente que esto es desproporcionado. La Gestión de Aplicaciones Móviles (MAM) usando un contenedor de trabajo (Microsoft Intune App Protection, Workspace ONE) afecta solo a datos de trabajo y es ahora el estándar jurídicamente defendible.

• Microsoft Intune App Protection Policies — protege apps M365 sin inscripción de dispositivo
• El borrado selectivo afecta solo al contenedor de trabajo
• Acceso Condicional impone cumplimiento sin control de dispositivo
• Documentado en su EIPD como medida proporcionada

En nuestras revisiones de auditoría PYME, estos son los principales fallos de política BYOD — cada uno es un hallazgo en cualquier auditoría ISO 27001 o NIS2.

• Política existe pero sin aplicación MAM (cumplimiento de papel solamente)
• Sin evidencia de off-boarding (cuando el empleado se va, sin registro del borrado del contenedor)
• Dispositivos personales accediendo a email de trabajo sin acceso condicional
• Sin proceso de excepción documentado — excepciones informales por todas partes
• Sin revisión periódica — política sin cambios desde 2019

Nuestra plantilla es un DOCX con las siete cláusulas, un diagrama de flujo de inscripción MAM, un export JSON de Intune App Protection Policy listo para importar y un formulario de evidencia de off-boarding. Desplegado en 40+ tenants PYME sin hallazgos de la APD.

• Formato: política DOCX + export JSON Intune + diagrama PDF
• Prealineado con restricciones de derecho laboral ES/FR/NL/DE
• Incluye el bloque de justificación de proporcionalidad para su EIPD
• Descarga libre — sin cuenta requerida