Todos los posts
Compliance··6 min de lectura

Cómo demostrar que el trabajo remoto se realizó desde una jurisdicción permitida — sin vigilancia

Un contrato firmado que dice "se exige residencia en la UE" parece un control. No lo es. Es una promesa. Cuando ocurre una brecha o llega un auditor, una promesa no es algo que puedas entregar como prueba. Lo que quieren ver es evidencia: que, en el momento en que se realizó el trabajo, se realizó desde una jurisdicción permitida.

Esa brecha — entre una cláusula del contrato y un control que puedes demostrar — es donde la mayoría de empresas con equipos remotos están expuestas en silencio.

Por qué la geolocalización por IP no basta

El instinto evidente es comprobar la dirección IP. Es también la señal más débil que puedes elegir. Una VPN convierte cualquier IP en cualquier país en segundos, y tu contractor en otra zona horaria lo sabe mejor que tú. Una comprobación basada solo en IP no es evidencia de jurisdicción — es evidencia de que alguien podría parecer estar en algún sitio.

Así que la IP por sí sola nunca puede ser suficiente. Puede contribuir a una imagen, pero nunca puede, por sí misma, certificar que el trabajo ocurrió donde debía.

Rastrear no es lo mismo que demostrar

Esta es la distinción que importa, y la que la mayoría de "rastreadores GPS de empleados" no entienden: el rastreo continuo de ubicación y la evidencia de jurisdicción son productos distintos.

El rastreo pregunta ¿dónde está esta persona, todo el tiempo? — y almacenar esa respuesta es un pasivo de privacidad, a menudo ilegal en un contexto laboral, y culturalmente tóxico con las personas de las que dependes.

La evidencia hace una pregunta más estrecha, solo en el momento de un check-in laboral: ¿esto es coherente con la jurisdicción permitida? — y guarda solo la respuesta. Sin mapa. Sin historial de movimientos. Sin coordenadas.

El objetivo no es vigilar a los empleados. Es generar el audit trail que acredita diligencia debida ante una inspección o una brecha.

Coherencia, no coordenadas

La forma de responder esa pregunta más estrecha de forma fiable es combinar señales independientes y mirar si concuerdan:

  • GPS — ubicación por hardware del dispositivo, con detección de mock location.
  • Posicionamiento WiFi — BSSIDs de redes cercanas resueltos a un país.
  • Geolocalización IP — la señal débil, útil solo como corroboración.

Su coherencia produce uno de tres resultados — y esta es la parte que lo hace a la vez humano y defendible:

  1. compliant — evidencia suficiente de que el trabajo ocurrió desde la jurisdicción permitida.
  2. needs_review — evidencia insuficiente o inconsistente. Se marca para una persona, nunca se penaliza en automático.
  3. non_compliant — evidencia fuerte de una jurisdicción no permitida, o manipulación detectada.

La incertidumbre técnica nunca se trata como culpa. Un dispositivo sin fix de GPS en un sótano no es un fraude — es un needs_review. Tratar cada ambigüedad como una violación es como estos sistemas pierden la confianza de las mismas personas que necesitan.

Privacidad por diseño, no como un ajuste

Las coordenadas exactas y los BSSIDs WiFi se procesan de forma transitoria — se usan para derivar el país, y se destruyen. Nunca se escriben en una base de datos, nunca se escriben en un log. Lo que persiste es el resultado de cumplimiento, un score de confianza y los campos técnicos mínimos necesarios para defenderlo después.

Esto no es un interruptor de privacidad añadido al final. La minimización de datos (Art. 5 GDPR) es la arquitectura. No puedes filtrar coordenadas que nunca almacenaste.

Qué hace que la evidencia realmente aguante

Para que un registro sobreviva a una auditoría, tiene que ser imposible cambiarlo sin que se note después. Eso requiere sorprendentemente poco:

  • Cada check-in se hashea (SHA-256) en el momento de crearse.
  • Los registros son append-only — sin ediciones, sin borrados, por nadie, durante el periodo de retención.
  • Se guardan el policy_version y el app_version activos, para poder reproducir exactamente qué reglas aplicaban.
  • Todo se exporta como un paquete de evidencia autónomo — firmado, con cadena de hashes — que un auditor puede verificar offline, incluso después de que canceles.

Por dónde empezar

No necesitas construir nada de esto para descubrir si te importa. La primera pregunta a responder es simplemente: si un cliente o un auditor te pidiera demostrar que el trabajo ocurrió desde una región permitida, ¿podrías? Si la respuesta honesta es no, esa es la brecha que vale la pena cerrar — con evidencia, no con vigilancia.

Agendar llamada