Control del acceso a Internet en las empresas
Anuncio
104 Protección de Datos BUENAS PRÁCTICAS Control del acceso a Internet en las empresas ¿ES LEGAL QUE LAS EMPRESAS CONTROLEN EL ACCESO A INTERNET DE SUS EMPLEADOS? Pedro Serrera Cobos DIRECTOR DEL CENTRO DE SISTEMAS DE INFORMACIÓN Fraternidad Muprespa Con estos antecedentes, ¿es legal la utilizara los rastros de navegación estricta vigilancia a la que sometemos para violar la intimidad de otros el acceso a Internet de nuestros empleados, usando en perjuicio del empleados? interesado sus datos personales o revelando información indebida a terceros. Ello conllevaría una Primera cuestión: el Código Penal responsabilidad estrictamente personal. Pero no estamos analizando esta conducta contraria a las leyes, En primer lugar, debemos L sino las actuaciones normales de os Directores de Informática desmontar nuestro temor inicial: si la control de una herramienta estamos tremendamente empresa decide controlar por motivos corporativa. preocupados. Hemos recibido de seguridad y rendimiento el acceso la instrucción desde la Dirección a Internet, esta conducta no se Adoptaremos como premisa que la razón de que la empresa implante un General de universalizar el acceso a control de Internet no es “descubrir Internet a todos los empleados de la los secretos o vulnerar la intimidad de empresa, pero con la condición de que se controlen las condiciones del acceso: debe ser seguro, responsable, comedido… en una palabra, vigilado y tutelado desde el núcleo duro de la informática corporativa. A los Directores de Informática nos asalta la duda acerca de la legalidad de este control, pues incluso el menos La empresa no tiene por qué asumir la inseguridad que le provoca el uso que sus propios empleados puedan hacer de este canal otro”, sino otros motivos legítimos: a) Vigilar y limitar el tiempo de conexión a Internet, como un elemento del control de la productividad de los empleados, para el que la empresa está facultada. b) Garantizar la estabilidad del sistema, en cuanto a consumo de recursos (ancho de banda, número de conexiones, protocolos usados…) avezado en cuestiones de índole legal c) Bloquear la navegación a ha oído hablar del artículo 18 de la Constitución Española (C.E.), que encuentra enmarcada en el tipo penal determinadas categorías de páginas consagra el derecho al secreto de las antes referido, pues la motivación que web, que por política empresarial no comunicaciones y limita el uso de la origina este control no es, como serán accesibles desde los puestos de informática para garantizar la claramente define el artículo 197 del trabajo: pornografía, apuestas, intimidad de los ciudadanos, y del C.P., “descubrir los secretos o vulnerar violencia… artículo 197 del Código Penal la intimidad de otro”, sino otro muy (C.P.), que castiga con penas de hasta diferente que ahora veremos. Asunto peer que provoquen la descarga de cuatro años la interceptación ilegítima bien distinto sería que el técnico de contenidos protegidos por derechos de de las comunicaciones personales. sistemas responsable del control autor y puedan conducir a la nº 26 octubre 2008 d) Evitar el acceso a redes peer to 106 Protección de Datos vulneración de las leyes de propiedad intelectual. Es fundamental, pues, la comunicación fehaciente a todos los usuarios de Internet de los motivos que justifican la implantación de los mecanismos de control, y que nada tienen que ver con el tipo penal antes referido. Segunda cuestión: la LOPD Para llevar a la práctica el control del acceso a Internet, en la mayoría de las ocasiones será necesario implementar una herramienta que registre, analice y audite las conexiones desde cada puesto de trabajo hacia y desde Internet. Los Directores de Informática nos planteamos: ¿estamos incumpliendo en algún precepto la Ley Orgánica de Protección de Datos (LOPD)? Pues lo que está fuera de toda duda es que el control de Internet implica un tratamiento automatizado de datos de carácter personal. Para que el tratamiento de los datos sea legítimo deben cumplirse dos principios básicos en la recogida y tratamiento de los datos: a) Informar de la existencia de un fichero, su finalidad, quién es su Es fundamental la comunicación fehaciente a todos los usuarios de Internet de los motivos que justifican la implantación de los mecanismos de control responsable, derechos que asisten al Nuestra argumentación teórica parece razonable, pero los Directores de Informática continuamos preguntando: ¿existe Jurisprudencia al respecto? En efecto, podemos traer a colación la esclarecedora Sentencia del Tribunal Supremo (Sala de lo Social), de 26/09/2007. El caso trataba de un empleado que fue despedido después de que la interesado… (artículo 5 de la LOPD). b) Solicitar el consentimiento del Tercera cuestión: la Jurisprudencia empresa detectara rastros de consentimiento para el tratamiento de navegación por páginas pornográficas interesado para dicho tratamiento sus datos personales, tampoco será durante una reparación puntual de su (artículo 6 de la LOPD). éste necesario para el control de una ordenador personal. La Sentencia herramienta de naturaleza corporativa declaró improcedente este despido, como es el acceso a Internet. pues no se había producido una Sobre estas dos exigencias, la propia LOPD establece ciertas excepciones. En el caso de los registros Ahora bien, de lo que en ningún comunicación previa sobre las que la empresa mantenga como reflejo caso está eximida la empresa es de condiciones del acceso a Internet, de la actividad de los empleados, se informar al trabajador de los aspectos además de otras consideraciones. aplica la excepción que exime del dispuestos en el artículo 5 de la LOPD. consentimiento cuando estos datos se De nuevo concluimos que para derecho 2º, la Sentencia reconoce que refieran a las partes de un contrato legitimar el control del acceso a el ordenador y su acceso a Internet laboral, entre la empresa y el Internet, la empresa debe hacer son medios propiedad de la empresa y trabajador. De igual modo que cuando pública la política corporativa de que ésta facilita al trabajador para un trabajador realiza transacciones Internet y garantizar que todos los fines laborales, por lo que su informáticas o registra su actividad usuarios con acceso a esta utilización queda dentro del frente a clientes, no debe prestar su herramienta la han recibido. ámbito del poder de vigilancia del nº 26 octubre 2008 Sin embargo, en su fundamento de 108 Protección de Datos empresario, de acuerdo con el artículo 20.3 del Estatuto de los Trabajadores (E.T.); aunque ese control debe respetar la consideración debida a la dignidad del trabajador. Además, en su fundamento de derecho 3º, la Sentencia explica que el ordenador y demás medios informáticos no tienen la consideración de “taquilla del empleado”, y por tanto no están sometidos a las prevenciones del artículo 18 del E.T. Por el contrario, las medidas de control sobre dichos medios informáticos se encuentran dentro del ámbito de los poderes de control que confiere el artículo 20 del E.T.: “el ordenador es un instrumento de producción del que es titular el empresario… y éste tiene, por tanto, facultades de control de la utilización”. Y parafraseando el fundamento de derecho 4º de la Sentencia: se ha generalizado en las organizaciones una tolerancia de ciertos usos personales moderados de los medios informáticos facilitados por la empresa. Ello crea una expectativa de confidencialidad que la empresa debe respetar, pero en ningún caso puede ser un impedimento del control empresarial, porque el derecho a la intimidad del trabajador no puede imponerse cuando se usa un medio informático corporativo en contra de las propias instrucciones de uso. Por ello, lo que la empresa debe hacer es establecer previamente las políticas 60.000 euros a una empresa desde Este marco legislativo despeja cualquier duda respecto a la legitimidad para establecer el control del acceso a Internet en nuestras empresas de uso, e informar a los cuyo acceso a Internet se había dado de alta a un tercer afectado en unas listas de distribución sin su consentimiento. La empresa no pudo demostrar qué persona había cometido en realidad este ilícito, y por ello hubo de responsabilizarse de la sanción. Es decir, con un panorama de Internet tan complejo, la empresa no tiene por qué asumir la inseguridad que le provoca el desconocimiento del uso que sus propios empleados trabajadores de que va existir un puedan hacer de este canal. control y de los medios que se absolutamente felices, disfrutando del aplicarán para comprobar el uso paraíso del peer to peer y accediendo a jurisprudencial despeja cualquier duda correcto de los medios. todo el contenido multimedia que respecto a la legitimidad para Internet les ofrece gentilmente, con o establecer el control del acceso a sin derechos de autor. Pero no nos Internet en nuestras empresas. Pero engañemos, la empresa no tendrá aún así, para continuar desordenando ningún elemento de control sobre la nuestra conciencia, todavía quedan actividad -legal o ilegítima- que sus algunos puntos pendientes de dilucidar: Cuarta cuestión: la prudencia Pero, ¿y si a pesar de esta batería de argumentos, el Director de Informática decide prescindir del control del acceso empleados realizan en Internet. Esto no es una fantasía. Basta a Internet, por un exceso de celo hacia revisar el procedimiento la intimidad del trabajador, o por unos sancionador de la Agencia Española escrúpulos mal entendidos? Pues bien, de Protección de Datos (AEPD) en este caso los empleados estarán PS/00369/2007, que sanciona con nº 26 octubre 2008 Este marco legislativo y a) ¿Cómo pueden ejercer los trabajadores sus derechos de acceso? b) ¿Qué fecha de caducidad tienen los registros de acceso a Internet? c) ¿Tienen derecho los jefes de los empleados a acceder a estos datos?
