Por Luis Alberto Posado, Asociado Senior del Área de Gobierno, Riesgos y Cumplimiento de ECIX.

Uno de los principales retos que debe asumir toda entidad es regular la utilización de los medios y recursos tecnológicos puestos a disposición de los trabajadores. El objetivo de esta ordenación estriba en que estos medios no supongan una brecha en la seguridad de la compañía y en la disponibilidad de los recursos para el resto de usuarios.

En este sentido, y a fin de que la relación entre la empresa y el trabajador sea fluida, es necesario que la regulación de los medios de producción se efectúe de forma clara y en cumplimiento de la legislación vigente.
Así, el marco jurídico que debe tenerse en consideración para regularizar la utilización de los recursos tecnológicos de la empresa comprende distinta legislación, normativa y jurisprudencia, las cuales establecen los límites y medios para el control de la regulación.

A nadie se le escapa que los medios puestos a disposición de los empleados de una compañía deben garantizar la seguridad, disponibilidad, fiabilidad y privacidad de las comunicaciones, así como también deben preservar la privacidad delos empleados.

A su vez el trabajador debe ser consciente que es responsable de no abusar en la utilizaciónde los recursos tecnológicos puestos a su disposición, manteniendo el respeto a los derechos de los demás usuarios, y cumpliendo las normas que a estos efectos la empresa debe trasladarle.

De esta forma entre los aspectos que debería contener una política que regule los usos de los medios tecnológicos, podríamos destacar:

– La asignación de claves y la política de contraseñas, debiendo definirse los procedimientos para la asignación, distribución, confidencialidad y configuración de las password de acceso.

– La utilización del correo electrónico, debiendo definirse el uso del correo personal dentro del horario de trabajo,así como el uso del correo de empresa como medio de distribución de información y las limitaciones de su uso.

– Las restricciones a la navegación por Internet. Definir la utilización de la red para navegar por sitios web para otros usos que no sean los permitidos en el desempeño de su actividad.

– La prohibición del uso de herramientas y redes P2P. Definir la prohibición clara de instalar herramientas y el acceso a redes de intercambio de archivos.

– El uso de equipos informáticos fuera de la empresa. Definir qué dispositivos y la información que puede salir fuera de la compañía, precisando la seguridad que debe conferirse a los equipos.

– Las restricciones en el uso de mensajería instantánea, como medio de comunicación externa a la actividad empresarial.

– Etc.

Toda esta seguridad debería estar basada, entre otras normas, en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, la familia de normas ISO 27000, alineadas en todo caso con el Sistema de Gestión de Seguridad de la Información (SGSI) de la empresa, así como con el resto de normativas sectoriales que apliquen a la entidad.

Parece lógico pensar que además de la regulación de los recursos y la definición de la seguridad aplicada resulta necesario implantar una serie de programas y dispositivos de control y monitorización, que permitan a la compañía acreditar, ante fugas de información, el cumplimiento de las política de usos de medios tecnológicos, y en caso contrario poder localizar y resolver las brechas de seguridad existentes.

Por tanto las empresas deberían disponer de herramientas de control que les permitan analizar y detectar los usos y comportamientos indebidos o ilícitos en losrecursos, los cuales puedan suponer un riesgo en la seguridad de los sistemas de la empresa.

Este control puede entrar en conflicto, tal y como recogen las sentencias del Tribunal Supremo, con la protección del derecho al honor y a laintimidad personal recogido en la Ley Orgánica 1/1982, y el control que puede llevar a cabo el empresario de conformidad con lo dispuesto en el Estatuto de los Trabajadores.

La Sentencia del Tribunal Supremo de 26 de septiembre de 2007 establece la existencia de un hábito social generalizado de tolerancia de ciertos usos personales moderados de los recursos tecnológicos facilitados por la empresa a los trabajadores, permisibilidad que crea una expectativa de confidencialidad en esos recursos, expectativa que no puede ser obviada por las compañías, aunque tampoco debe convertirse en un impedimento permanente del control empresarial.

En consecuencia, y como ya hemos indicado, resulta fundamental establecer previamente las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de la existencia de controles.

Adicionalmente a estos medios de control empiezan a destacar los Servicios de Análisis Informático Forense, ya que en muchos casos, la organización necesita demostrar que la obtención de evidencias en el control ha sido realizada por personal independiente y que estas evidencias no han sido manipuladas por persona alguna.

Con todo este escenario, el Tribunal Supremoseñala que en estas condiciones el trabajador afectado sabe que su acción de utilizar los recursos tecnológicos de la empresa para fines personales no es correcta y sabe también que está utilizando un medio que, al estar lícitamente sometido a la vigilancia de otro, ya no constituye un ámbito protegido para su intimidad.

En concordancia con la ordenación de los recursos corporativos, debería regularseel control que debe conferirse a los recursos no corporativos, el conocido como “Bring Your Own Device (BYOD)”, que implica que los medios no corporativos debentener implantadas las mismas medidas de seguridad que los recursos de la empresa y por ende deberían estar sometidos a la regulaciónde su utilización.

En conclusión regular la utilización de los medios y recursos tecnológicos propiedad de la empresa por el trabajador, implica atender a distintas normativas de ámbitos muy diferentes que conllevan la imperiosa necesidad de trasladar a los empleados políticas en el uso de los medios de producción, que garanticen la seguridad de la información y utilizando herramientas de control, por parte de la empresa,que le permitan analizar y detectar los usos y comportamientos indebidos o ilícitos de los recursos, todo ello sin menoscabar la intimidad del trabajador, aunque como ha señalado la jurisprudencia, la regulación de los recursos tecnológicos de forma correcta no trasgrede el ámbito privado del empleado.