Ir al contenido principal

Sé lo que hicisteis la última jornada

Uno de las aspectos, a mi juicio, más controvertido y cada vez más frecuente en lo que respecta a la privacidad y protección de datos de carácter personal en el ámbito laboral es el control empresarial del cumplimiento de las obligaciones y deberes de los trabajadores utilizando todo tipo de medios, desde la auditoría de los sistemas de información de la compañía (conexión a Internet y correo electrónico incluidos), pasando por las cámaras de videovigilancia con esa finalidad, hasta la instalación de GPS en los vehículos de la empresa, etc.

Tanto empresarios como trabajadores, a la hora de implantar controles de este tipo o cuando se implantan, respectivamente, suelen hacer la misma pregunta: ¿es legal?, aunque evidentemente por razones diametralmente opuestas.

Los primeros suelen querer implantar medidas de este tipo cuando sospechan, al menos es lo que ellos dicen, que algún empleado se escaquea impunemente de forma habitual de sus obligaciones, aunque en ocasiones también puede ser, más bien yo diría que es con bastante frecuencia, una forma de "buscarle las vueltas" a algún trabajador con el fin de intentar utilizar como causa de despido cualquier incumplimiento de éste, por mínimo que sea, es decir, realmente el fin es echar al empleado intentando justificar el despido como sea.

Además, en ocasiones los empresarios suelen utilizar medios de este tipo sin encomendarse a dios ni al diablo, es decir, "haciéndolo a la brava" y sin la oportuna reflexión sobre los pasos previos a dar para llevarlo a la práctica de forma idónea, respetando convenientemente la privacidad y el derecho a la protección de datos de carácter personal del trabajador implicado y, lo que incluso es más importante, de terceros (otros trabajadores y/o personas que se relacionen con el primero), asunto a tener muy en cuenta cuando por ejemplo se inspecciona el correo electrónico corporativo de un empleado.

Pero... ¿se puede hacer, sí o no?. Vaya por delante que este tema no es nada nuevo y en este post sólo pretendo hacer una breve reflexión sobre ello (me temo que hay multitud de aspectos involucrados y que es necesario estudiar caso a caso: si se puede o no y, en caso afirmativo, cómo hacerlo). Dicho esto y en esa línea, cuando recibo consultas por parte de una empresa en este sentido yo siempre aviso de que se están "metiendo en un jardín" de consecuencias imprevisibles (se puede hacer, pero teniendo muy en cuenta eso que he comentado de considerar cada caso concreto y todos los aspectos que le son de aplicación).

Muy resumidamente, en primer lugar siempre les digo que conforme al artículo 20.3 del Estatuto de los Trabajadores:

“El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

En este momento mi interlocutor se viene arriba:

"Vale, entonces se puede hacer".

Y yo continúo contándole que en virtud de lo expuesto entiendo que existe legitimación para establecer ciertos mecanismos (no todo vale), pero, lógicamente, siempre que se trate de instalaciones y medios de la propia empresa implicados en el desarrollo de las funciones laborales de los trabajadores (por ejemplo, cuidado con el BYOD, cada vez más usual en muchas organizaciones por el simple ahorro de costes que supone para éstas, y que yo entiendo como un absoluto despropósito desde muchos puntos de vista - éste incluido, pero además: seguridad de la información, administración de los sistemas,... - ) y siempre que se haya informado previamente a éstos sobre los medios de control que se van a utilizar.

Respecto al último de los asuntos citados en el párrafo precedente, le suelo preguntar: ¿has informado a los trabajadores de que los medios que la empresa les proporciona son para un uso estrictamente profesional y de los mecanismos de control que puede emplear ésta para asegurarse de que eso sea realmente así?. En la inmensa mayoría de las ocasiones la respuesta es no; pues así mal vamos, les suelo comentar...

De ahí que yo siempre suela hacer hincapié en la importancia de elaborar una normativa que establezca previamente las reglas de uso de los medios que la empresa pone a disposición de los trabajadores (entre otros muchos: puestos informáticos, acceso a Internet, correo electrónico,...) y, además, en que es imprescindible informar de los controles que se instaurarán así como de las medidas que se adoptarán en caso de existir abusos (para el caso de los recursos informáticos y de comunicaciones ya escribí hace bastante tiempo un post sobre esta cuestión).

Esta normativa, a mi juicio, es fundamental, y no sólo para evitar que algunos trabajadores (seguro que los menos, no seamos mal pensados) puedan hacer un uso malicioso o inadecuado a sabiendas de dichos recursos, sino para evitar además una utilización de los mismos que pueda suponer un menoscabo del prestigio y del buen nombre de la empresa (e incluso responsabilidad de la misma) por la realización sin conocimiento de actividades ilegales o inapropiadas, y, al mismo tiempo, que sirva para garantizar la seguridad (confidencialidad, integridad y disponibilidad) y un rendimiento óptimo de los sistemas de información de la compañía.

En este punto, mi interlocutor me suele preguntar (ya le ve algo más de dificultad a este asunto):


"Vale, entonces... si les doy a firmar un 'papelito' (él llama así a la normativa y al compromiso de cumplirla por parte de los trabajadores), ¿ya se puede hacer?".

Y es aquí cuando continúo: sí, si además se respetan los principios de idoneidad, necesidad y proporcionalidad en sentido estricto; que les suelo explicar con "peras y manzanas", es decir: ¿los mecanismos a utilizar son idóneos para lograr verificar el cumplimiento de las obligaciones y deberes laborales por parte de los trabajadores?, ¿son necesarios para ello o puedes utilizar para esa finalidad otros con igual eficacia menos invasivos para la privacidad y el derecho a la protección de datos de los trabajadores y de terceros? y, finalmente, ¿guardan proporcionalidad entre los derechos de los trabajadores y las facultades atribuidas a los empresarios para el control del cumplimiento de las obligaciones y deberes laborales de éstos?.


Ya aquí mi interlocutor enmudece y no me pregunta nada más (la cara que suele poner me recuerda al emoticono "alucinado"), se levanta y me quedo con la sensación de que, le diga lo que le diga, tenía ya tomada la decisión, sólo me preguntaba para que le confirmara que, efectivamente, podía hacer lo que le viniera en gana y, es más, estoy seguro de que lo hará.

Un tema muy interesante, que da para mucho y que como digo se plantea cada vez de forma más frecuente en las empresas, y sobre el que PRIBATUA (Asociación Vasca de Privacidad y Seguridad de la Información / Pribatutasun eta Informazio Segurtasuneko Euskal Elkartea) tiene previsto realizar en breve una jornada.

Comentarios

Entradas populares de este blog

Criptografía (I): cifrado Vigenère y criptoanálisis Kasiski

Hace unos días mi amigo Iñaki Regidor ( @Inaki_Regidor ), a quien dedico esta entrada :), compartió en las redes sociales un post titulado "Criptografía: el arte de esconder mensajes"  publicado en uno de los blogs de EiTB . En ese post se explican ciertos métodos clásicos para cifrar mensajes , entre ellos el cifrado de Vigenère , y , al final del mismo, se propone un reto consistente en descifrar un mensaje , lo que me ha animado a escribir este post sobre el método Kasiski  para atacar un cifrado polialfabético ( conociendo la clave descifrar el mensaje es muy fácil, pero lo que contaré en este post es la forma de hacerlo sin saberla ). El mensaje a descifrar es el siguiente: LNUDVMUYRMUDVLLPXAFZUEFAIOVWVMUOVMUEVMUEZCUDVSYWCIVCFGUCUNYCGALLGRCYTIJTRNNPJQOPJEMZITYLIAYYKRYEFDUDCAMAVRMZEAMBLEXPJCCQIEHPJTYXVNMLAEZTIMUOFRUFC Como ya he dicho el método de Vigenère es un sistema de sustitución polialfabético , lo que significa que, al contrario que en un sistema de

Criptografía (XXIII): cifrado de Hill (I)

En este post me propongo explicar de forma comprensible lo que he entendido sobre el cifrado de Hill , propuesto por el matemático Lester S. Hill , en 1929, y que se basa en emplear una matriz como clave  para cifrar un texto en claro y su inversa para descifrar el criptograma correspondiente . Hay tres cosas que me gustan de la criptografía clásica, además de que considero que ésta es muy didáctica a la hora de comprender los sistemas criptográficos modernos: la primera de ellas es que me "obliga" a repasar conceptos de matemáticas aprendidos hace mucho tiempo y, desgraciadamente, olvidados también hace demasiado tiempo, y, por consiguiente, que, como dice  Dani , amigo y coautor de este blog, me "obliga" a hacer "gimnasia mental"; la segunda es que, en la mayoría de las ocasiones, pueden cifrarse y descifrase los mensajes, e incluso realizarse el criptoanálisis de los criptogramas, sin más que un simple lápiz y papel, es decir, para mi es como un pasat

¿Qué significa el emblema de la profesión informática? (I)

Todas o muchas profesiones tienen un emblema que las representa simbólicamente y en el caso de la  informática: " es el establecido en la resolución de 11 de noviembre de 1977  para las titulaciones universitarias superiores de informática, y  está constituido por una figura representando en su parte central  un  núcleo toroidal de ferrita , atravesado por  hilos de lectura,  escritura e inhibición . El núcleo está rodeado por  dos ramas : una  de  laurel , como símbolo de recompensa, y la otra, de  olivo , como  símbolo de sabiduría. La  corona  será la  de la casa real  española,  y bajo el escudo se inscribirá el acrónimo de la organización. ". Veamos los diferentes elementos tomando como ejemplo el emblema del COIIE/EIIEO (Colegio Oficial de Ingenieros en Informática del País Vasco/ Euskadiko Informatikako Ingeniarien Elkargo Ofiziala ) . Pero no sólo el COIIE/EIIEO adopta el emblema establecido en dicha resolución, sino que éste se adopta también como im