políticas de seguridad y uso de herramientas tecnológicas en el ámbito empresarial
TRANSCRIPT
Políticas de seguridad y uso de herramientas
Tecnológicas en el ámbito empresarial
LEGISLACIÓN
LEY TEMA
Ley 527 de 1999Mensajes de datos, del comercio electrónico
ley 1273 de 2009 Delitos informáticosLey 1266 de 2008 Habeas Data
Circular 052 de 2007 SFC
Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios.
Validez Jurídica de los Mensajes de datos
Definición de Mensajes de Datos
«La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax»
Reconocimiento jurídico de los mensajes de datos
Artículo 5°. No se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en forma de mensaje de datos.
CORTE SUPREMA DE JUSTICIA SALA DE CASACIÓN LABORAL. Bogotá D.C., veintiocho (28) de abril de dos mil nueve (2009). Radicación N° 33849
• (…) Los e-mails enviados por directivos de la demandada a la demandante, dejan ver con meridiana claridad que a ésta se le impartían órdenes o instrucciones de manera particular y de obligatorio cumplimiento, que conllevan al sometimiento y dependencia para con la demandada
• Sobre los correos electrónicos el representante legal de la accionada al contestar la pregunta 12 del interrogatorio confesó que entre los socios o dueños de la empresa y la demandante “Si hay comunicación vía electrónica coordinando actividades propias de la relación”
• Dicho Plan de Ventas figura remitido por Edgar Holguín a la demandante mediante el correo electrónico, manifestándosele que “contiene las normas que regirán las labores de comercialización del personal responsable de las mismas en b2bSolutions Group” (…)
COMUNICACIÓN ELECTRÓNICA
Riesgos:
Ausencia de confidencialidad
Alteración de los mensajes de datos
Suplantación de Identidad
Riesgo de repudio
Requisitos jurídicos de un mensaje de datos (documento electrónico)
Equivalente funcional
EscritoArt. 6
FirmaArt. 7
OriginalArt. 8
ConservaciónArt. 12
Mitiga estos riesgos, desde el punto de vista normativo
Artículo 11. Criterio para valorar probatoriamente un mensaje de datos
Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios reconocidos legalmente para la apreciación de las pruebas. Por consiguiente habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente
Valor probatorio de los mensajes de datos
AutenticidadIntegridadNo repudioConfidencialidad
Seguridad de la información y uso adecuado de las herramientas tecnológicas
Clasificación de la
Información
Pública
Semiprivada
Privada
Restringida
o reserv
ada
Clasificación de la información
Principios en la administración de Bases de Datos
Veracidad o calidad
finalidadAcceso y
circulación restringida
Confidencialidad Seguridad
Temporalidad de la
información
PROTECCIÓN DE DATOS
Conflicto del uso de las tic en el lugar de trabajo
Uso de TIC para fines no
laborales
Medidas tecnológicas
tomadas por el empleador en su
facultad disciplinaria
Equilibrio entre el uso de las TIC para supervisar y el respeto por
los derechos fundamentales
Limites del empleador en el control de los trabajadores
TIC
Intimidad
Propia imagen
Información
Buen nombre
Honra
Habeas Data
Constitución política• «Todas las personas tienen derecho a su intimidad personal y familiar y a
su buen nombre, y el Estado debe respetarlos y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privada (…) La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley» (artículo 15 de la Constitución Política)
• «Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación…» (artículo 20 de la Constitución Política)
• «Toda persona tiene derecho al reconocimiento de su personalidad jurídica» (artículo 14 de la Constitución Política)
Derecho a la intimidad «La intimidad, el espacio exclusivo de cada uno, es aquella órbita reservada
para cada persona y de que toda persona debe gozar, que busca el
aislamiento o inmunidad del individuo frente a la necesaria injerencia de los
demás, dada la sociabilidad natural del ser humano» (Sentencia T-969 de
1996)
• Formas de vulneración
1. Intromisión o intrusión a la orbita que la persona se ha reservado
2. Divulgación de hechos privados
3. Presentación mentirosa o deformada de circunstancias personales
Derecho al Buen nombre
• «La buena opinión o fama adquirida por un individuo en razón a la virtud y al mérito, como consecuencia necesaria de las acciones protagonizadas por él»
• «Este derecho está atado a todos los actos o hechos que una persona realice y por las cuales la sociedad hace un juicio de valor sobre sus virtudes y defectos» Sentencia T- 494 de 2002
Derecho al habeas data
• «Es aquel que otorga la facultad al titular de datos personales, de exigir a las administradoras de datos personales el acceso, inclusión, corrección, adición, actualización, y certificación de los datos, así como la limitación en las posibilidades de divulgación, publicación o cesión de los mismos, conforme a los principios que informan el proceso de administración de bases de datos»
Derecho a la propia imagen
• «La imagen o representación externa del sujeto tiene su asiento necesario en la persona de la cual emana y, por tanto, afecta lo que en estricto rigor constituye un derecho o bien personalísimo (…) De ahí que con las limitaciones legítimas deducibles de las exigencias de la sociabilidad humana, la búsqueda del conocimiento y demás intereses públicos superiores, se estime que toda persona tiene derecho a su propia imagen y que, sin su consentimiento, ésta no puede ser injustamente apropiada, publicada, expuesta, reproducida o comercializada por otro» (Sentencia T- 090 de 1996)
El derecho a la intimidad en el ámbito laboral
Derechos laborales específicos Se ejerce solo dentro del ámbito laboral, como el derecho a la negociación colectiva, derecho al salario, derecho de asociación sindical
Derechos laborales inespecíficosSon aquellos que se ejercen fuera del ámbito laboral, pero se hacen efectivos dentro de la relación laboral en razón a la naturaleza jurídica que se pretenda hacer valer. Ej.: derecho a la intimidad, lo ejerce dentro y fuera de una relación laboral.
Se debe tener en cuenta tres aspectos al momento de implementar una medida tecnológica
IDONEIDAD
NECESIDADPROPORCIONALIDAD
Usos y comportamientos laborales
• Puede considerarse como situaciones de absentismo laboral• Pueden ser susceptibles de ser controlados por el empleador
• Uso para los fines de la Empresa
• Tareas exclusivamente relacionadas con la actividad profesional
• Uso abusivo del correo electrónico
e internet• A veces va en contra de
los intereses de la compañía
La facultad de dirección del empleador• C.S.T. Artículo 23 Elementos esenciales (…)
• b) La continuada subordinación o dependencia del trabajador
respecto del empleador, que faculta a éste para exigirle el
cumplimiento de órdenes, en cualquier momento, en cuanto
al modo, tiempo o cantidad de trabajo, e imponerle
reglamentos, la cual debe mantenerse por todo el tiempo de
duración del contrato. Todo ello sin que afecte el honor, la
dignidad y los derechos en concordancia con los trabados o
convenidos internacionales que sobre derechos humanos
relativos a la materia obliguen al país.
LIMITES: La buena feLa ley
LIMITES DE LA facultad de dirección del empleador
• C.S.T Articulo 57 núm. 5. Obligaciones del empleador. Son obligaciones especiales del patrono.: «Guardar absoluto respeto a la dignidad personal del trabajador, a sus creencias y sentimientos»
• C.S.T Articulo 59 núm. 9 Prohibiciones del empleador «Se prohíbe a los patronos: Ejecutar o autorizar cualquier acto que vulnere o restrinja los derechos de los trabajadores o que ofenda su dignidad
Conductas del empleador que pueden constituirse como delitos
• Artículo 192. Violación ilícita de comunicaciones. El que ilícitamente sustraiga, oculte, extravíe, destruya, intercepte, controle o impida una comunicación privada dirigida a otra persona, o se entere indebidamente de su contenido, incurrirá en prisión de uno (1) a tres (3) años, siempre que la conducta no constituya delito sancionado con pena mayor.
• Artículo 269C: Interceptación de datos informáticos. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.
• Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
¿Puede el trabajador acceder a internet O utilizar el correo electrónico dentro del horario de trabajo?
• La regla general es que el trabajador puede utilizar el correo electrónico e internet para fines laborales y no personales.
• No esta permitido para fines personales, inclusive podría llegar al despido con justa causa, revisando el artículo 60 núm. 8 Se prohíbe a los trabajadores:
«Usar útiles o herramientas suministradas por el patrono en objetos distintos del trabajo contratado»
EL EMPLEADOR DEBE TOLERAR CIERTOS USOS, DEBIENDO EL TRABAJADOR USAR DE MANERA MODERADA LAS HERRAMIENTAS TECNOLOGICAS FACILITADAS POR LA EMPRESA, SIN INCURRIR EN ABUSOS
¿puede el empleador ingresar al ordenador del trabajador sin vulnerar derechos fundamentales?
Los trabajadores deben conocer y aprobar con carácter previo, el posible control de las herramientas tecnológicas puestas a disposición por parte de la empresa.
Clausula contractual/ otro siReglamento interno de trabajo
Hay una expectativa de intimidad, que en cualquier caso debe ser considerada
Necesidad de control de los medios informáticos por parte del
empleadorControlar que se cumplen con las
obligaciones encomendadas,
inclusive los usos de los medios de producción,
en este caso, los medios informáticos.
Necesidad de coordinar y
garantizar la continuidad de la
actividad laboral en los supuestos de ausencia de los
trabajadores
Protección del sistema
informático de la empresa
Prevención de responsabilidades
que pueden derivar de la empresa en algunas formas ilícitas de uso
frente a terceros
¿Qué ha dicho la corte?• Sentencia T-405/07• «El hecho de que se tratara de una herramienta de trabajo compartida,
no autorizaba a ningún miembro de la Institución el ingreso, no consentido, a archivos personales ajenos, y mucho menos la extracción, manipulación, exhibición y uso de esa información personal»
• «Le hubiese bastado con emitir un informe sobre lo que consideraba uso indebido o no autorizada de los elementos de trabajo para adoptar las determinaciones de contenido disciplinario o laboral que pudieran derivarse de tal comportamiento»
• «La información se encontraba guardada en una carpeta personal, no expuesta a la vista pública por voluntad de la actora, quienes ingresaron a ella debieron superar los controles técnicos usuales para el acceso a un archivo de computador. De tal manera que sí hubo una indebida intromisión en una información que sólo concernía a su titular, y que estaba amparada por la reserva que impone el derecho a la intimidad personal. La relación laboral existente entre actora y demandada no autorizaba esta invasión a aspectos de la vida privad»
Procedimiento• Como lo pone de presente la doctrina especializada, la prueba ilícita, más
específicamente, “...es aquella cuya fuente probatoria está contaminada por la vulneración de un derecho fundamental o aquella cuyo medio probatorio ha sido practicado con idéntica infracción de un derecho fundamental. En consecuencia,... el concepto de prueba ilícita se asocia a la violación de los citados derechos fundamentales", hasta el punto que algunos prefieren denominar a esta prueba como inconstitucional (Vid: 'Corte Constitucional, sentencia SU-159-02)
Reglamento para el trabajador• Uso del PC´s y ordenadores portátiles• Uso responsable de Internet• Uso razonable y responsable del correo electrónico y otras formas de
mensajería electrónica• Uso de teléfonos móviles o fijos • Puesto de trabajo seguro y escritorio limpio• Uso de impresoras y otros equipos de la oficina
Recomendaciones • Manual: Sistemas de gestión de la seguridad
de la información• Otrosi al contrato laboral• Campañas masivas en la compañía, en
educación, concientización de los riesgos del uso no adecuado de las TIC
• Manuales de usos y procedimientos, estrictos, y que sepan que están siendo monitoreados
• Filtros técnicos y legales
Panorama en materia de Protección de Datos en Colombia
• Las empresas deberán contar con:Políticas de Protección de Datos Auditorias sobre el cumplimiento de la ley de
protección de datos personalesRealizar el respectivo registro de las bases de datos
personales ante la Autoridad Nacional de Protección de Datos personales
Los contratos laborales, contratos de tercerización en la administración de bases de datos, contratos con clientes se deben adecuar a la nueva legislación
Heidy [email protected]
www.legaltic.co