PROTOCOLO PARA LA PUESTA EN MARCHA DE UNA POLÍTICA DE USO Y CONTROL DE LAS TICS EN EL SISTEMA DE INFORMACIÓN DE: [NOMBRE DEL CLIENTE]

Transcripción

1 PROTOCOLO PARA LA PUESTA EN MARCHA DE UNA POLÍTICA DE USO Y CONTROL DE LAS TICS EN EL SISTEMA DE INFORMACIÓN DE: [NOMBRE DEL CLIENTE]

2 ÍNDICE DEL DOCUMENTO. 1.- INTRODUCCIÓN BREVE INTRODUCCIÓN AL CONTROL DEL CORREO ELECTRÓNICO Y NAVEGABILIDAD POR INTERNET EN EL LUGAR DE TRABAJO INTRODUCCIÓN VIGILANCIA Y CONTROL DE LAS COMUNICACIONES ELECTRÓNICAS EN EL LUGAR DE TRABAJO. PRINCIPIOS GENERALES Necesidad Finalidad Transparencia Legitimidad Proporcionalidad Exactitud y conservación de los datos Seguridad CONTROL DEL CORREO ELECTRÓNICO Legitimación Información mínima recomendada que una empresa debería facilitar a su personal Correo Web CONTROL DEL ACCESO A INTERNET Utilización de Internet con fines privados en el lugar de trabajo Principios relativos al control de la utilización de Internet Contenido mínimo recomendado de la política de la empresa sobre la utilización de Internet. 14 ANEXOS 15 ANEXO I.- Política de uso de las TIC. 15 ANEXO II. Propuesta a seguir en el sistema de información a los empleados. Página 2 de

3 1.- INTRODUCCIÓN. El cliente requiere disponer de las herramientas jurídicas necesarias para poder controlar, cumpliendo la legalidad vigente, el uso del correo electrónico que pone a disposición de los empleados. Asimismo se plantea que a la vez que se solucione esta cuestión se aborde el uso y control del conjunto de las tecnologías de la información que se utilizan por parte de los empleados. Las herramientas para dar solución a dicha necesidad son las siguientes: Por un lado se ha confeccionado una política de uso de las TIC, que contiene normas concretas que se adjunta como ANEXO I. Por último se ha diseñado una propuesta a seguir en el sistema de información a los empleados, que se adjunta como ANEXO II. En la citada propuesta, y debido a que con el control se tratan datos de los empleados se ha incorporado también una cláusula en cumplimiento del deber de información ext. Art. 5 LOPD. Como quiera que se va a abordar un procedimiento de adecuación a la LOPD que va a requerir de la definición de específicas normas relativas al tratamiento de datos personales, por coherencia y para que no exista redundancia se abordan también en el mismo protocolo. Adicionalmente y con el objeto de que se comprenda el marco legal en la materia se desarrolla en este protocolo una introducción al estado legal de la cuestión. NOTA IMPORTANTE: Es importante, en el caso de que existan órganos de representación de los empleados en la empresa, comunicar previamente a los mismos que se va a poner en marcha esta política y normas con el fin de suavizar su puesta en práctica. 2.- BREVE INTRODUCCIÓN AL CONTROL DEL CORREO ELECTRÓNICO Y NAVEGABILIDAD POR INTERNET EN EL LUGAR DE TRABAJO INTRODUCCIÓN. Es evidente la cada vez mayor utilización de las nuevas tecnologías en general y, en particular, en el ámbito laboral. Ello conlleva, entre otras consecuencias, la posibilidad de contar con herramientas informáticas por parte de los trabajadores. El control de estas herramientas por parte del empresario puede suponer, en ocasiones, una merma cuando no una quiebra total de la privacidad del trabajador. Pero este derecho del trabajador ha de conciliarse con otros derechos e intereses legítimos del empleador, en particular, su derecho a administrar con cierta eficacia la Página 3 de

4 empresa, y sobre todo, su derecho a protegerse de la responsabilidad o el perjuicio que pudiera derivarse de las acciones de los trabajadores. 1 Históricamente se ha producido un debate sobre la aplicabilidad al control de las TIC de uno u otro artículo del Estatuto de los trabajadores: Artículo 18. Inviolabilidad de la persona del trabajador. Sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible. Artículo 20. Dirección y control de la actividad laboral. [ ] 3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso. La Sentencia del TRIBUNAL SUPREMO. Sala de lo Social. Sentencia de 26 de septiembre de RECURSO DE CASACIÓN Núm: 966/2006, resuelve el debate y entiende que en la tensión se aplica el artículo 20 ET: El artículo 18 está atribuyendo al empresario un control que excede del que deriva de su posición en el contrato de trabajo y que, por tanto, queda fuera del marco del artículo 20 del Estatuto de los Trabajadores. En los registros el empresario actúa, de forma exorbitante y excepcional, fuera del marco contractual de los poderes que le concede el artículo 20 del Estatuto de los Trabajadores y, en realidad, como ha señalado la doctrina científica, desempeña -no sin problemas de cobertura -una función de policía privada o de policía empresarial que la ley vincula a la defensa de su patrimonio o del patrimonio de otros trabajadores de la empresa. El régimen de registros del artículo 18 del Estatuto de los Trabajadores aparece así como una excepción al régimen ordinario que regula la Ley de Enjuiciamiento Criminal (artículo 545 y siguientes). Tanto la persona del trabajador, como sus efectos personales y la taquilla forman parte de la esfera privada de aquél y quedan fuera del ámbito de ejecución del contrato de trabajo al que se extienden los poderes del artículo 20 del Estatuto de los Trabajadores. Por el contrario, las medidas de control sobre los medios informáticos puestos a disposición de los trabajadores se encuentran, en principio, dentro del ámbito normal de esos poderes: el ordenador es un instrumento de producción del que es titular el empresario como propietario o por otro título y éste tiene, por tanto, facultades de control de la utilización, que incluyen lógicamente su examen. Por otra parte, con el ordenador se ejecuta la prestación de trabajo y, en consecuencia, el empresario puede verificar en él su correcto cumplimiento, lo que no sucede en los supuestos del artículo 18, pues incluso 1 Son palabras del Grupo de Trabajo Artículo 29. El Grupo de Trabajo del Artículo 29 es un grupo consultivo independiente compuesto por representantes de las autoridades de los Estados miembros, encargados de la protección de datos cuya misión es, en particular, examinar todas las cuestiones relativas a la aplicación de las medidas nacionales adoptadas en virtud de la Directiva sobre protección de datos con el fin de contribuir a su aplicación uniforme Página 4 de

5 respecto a la taquilla, que es un bien mueble del empresario, hay una cesión de uso a favor del trabajador que delimita una utilización por éste que, aunque vinculada causalmente al contrato de trabajo, queda al margen de su ejecución y de los poderes empresariales del artículo 20 del Estatuto de los Trabajadores para entrar dentro de la esfera personal del trabajador. Este protocolo es una ayuda para que se pueda producir ese control por parte del empresario sin merma de la privacidad del trabajador. Para ello, se analizan en primer lugar los principios generales aplicables a la vigilancia del correo electrónico, así como a la utilización de Internet y después se realizan algunas concreciones en relación con el control del correo electrónico y de la navegabilidad por Internet en el puesto de trabajo. Por último se adjuntan como ANEXO, documentos para la puesta en práctica de este protocolo VIGILANCIA Y CONTROL DE LAS COMUNICACIONES ELECTRÓNICAS EN EL LUGAR DE TRABAJO. PRINCIPIOS GENERALES. Los siguientes principios de protección de datos se derivan de la Directiva 95/46/CE (y se reflejan en la STS citada) deben respetarse en el tratamiento de los datos personales que implica este tipo de vigilancia. Para que una actividad de control sea legal y se justifique, deben respetarse todos los principios siguientes Necesidad. CONCEPTO: Según este principio, el empleador, antes de proceder a este tipo de actividad, debe comprobar si una forma cualquiera de vigilancia es absolutamente necesaria para un objetivo específico. Debería plantearse la posibilidad de utilizar métodos tradicionales de supervisión, que implican una intromisión menor en la vida privada de los trabajadores, y, cuando proceda, aplicarlos antes de recurrir a una forma de vigilancia de las comunicaciones electrónicas. Sólo en circunstancias excepcionales se considerará necesaria la vigilancia del correo electrónico o de la utilización de Internet de un trabajador. Algunos ejemplos de conductas que pueden justificar el control del correo electrónico de un trabajador para obtener una confirmación o una prueba de determinados actos del mismo son los siguientes: Investigar una posible actividad delictiva de un trabajador que obligara al empleador a defender sus intereses, por ejemplo cuando es responsable subsidiario de los actos del trabajador. Detectar virus y, en general, cualquier actividad realizada por el empleador para garantizar la seguridad del sistema. Cabe mencionar que la apertura del correo electrónico de un trabajador puede también resultar necesaria para mantener la correspondencia cuando el trabajador está ausente (por ej. enfermedad o vacaciones) o cuando la Página 5 de

6 correspondencia no puede garantizarse de otra forma (por ej. mediante las funciones de respuesta o desviación automática). El principio de necesidad significa también que un empleador sólo debe conservar los datos durante el tiempo necesario para el objetivo específico de la actividad de vigilancia. Página 6 de

7 Finalidad. CONCEPTO: Este principio significa que los datos deben recogerse con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines. En el presente contexto, el principio de compatibilidad significa, por ejemplo, que si el tratamiento de los datos se justifica a efectos de seguridad del sistema, estos datos no podrán tratarse posteriormente con otro objetivo, por ejemplo, para supervisar el comportamiento del trabajador. Cualquier otro uso diferente requerirá, por tanto, necesariamente el consentimiento del trabajador Transparencia. CONCEPTO: Este principio significa que un empleador debe indicar de forma clara y abierta sus actividades. Dicho de otro modo, el control secreto del correo electrónico por el empleador está prohibido, excepto en los casos en que exista una ley que lo autorice. Este principio puede subdividirse en tres aspectos: La obligación de proporcionar información al interesado. CONCEPTO: Significa que el empleador debe transmitir a su personal una declaración clara, precisa y fácilmente accesible de su política relativa a la vigilancia del correo electrónico y la utilización de Internet. Los trabajadores deben ser informados de manera completa sobre las circunstancias particulares que pueden justificar esta medida excepcional; así como del alcance y el ámbito de aplicación de este control. Esta información debería incluir necesariamente: La política de la empresa en cuanto a utilización del correo electrónico e Internet, describiendo de forma pormenorizada en qué medida los trabajadores pueden utilizar los sistemas de comunicación de la empresa con fines privados o personales (por ejemplo, períodos y duración de utilización). Los motivos y finalidad de la vigilancia, en su caso. Cuando el empleador autorice a los trabajadores a utilizar los sistemas de comunicación de la empresa con fines personales, las comunicaciones privadas podrán supervisarse en circunstancias muy limitadas, por ejemplo para garantizar la seguridad del sistema informático (detección de virus). Información detallada sobre las medidas de vigilancia adoptadas, por ejemplo: quién ha adoptado las medidas, qué medidas se han adoptado y cuando. Información detallada sobre los procedimientos de aplicación, precisando cómo y cuándo se informará a los trabajadores en caso de infracción de las directrices internas y de los medios de que disponen para reaccionar en estos casos. Página 7 de

8 Adicionalmente es conveniente: Que se informe inmediatamente al trabajador de cualquier abuso de las comunicaciones electrónicas detectado, salvo que haya razones imperiosas justifican la continuación de la vigilancia, lo que normalmente no es el caso. Ello se puede hacer de diversas formas: Transmitirse información rápida fácilmente mediante un programa informático, por ejemplo a través de ventanas de advertencia que avisen al trabajador de que el sistema ha detectado una utilización ilícita de la red. Un gran número de malentendidos podrían también evitarse de esta manera. Otro ejemplo del principio de transparencia es la práctica de los empleadores consistente en informar y/o consultar a los representantes de los trabajadores antes de introducir políticas que les conciernan. Es posible que los convenios colectivos no sólo obliguen al empleador a informar y consultar a los representantes de los trabajadores antes de instalar sistemas de vigilancia, sino que también supediten esta instalación a su consentimiento previo. Asimismo, en los convenios colectivos pueden establecerse los límites de la utilización de Internet y del correo electrónico por los trabajadores, así como proporcionarse información detallada sobre el control de esta utilización La obligación de notificar a la Agencia Española de Protección de Datos los ficheros o tratamientos que se produzcan. CONCEPTO: Se trata de que el tratamiento efectuado esté declarado en el RGPD dependiente de la AEPD para que los trabajadores puedan siempre comprobar en los registros de protección de datos, por ejemplo, qué categorías de datos personales de los trabajadores puede procesar el empleador, con qué finalidad y para qué destinatarios El ejercicio de Derechos. CONCEPTO: Un trabajador (como afectado o interesado que es), tiene el derecho de acceso, rectificación, cancelación y oposición, en relación con los datos tratados por su empleador. Téngase no obstante en cuenta que estos derechos, como cualquier otro, no son absolutos y, por tanto, tienen límites que habrá que tener en cuenta ante su ejercicio. Página 8 de

9 Legitimidad. CONCEPTO: Este principio significa que una operación de tratamiento de datos sólo puede efectuarse si su finalidad es legítima. La necesidad del empleador de proteger su empresa de amenazas importantes, por ejemplo para evitar la transmisión de información confidencial a un competidor, puede considerarse un interés legítimo Proporcionalidad. CONCEPTO: Según este principio, los datos personales, incluidos los que se utilicen en las actividades de control, deberán ser adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben. La política de la empresa en este ámbito deberá adaptarse al tipo y grado de riesgo al que se enfrente dicha empresa. El principio de proporcionalidad excluye, por lo tanto, el control general de los mensajes electrónicos y de la utilización de Internet de todo el personal, salvo si resulta necesario para garantizar la seguridad del sistema. Si existe una solución que implique una intromisión menor en la vida privada de los trabajadores y que permita lograr el objetivo perseguido, el empleador debería considerar su aplicación (por ejemplo, debería evitar los sistemas que efectúan una vigilancia automática y continua). Si es posible, el control del correo electrónico debería limitarse a los datos sobre tráfico de los participantes y a la hora de una comunicación más que al contenido, si ello es suficiente para satisfacer las necesidades del empleador. Si el acceso al contenido de los mensajes es indispensable, convendría tener en cuenta el respeto de la vida privada de los destinatarios externos e internos de la organización. Por ejemplo, el empleador no puede obtener el consentimiento de las personas ajenas a la organización que envían mensajes a los miembros de su personal. Del mismo modo, el empleador debería aplicar todos los medios razonables para informar a las personas ajenas a la organización de la existencia de actividades de vigilancia que pudieran afectarlas. Se podría, por ejemplo, insertar avisos de la existencia de sistemas de vigilancia en todos los mensajes salientes de la organización. La tecnología ofrece al empleador importantes posibilidades de evaluar la utilización del correo electrónico por sus trabajadores, comprobando, por ejemplo, el número de mensajes enviados y recibidos o el formato de los documentos adjuntos; por ello la apertura efectiva de los mensajes electrónicos es desproporcionada. La tecnología puede también utilizarse para garantizar que sean proporcionadas las medidas adoptadas por el empleador para proteger de todo abuso el acceso a Internet autorizado a su personal, utilizando mecanismos de bloqueo más que de vigilancia. Página 9 de

10 Ya existen numerosos ejemplos prácticos de la utilización de estos medios tecnológicos: Internet: Algunas empresas utilizan un programa informático que puede configurarse para impedir la conexión a categorías predeterminadas de sitios Web. Tras consultar la lista global de los sitios Web visitados por su personal, el empleador puede decidir añadir algunos sitios a la lista de los bloqueados (eventualmente después de haber informado a los trabajadores de que se bloqueará la conexión con este sitio, salvo si un trabajador le demuestra la necesidad de conectarse). Correo electrónico: Las empresas utilizan una función de desviación automática hacia un servidor aislado para todos los mensajes que superan un determinado volumen. Se informa automáticamente al destinatario de que se ha desviado un mensaje sospechoso hacia este servidor, donde puede consultarlo. Deberían crearse sistemas de tratamiento de las comunicaciones electrónicas para limitar al mínimo estricto la cantidad de datos personales tratados. Por lo que se refiere a la cuestión de la proporcionalidad, debe destacarse que el mecanismo de negociación colectiva puede resultar muy útil para decidir qué acciones son proporcionadas al riesgo que corre el empleador. Es posible alcanzar un acuerdo entre el empleador y los trabajadores sobre la forma de conciliar los intereses de ambas partes Exactitud y conservación de los datos. CONCEPTO: Este principio requiere que todos los datos legítimamente almacenados por un empleador (después de tener en cuenta todos los demás principios enunciados) que incluyan datos procedentes de una cuenta de correo electrónico de un trabajador, de su utilización de Internet o relativos a las mismas deberán ser precisos y actualizarse y no podrán conservarse más tiempo del necesario. Para ello los empleadores deberían especificar un período de conservación de los mensajes electrónicos en sus servidores centrales en función de las necesidades profesionales. Normalmente, es difícil imaginar que pueda justificarse un período de conservación superior a tres meses Seguridad. CONCEPTO: Este principio obliga al empleador a aplicar las medidas técnicas y organizativas adecuadas para proteger todos los datos personales en su poder de toda intromisión exterior. Incluye también el derecho del empleador a proteger su sistema contra los virus y puede implicar el análisis automatizado de los mensajes electrónicos y de los datos relativos al tráfico en la red. Llama la atención el papel del administrador del sistema y, un trabajador cuyas responsabilidades en materia de protección de datos son importantes. Es fundamental que el administrador del sistema, así como cualquier persona que tenga acceso a datos personales de los trabajadores durante las operaciones de control, esté Página 10 de

11 sometido a una obligación estricta de secreto profesional respecto a la información confidencial a la que pueda acceder CONTROL DEL CORREO ELECTRÓNICO Legitimación. Los trabajadores deben dar su consentimiento libremente y con conocimiento de causa; y los empleadores no deben recurrir al consentimiento como medio general de legitimar tratamientos de este tipo. Tal legitimación no puede anular derechos y libertades fundamentales de los trabajadores. Ello incluye, en su caso, el derecho fundamental al secreto de la correspondencia. El Grupo de Trabajo del artículo 29 ha opinado a este respecto lo siguiente: Si un empresario debe tratar datos personales como consecuencia inevitable y necesaria de la relación laboral, actuará de forma engañosa si intenta legitimar este tratamiento a través del consentimiento. El recurso al consentimiento deberá limitarse a los casos en los que el trabajador pueda expresarse de forma totalmente libre y tenga la posibilidad de rectificar posteriormente sin verse perjudicado por ello. Dado que los mensajes electrónicos contienen datos personales que se refieren tanto al emisor como al destinatario y que los empleadores pueden en general obtener el consentimiento de una de estas partes sin demasiadas dificultades (a menos que el correo electrónico incluya también la correspondencia entre trabajadores de la empresa), la posibilidad de legitimar el control del correo electrónico sobre la base del consentimiento es muy limitada. Estas consideraciones se aplican también a la letra b) del artículo 7 de la Directiva, ya que una de las partes de la correspondencia nunca tendría contrato con el responsable del tratamiento con arreglo a dicha disposición, es decir, para el control de la correspondencia. En esta fase, debe señalarse que cuando el trabajador recibe una cuenta de correo electrónico para uso estrictamente personal o puede acceder a una cuenta de correo Web, la apertura por el empleador de los mensajes electrónicos de esta cuenta (excepto para detectar virus) sólo podrá justificarse en circunstancias muy limitadas y no podrá justificarse en circunstancias normales con arreglo a la letra f) del artículo 7, ya que acceder a este tipo de datos no es necesario para satisfacer un interés legítimo del empleador. En este caso, prevalece por el contrario el derecho fundamental al secreto de correspondencia. En consecuencia, la cuestión de en qué medida la letra f) del artículo 7 autoriza el control del correo electrónico depende de la aplicación caso por caso de los principios fundamentales explicados anteriores. Al sopesar los intereses de las partes, conviene tener en cuenta el respeto de la vida privada de las personas ajenas a la organización afectadas por la actividad de vigilancia. Página 11 de

12 Información mínima recomendada que una empresa debería facilitar a su personal. Al elaborar su política, los empleadores deben respetar los principios enunciados relativos al principio general de transparencia, habida cuenta de las necesidades y el tamaño de la organización. Además, en el ámbito más específico del correo electrónico, deberán abordarse los puntos siguientes: Determinar si un trabajador está autorizado a disponer de una cuenta de correo electrónico de uso estrictamente personal, si está permitida la utilización de cuentas de correo Web en el lugar de trabajo y si el empleador recomienda a su personal la utilización de una cuenta privada de correo Web para utilizar el correo electrónico con fines exclusivamente personales. Los acuerdos con los trabajadores sobre el acceso al contenido del correo electrónico, por ejemplo cuando el trabajador se ausenta repentinamente, y las finalidades específicas de este acceso. Indicar el periodo de conservación de las posibles copias de seguridad de los mensajes. Precisar cuándo se borran definitivamente los mensajes electrónicos del servidor. Cuestiones de seguridad. Participación de los representantes de los trabajadores en la formulación de la política. Conviene señalar que el empleador debe garantizar permanentemente la actualización de su política de acuerdo con la evolución tecnológica y la opinión de su personal Correo Web. La posibilidad de que los trabajadores utilicen una cuenta privada de correo electrónico o un correo Web 2 podría suponer una solución pragmática del problema. Una recomendación en este sentido por parte del empleador facilitaría la distinción entre el correo electrónico de uso profesional y el de uso privado y reduciría el riesgo de intromisión de los empleadores en la vida privada de sus trabajadores. Además, los costes suplementarios para el empleador serían nulos o mínimos. Si se adopta esta política, el empleador podrá controlar, en casos específicos en que existan sospechas graves sobre el comportamiento de un trabajador, en qué medida éste utiliza su ordenador con fines personales, contabilizando el tiempo que emplea en las cuentas del correo Web. Esta solución satisface los intereses del empleador y evita 2 El correo Web es un sistema de correo electrónico en la red que ofrece funciones de correo electrónico a partir de cualquier distribuidor o servidor POP3 o IMAP y que está protegido generalmente por un nombre de usuario y una contraseña. Página 12 de

13 el riesgo de revelación de datos personales de los trabajadores, y, en particular, de datos delicados. Además esta política favorecería también a los trabajadores, porque les permitiría saber con seguridad el nivel de confidencialidad que pueden esperar, lo que quizá no sería el caso con códigos de conducta, más complejos y confusos. Dicho esto, conviene también indicar lo siguiente: El hecho de autorizar la utilización del correo Web o de cuentas privadas no es óbice para la plena aplicación de los puntos anteriores del presente capítulo a otras cuentas de correo electrónico en el lugar de trabajo. Al autorizar el correo Web, las empresas deben saber que su uso puede comprometer la seguridad de sus redes, en particular, por lo que se refiere a la proliferación de virus. Los trabajadores deberían saber que, a veces, los servidores del correo Web están situados en terceros países que quizá no cuenten con un sistema adecuado de protección de los datos de carácter personal. Debe tenerse en cuenta que estas consideraciones se aplican a las relaciones normales entre empleadores y trabajadores. Podría resultar necesario aplicar normas especiales a la comunicación de los trabajadores obligados a guardar secreto profesional CONTROL DEL ACCESO A INTERNET Utilización de Internet con fines privados en el lugar de trabajo. En primer lugar, conviene destacar que incumbe a la empresa decidir si autoriza a su personal a navegar en Internet con fines privados y, en caso afirmativo, en qué medida se tolera esta utilización privada. No obstante una prohibición absoluta de la utilización de Internet con fines privados por los trabajadores podría considerarse inaplicable y un tanto irrealista, ya que no se tendría en cuenta el apoyo que Internet puede brindar a los trabajadores en su vida diaria Principios relativos al control de la utilización de Internet. Al considerar la cuestión del control de la utilización de Internet por los trabajadores pueden aplicarse algunos principios. En la medida de lo posible, la prevención debería primar sobre la detección. En otras palabras, al empleador le es más beneficioso prevenir la utilización abusiva de Internet por medios técnicos que destinar recursos a su detección. Dentro del límite de lo que es razonablemente posible, la política de la empresa respecto a Internet debería basarse en herramientas técnicas para limitar el acceso, más que en dispositivos de control de los comportamientos, por ejemplo, bloqueando el acceso a algunos sitios o instalando advertencias automáticas. Página 13 de

14 El suministro al trabajador de información rápida sobre la detección de una utilización sospechosa de Internet es importante para minimizar los problemas. Aunque sea necesaria, toda medida de control debe ser proporcionada al riesgo que corre el empleador. En la mayoría de los casos, la utilización abusiva de Internet puede detectarse sin tener que analizar el contenido de los sitios visitados. Por ejemplo, la comprobación del tiempo empleado o la elaboración de una lista de los sitios más visitados por un servicio, podría bastar para confirmar al empleador que sus sistemas se emplean correctamente. Si estas comprobaciones generales revelaran una posible utilización abusiva de Internet, el empleador podría entonces considerar la posibilidad de proceder a nuevos controles en la zona de riesgo. Al analizar la utilización de Internet por los trabajadores, los empleadores deberían evitar sacar conclusiones precipitadas, dada la facilidad con que pueden visitarse involuntariamente algunos sitios a través de respuestas de motores de búsqueda, vínculos hipertextuales ambiguos, pancartas publicitarias engañosas o errores al pulsar las teclas. En todos los casos, deberán presentarse al trabajador en cuestión todos los hechos de que se le acusa y ofrecerle la posibilidad de refutar la utilización abusiva alegada por el empleador Contenido mínimo recomendado de la política de la empresa sobre la utilización de Internet. La información que se especifica en el apartado relativo al principio de Transparencia, pero además, en el ámbito más específico de la navegabilidad deberán abordarse los puntos siguientes: El empleador deberá precisar claramente a los trabajadores en qué condiciones se autoriza la utilización de Internet con fines privados e indicarles los elementos que no pueden visualizar o copiar. Estas condiciones y restricciones deberán explicarse al personal. Deberá informarse a los trabajadores de los sistemas instalados para impedir el acceso a algunos sitios o para detectar una posible utilización abusiva. Deberá precisarse el alcance del control. Por ejemplo si este control se efectúa de manera individualizada o por departamentos de la empresa, o si el contenido de los sitios consultados será visualizado o registrado por el empleador en determinados casos. La política de la empresa deberá especificar, cuando proceda, el uso que se hará de los datos recogidos sobre las personas que visitaron sitios específicos. Deberá informarse a los trabajadores del papel de sus representantes, tanto en la aplicación de la política como en la investigación de las presuntas infracciones. Página 14 de

15 ANEXOS ANEXO I.- Política de uso de las TIC. POLÍTICA Y NORMAS DE USO Y CONTROL DE LAS TECNOLOGIAS DE LA INFORMACIÓN Y DE LAS COMUNICACIONES. NORMAS DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL DE [NOMBRE DE CLIENTE] 1.- OBJETIVO. El objetivo de la presente Política y normas de uso es establecer las directrices generales que garanticen el adecuado uso de las tecnologías de la información y las comunicaciones (TIC) de la empresa [NOMBRE DEL CLIENTE], establecer los sistemas de control y las consecuencias que el incumplimiento de la misma tiene para los empleados. Esta política está integrada de forma coherente con la política general de seguridad de [NOMBRE DEL CLIENTE], así como con la política, normas y procedimientos desarrollados en materia de protección de datos personales, que también se desarrolla en este documento. Asimismo se procurará la coordinación con cualesquiera políticas, normas y procedimientos que se desarrollen y con los que existan intersecciones. Esta política y normas de desarrollo ha sido comunicada a los representantes sindicales de los empleados en la empresa, se comunicará a los empleados a quienes afecte y se actualizará en los términos en que la misma indica. 2.- POLÍTICAS. POLÍTICA DE USO Y CONTROL DE LAS TIC. La política que inspira las normas de uso de las TIC se basa en las siguientes premisas: [NOMBRE DEL CLIENTE], es una empresa que está concienciada con la seguridad de sus sistemas de información, y hace esfuerzos por mantenerlos seguros. Asimismo [NOMBRE DEL CLIENTE], pretende estar siempre alineada con el cumplimiento de la legalidad vigente y, en concreto, A. Todos los equipos, infraestructuras y aplicaciones dispuestos al servicio del personal contratado son propiedad de [NOMBRE DEL CLIENTE], y sólo se permite su utilización para desarrollar las tareas establecidas en el ámbito laboral. B. Asimismo todos los datos procesados por los elementos anteriormente mencionados y los resultados son propiedad de [NOMBRE DEL CLIENTE],, conforme a la legislación sobre propiedad intelectual. Página 15 de

16 C. La empresa no admite la utilización particular de las TIC y herramientas puestas a disposición de los usuarios. D. El uso de las TIC será controlado tanto por motivos de seguridad como por motivos de control de la actividad laboral. E. El sistema de control se basará en un sistema proporcional basado en las siguientes premisas: 1) En el caso de herramientas que permitan sistemas de control menos invasivos como control de volumen, tráfico, actividad, extensiones de archivos etc. se procurará previamente el control de estos elementos y posteriormente el control de aspectos concretos que contengan dato. 2) En todo caso se podrán establecer sistemas de control basados en catas aleatorias pero que no supongan de inicio un control total de la actividad. F. Se podrán adoptar las medidas legales oportunas frente al incumplimiento de estas políticas y normas y en general frente al incumplimiento de la legalidad vigente POLÍTICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. La política que inspira las normas de uso de las TIC se basa en las siguientes premisas: A. Respeto a las normas vigentes en materia de protección de datos. B. El desarrollo de procedimientos y adopción de medidas para el cumplimiento de las obligaciones que afecten a datos personales, tanto en soportes automatizados como no automatizados. C. El diseño de un plan de mejora continua de los procedimientos adoptados. Página 16 de

17 3.- NORMAS DE USO NORMAS DE USO DE LAS TIC. Sin perjuicio de otras normas de uso que puedan existir en la organización, las normas de uso de las TIC a las que se refiere esta política son las siguientes: A.- Normas generales. 1. La compañía considera que las TIC son un elemento fundamental para las comunicaciones entre la empresa y el resto de agentes económicos y sociales que intervienen en las relaciones empresariales. Por ello las TIC son asignadas a áreas o puestos de trabajo y no a personas. 2. Queda prohibido el uso de las mismas para fines no relacionados con las funciones laborales encomendadas. B.- Uso del Correo electrónico. B.1.- Normas de uso. Hay usuarios que solo disponen de correo interno y otros también externo. a. Normas comunes a todos los usuarios (tanto de correo interno como externo). 1. El correo electrónico (en el caso de los usuarios que dispongan del mismo) sea cual sea la dirección asignada, se configura como una herramienta de trabajo no exclusiva, colectiva y de libre acceso, asignada a áreas o puestos de trabajo y no a personas. 2. Queda prohibido el uso del mismo para fines no relacionados con las funciones laborales encomendadas. 3. El empleo del nombre o apellidos de los trabajadores (cuando así suceda) junto al dominio de la EMPRESA en las direcciones de correo no significa la asignación por la empresa de un correo personal, esto se realiza únicamente por motivos organizativos internos de asignación de áreas y puestos de trabajo. 4. Se podrá realizar copia de seguridad de los s y acceder al contenido de los mismos ante problemas técnicos o de seguridad o cuando existan sospechas de que no se cumplen estas normas. 5. No se permite el uso de cuentas de correo distintas a las proporcionadas por la empresa. b. Normas específicas para los usuarios de correo externo. 1. El correo electrónico no debe utilizarse como herramienta de difusión de información masiva. Se prohíbe el envío de correos masivos (spam) empleando la dirección de correo electrónico corporativa. Para tales fines Página 17 de

18 existen medios más adecuados (WEB, FTP, foros, news), cuando así se autoricen. 2. Queda prohibido expresamente participar en cartas en cadena. 3. Se limitará a los casos estrictamente necesarios por trabajo el envío o reenvío de ficheros adjuntos, especialmente en los mensajes dirigidos a múltiples usuarios, así como para anunciar la aparición de nuevos virus, amenazas, etc. por parte de personal no autorizado. 4. No está permitido manipular las cabeceras de los mensajes con la finalidad de ocultar o falsear la identidad del remitente del mensaje. 5. El correo electrónico es una de las fuentes más importantes de difusión de virus, por lo que se recomienda no abrir mensajes recibidos de remitentes desconocidos y especialmente si además de remitentes desconocidos tienen el asunto en ingles. 6. El tamaño máximo de los mensajes está limitado a **** MB En el caso de que se necesiten enviar ficheros de tamaño superior, el Departamento de Informática facilitara los medios necesarios para ello. 7. No están permitidos los envíos masivos, siendo rechazados los mensajes si el número máximo de destinatarios es superior a ***** 8. Debido al incremento y la continua aparición de nuevos virus, son eliminados los mensajes con anexos susceptibles de ejecución. Las extensiones cortadas son: Aplicaciones: exe, dll. Scripts: vbs, shs, vbe, hta, pif, bat, lnk, scr, wsh. Otros: com, vxd, hlp, sys, shs, ovl, ocx, cab, cmd, class, vdl, chm, cpl, mdb. 9. Para evitar la posible generación de spam desde servidores internos y aparecer en listas negras, se limita el envío de correo hacia fuera de la empresa únicamente a los servidores de correo corporativos. B.2.- Controles. La empresa podrá controlar el uso del correo electrónico. Para ello seguirá un sistema baso en: Un primer nivel de control de tráfico y archivos adjuntos. Un segundo nivel de control de contenidos. No obstante también la empresa podrá utilizar sistemas de control de correo basados en palabras clave u otros que estime oportunos. Página 18 de

19 C.- Acceso a Internet. Los usuarios no tienen acceso por regla general a Internet, sólo a la Intranet corporativa. No obstante, los usuarios a quienes se de acceso por motivo de trabajo a Internet, deberán respetar las siguientes normas de uso: C.1. Normas de uso. 1. El acceso Internet (en el caso de los usuarios que dispongan del mismo) se configura como una herramienta a disposición de los empleados para el cumplimiento de sus tareas. 2. Queda prohibido el uso del mismo para fines no relacionados con las funciones laborales encomendadas. C.2.- Controles. La empresa podrá controlar el uso del acceso a Internet proporcionado. Para ello seguirá un sistema baso en un control de las páginas visitadas, lo que podrá suponer el almacenamiento y control de las cookies que se generen y su utilización en procedimientos disciplinarios o en cualquier orden administrativo o judicial. No obstante también la empresa podrá utilizar otros sistemas de control de la navegabilidad que estime oportunos. D.- Equipos. D.1.- Normas de uso. 1. Los equipos proporcionados por la empresa se configuran como herramienta puesta a disposición de los empleados para el cumplimiento de sus tareas. 2. Queda prohibido el uso del mismo para fines no relacionados con las funciones laborales encomendadas. 3. Queda prohibido trabajar con equipos personales que no sean proporcionados por la empresa. 4. Sólo podrán trabajar con equipos portátiles las personas autorizadas a ello por la organización. 5. Cuando se proporcionen equipos portátiles o en general dispositivos móviles el empleado será el responsable de su custodia cuando estén fuera de la empresa. 6. Se procurará en todo caso trabajar sobre los servidores corporativos. Cuando necesariamente se trabaje en modo local el empleado será el responsable de Página 19 de

20 que cuando la información que contengan los equipos (tenga o no datos personales) se guarde debidamente en el servidor habilitado al efecto para evitar la pérdida de la misma. 7. Hay aspectos específicos relativos a normas de protección de datos personales que se pueden consultar en las normas de uso en protección de datos de carácter personal. D.2.- Controles. La empresa podrá controlar el uso de los equipos, incluso el contenido de los mismos, mediante el sistema que estime oportuno. E. Dispositivos de almacenamiento externo. Los usuarios no pueden técnicamente utilizar dispositivos de almacenamiento externo y caso de que puedan de forma accidental no deberán hacer uso de ellos, salvo en los casos en que se autorice expresamente y se adopten las debidas medidas de seguridad. 1. En general el uso de dispositivos de almacenamiento externo está prohibido excepto autorización expresa y por escrito por parte de la organización. 2. Cuando se autorice su uso lo será únicamente con dispositivos facilitados por la organización. 3. La información que se contenga en dichos dispositivos, contengan o no datos de carácter personal, se mantendrá cifrada. 4. Hay aspectos específicos relativos a normas de protección de datos personales que se pueden consultar en las normas de uso en protección de datos de carácter personal. D.2.- Controles. La empresa podrá controlar el uso de los dispositivos externos, incluso el contenido de los mismos, mediante el sistema que estime oportuno. F.- Aplicaciones. No se podrán descargar o utilizar programas que no estén previa y expresamente autorizados por la organización y publicados en el inventario de programas permitidos. G.- Telefonía. G.1.- Telefonía fija. Se podrá controlar el destino de las llamadas realizadas con teléfonos fijos. G.2.- Telefonía móvil. A aquellos que dispongan de teléfono móviles se les limitará su uso con un tope de gasto que se les comunicará y se podrá controlar el destino de llamadas. Página 20 de

21 H.- Localizadores. La empresa, con el objeto de mejorar ciertos servicios, podrá utilizar localizadores de posición de ciertos empleados que al llevarlos conocen de la posibilidad de que con ellos se conozca su localización y trayectos realizados. La finalidad de estos es mejorar los servicios y optimizar recursos pero la información que faciliten estos podrá ser utilizada también para el control de la actividad laboral y la toma de decisiones en esta materia, incluso disciplinarias o laborales. I.- Cámaras de Videovigilancia. La empresa dispone de cámaras de videovigilancia cuya finalidad inicial es la de seguridad y de cuya ubicación existen carteles informativos. No obstante las cámaras pueden ser también utilizadas caso de captarse información que revele aspectos laborales de importancia, para la toma de decisiones laborales. J.- Grabación de voz. La empresa no utiliza sistemas de grabación de voz. No obstante es posible la implantación de sistemas de control de calidad en áreas (como atención a clientes) que impliquen la necesidad de la grabación de las mismas. La información así recogida podrá ser utilizada para la mejora de dichos procesos y también para la toma de posibles decisiones laborales. K.- Otros aspectos. No está permitido: Emplear identificadores y contraseñas de otros usuarios para acceder al sistema. Burlar las medidas de seguridad establecidas en el sistema informático, intentando acceder a ficheros o programas cuyo acceso no le haya sido permitido. Modificar la configuración de redes, de equipos y de cualquier dispositivo de trabajo. En general, el empleo de la red corporativa, sistemas informáticos y cualquier medio puesto al alcance del usuario vulnerando el derecho de terceros, los propios de la organización, o bien para la realización de actos que pudieran ser considerados ilícitos NORMAS DE USO DE DATOS PERSONALES. A continuación se abordan las normas de uso de los datos personales dispuestas por la organización. Con el objeto de dotar de solidez a las mismas y que cumplan con la exigencia legal de proteger tanto los ficheros automatizados como no automatizados, así como de Página 21 de

22 estar alineadas con la política de uso de las TIC de la organización se detallan a continuación: 1. Unas obligaciones generales relativas a la protección de datos comunes a la información personal cualesquiera que sea el soporte en que se hallen. 2. Unas obligaciones concretas relativas a los ficheros no automatizados 3. Y por ultimo otras relativas a los ficheros automatizados OBLIGACIONES GENERALES: comunes a ficheros automatizados y no automatizados (papel). Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la organización. Guardar todos los soportes físicos y/o documentos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral. Queda prohibido el traslado de cualquier soporte, listado o documento con datos de carácter personal en los que se almacene información titularidad de la organización fuera de los locales de la misma, sin autorización previa del Responsable de Seguridad. En el supuesto de existir traslado o distribución de soportes y documentos se realizará cifrando dichos datos, o mediante otro mecanismo que el acceso o manipulación de la información por terceros. Ficheros de carácter temporal o copias de documentos son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada o trabajos temporales y auxiliares, siempre y cuando su existencia no sea superior a un mes. Estos ficheros de carácter temporal o copias de documentos deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán cumplir con los niveles de seguridad asignados por el Responsable de Seguridad. Si, transcurrido el mes, el usuario necesita continuar utilizando la información almacenada en el fichero, deberá comunicarlo al Responsable de Seguridad, para adoptar las medidas oportunas sobre el mismo. Únicamente las personas autorizadas en un listado de accesos podrán introducir, modificar o anular los datos contenidos en los ficheros o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por el Responsable de Seguridad. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a ficheros o documentos a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del Responsable de Seguridad correspondiente. Comunicar al Responsable de Seguridad, conforme al procedimiento de notificación, las incidencias de seguridad de las que tenga conocimiento. Página 22 de

23 Obligaciones específicas respecto de los ficheros automatizados que contengan datos personales Cambiar las contraseñas a petición del sistema. Cerrar o bloquear todas las sesiones al término de la jornada laboral o en el supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos no autorizados. No copiar la información contenida en los ficheros en los que se almacenen datos de carácter personal al ordenador personal, disquetes, portátil o a cualquier otro soporte sin autorización expresa del Responsable de Seguridad correspondiente y sin adoptar las correspondientes medidas de seguridad y custodia para evitar el acceso por parte de terceros. Guardar todos los ficheros con datos de carácter personal en la carpeta indicada por el Responsable de Seguridad correspondiente a fin de facilitar la aplicación de las medidas de seguridad que les correspondan. Los usuarios tienen prohibido el envío de información de carácter personal de nivel alto, salvo autorización expresa del Responsable de seguridad que tenga asignada esta tarea. En todo caso, este envío únicamente podrá realizarse si se adoptan los mecanismos necesarios para evitar que la información no sea inteligible ni manipulada por terceros Funciones y obligaciones respecto a los ficheros NO automatizados. Mantener debidamente custodiadas las llaves de acceso a la organización, a sus despachos y a los armarios, archivadores u otros elementos que contenga ficheros no automatizados con datos de carácter personal, debiendo poner en conocimiento del Responsable de seguridad competente cualquier hecho que pueda haber comprometido esa custodia. Cerrar con llave las puertas de los despachos al término de la jornada laboral o cuando deba ausentarse temporalmente de esta ubicación, a fin de evitar accesos no autorizados. Asegurarse de que no quedan documentos impresos que contengan datos de carácter personal impresos en la bandeja de salida de la impresora o fax. Establecerse procedimientos en el copiado o reproducción de documentos, a fin que solo puedan acceder a las copias las personas habilitadas por el Responsable de Seguridad correspondiente. Las obligaciones sólo serán exigibles a los usuarios en tanto en cuanto la organización disponga los medios adecuados en cada caso Responsabilidad de la Dirección. La Dirección es responsable de: 1. Aprobar las presentes normas. Página 23 de

24 2. Dotar a la empresa de los medios técnicos y organizativos para su cumplimiento. 3. Difundirlas entre los empleados. 4. Mantenerlas actualizadas a los cambios organizativos, tecnológicos y legales Tratamiento de la información generada con ocasión de dichos controles. La información que se recabe y se trate con ocasión de dichos controles formará parte de un fichero del que es responsable [NOMBRE DEL CLIENTE], y cuya finalidad es controlar tanto la seguridad de los sistemas de información, como el control del uso de las herramientas y medios puestos a disposición de los empleados en los términos indicados en esta política y normas. En tanto en cuanto dicha información pueda identificarse a una persona concreta el empleado tendrá derecho como interesado a ejercitar sus derechos de acceso, rectificación, cancelación y oposición en los términos dispuestos en la legislación vigente. Para ello podrá remitir o presentar una solicitud por escrito con copia del DNI o documento equivalente a la dirección postal de la empresa Incumplimiento. A. Comunicación En caso de infracción de las presentes normas la empresa procurará comunicar al empleado, tan pronto tenga certeza de los hechos y le sea posible, la infracción cometida y sus consecuencias (según la infracción de que se trate y su mayor o menor gravedad. Para ello la empresa podrá: 1. Bien comunicar directamente al empleado los hechos: bien de forma electrónica mediante el uso del proporcionado al efecto; bien mediante la comunicación por escrito al domicilio que el empleado haya comunicado a efectos laborales; bien mediante 2. Bien B. Consecuencias La empresa dispone de diferentes medios para reaccionar frente al incumplimiento de las presentes normas (según la gravedad de la infracción y los perjuicios que cause a la empresa): 1. Por un lado podrá abrirse un expediente disciplinario al empleado con las correspondientes sanciones impuestas en la legislación laboral. 2. En caso de infracciones graves o muy graves o de infracciones leves reiteradas, la infracción podrá lugar a despido disciplinario del empleado. Página 24 de

25 3. En el caso de que como consecuencia de la actuación del empleado la empresa tenga alguna sanción o responsabilidad, o deba abonar alguna indemnización por daños en cualquier orden, podrá repetir contra el empleado el importe de la cantidad que hubiese tenido que abonar más en su caso los perjuicios y gastos que ello le pudiera haber ocasionado. D/Dª (datos del trabajador)., con DNI número..declara haber leído y aceptado la presente política de uso y control de las TICS. En a de.de 201_. ANEXO II. Propuesta a seguir en el sistema de información a los empleados. En primer lugar se aconseja comunicar previamente estas normas a los delegados sindicales. Respecto a la comunicación a los empleados, la forma en que se puede comunicar dicha política y normas de uso pueden ser varias: 1. Bien realizar simplemente un envío de una circular y comunicar que estas normas están disponibles en la Red corporativa. 2. O realizar charlas de formación donde se expliquen y comunicar también que estas normas están en la red corporativa Nota: En cualquier caso se recomienda que todos los trabajadores afectados firmen las normas de uso y control de las TICS. Página de