El Tribunal Supremo recomienda la regulación interna del uso de los medios informáticos en la empresa

Comentaba Jorge Campanillas los puntos más importantes de la sentencia del Tribunal Supremo de 26 de septiembre de 2007, que viene a delimitar el control por parte del empresario de las herramientas informáticas que pone a disposición del trabajador dentro del artículo 20.3 del Estatuto de los Trabajadores.

Al margen de lo anterior, me parece oportuno señalar la necesidad, que recoge la sentencia, de que la empresa regule internamente el uso de los medios informáticos que se ponen al alcance del trabajador a fin de prevenir la utilización abusiva de los mismos con fines personales y regular dicho control por parte del empresario.

En este sentido, la empresa debería documentar una política interna, que comprendieran y firmaran los trabajadores, cuyos puntos podrían ser los siguientes:

  1. Objeto y finalidad del documento
  2. Definiciones
  3. Propiedad y especificaciones del sistema informático (hardware y software)
  4. Posición de la empresa en cuanto al uso de herramientas informáticas. Riesgos y ventajas
  5. Acceso a los equipos y medidas de seguridad
    • Asignación de claves y política de contraseñas
    • Gestión de incidencias
    • Gestión de copias de seguridad y respaldo
    • Seguridad, confidencialidad y protección de datos personales
  6. Correo electrónico
    • Uso del correo personal y del correo de empresa
    • Status legal de los mensajes
    • Información que debe incluirse en el mensaje y firma
    • Gestión de los mensajes
    • Corrección y tono de los mensajes. Tratamiento de mensajes inapropiados
  7. Restricciones a la navegación por Internet
  8. Programas y dispositivos de control y monitorización
  9. Procedimiento para el control y registro de equipos y transmisiones de datos por la red
  10. Uso de soportes y dispositivos portátiles de almacenamiento
  11. Uso de equipos informáticos fuera de la empresa
  12. Deberes y responsabilidades del usuario
  13. Consecuencias derivadas del incumplimiento de la Política
  14. Implantación de la Política y medidas de seguimiento

5 Comentarios | Responder | Suscríbete

  • deincognitodeincognito 30Oct2007 Responder

    Javier,

    Y sin perder de vista que para que todo este castillo que construyamos no se nos caiga con la colocación de la primera piedra, todo debe pasar por una correcta adecuación de un fichero LOPD que casi nadie suele tener en cuenta: el fichero de datos personales relativos al uso de los sistemas informáticos de la empresa (logs, datos de navegación, buzones de correo, impresoras, fotocopiadoras,…) sin olvidar los datos de facturación telefónica.

    Un tema que me apasiona y que combina estrechamente con los procesos de recolección y custodia de evidencias electrónicas.

    Un saludo

  • Buena apreciación, como siempre. Nunca he visto una empresa que tenga este fichero inscrito, aunque no es raro que las empresas monitoricen la navegación sin ocultar ningún dato y sin por supuesto advertir previamente al trabajador. Esta falta de control es otro motivo para mi escepticismo respecto a la veracidad de este tipo de pruebas.

    Deincognito, confío algún día reveles tu identidad. O abras un blog.

  • En mi opinión, aunque es cierto que los ficheros de navegación generados por un Proxy deben registrarse obligatoriamente (nivel medio, por perfil de personalidad), y así se lo indicamos a nuestros clientes (yo sí he visto este tratamiento declarado en ocasiones, aunque la mayor parte de las veces son unos datos que no se utilizan por lo que la recomendación es directamente no almacenarlos), los buzones de correo de los diferentes empleados pueden ir incluídos en otros tratamientos y no es necesario incluírlos en un fichero adicional, ya que mientras el director de recursos humanos será de nivel alto, el de un operario será probablemente de nivel básico.

    Respecto a declarar un fichero para las impresoras y fotocopiadoras no sería necesario en tanto no almacenen información; quizá, sí, como parte de los sistemas de procesamiento, pero eso es probablemente hilar demasiado fino, ya que a fin de cuentas, declaramos un servidor porque almacena datos, pero no declaramos un procesador o una tarjeta de video.

  • deincognitodeincognito 30Ene2008 Responder

    Javier,

    De momento me voy a seguir resistiendo.

    Dígamos que de alguna manera ya tengo un blog por medio de los comentarios que dejo aquí o en otros blogs en los que ya he visto que sigues;-)

    No obstate, tengo un proyecto de blog algo sui generis en el que te voy a pedir colaboración. Tranquilo no te va a consumir demasiado tiempo. No se trata más que de utilizar tu blog como enlace a los contenidos. que cree…y hasta aquí puedo leer.

    El primer post es sobre un hacking a la LOPD que creo que te gustará.

    En breve tendrás noticias.

    Un saludo

  • Será un placer colaborar y por supuesto leerte.

    Un saludo,

Deja un comentario

Tu email nunca será mostrado o compartido. No olvides rellenar los campos obligatorios.

Obligatorio
Obligatorio

A efectos del cumplimiento con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se le informa de que los datos facilitados por Ud., incluyendo la dirección IP del equipo desde el que accede, serán incluidos en un fichero propiedad de Javier Prenafeta Rodríguez, con D.N.I. núm. 29.109.617N, con domicilio en Urb. Parque Roma F9, 9º A, 50010 Zaragoza, y utilizados únicamente para la gestión de los comentarios de esta bitácora y el seguimiento de las estadísticas de acceso. Mediante el envío de la información anterior, presta Ud. consentimiento al tratamiento descrito, así como a la publicación en este sitio web de los datos requeridos en el formulario.

Sus datos serán tratados de forma confidencial, aplicándose las medidas técnicas u organizativas establecidas en la legislación vigente para evitar su acceso, manipulación o eliminación indebidas, sin que, salvo consentimiento expreso por su parte, vayan a ser cedidos a otras entidades o terceras personas fuera de los casos legalmente permitidos. No obstante, Ud. puede, en cualquier momento, ejercer sus derechos de acceso, cancelación o rectificación en relación con dichos datos, solicitándolo a la dirección jp@jprenafeta.com o a través de la página de contacto.