Saltar al contenido

El Tribunal Supremo recomienda la regulación interna del uso de los medios informáticos en la empresa

Comentaba Jorge Campanillas los puntos más importantes de la sentencia del Tribunal Supremo de 26 de septiembre de 2007, que viene a delimitar el control por parte del empresario de las herramientas informáticas que pone a disposición del trabajador dentro del artículo 20.3 del Estatuto de los Trabajadores.

Al margen de lo anterior, me parece oportuno señalar la necesidad, que recoge la sentencia, de que la empresa regule internamente el uso de los medios informáticos que se ponen al alcance del trabajador a fin de prevenir la utilización abusiva de los mismos con fines personales y regular dicho control por parte del empresario.

En este sentido, la empresa debería documentar una política interna, que comprendieran y firmaran los trabajadores, cuyos puntos podrían ser los siguientes:

  1. Objeto y finalidad del documento
  2. Definiciones
  3. Propiedad y especificaciones del sistema informático (hardware y software)
  4. Posición de la empresa en cuanto al uso de herramientas informáticas. Riesgos y ventajas
  5. Acceso a los equipos y medidas de seguridad
    • Asignación de claves y política de contraseñas
    • Gestión de incidencias
    • Gestión de copias de seguridad y respaldo
    • Seguridad, confidencialidad y protección de datos personales
  6. Correo electrónico
    • Uso del correo personal y del correo de empresa
    • Status legal de los mensajes
    • Información que debe incluirse en el mensaje y firma
    • Gestión de los mensajes
    • Corrección y tono de los mensajes. Tratamiento de mensajes inapropiados
  7. Restricciones a la navegación por Internet
  8. Programas y dispositivos de control y monitorización
  9. Procedimiento para el control y registro de equipos y transmisiones de datos por la red
  10. Uso de soportes y dispositivos portátiles de almacenamiento
  11. Uso de equipos informáticos fuera de la empresa
  12. Deberes y responsabilidades del usuario
  13. Consecuencias derivadas del incumplimiento de la Política
  14. Implantación de la Política y medidas de seguimiento
Publicado enJurisprudenciaPortadaPrivacidad y Protección de Datos

5 comentarios

  1. deincognito deincognito

    Javier,

    Y sin perder de vista que para que todo este castillo que construyamos no se nos caiga con la colocación de la primera piedra, todo debe pasar por una correcta adecuación de un fichero LOPD que casi nadie suele tener en cuenta: el fichero de datos personales relativos al uso de los sistemas informáticos de la empresa (logs, datos de navegación, buzones de correo, impresoras, fotocopiadoras,…) sin olvidar los datos de facturación telefónica.

    Un tema que me apasiona y que combina estrechamente con los procesos de recolección y custodia de evidencias electrónicas.

    Un saludo

  2. Buena apreciación, como siempre. Nunca he visto una empresa que tenga este fichero inscrito, aunque no es raro que las empresas monitoricen la navegación sin ocultar ningún dato y sin por supuesto advertir previamente al trabajador. Esta falta de control es otro motivo para mi escepticismo respecto a la veracidad de este tipo de pruebas.

    Deincognito, confío algún día reveles tu identidad. O abras un blog.

  3. En mi opinión, aunque es cierto que los ficheros de navegación generados por un Proxy deben registrarse obligatoriamente (nivel medio, por perfil de personalidad), y así se lo indicamos a nuestros clientes (yo sí he visto este tratamiento declarado en ocasiones, aunque la mayor parte de las veces son unos datos que no se utilizan por lo que la recomendación es directamente no almacenarlos), los buzones de correo de los diferentes empleados pueden ir incluídos en otros tratamientos y no es necesario incluírlos en un fichero adicional, ya que mientras el director de recursos humanos será de nivel alto, el de un operario será probablemente de nivel básico.

    Respecto a declarar un fichero para las impresoras y fotocopiadoras no sería necesario en tanto no almacenen información; quizá, sí, como parte de los sistemas de procesamiento, pero eso es probablemente hilar demasiado fino, ya que a fin de cuentas, declaramos un servidor porque almacena datos, pero no declaramos un procesador o una tarjeta de video.

  4. deincognito deincognito

    Javier,

    De momento me voy a seguir resistiendo.

    Dígamos que de alguna manera ya tengo un blog por medio de los comentarios que dejo aquí o en otros blogs en los que ya he visto que sigues;-)

    No obstate, tengo un proyecto de blog algo sui generis en el que te voy a pedir colaboración. Tranquilo no te va a consumir demasiado tiempo. No se trata más que de utilizar tu blog como enlace a los contenidos. que cree…y hasta aquí puedo leer.

    El primer post es sobre un hacking a la LOPD que creo que te gustará.

    En breve tendrás noticias.

    Un saludo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *