Políticas de seguridad y uso de herramientas

Tecnológicas en el ámbito empresarial

LEGISLACIÓN

LEY TEMA

Ley 527 de 1999Mensajes de datos, del comercio electrónico

ley 1273 de 2009 Delitos informáticosLey 1266 de 2008 Habeas Data

Circular 052 de 2007 SFC

Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios.

Validez Jurídica de los Mensajes de datos

Definición de Mensajes de Datos

«La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax»

Reconocimiento jurídico de los mensajes de datos

Artículo 5°. No se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en forma de mensaje de datos.

CORTE SUPREMA DE JUSTICIA SALA DE CASACIÓN LABORAL. Bogotá D.C., veintiocho (28) de abril de dos mil nueve (2009). Radicación N° 33849

• (…) Los e-mails enviados por directivos de la demandada a la demandante, dejan ver con meridiana claridad que a ésta se le impartían órdenes o instrucciones de manera particular y de obligatorio cumplimiento, que conllevan al sometimiento y dependencia para con la demandada

• Sobre los correos electrónicos el representante legal de la accionada al contestar la pregunta 12 del interrogatorio confesó que entre los socios o dueños de la empresa y la demandante “Si hay comunicación vía electrónica coordinando actividades propias de la relación”

• Dicho Plan de Ventas figura remitido por Edgar Holguín a la demandante mediante el correo electrónico, manifestándosele que “contiene las normas que regirán las labores de comercialización del personal responsable de las mismas en b2bSolutions Group” (…)

COMUNICACIÓN ELECTRÓNICA

Riesgos:

Ausencia de confidencialidad

Alteración de los mensajes de datos

Suplantación de Identidad

Riesgo de repudio

Requisitos jurídicos de un mensaje de datos (documento electrónico)

Equivalente funcional

EscritoArt. 6

FirmaArt. 7

OriginalArt. 8

ConservaciónArt. 12

Mitiga estos riesgos, desde el punto de vista normativo

Artículo 11. Criterio para valorar probatoriamente un mensaje de datos

Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios reconocidos legalmente para la apreciación de las pruebas. Por consiguiente habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente

Valor probatorio de los mensajes de datos

AutenticidadIntegridadNo repudioConfidencialidad

Seguridad de la información y uso adecuado de las herramientas tecnológicas

Clasificación de la

Información

Pública

Semiprivada

Privada

Restringida

o reserv

ada

Clasificación de la información

Principios en la administración de Bases de Datos

Veracidad o calidad

finalidadAcceso y

circulación restringida

Confidencialidad Seguridad

Temporalidad de la

información

PROTECCIÓN DE DATOS

Conflicto del uso de las tic en el lugar de trabajo

Uso de TIC para fines no

laborales

Medidas tecnológicas

tomadas por el empleador en su

facultad disciplinaria

Equilibrio entre el uso de las TIC para supervisar y el respeto por

los derechos fundamentales

Limites del empleador en el control de los trabajadores

TIC

Intimidad

Propia imagen

Información

Buen nombre

Honra

Habeas Data

Constitución política• «Todas las personas tienen derecho a su intimidad personal y familiar y a

su buen nombre, y el Estado debe respetarlos y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privada (…) La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley» (artículo 15 de la Constitución Política)

• «Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación…» (artículo 20 de la Constitución Política)

• «Toda persona tiene derecho al reconocimiento de su personalidad jurídica» (artículo 14 de la Constitución Política)

Derecho a la intimidad «La intimidad, el espacio exclusivo de cada uno, es aquella órbita reservada

para cada persona y de que toda persona debe gozar, que busca el

aislamiento o inmunidad del individuo frente a la necesaria injerencia de los

demás, dada la sociabilidad natural del ser humano» (Sentencia T-969 de

1996)

• Formas de vulneración

1. Intromisión o intrusión a la orbita que la persona se ha reservado

2. Divulgación de hechos privados

3. Presentación mentirosa o deformada de circunstancias personales

Derecho al Buen nombre

• «La buena opinión o fama adquirida por un individuo en razón a la virtud y al mérito, como consecuencia necesaria de las acciones protagonizadas por él»

• «Este derecho está atado a todos los actos o hechos que una persona realice y por las cuales la sociedad hace un juicio de valor sobre sus virtudes y defectos» Sentencia T- 494 de 2002

Derecho al habeas data

• «Es aquel que otorga la facultad al titular de datos personales, de exigir a las administradoras de datos personales el acceso, inclusión, corrección, adición, actualización, y certificación de los datos, así como la limitación en las posibilidades de divulgación, publicación o cesión de los mismos, conforme a los principios que informan el proceso de administración de bases de datos»

Derecho a la propia imagen

• «La imagen o representación externa del sujeto tiene su asiento necesario en la persona de la cual emana y, por tanto, afecta lo que en estricto rigor constituye un derecho o bien personalísimo (…) De ahí que con las limitaciones legítimas deducibles de las exigencias de la sociabilidad humana, la búsqueda del conocimiento y demás intereses públicos superiores, se estime que toda persona tiene derecho a su propia imagen y que, sin su consentimiento, ésta no puede ser injustamente apropiada, publicada, expuesta, reproducida o comercializada por otro» (Sentencia T- 090 de 1996)

El derecho a la intimidad en el ámbito laboral

Derechos laborales específicos Se ejerce solo dentro del ámbito laboral, como el derecho a la negociación colectiva, derecho al salario, derecho de asociación sindical

Derechos laborales inespecíficosSon aquellos que se ejercen fuera del ámbito laboral, pero se hacen efectivos dentro de la relación laboral en razón a la naturaleza jurídica que se pretenda hacer valer. Ej.: derecho a la intimidad, lo ejerce dentro y fuera de una relación laboral.

Se debe tener en cuenta tres aspectos al momento de implementar una medida tecnológica

IDONEIDAD

NECESIDADPROPORCIONALIDAD

Usos y comportamientos laborales

• Puede considerarse como situaciones de absentismo laboral• Pueden ser susceptibles de ser controlados por el empleador

• Uso para los fines de la Empresa

• Tareas exclusivamente relacionadas con la actividad profesional

• Uso abusivo del correo electrónico

e internet• A veces va en contra de

los intereses de la compañía

La facultad de dirección del empleador• C.S.T. Artículo 23 Elementos esenciales (…)

• b) La continuada subordinación o dependencia del trabajador

respecto del empleador, que faculta a éste para exigirle el

cumplimiento de órdenes, en cualquier momento, en cuanto

al modo, tiempo o cantidad de trabajo, e imponerle

reglamentos, la cual debe mantenerse por todo el tiempo de

duración del contrato. Todo ello sin que afecte el honor, la

dignidad y los derechos en concordancia con los trabados o

convenidos internacionales que sobre derechos humanos

relativos a la materia obliguen al país.

LIMITES: La buena feLa ley

LIMITES DE LA facultad de dirección del empleador

• C.S.T Articulo 57 núm. 5. Obligaciones del empleador. Son obligaciones especiales del patrono.: «Guardar absoluto respeto a la dignidad personal del trabajador, a sus creencias y sentimientos»

• C.S.T Articulo 59 núm. 9 Prohibiciones del empleador «Se prohíbe a los patronos: Ejecutar o autorizar cualquier acto que vulnere o restrinja los derechos de los trabajadores o que ofenda su dignidad

Conductas del empleador que pueden constituirse como delitos

• Artículo 192. Violación ilícita de comunicaciones. El que ilícitamente sustraiga, oculte, extravíe, destruya, intercepte, controle o impida una comunicación privada dirigida a otra persona, o se entere indebidamente de su contenido, incurrirá en prisión de uno (1) a tres (3) años, siempre que la conducta no constituya delito sancionado con pena mayor.

• Artículo 269C: Interceptación de datos informáticos. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.

• Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

¿Puede el trabajador acceder a internet O utilizar el correo electrónico dentro del horario de trabajo?

• La regla general es que el trabajador puede utilizar el correo electrónico e internet para fines laborales y no personales.

• No esta permitido para fines personales, inclusive podría llegar al despido con justa causa, revisando el artículo 60 núm. 8 Se prohíbe a los trabajadores:

«Usar útiles o herramientas suministradas por el patrono en objetos distintos del trabajo contratado»

EL EMPLEADOR DEBE TOLERAR CIERTOS USOS, DEBIENDO EL TRABAJADOR USAR DE MANERA MODERADA LAS HERRAMIENTAS TECNOLOGICAS FACILITADAS POR LA EMPRESA, SIN INCURRIR EN ABUSOS

¿puede el empleador ingresar al ordenador del trabajador sin vulnerar derechos fundamentales?

Los trabajadores deben conocer y aprobar con carácter previo, el posible control de las herramientas tecnológicas puestas a disposición por parte de la empresa.

Clausula contractual/ otro siReglamento interno de trabajo

Hay una expectativa de intimidad, que en cualquier caso debe ser considerada

Necesidad de control de los medios informáticos por parte del

empleadorControlar que se cumplen con las

obligaciones encomendadas,

inclusive los usos de los medios de producción,

en este caso, los medios informáticos.

Necesidad de coordinar y

garantizar la continuidad de la

actividad laboral en los supuestos de ausencia de los

trabajadores

Protección del sistema

informático de la empresa

Prevención de responsabilidades

que pueden derivar de la empresa en algunas formas ilícitas de uso

frente a terceros

¿Qué ha dicho la corte?• Sentencia T-405/07• «El hecho de que se tratara de una herramienta de trabajo compartida,

no autorizaba a ningún miembro de la Institución el ingreso, no consentido, a archivos personales ajenos, y mucho menos la extracción, manipulación, exhibición y uso de esa información personal»

• «Le hubiese bastado con emitir un informe sobre lo que consideraba uso indebido o no autorizada de los elementos de trabajo para adoptar las determinaciones de contenido disciplinario o laboral que pudieran derivarse de tal comportamiento»

• «La información se encontraba guardada en una carpeta personal, no expuesta a la vista pública por voluntad de la actora, quienes ingresaron a ella debieron superar los controles técnicos usuales para el acceso a un archivo de computador. De tal manera que sí hubo una indebida intromisión en una información que sólo concernía a su titular, y que estaba amparada por la reserva que impone el derecho a la intimidad personal. La relación laboral existente entre actora y demandada no autorizaba esta invasión a aspectos de la vida privad»

Procedimiento• Como lo pone de presente la doctrina especializada, la prueba ilícita, más

específicamente, “...es aquella cuya fuente probatoria está contaminada por la vulneración de un derecho fundamental o aquella cuyo medio probatorio ha sido practicado con idéntica infracción de un derecho fundamental. En consecuencia,... el concepto de prueba ilícita se asocia a la violación de los citados derechos fundamentales", hasta el punto que algunos prefieren denominar a esta prueba como inconstitucional (Vid: 'Corte Constitucional, sentencia SU-159-02)

Reglamento para el trabajador• Uso del PC´s y ordenadores portátiles• Uso responsable de Internet• Uso razonable y responsable del correo electrónico y otras formas de

mensajería electrónica• Uso de teléfonos móviles o fijos • Puesto de trabajo seguro y escritorio limpio• Uso de impresoras y otros equipos de la oficina

Recomendaciones • Manual: Sistemas de gestión de la seguridad

de la información• Otrosi al contrato laboral• Campañas masivas en la compañía, en

educación, concientización de los riesgos del uso no adecuado de las TIC

• Manuales de usos y procedimientos, estrictos, y que sepan que están siendo monitoreados

• Filtros técnicos y legales

Panorama en materia de Protección de Datos en Colombia

• Las empresas deberán contar con:Políticas de Protección de Datos Auditorias sobre el cumplimiento de la ley de

protección de datos personalesRealizar el respectivo registro de las bases de datos

personales ante la Autoridad Nacional de Protección de Datos personales

Los contratos laborales, contratos de tercerización en la administración de bases de datos, contratos con clientes se deben adecuar a la nueva legislación

Heidy Balantahb@legaltics.com

www.legaltic.co