Políticas de seguridad y uso de herramientas
Tecnológicas en el ámbito empresarial
LEGISLACIÓN
LEY TEMA
Ley 527 de 1999Mensajes de datos, delcomercio electrónico
ley 1273 de 2009 Delitos informáticosLey 1266 de 2008 Habeas Data
Circular 052 de 2007 SFC
Requerimientos mínimos deseguridad y calidad en elmanejo de información a travésde medios y canales dedistribución de productos yservicios para clientes yusuarios.
Validez Jurídica de los Mensajes de datos
Definición de Mensajes de Datos
«La informacióngenerada, enviada, recibida, almacenada o comunicadapor medios electrónicos, ópticos o similares, comopudieran ser, entre otros, el Intercambio Electrónico deDatos (EDI), Internet, el correo electrónico, eltelegrama, el télex o el telefax»
Reconocimiento jurídico de los mensajes de datos
Artículo 5°. No se negarán efectosjurídicos, validez o fuerza obligatoria a todo tipode información por la sola razón de que esté enforma de mensaje de datos.
CORTE SUPREMA DE JUSTICIA SALA DE CASACIÓN LABORAL. BogotáD.C., veintiocho (28) de abril de dos mil nueve (2009).Radicación N° 33849
• (…) Los e-mails enviados por directivos de la demandada a la demandante, dejanver con meridiana claridad que a ésta se le impartían órdenes o instrucciones demanera particular y de obligatorio cumplimiento, que conllevan al sometimiento ydependencia para con la demandada
• Sobre los correos electrónicos el representante legal de la accionada al contestar lapregunta 12 del interrogatorio confesó que entre los socios o dueños de laempresa y la demandante “Si hay comunicación vía electrónica coordinandoactividades propias de la relación”
• Dicho Plan de Ventas figura remitido por Edgar Holguín a la demandante medianteel correo electrónico, manifestándosele que “contiene las normas que regirán laslabores de comercialización del personal responsable de las mismas enb2bSolutions Group” (…)
COMUNICACIÓN ELECTRÓNICA
Riesgos:
Ausencia de confidencialidad
Alteración de los mensajes de datos
Suplantación de Identidad
Riesgo de repudio
Requisitos jurídicos de un mensaje de datos (documento electrónico)
Equivalente funcional
Escrito
Art. 6
Firma
Art. 7
Original
Art. 8
Conservación
Art. 12
Mitiga estosriesgos, desde elpunto de vistanormativo
Artículo 11. Criterio para valorar probatoriamente un mensaje de datosPara la valoración de la fuerza probatoria de losmensajes de datos a que se refiere esta ley, setendrán en cuenta las reglas de la sana crítica ydemás criterios reconocidos legalmente para laapreciación de las pruebas. Por consiguiente habránde tenerse en cuenta: la confiabilidad en la formaen la que se haya generado, archivado ocomunicado el mensaje, la confiabilidad en la formaen que se haya conservado la integridad de lainformación, la forma en la que se identifique a suiniciador y cualquier otro factor pertinente
Valor probatorio de los mensajes de datos
Autenticidad
Integridad
No repudio
Confidencialidad
Seguridad de la información y uso adecuado de las herramientas
tecnológicas
Clasificación de la
Información
Pública
Semiprivada
Privada
Restringida o reservada
Clasificación de la información
Principios en la administración de Bases de Datos
Veracidad o calidad
finalidadAcceso y
circulación restringida
Confidencialidad Seguridad
Temporalidad de la
información
PROTECCIÓN DE DATOS
Conflicto del uso de las tic en el lugar de trabajo
Uso de TIC para fines no
laborales
Medidas tecnológicas
tomadas por el empleador en su
facultad disciplinaria
Equilibrio entre el uso de las TIC para supervisar y el respeto por
los derechos fundamentales
Limites del empleador en el control de los trabajadores
TIC
Intimidad
Propiaimagen
Información
Buen nombre
Honra
Habeas
Data
Constitución política
• «Todas las personas tienen derecho a su intimidad personal y familiary a su buen nombre, y el Estado debe respetarlos y rectificar lasinformaciones que se hayan recogido sobre ellas en bancos de datos yen archivos de entidades públicas y privada (…) La correspondencia ydemás formas de comunicación privada son inviolables. Sólo puedenser interceptadas o registradas mediante orden judicial, en los casos ycon las formalidades que establezca la ley» (artículo 15 de laConstitución Política)
• «Se garantiza a toda persona la libertad de expresar y difundir supensamiento y opiniones, la de informar y recibir información veraz eimparcial, y la de fundar medios masivos de comunicación…» (artículo20 de la Constitución Política)
• «Toda persona tiene derecho al reconocimiento de su personalidadjurídica» (artículo 14 de la Constitución Política)
Derecho a la intimidad«La intimidad, el espacio exclusivo de cada uno, es aquella órbita reservada para
cada persona y de que toda persona debe gozar, que busca el aislamiento o
inmunidad del individuo frente a la necesaria injerencia de los demás, dada la
sociabilidad natural del ser humano» (Sentencia T-969 de 1996)
• Formas de vulneración
1. Intromisión o intrusión a la orbita que la persona se ha reservado
2. Divulgación de hechos privados
3. Presentación mentirosa o deformada de circunstancias personales
Derecho al Buen nombre
• «La buena opinión o fama adquirida por un
individuo en razón a la virtud y al mérito, comoconsecuencia necesaria de las accionesprotagonizadas por él»
• «Este derecho está atado a todos los actos ohechos que una persona realice y por las cuales lasociedad hace un juicio de valor sobre sus virtudes ydefectos» Sentencia T- 494 de 2002
Derecho al habeas data
• «Es aquel que otorga la facultad al titular de datospersonales, de exigir a las administradoras de datospersonales elacceso, inclusión, corrección, adición, actualización, ycertificación de los datos, así como la limitación en lasposibilidades de divulgación, publicación o cesión de losmismos, conforme a los principios que informan el proceso deadministración de bases de datos»
Derecho a la propia imagen
• «La imagen o representación externa del sujeto tiene su asientonecesario en la persona de la cual emana y, por tanto, afecta lo que enestricto rigor constituye un derecho o bien personalísimo (…) De ahí quecon las limitaciones legítimas deducibles de las exigencias de lasociabilidad humana, la búsqueda del conocimiento y demás interesespúblicos superiores, se estime que toda persona tiene derecho a su propiaimagen y que, sin su consentimiento, ésta no puede ser injustamenteapropiada, publicada, expuesta, reproducida o comercializada por otro»(Sentencia T- 090 de 1996)
El derecho a la intimidad en el ámbito laboral
Derechos laboralesespecíficos
Se ejerce solo dentro delámbito laboral, como elderecho a la negociacióncolectiva, derecho alsalario, derecho deasociación sindical
Derechos laboralesinespecíficos
Son aquellos que se ejercenfuera del ámbito laboral, perose hacen efectivos dentro dela relación laboral en razón ala naturaleza jurídica que sepretenda hacer valer. Ej.:derecho a la intimidad, loejerce dentro y fuera de unarelación laboral.
Se debe tener en cuenta tres aspectos al momento de implementar una medida tecnológica
IDONEIDAD
NECESIDADPROPORCIONALIDAD
Usos y comportamientos laborales
• Puede considerarse como situaciones de absentismo laboral
• Pueden ser susceptibles de ser controlados por el empleador
• Uso para los fines de
la Empresa
• Tareas exclusivamente
relacionadas con la
actividad profesional
• Uso abusivo del correo
electrónico
e internet
• A veces va en contra de
los
intereses de la compañía
La facultad de dirección del empleador• C.S.T. Artículo 23 Elementos esenciales (…)
• b) La continuada subordinación o dependencia del trabajador
respecto del empleador, que faculta a éste para exigirle el
cumplimiento de órdenes, en cualquier momento, en cuanto
al modo, tiempo o cantidad de trabajo, e imponerle
reglamentos, la cual debe mantenerse por todo el tiempo de
duración del contrato. Todo ello sin que afecte el honor, la
dignidad y los derechos en concordancia con los trabados o
convenidos internacionales que sobre derechos humanos
relativos a la materia obliguen al país.
LIMITES: La buena feLa ley
LIMITES DE LA facultad de dirección del empleador
• C.S.T Articulo 57 núm. 5. Obligaciones del empleador. Sonobligaciones especiales del patrono.: «Guardar absolutorespeto a la dignidad personal del trabajador, a sus creenciasy sentimientos»
• C.S.T Articulo 59 núm. 9 Prohibiciones del empleador «Seprohíbe a los patronos: Ejecutar o autorizar cualquier actoque vulnere o restrinja los derechos de los trabajadores o queofenda su dignidad
Conductas del empleador que pueden constituirse como delitos
• Artículo 192. Violación ilícita de comunicaciones. El que ilícitamentesustraiga, oculte, extravíe, destruya, intercepte, controle o impida unacomunicación privada dirigida a otra persona, o se entere indebidamentede su contenido, incurrirá en prisión de uno (1) a tres (3) años, siempreque la conducta no constituya delito sancionado con pena mayor.
• Artículo 269C: Interceptación de datos informáticos. El que, sin ordenjudicial previa intercepte datos informáticos en su origen, destino o en elinterior de un sistema informático, o las emisiones electromagnéticasprovenientes de un sistema informático que los transporte incurrirá enpena de prisión de treinta y seis (36) a setenta y dos (72) meses.
• Artículo 269F: Violación de datos personales. El que, sin estar facultadopara ello, con provecho propio o de un tercero, obtenga, compile,sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue,modifique o emplee códigos personales, datos personales contenidos enficheros, archivos, bases de datos o medios semejantes, incurrirá en penade prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multade 100 a 1000 salarios mínimos legales mensuales vigentes.
¿Puede el trabajador acceder a internet Outilizar el correo electrónico dentro del horariode trabajo?
• La regla general es que el trabajador puede utilizar el correo electrónico e internet para fines laborales y no personales.
• No esta permitido para fines personales, inclusive podría llegar al despido con justa causa, revisando el artículo 60 núm. 8 Se prohíbe a los trabajadores:
«Usar útiles o herramientas
suministradas por el patrono en objetos
distintos del trabajo contratado»
EL EMPLEADOR DEBE TOLERAR CIERTOSUSOS, DEBIENDO EL TRABAJADOR USAR DEMANERA MODERADA LAS HERRAMIENTASTECNOLOGICAS FACILITADAS POR LAEMPRESA, SIN INCURRIR EN ABUSOS
¿puede el empleador ingresar al ordenador del trabajador sin vulnerar derechos fundamentales?
Los trabajadores deben conocer y aprobar con carácter previo, el posible control de las herramientas tecnológicas puestas a disposición por parte de la empresa.
Clausula contractual/ otro si
Reglamento interno de trabajo
Hay una expectativa de intimidad, que en cualquier caso debe ser considerada
Necesidad de control de los medios
informáticos por parte del empleador
Controlar que se cumplen con las
obligaciones encomendadas, inclusive los usos de los medios de
producción, en este caso, los medios
informáticos.
Necesidad de coordinar y garantizar la continuidad de la actividad laboral en
los supuestos de ausencia de los
trabajadores
Protección del sistema informático de la
empresa
Prevención de responsabilidades que pueden derivar de la empresa en algunas formas ilícitas de uso
frente a terceros
¿Qué ha dicho la corte?• Sentencia T-405/07• «El hecho de que se tratara de una herramienta de trabajo compartida,
no autorizaba a ningún miembro de la Institución el ingreso, no consentido, aarchivos personales ajenos, y mucho menos la extracción, manipulación,exhibición y uso de esa información personal»
• «Le hubiese bastado con emitir un informe sobre lo que considerabauso indebido o no autorizada de los elementos de trabajo para adoptar lasdeterminaciones de contenido disciplinario o laboral que pudieran derivarsede tal comportamiento»
• «La información se encontraba guardada en una carpeta personal, noexpuesta a la vista pública por voluntad de la actora, quienes ingresaron a elladebieron superar los controles técnicos usuales para el acceso a un archivo decomputador. De tal manera que sí hubo una indebida intromisión en unainformación que sólo concernía a su titular, y que estaba amparada por lareserva que impone el derecho a la intimidad personal. La relación laboralexistente entre actora y demandada no autorizaba esta invasión a aspectos dela vida privad»
Procedimiento
• Como lo pone de presente la doctrina especializada, la prueba ilícita, másespecíficamente, “...es aquella cuya fuente probatoria está contaminada por lavulneración de un derecho fundamental o aquella cuyo medio probatorio ha sidopracticado con idéntica infracción de un derecho fundamental. En consecuencia,...el concepto de prueba ilícita se asocia a la violación de los citados derechosfundamentales", hasta el punto que algunos prefieren denominar a esta pruebacomo inconstitucional (Vid: 'Corte Constitucional, sentencia SU-159-02)
Reglamento para el trabajador
• Uso del PC´s y ordenadores portátiles
• Uso responsable de Internet
• Uso razonable y responsable del correo electrónico y otras formas de mensajería electrónica
• Uso de teléfonos móviles o fijos
• Puesto de trabajo seguro y escritorio limpio
• Uso de impresoras y otros equipos de la oficina
Recomendaciones • Manual: Sistemas de gestión de la seguridad de la
información
• Otrosi al contrato laboral
• Campañas masivas en la compañía, en
educación, concientización de los riesgos del uso
no adecuado de las TIC
• Manuales de usos y procedimientos, estrictos, y
que sepan que están siendo monitoreados
• Filtros técnicos y legales
Panorama en materia de Protección de Datos en Colombia
• Con la nueva de ley de Protección de datos• Las empresas deberán contar con:Políticas de Protección de DatosAuditorias sobre el cumplimiento de la ley de
protección de datos personalesRealizar el respectivo registro de las bases de datos
personales ante la Autoridad Nacional de Protecciónde Datos personalesLos contratos laborales, contratos de tercerización en
la administración de bases de datos, contratos conclientes se deben adecuar a la nueva legislación
Heidy [email protected]
www.derechoinformatico.com.co
Top Related