Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1.- INTRODUCCIÓN.___________________________________________________ 3
2.- BREVE INTRODUCCIÓN AL CONTROL DEL CORREO ELECTRÓNICO Y
NAVEGABILIDAD POR INTERNET EN EL LUGAR DE TRABAJO. _____________ 3
2.1.- INTRODUCCIÓN. _______________________________________________ 3
2.2.-VIGILANCIA Y CONTROL DE LAS COMUNICACIONES ELECTRÓNICAS EN
EL LUGAR DE TRABAJO. PRINCIPIOS GENERALES. _____________________ 5
2.2.1.- Necesidad. _________________________________________________ 5
2.2.2.- Finalidad. __________________________________________________ 7
2.2.3.- Transparencia.______________________________________________ 7
2.2.4.- Legitimidad. ________________________________________________ 9
2.2.5.- Proporcionalidad. ___________________________________________ 9
2.2.6.- Exactitud y conservación de los datos. ________________________ 10
2.2.7.- Seguridad. ________________________________________________ 10
2.3.- CONTROL DEL CORREO ELECTRÓNICO. _________________________ 11
2.3.1.- Legitimación. ______________________________________________ 11
2.3.3.- Información mínima recomendada que una empresa debería facilitar a
su personal. ____________________________________________________ 12
2.3.4.- Correo Web. _______________________________________________ 12
2.4.- CONTROL DEL ACCESO A INTERNET. ____________________________ 13
2.4.1.- Utilización de Internet con fines privados en el lugar de trabajo. ___ 13
2.4.2.- Principios relativos al control de la utilización de Internet. ________ 13
2.4.3.- Contenido mínimo recomendado de la política de la empresa sobre la
utilización de Internet. ____________________________________________ 14
ANEXOS ___________________________________________________________ 15
ANEXO I.- Política de uso de las TIC.__________________________________ 15
ANEXO II. Propuesta a seguir en el sistema de información a los empleados. 25
1.- INTRODUCCIÓN.
Asimismo se plantea que a la vez que se solucione esta cuestión se aborde el uso y
control del conjunto de las tecnologías de la información que se utilizan por parte de
los empleados.
Las herramientas para dar solución a dicha necesidad son las siguientes:
• Por un lado se ha confeccionado una política de uso de las TIC, que contiene
normas concretas que se adjunta como ANEXO I.
• Por último se ha diseñado una propuesta a seguir en el sistema de información
a los empleados, que se adjunta como ANEXO II.
En la citada propuesta, y debido a que con el control se tratan datos de los empleados
se ha incorporado también una cláusula en cumplimiento del deber de información ext.
Art. 5 LOPD.
2.1.- INTRODUCCIÓN.
Pero este derecho del trabajador “ha de conciliarse con otros derechos e intereses
legítimos del empleador, en particular, su derecho a administrar con cierta eficacia la
Sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y
efectos particulares, cuando sean necesarios para la protección del patrimonio
empresarial y del de los demás trabajadores de la empresa, dentro del centro de
trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e
intimidad del trabajador y se contará con la asistencia de un representante legal de los
trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa,
siempre que ello fuera posible.
“El artículo 18 está atribuyendo al empresario un control que excede del que deriva de
su posición en el contrato de trabajo y que, por tanto, queda fuera del marco del
artículo 20 del Estatuto de los Trabajadores. En los registros el empresario actúa, de
forma exorbitante y excepcional, fuera del marco contractual de los poderes que le
concede el artículo 20 del Estatuto de los Trabajadores y, en realidad, como ha
señalado la doctrina científica, desempeña -no sin problemas de cobertura -una
función de “policía privada” o de “policía empresarial” que la ley vincula a la defensa de
su patrimonio o del patrimonio de otros trabajadores de la empresa. El régimen de
registros del artículo 18 del Estatuto de los Trabajadores aparece así como una
excepción al régimen ordinario que regula la Ley de Enjuiciamiento Criminal (artículo
545 y siguientes). Tanto la persona del trabajador, como sus efectos personales y la
taquilla forman parte de la esfera privada de aquél y quedan fuera del ámbito de
ejecución del contrato de trabajo al que se extienden los poderes del artículo 20 del
Estatuto de los Trabajadores. Por el contrario, las medidas de control sobre los
medios informáticos puestos a disposición de los trabajadores se encuentran,
en principio, dentro del ámbito normal de esos poderes: el ordenador es un
instrumento de producción del que es titular el empresario “como propietario o
por otro título” y éste tiene, por tanto, facultades de control de la utilización, que
incluyen lógicamente su examen. Por otra parte, con el ordenador se ejecuta la
prestación de trabajo y, en consecuencia, el empresario puede verificar en él su
correcto cumplimiento, lo que no sucede en los supuestos del artículo 18, pues incluso
1
Son palabras del Grupo de Trabajo “Artículo 29”. El Grupo de Trabajo del Artículo 29 es un grupo consultivo independiente
compuesto por representantes de las autoridades de los Estados miembros, encargados de la protección de datos cuya misión es, en
particular, examinar todas las cuestiones relativas a la aplicación de las medidas nacionales adoptadas en virtud de la Directiva sobre
protección de datos con el fin de contribuir a su aplicación uniforme
expansión@gesdatos.com Delegación Comercial Madrid.
http://www.gesdatos.com Paseo de la Castellana 153, bajo.
902.900.231 CP. 28.046, Madrid Página 4 de 25
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
PROTOCOLO PARA LA PUESTA EN MARCHA DE UNA POLÍTICA DE USO Versión 1
Y CONTROL DE LAS TIC EN [NOMBRE DEL CLIENTE] Fecha
respecto a la taquilla, que es un bien mueble del empresario, hay una cesión de uso a
favor del trabajador que delimita una utilización por éste que, aunque vinculada
causalmente al contrato de trabajo, queda al margen de su ejecución y de los poderes
empresariales del artículo 20 del Estatuto de los Trabajadores para entrar dentro de la
esfera personal del trabajador”.
Este protocolo es una ayuda para que se pueda producir ese control por parte del
empresario sin merma de la privacidad del trabajador.
Para ello, se analizan en primer lugar los principios generales aplicables a la vigilancia
del correo electrónico, así como a la utilización de Internet y después se realizan
algunas concreciones en relación con el control del correo electrónico y de la
navegabilidad por Internet en el puesto de trabajo. Por último se adjuntan como
ANEXO, documentos para la puesta en práctica de este protocolo.
2.2.1.- Necesidad.
Algunos ejemplos de conductas que pueden justificar el control del correo electrónico
de un trabajador para obtener una confirmación o una prueba de determinados actos
del mismo son los siguientes:
El principio de necesidad significa también que un empleador sólo debe conservar los
datos durante el tiempo necesario para el objetivo específico de la actividad de
vigilancia.
2.2.2.- Finalidad.
CONCEPTO: Este principio significa que los datos deben recogerse con fines
determinados, explícitos y legítimos, y no ser tratados posteriormente de manera
incompatible con dichos fines.
2.2.3.- Transparencia.
CONCEPTO: Este principio significa que un empleador debe indicar de forma clara y
abierta sus actividades. Dicho de otro modo, el control secreto del correo electrónico
por el empleador está prohibido, excepto en los casos en que exista una ley que lo
autorice.
Los trabajadores deben ser informados de manera completa sobre las circunstancias
particulares que pueden justificar esta medida excepcional; así como del alcance y el
ámbito de aplicación de este control. Esta información debería incluir necesariamente:
Adicionalmente es conveniente:
Téngase no obstante en cuenta que estos derechos, como cualquier otro, no son
absolutos y, por tanto, tienen límites que habrá que tener en cuenta ante su ejercicio.
2.2.4.- Legitimidad.
CONCEPTO: Este principio significa que una operación de tratamiento de datos sólo
puede efectuarse si su finalidad es legítima.
2.2.5.- Proporcionalidad.
CONCEPTO: Según este principio, los datos personales, incluidos los que se utilicen
en las actividades de control, deberán ser adecuados, pertinentes y no excesivos con
relación a los fines para los que se recaben.
Si es posible, el control del correo electrónico debería limitarse a los datos sobre
tráfico de los participantes y a la hora de una comunicación más que al contenido, si
ello es suficiente para satisfacer las necesidades del empleador. Si el acceso al
contenido de los mensajes es indispensable, convendría tener en cuenta el respeto de
la vida privada de los destinatarios externos e internos de la organización. Por
ejemplo, el empleador no puede obtener el consentimiento de las personas ajenas a la
organización que envían mensajes a los miembros de su personal.
Del mismo modo, el empleador debería aplicar todos los medios razonables para
informar a las personas ajenas a la organización de la existencia de actividades de
vigilancia que pudieran afectarlas. Se podría, por ejemplo, insertar avisos de la
existencia de sistemas de vigilancia en todos los mensajes salientes de la
organización.
La tecnología puede también utilizarse para garantizar que sean proporcionadas las
medidas adoptadas por el empleador para proteger de todo abuso el acceso a Internet
autorizado a su personal, utilizando mecanismos de bloqueo más que de vigilancia.
CONCEPTO: Este principio requiere que todos los datos legítimamente almacenados
por un empleador (después de tener en cuenta todos los demás principios enunciados)
que incluyan datos procedentes de una cuenta de correo electrónico de un trabajador,
de su utilización de Internet o relativos a las mismas deberán ser precisos y
actualizarse y no podrán conservarse más tiempo del necesario.
2.2.7.- Seguridad.
2.3.1.- Legitimación.
Dado que los mensajes electrónicos contienen datos personales que se refieren tanto
al emisor como al destinatario y que los empleadores pueden en general obtener el
consentimiento de una de estas partes sin demasiadas dificultades (a menos que el
correo electrónico incluya también la correspondencia entre trabajadores de la
empresa), la posibilidad de legitimar el control del correo electrónico sobre la base del
consentimiento es muy limitada. Estas consideraciones se aplican también a la letra b)
del artículo 7 de la Directiva, ya que una de las partes de la correspondencia nunca
tendría contrato con el responsable del tratamiento con arreglo a dicha disposición, es
decir, para el control de la correspondencia.
En esta fase, debe señalarse que cuando el trabajador recibe una cuenta de correo
electrónico para uso estrictamente personal o puede acceder a una cuenta de correo
Web, la apertura por el empleador de los mensajes electrónicos de esta cuenta
(excepto para detectar virus) sólo podrá justificarse en circunstancias muy limitadas y
no podrá justificarse en circunstancias normales con arreglo a la letra f) del artículo 7,
ya que acceder a este tipo de datos no es necesario para satisfacer un interés legítimo
del empleador. En este caso, prevalece por el contrario el derecho fundamental al
secreto de correspondencia.
Al sopesar los intereses de las partes, conviene tener en cuenta el respeto de la vida
privada de las personas ajenas a la organización afectadas por la actividad de
vigilancia.
Además, en el ámbito más específico del correo electrónico, deberán abordarse los
puntos siguientes:
• Los acuerdos con los trabajadores sobre el acceso al contenido del correo
electrónico, por ejemplo cuando el trabajador se ausenta repentinamente, y las
finalidades específicas de este acceso.
• Cuestiones de seguridad.
La posibilidad de que los trabajadores utilicen una cuenta privada de correo electrónico
o un correo Web2 podría suponer una solución pragmática del problema.
Una recomendación en este sentido por parte del empleador facilitaría la distinción
entre el correo electrónico de uso profesional y el de uso privado y reduciría el riesgo
de intromisión de los empleadores en la vida privada de sus trabajadores. Además, los
costes suplementarios para el empleador serían nulos o mínimos.
2
El correo Web es un sistema de correo electrónico en la red que ofrece funciones de correo electrónico a partir de cualquier
distribuidor o servidor POP3 o IMAP y que está protegido generalmente por un nombre de usuario y una contraseña.
expansión@gesdatos.com Delegación Comercial Madrid.
http://www.gesdatos.com Paseo de la Castellana 153, bajo.
902.900.231 CP. 28.046, Madrid Página 12 de
Avda. Cortes Valencianas 50, 1º-C. 25
CP 46.015, Valencia.
PROTOCOLO PARA LA PUESTA EN MARCHA DE UNA POLÍTICA DE USO Versión 1
Y CONTROL DE LAS TIC EN [NOMBRE DEL CLIENTE] Fecha
Además esta política favorecería también a los trabajadores, porque les permitiría
saber con seguridad el nivel de confidencialidad que pueden esperar, lo que quizá no
sería el caso con códigos de conducta, más complejos y confusos. Dicho esto,
conviene también indicar lo siguiente:
• Al autorizar el correo Web, las empresas deben saber que su uso puede
comprometer la seguridad de sus redes, en particular, por lo que se refiere a la
proliferación de virus.
• Los trabajadores deberían saber que, a veces, los servidores del correo Web
están situados en terceros países que quizá no cuenten con un sistema
adecuado de protección de los datos de carácter personal.
Por ejemplo, la comprobación del tiempo empleado o la elaboración de una lista de los
sitios más visitados por un servicio, podría bastar para confirmar al empleador que sus
sistemas se emplean correctamente.
En todos los casos, deberán presentarse al trabajador en cuestión todos los hechos de
que se le acusa y ofrecerle la posibilidad de refutar la utilización abusiva alegada por el
empleador.
• Deberá precisarse el alcance del control. Por ejemplo si este control se efectúa
de manera individualizada o por departamentos de la empresa, o si el
contenido de los sitios consultados será visualizado o registrado por el
empleador en determinados casos.
ANEXOS
1.- OBJETIVO.
Esta política está integrada de forma coherente con la política general de seguridad de
[NOMBRE DEL CLIENTE], así como con la política, normas y procedimientos
desarrollados en materia de protección de datos personales, que también se desarrolla
en este documento. Asimismo se procurará la coordinación con cualesquiera políticas,
normas y procedimientos que se desarrollen y con los que existan intersecciones.
2.- POLÍTICAS.
La política que inspira las normas de uso de las TIC se basa en las siguientes
premisas:
[NOMBRE DEL CLIENTE], es una empresa que está concienciada con la seguridad de
sus sistemas de información, y hace esfuerzos por mantenerlos seguros.
D. El uso de las TIC será controlado tanto por motivos de seguridad como por
motivos de control de la actividad laboral.
E. El sistema de control se basará en un sistema proporcional basado en las
siguientes premisas:
La política que inspira las normas de uso de las TIC se basa en las siguientes
premisas:
Sin perjuicio de otras normas de uso que puedan existir en la organización, las normas
de uso de las TIC a las que se refiere esta política son las siguientes:
1. La compañía considera que las TIC son un elemento fundamental para las
comunicaciones entre la empresa y el resto de agentes económicos y sociales
que intervienen en las relaciones empresariales. Por ello las TIC son asignadas
a áreas o puestos de trabajo y no a personas.
2. Queda prohibido el uso de las mismas para fines no relacionados con las
funciones laborales encomendadas.
Hay usuarios que solo disponen de correo interno y otros también externo.
1. El correo electrónico (en el caso de los usuarios que dispongan del mismo) sea
cual sea la dirección asignada, se configura como una herramienta de trabajo
no exclusiva, colectiva y de libre acceso, asignada a áreas o puestos de trabajo
y no a personas.
2. Queda prohibido el uso del mismo para fines no relacionados con las funciones
laborales encomendadas.
3. El empleo del nombre o apellidos de los trabajadores (cuando así suceda) junto
al dominio de la EMPRESA en las direcciones de correo no significa la
asignación por la empresa de un correo personal, esto se realiza únicamente
por motivos organizativos internos de asignación de áreas y puestos de trabajo.
existen medios más adecuados (WEB, FTP, foros, news), cuando así se
autoricen.
• Scripts: vbs, shs, vbe, hta, pif, bat, lnk, scr, wsh.
• Otros: com, vxd, hlp, sys, shs, ovl, ocx, cab, cmd, class, vdl, chm, cpl,
mdb.
B.2.- Controles.
La empresa podrá controlar el uso del correo electrónico. Para ello seguirá un sistema
baso en:
Los usuarios no tienen acceso por regla general a Internet, sólo a la Intranet
corporativa.
1. El acceso Internet (en el caso de los usuarios que dispongan del mismo) se
configura como una herramienta a disposición de los empleados para el
cumplimiento de sus tareas.
2. Queda prohibido el uso del mismo para fines no relacionados con las funciones
laborales encomendadas.
C.2.- Controles.
La empresa podrá controlar el uso del acceso a Internet proporcionado. Para ello
seguirá un sistema baso en un control de las páginas visitadas, lo que podrá suponer
el almacenamiento y control de las cookies que se generen y su utilización en
procedimientos disciplinarios o en cualquier orden administrativo o judicial.
D.- Equipos.
2. Queda prohibido el uso del mismo para fines no relacionados con las funciones
laborales encomendadas.
4. Sólo podrán trabajar con equipos portátiles las personas autorizadas a ello por
la organización.
D.2.- Controles.
La empresa podrá controlar el uso de los equipos, incluso el contenido de los mismos,
mediante el sistema que estime oportuno.
D.2.- Controles.
F.- Aplicaciones.
G.- Telefonía.
A aquellos que dispongan de teléfono móviles se les limitará su uso con un tope de
gasto que se les comunicará y se podrá controlar el destino de llamadas.
H.- Localizadores.
No está permitido:
A continuación se abordan las normas de uso de los datos personales dispuestas por
la organización.
Con el objeto de dotar de solidez a las mismas y que cumplan con la exigencia legal
de proteger tanto los ficheros automatizados como no automatizados, así como de
• Guardar todos los soportes físicos y/o documentos que contengan información
con datos de carácter personal en un lugar seguro, cuando estos no sean
usados, particularmente fuera de la jornada laboral.
La información que se recabe y se trate con ocasión de dichos controles formará parte
de un fichero del que es responsable [NOMBRE DEL CLIENTE], y cuya finalidad es
controlar tanto la seguridad de los sistemas de información, como el control del uso de
las herramientas y medios puestos a disposición de los empleados en los términos
indicados en esta política y normas.
Para ello podrá remitir o presentar una solicitud por escrito con copia del DNI o
documento equivalente a la dirección postal de la empresa.
3.4.- Incumplimiento.
A. Comunicación
B. Consecuencias
Nota: En cualquier caso se recomienda que todos los trabajadores afectados firmen
las normas de uso y control de las TICS.