Protocolo Puesta en Marcha Política Uso Control Tic en Sistema de Información

PROTOCOLO PARA LA PUESTA EN
MARCHA DE UNA POLÍTICA DE USO

Y CONTROL DE LAS TICS EN EL
SISTEMA DE INFORMACIÓN DE:
[NOMBRE DEL CLIENTE]

PROTOCOLO PARA LA PUESTA EN MARCHA DE UNA POLÍTICA DE USO Versión 1
Y CONTROL DE LAS TIC EN [NOMBRE DEL CLIENTE] Fecha
ÍNDICE DEL DOCUMENTO.
1.- INTRODUCCIÓN.___________________________________________________ 3
2.- BREVE INTRODUCCIÓN AL CONTROL DEL CORREO ELECTRÓNICO Y
NAVEGABILIDAD POR INTERNET EN EL LUGAR DE TRABAJO. _____________ 3
2.1.- INTRODUCCIÓN. _______________________________________________ 3
2.2.-VIGILANCIA Y CONTROL DE LAS COMUNICACIONES ELECTRÓNICAS EN
EL LUGAR DE TRABAJO. PRINCIPIOS GENERALES. _____________________ 5
2.2.1.- Necesidad. _________________________________________________ 5
2.2.2.- Finalidad. __________________________________________________ 7
2.2.3.- Transparencia.______________________________________________ 7
2.2.4.- Legitimidad. ________________________________________________ 9
2.2.5.- Proporcionalidad. ___________________________________________ 9
2.2.6.- Exactitud y conservación de los datos. ________________________ 10
2.2.7.- Seguridad. ________________________________________________ 10
2.3.- CONTROL DEL CORREO ELECTRÓNICO. _________________________ 11
2.3.1.- Legitimación. ______________________________________________ 11
2.3.3.- Información mínima recomendada que una empresa debería facilitar a
su personal. ____________________________________________________ 12
2.3.4.- Correo Web. _______________________________________________ 12
2.4.- CONTROL DEL ACCESO A INTERNET. ____________________________ 13
2.4.1.- Utilización de Internet con fines privados en el lugar de trabajo. ___ 13
2.4.2.- Principios relativos al control de la utilización de Internet. ________ 13
2.4.3.- Contenido mínimo recomendado de la política de la empresa sobre la
utilización de Internet. ____________________________________________ 14
ANEXOS ___________________________________________________________ 15
ANEXO I.- Política de uso de las TIC.__________________________________ 15
ANEXO II. Propuesta a seguir en el sistema de información a los empleados. 25
expansión@gesdatos.com Delegación Comercial Madrid.

http://www.gesdatos.com Paseo de la Castellana 153, bajo.
902.900.231 CP. 28.046, Madrid Página 2 de 25
Avda. Cortes Valencianas 50, 1º-C.
CP 46.015, Valencia.
1.- INTRODUCCIÓN.
El cliente requiere disponer de las herramientas jurídicas necesarias para poder

controlar, cumpliendo la legalidad vigente, el uso del correo electrónico que pone a
disposición de los empleados.
Asimismo se plantea que a la vez que se solucione esta cuestión se aborde el uso y
control del conjunto de las tecnologías de la información que se utilizan por parte de
los empleados.
Las herramientas para dar solución a dicha necesidad son las siguientes:
• Por un lado se ha confeccionado una política de uso de las TIC, que contiene
normas concretas que se adjunta como ANEXO I.
• Por último se ha diseñado una propuesta a seguir en el sistema de información
a los empleados, que se adjunta como ANEXO II.
En la citada propuesta, y debido a que con el control se tratan datos de los empleados
se ha incorporado también una cláusula en cumplimiento del deber de información ext.
Art. 5 LOPD.
Como quiera que se va a abordar un procedimiento de adecuación a la LOPD que va a

requerir de la definición de específicas normas relativas al tratamiento de datos
personales, por coherencia y para que no exista redundancia se abordan también en
el mismo protocolo. Adicionalmente y con el objeto de que se comprenda el marco
legal en la materia se desarrolla en este protocolo una introducción al estado legal de
la cuestión.
NOTA IMPORTANTE: Es importante, en el caso de que existan órganos de

representación de los empleados en la empresa, comunicar previamente a los mismos
que se va a poner en marcha esta política y normas con el fin de suavizar su puesta
en práctica.
2.- BREVE INTRODUCCIÓN AL CONTROL DEL CORREO ELECTRÓNICO Y

NAVEGABILIDAD POR INTERNET EN EL LUGAR DE TRABAJO.
2.1.- INTRODUCCIÓN.
Es evidente la cada vez mayor utilización de las nuevas tecnologías en general y, en

particular, en el ámbito laboral. Ello conlleva, entre otras consecuencias, la posibilidad
de contar con herramientas informáticas por parte de los trabajadores. El control de
estas herramientas por parte del empresario puede suponer, en ocasiones, una
merma cuando no una quiebra total de la privacidad del trabajador.
Pero este derecho del trabajador “ha de conciliarse con otros derechos e intereses
legítimos del empleador, en particular, su derecho a administrar con cierta eficacia la

empresa, y sobre todo, su derecho a protegerse de la responsabilidad o el perjuicio

que pudiera derivarse de las acciones de los trabajadores.”1
Históricamente se ha producido un debate sobre la aplicabilidad al control de las TIC

de uno u otro artículo del Estatuto de los trabajadores:
Artículo 18. Inviolabilidad de la persona del trabajador.
Sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y
efectos particulares, cuando sean necesarios para la protección del patrimonio
empresarial y del de los demás trabajadores de la empresa, dentro del centro de
trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e
intimidad del trabajador y se contará con la asistencia de un representante legal de los
trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa,
siempre que ello fuera posible.
Artículo 20. Dirección y control de la actividad laboral.

[…]
3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y
control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes
laborales, guardando en su adopción y aplicación la consideración debida a su
dignidad humana y teniendo en cuenta la capacidad real de los trabajadores
disminuidos, en su caso.
La Sentencia del TRIBUNAL SUPREMO. Sala de lo Social. Sentencia de 26 de

septiembre de 2007. RECURSO DE CASACIÓN Núm: 966/2006, resuelve el debate y
entiende que en la tensión se aplica el artículo 20 ET:
“El artículo 18 está atribuyendo al empresario un control que excede del que deriva de
su posición en el contrato de trabajo y que, por tanto, queda fuera del marco del
artículo 20 del Estatuto de los Trabajadores. En los registros el empresario actúa, de
forma exorbitante y excepcional, fuera del marco contractual de los poderes que le
concede el artículo 20 del Estatuto de los Trabajadores y, en realidad, como ha
señalado la doctrina científica, desempeña -no sin problemas de cobertura -una
función de “policía privada” o de “policía empresarial” que la ley vincula a la defensa de
su patrimonio o del patrimonio de otros trabajadores de la empresa. El régimen de
registros del artículo 18 del Estatuto de los Trabajadores aparece así como una
excepción al régimen ordinario que regula la Ley de Enjuiciamiento Criminal (artículo
545 y siguientes). Tanto la persona del trabajador, como sus efectos personales y la
taquilla forman parte de la esfera privada de aquél y quedan fuera del ámbito de
ejecución del contrato de trabajo al que se extienden los poderes del artículo 20 del
Estatuto de los Trabajadores. Por el contrario, las medidas de control sobre los
medios informáticos puestos a disposición de los trabajadores se encuentran,
en principio, dentro del ámbito normal de esos poderes: el ordenador es un
instrumento de producción del que es titular el empresario “como propietario o
por otro título” y éste tiene, por tanto, facultades de control de la utilización, que
incluyen lógicamente su examen. Por otra parte, con el ordenador se ejecuta la
prestación de trabajo y, en consecuencia, el empresario puede verificar en él su
correcto cumplimiento, lo que no sucede en los supuestos del artículo 18, pues incluso
1
Son palabras del Grupo de Trabajo “Artículo 29”. El Grupo de Trabajo del Artículo 29 es un grupo consultivo independiente
compuesto por representantes de las autoridades de los Estados miembros, encargados de la protección de datos cuya misión es, en
particular, examinar todas las cuestiones relativas a la aplicación de las medidas nacionales adoptadas en virtud de la Directiva sobre
protección de datos con el fin de contribuir a su aplicación uniforme
respecto a la taquilla, que es un bien mueble del empresario, hay una cesión de uso a
favor del trabajador que delimita una utilización por éste que, aunque vinculada
causalmente al contrato de trabajo, queda al margen de su ejecución y de los poderes
empresariales del artículo 20 del Estatuto de los Trabajadores para entrar dentro de la
esfera personal del trabajador”.
Este protocolo es una ayuda para que se pueda producir ese control por parte del
empresario sin merma de la privacidad del trabajador.
Para ello, se analizan en primer lugar los principios generales aplicables a la vigilancia
del correo electrónico, así como a la utilización de Internet y después se realizan
algunas concreciones en relación con el control del correo electrónico y de la
navegabilidad por Internet en el puesto de trabajo. Por último se adjuntan como
ANEXO, documentos para la puesta en práctica de este protocolo.
2.2.-VIGILANCIA Y CONTROL DE LAS COMUNICACIONES ELECTRÓNICAS EN

EL LUGAR DE TRABAJO. PRINCIPIOS GENERALES.
Los siguientes principios de protección de datos se derivan de la Directiva 95/46/CE (y

se reflejan en la STS citada) deben respetarse en el tratamiento de los datos
personales que implica este tipo de vigilancia. Para que una actividad de control sea
legal y se justifique, deben respetarse todos los principios siguientes.
2.2.1.- Necesidad.
CONCEPTO: Según este principio, el empleador, antes de proceder a este tipo de

actividad, debe comprobar si una forma cualquiera de vigilancia es absolutamente
necesaria para un objetivo específico.
Debería plantearse la posibilidad de utilizar métodos tradicionales de supervisión, que

implican una intromisión menor en la vida privada de los trabajadores, y, cuando
proceda, aplicarlos antes de recurrir a una forma de vigilancia de las comunicaciones
electrónicas.
Sólo en circunstancias excepcionales se considerará necesaria la vigilancia del correo

electrónico o de la utilización de Internet de un trabajador.
Algunos ejemplos de conductas que pueden justificar el control del correo electrónico
de un trabajador para obtener una confirmación o una prueba de determinados actos
del mismo son los siguientes:
• Investigar una posible actividad delictiva de un trabajador que obligara al

empleador a defender sus intereses, por ejemplo cuando es responsable
subsidiario de los actos del trabajador.
• Detectar virus y, en general, cualquier actividad realizada por el empleador

para garantizar la seguridad del sistema.
• Cabe mencionar que la apertura del correo electrónico de un trabajador puede

también resultar necesaria para mantener la correspondencia cuando el
trabajador está ausente (por ej. enfermedad o vacaciones) o cuando la
correspondencia no puede garantizarse de otra forma (por ej. mediante las

funciones de respuesta o desviación automática).
El principio de necesidad significa también que un empleador sólo debe conservar los
datos durante el tiempo necesario para el objetivo específico de la actividad de
vigilancia.

2.2.2.- Finalidad.
CONCEPTO: Este principio significa que los datos deben recogerse con fines
determinados, explícitos y legítimos, y no ser tratados posteriormente de manera
incompatible con dichos fines.
En el presente contexto, el principio de “compatibilidad” significa, por ejemplo, que si el

tratamiento de los datos se justifica a efectos de seguridad del sistema, estos datos no
podrán tratarse posteriormente con otro objetivo, por ejemplo, para supervisar el
comportamiento del trabajador. Cualquier otro uso diferente requerirá, por tanto,
necesariamente el consentimiento del trabajador.
2.2.3.- Transparencia.
CONCEPTO: Este principio significa que un empleador debe indicar de forma clara y
abierta sus actividades. Dicho de otro modo, el control secreto del correo electrónico
por el empleador está prohibido, excepto en los casos en que exista una ley que lo
autorice.
Este principio puede subdividirse en tres aspectos:
2.2.3.1.- La obligación de proporcionar información al interesado.
CONCEPTO: Significa que el empleador debe transmitir a su personal una declaración

clara, precisa y fácilmente accesible de su política relativa a la vigilancia del correo
electrónico y la utilización de Internet.
Los trabajadores deben ser informados de manera completa sobre las circunstancias
particulares que pueden justificar esta medida excepcional; así como del alcance y el
ámbito de aplicación de este control. Esta información debería incluir necesariamente:
• La política de la empresa en cuanto a utilización del correo electrónico e

Internet, describiendo de forma pormenorizada en qué medida los trabajadores
pueden utilizar los sistemas de comunicación de la empresa con fines privados
o personales (por ejemplo, períodos y duración de utilización).
• Los motivos y finalidad de la vigilancia, en su caso. Cuando el empleador

autorice a los trabajadores a utilizar los sistemas de comunicación de la
empresa con fines personales, las comunicaciones privadas podrán
supervisarse en circunstancias muy limitadas, por ejemplo para garantizar la
seguridad del sistema informático (detección de virus).
• Información detallada sobre las medidas de vigilancia adoptadas, por ejemplo:

quién ha adoptado las medidas, qué medidas se han adoptado y cuando.
• Información detallada sobre los procedimientos de aplicación, precisando cómo

y cuándo se informará a los trabajadores en caso de infracción de las
directrices internas y de los medios de que disponen para reaccionar en estos
casos.
Adicionalmente es conveniente:
Que se informe inmediatamente al trabajador de cualquier abuso de las

comunicaciones electrónicas detectado, salvo que haya razones imperiosas justifican
la continuación de la vigilancia, lo que normalmente no es el caso.
Ello se puede hacer de diversas formas:
• Transmitirse información rápida fácilmente mediante un programa informático,

por ejemplo a través de ventanas de advertencia que avisen al trabajador de
que el sistema ha detectado una utilización ilícita de la red. Un gran número de
malentendidos podrían también evitarse de esta manera.
• Otro ejemplo del principio de transparencia es la práctica de los empleadores

consistente en informar y/o consultar a los representantes de los trabajadores
antes de introducir políticas que les conciernan.
• Es posible que los convenios colectivos no sólo obliguen al empleador a

informar y consultar a los representantes de los trabajadores antes de instalar
sistemas de vigilancia, sino que también supediten esta instalación a su
consentimiento previo. Asimismo, en los convenios colectivos pueden
establecerse los límites de la utilización de Internet y del correo electrónico por
los trabajadores, así como proporcionarse información detallada sobre el
control de esta utilización.
2.2.3.2.- La obligación de notificar a la Agencia Española de Protección de Datos

los ficheros o tratamientos que se produzcan.
CONCEPTO: Se trata de que el tratamiento efectuado esté declarado en el RGPD

dependiente de la AEPD para que los trabajadores puedan siempre comprobar en los
registros de protección de datos, por ejemplo, qué categorías de datos personales de
los trabajadores puede procesar el empleador, con qué finalidad y para qué
destinatarios.
2.2.3.3.- El ejercicio de Derechos.
CONCEPTO: Un trabajador (como afectado o interesado que es), tiene el derecho de

acceso, rectificación, cancelación y oposición, en relación con los datos tratados por
su empleador.
Téngase no obstante en cuenta que estos derechos, como cualquier otro, no son
absolutos y, por tanto, tienen límites que habrá que tener en cuenta ante su ejercicio.

2.2.4.- Legitimidad.
CONCEPTO: Este principio significa que una operación de tratamiento de datos sólo
puede efectuarse si su finalidad es legítima.
La necesidad del empleador de proteger su empresa de amenazas importantes, por

ejemplo para evitar la transmisión de información confidencial a un competidor, puede
considerarse un interés legítimo.
2.2.5.- Proporcionalidad.
CONCEPTO: Según este principio, los datos personales, incluidos los que se utilicen
en las actividades de control, deberán ser adecuados, pertinentes y no excesivos con
relación a los fines para los que se recaben.
La política de la empresa en este ámbito deberá adaptarse al tipo y grado de riesgo al

que se enfrente dicha empresa.
El principio de proporcionalidad excluye, por lo tanto, el control general de los

mensajes electrónicos y de la utilización de Internet de todo el personal, salvo si
resulta necesario para garantizar la seguridad del sistema. Si existe una solución que
implique una intromisión menor en la vida privada de los trabajadores y que permita
lograr el objetivo perseguido, el empleador debería considerar su aplicación (por
ejemplo, debería evitar los sistemas que efectúan una vigilancia automática y
continua).
Si es posible, el control del correo electrónico debería limitarse a los datos sobre
tráfico de los participantes y a la hora de una comunicación más que al contenido, si
ello es suficiente para satisfacer las necesidades del empleador. Si el acceso al
contenido de los mensajes es indispensable, convendría tener en cuenta el respeto de
la vida privada de los destinatarios externos e internos de la organización. Por
ejemplo, el empleador no puede obtener el consentimiento de las personas ajenas a la
organización que envían mensajes a los miembros de su personal.
Del mismo modo, el empleador debería aplicar todos los medios razonables para
informar a las personas ajenas a la organización de la existencia de actividades de
vigilancia que pudieran afectarlas. Se podría, por ejemplo, insertar avisos de la
existencia de sistemas de vigilancia en todos los mensajes salientes de la
organización.
La tecnología ofrece al empleador importantes posibilidades de evaluar la utilización

del correo electrónico por sus trabajadores, comprobando, por ejemplo, el número de
mensajes enviados y recibidos o el formato de los documentos adjuntos; por ello la
apertura efectiva de los mensajes electrónicos es desproporcionada.
La tecnología puede también utilizarse para garantizar que sean proporcionadas las
medidas adoptadas por el empleador para proteger de todo abuso el acceso a Internet
autorizado a su personal, utilizando mecanismos de bloqueo más que de vigilancia.

Ya existen numerosos ejemplos prácticos de la utilización de estos medios

tecnológicos:
• Internet: Algunas empresas utilizan un programa informático que puede

configurarse para impedir la conexión a categorías predeterminadas de sitios
Web. Tras consultar la lista global de los sitios Web visitados por su personal,
el empleador puede decidir añadir algunos sitios a la lista de los bloqueados
(eventualmente después de haber informado a los trabajadores de que se
bloqueará la conexión con este sitio, salvo si un trabajador le demuestra la
necesidad de conectarse).
• Correo electrónico: Las empresas utilizan una función de desviación

automática hacia un servidor aislado para todos los mensajes que superan un
determinado volumen. Se informa automáticamente al destinatario de que se
ha desviado un mensaje sospechoso hacia este servidor, donde puede
consultarlo.
Deberían crearse sistemas de tratamiento de las comunicaciones electrónicas para

limitar al mínimo estricto la cantidad de datos personales tratados.
Por lo que se refiere a la cuestión de la proporcionalidad, debe destacarse que el

mecanismo de negociación colectiva puede resultar muy útil para decidir qué acciones
son proporcionadas al riesgo que corre el empleador. Es posible alcanzar un acuerdo
entre el empleador y los trabajadores sobre la forma de conciliar los intereses de
ambas partes.
2.2.6.- Exactitud y conservación de los datos.
CONCEPTO: Este principio requiere que todos los datos legítimamente almacenados
por un empleador (después de tener en cuenta todos los demás principios enunciados)
que incluyan datos procedentes de una cuenta de correo electrónico de un trabajador,
de su utilización de Internet o relativos a las mismas deberán ser precisos y
actualizarse y no podrán conservarse más tiempo del necesario.
Para ello los empleadores deberían especificar un período de conservación de los

mensajes electrónicos en sus servidores centrales en función de las necesidades
profesionales. Normalmente, es difícil imaginar que pueda justificarse un período de
conservación superior a tres meses.
2.2.7.- Seguridad.
CONCEPTO: Este principio obliga al empleador a aplicar las medidas técnicas y

organizativas adecuadas para proteger todos los datos personales en su poder de
toda intromisión exterior. Incluye también el derecho del empleador a proteger su
sistema contra los virus y puede implicar el análisis automatizado de los mensajes
electrónicos y de los datos relativos al tráfico en la red.
Llama la atención el papel del administrador del sistema y, un trabajador cuyas

responsabilidades en materia de protección de datos son importantes. Es fundamental
que el administrador del sistema, así como cualquier persona que tenga acceso a
datos personales de los trabajadores durante las operaciones de control, esté
902.900.231 CP. 28.046, Madrid Página 10 de
Avda. Cortes Valencianas 50, 1º-C. 25
sometido a una obligación estricta de secreto profesional respecto a la información

confidencial a la que pueda acceder.
2.3.- CONTROL DEL CORREO ELECTRÓNICO.
2.3.1.- Legitimación.
Los trabajadores deben dar su consentimiento libremente y con conocimiento de

causa; y los empleadores no deben recurrir al consentimiento como medio general de
legitimar tratamientos de este tipo.
Tal legitimación no puede anular derechos y libertades fundamentales de los

trabajadores. Ello incluye, en su caso, el derecho fundamental al secreto de la
correspondencia.
El Grupo de Trabajo del artículo 29 ha opinado a este respecto lo siguiente: “Si un

empresario debe tratar datos personales como consecuencia inevitable y necesaria de
la relación laboral, actuará de forma engañosa si intenta legitimar este tratamiento a
través del consentimiento. El recurso al consentimiento deberá limitarse a los casos en
los que el trabajador pueda expresarse de forma totalmente libre y tenga la posibilidad
de rectificar posteriormente sin verse perjudicado por ello.”
Dado que los mensajes electrónicos contienen datos personales que se refieren tanto
al emisor como al destinatario y que los empleadores pueden en general obtener el
consentimiento de una de estas partes sin demasiadas dificultades (a menos que el
correo electrónico incluya también la correspondencia entre trabajadores de la
empresa), la posibilidad de legitimar el control del correo electrónico sobre la base del
consentimiento es muy limitada. Estas consideraciones se aplican también a la letra b)
del artículo 7 de la Directiva, ya que una de las partes de la correspondencia nunca
tendría contrato con el responsable del tratamiento con arreglo a dicha disposición, es
decir, para el control de la correspondencia.
En esta fase, debe señalarse que cuando el trabajador recibe una cuenta de correo
electrónico para uso estrictamente personal o puede acceder a una cuenta de correo
Web, la apertura por el empleador de los mensajes electrónicos de esta cuenta
(excepto para detectar virus) sólo podrá justificarse en circunstancias muy limitadas y
no podrá justificarse en circunstancias normales con arreglo a la letra f) del artículo 7,
ya que acceder a este tipo de datos no es necesario para satisfacer un interés legítimo
del empleador. En este caso, prevalece por el contrario el derecho fundamental al
secreto de correspondencia.
En consecuencia, la cuestión de en qué medida la letra f) del artículo 7 autoriza el

control del correo electrónico depende de la aplicación caso por caso de los principios
fundamentales explicados anteriores.
Al sopesar los intereses de las partes, conviene tener en cuenta el respeto de la vida
privada de las personas ajenas a la organización afectadas por la actividad de
vigilancia.

2.3.3.- Información mínima recomendada que una empresa debería facilitar a su

personal.
Al elaborar su política, los empleadores deben respetar los principios enunciados

relativos al principio general de transparencia, habida cuenta de las necesidades y el
tamaño de la organización.
Además, en el ámbito más específico del correo electrónico, deberán abordarse los
puntos siguientes:
• Determinar si un trabajador está autorizado a disponer de una cuenta de correo

electrónico de uso estrictamente personal, si está permitida la utilización de
cuentas de correo Web en el lugar de trabajo y si el empleador recomienda a
su personal la utilización de una cuenta privada de correo Web para utilizar el
correo electrónico con fines exclusivamente personales.
• Los acuerdos con los trabajadores sobre el acceso al contenido del correo
electrónico, por ejemplo cuando el trabajador se ausenta repentinamente, y las
finalidades específicas de este acceso.
• Indicar el periodo de conservación de las posibles copias de seguridad de los

mensajes.
• Precisar cuándo se borran definitivamente los mensajes electrónicos del

servidor.
• Cuestiones de seguridad.
• Participación de los representantes de los trabajadores en la formulación de la

política.
Conviene señalar que el empleador debe garantizar permanentemente la actualización

de su política de acuerdo con la evolución tecnológica y la opinión de su personal.
2.3.4.- Correo Web.
La posibilidad de que los trabajadores utilicen una cuenta privada de correo electrónico
o un correo Web2 podría suponer una solución pragmática del problema.
Una recomendación en este sentido por parte del empleador facilitaría la distinción
entre el correo electrónico de uso profesional y el de uso privado y reduciría el riesgo
de intromisión de los empleadores en la vida privada de sus trabajadores. Además, los
costes suplementarios para el empleador serían nulos o mínimos.
Si se adopta esta política, el empleador podrá controlar, en casos específicos en que

existan sospechas graves sobre el comportamiento de un trabajador, en qué medida
éste utiliza su ordenador con fines personales, contabilizando el tiempo que emplea en
las cuentas del correo Web. Esta solución satisface los intereses del empleador y evita
2
El correo Web es un sistema de correo electrónico en la red que ofrece funciones de correo electrónico a partir de cualquier
distribuidor o servidor POP3 o IMAP y que está protegido generalmente por un nombre de usuario y una contraseña.
el riesgo de revelación de datos personales de los trabajadores, y, en particular, de

datos delicados.
Además esta política favorecería también a los trabajadores, porque les permitiría
saber con seguridad el nivel de confidencialidad que pueden esperar, lo que quizá no
sería el caso con códigos de conducta, más complejos y confusos. Dicho esto,
conviene también indicar lo siguiente:
• El hecho de autorizar la utilización del correo Web o de cuentas privadas no es

óbice para la plena aplicación de los puntos anteriores del presente capítulo a
otras cuentas de correo electrónico en el lugar de trabajo.
• Al autorizar el correo Web, las empresas deben saber que su uso puede
comprometer la seguridad de sus redes, en particular, por lo que se refiere a la
proliferación de virus.
• Los trabajadores deberían saber que, a veces, los servidores del correo Web
están situados en terceros países que quizá no cuenten con un sistema
adecuado de protección de los datos de carácter personal.
Debe tenerse en cuenta que estas consideraciones se aplican a las relaciones

normales entre empleadores y trabajadores. Podría resultar necesario aplicar normas
especiales a la comunicación de los trabajadores obligados a guardar secreto
profesional.
2.4.- CONTROL DEL ACCESO A INTERNET.
2.4.1.- Utilización de Internet con fines privados en el lugar de trabajo.
En primer lugar, conviene destacar que incumbe a la empresa decidir si autoriza a su

personal a navegar en Internet con fines privados y, en caso afirmativo, en qué medida
se tolera esta utilización privada.
No obstante una prohibición absoluta de la utilización de Internet con fines privados

por los trabajadores podría considerarse inaplicable y un tanto irrealista, ya que no se
tendría en cuenta el apoyo que Internet puede brindar a los trabajadores en su vida
diaria.
2.4.2.- Principios relativos al control de la utilización de Internet.
Al considerar la cuestión del control de la utilización de Internet por los trabajadores

pueden aplicarse algunos principios. En la medida de lo posible, la prevención debería
primar sobre la detección. En otras palabras, al empleador le es más beneficioso
prevenir la utilización abusiva de Internet por medios técnicos que destinar recursos a
su detección.
Dentro del límite de lo que es razonablemente posible, la política de la empresa

respecto a Internet debería basarse en herramientas técnicas para limitar el acceso,
más que en dispositivos de control de los comportamientos, por ejemplo, bloqueando
el acceso a algunos sitios o instalando advertencias automáticas.
El suministro al trabajador de información rápida sobre la detección de una utilización

sospechosa de Internet es importante para minimizar los problemas.
Aunque sea necesaria, toda medida de control debe ser proporcionada al riesgo que
corre el empleador. En la mayoría de los casos, la utilización abusiva de Internet
puede detectarse sin tener que analizar el contenido de los sitios visitados.
Por ejemplo, la comprobación del tiempo empleado o la elaboración de una lista de los
sitios más visitados por un servicio, podría bastar para confirmar al empleador que sus
sistemas se emplean correctamente.
Si estas comprobaciones generales revelaran una posible utilización abusiva de

Internet, el empleador podría entonces considerar la posibilidad de proceder a nuevos
controles en la zona de riesgo.
Al analizar la utilización de Internet por los trabajadores, los empleadores deberían
evitar sacar conclusiones precipitadas, dada la facilidad con que pueden visitarse
involuntariamente algunos sitios a través de respuestas de motores de búsqueda,
vínculos hipertextuales ambiguos, pancartas publicitarias engañosas o errores al
pulsar las teclas.
En todos los casos, deberán presentarse al trabajador en cuestión todos los hechos de
que se le acusa y ofrecerle la posibilidad de refutar la utilización abusiva alegada por el
empleador.
2.4.3.- Contenido mínimo recomendado de la política de la empresa sobre la

utilización de Internet.
La información que se especifica en el apartado relativo al principio de Transparencia,

pero además, en el ámbito más específico de la navegabilidad deberán abordarse los
puntos siguientes:
• El empleador deberá precisar claramente a los trabajadores en qué

condiciones se autoriza la utilización de Internet con fines privados e indicarles
los elementos que no pueden visualizar o copiar. Estas condiciones y
restricciones deberán explicarse al personal.
• Deberá informarse a los trabajadores de los sistemas instalados para impedir el

acceso a algunos sitios o para detectar una posible utilización abusiva.
• Deberá precisarse el alcance del control. Por ejemplo si este control se efectúa
de manera individualizada o por departamentos de la empresa, o si el
contenido de los sitios consultados será visualizado o registrado por el
empleador en determinados casos.
• La política de la empresa deberá especificar, cuando proceda, el uso que se

hará de los datos recogidos sobre las personas que visitaron sitios específicos.
• Deberá informarse a los trabajadores del papel de sus representantes, tanto en

la aplicación de la política como en la investigación de las presuntas
infracciones.

ANEXOS
ANEXO I.- Política de uso de las TIC.
POLÍTICA Y NORMAS DE USO Y CONTROL DE LAS TECNOLOGIAS DE LA

INFORMACIÓN Y DE LAS COMUNICACIONES.
NORMAS DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL DE [NOMBRE

DE CLIENTE]
1.- OBJETIVO.
El objetivo de la presente Política y normas de uso es establecer las directrices

generales que garanticen el adecuado uso de las tecnologías de la información y las
comunicaciones (TIC) de la empresa [NOMBRE DEL CLIENTE], establecer los
sistemas de control y las consecuencias que el incumplimiento de la misma tiene para
los empleados.
Esta política está integrada de forma coherente con la política general de seguridad de
[NOMBRE DEL CLIENTE], así como con la política, normas y procedimientos
desarrollados en materia de protección de datos personales, que también se desarrolla
en este documento. Asimismo se procurará la coordinación con cualesquiera políticas,
normas y procedimientos que se desarrollen y con los que existan intersecciones.
Esta política y normas de desarrollo ha sido comunicada a los representantes

sindicales de los empleados en la empresa, se comunicará a los empleados a quienes
afecte y se actualizará en los términos en que la misma indica.
2.- POLÍTICAS.
POLÍTICA DE USO Y CONTROL DE LAS TIC.
La política que inspira las normas de uso de las TIC se basa en las siguientes
premisas:
[NOMBRE DEL CLIENTE], es una empresa que está concienciada con la seguridad de
sus sistemas de información, y hace esfuerzos por mantenerlos seguros.
Asimismo [NOMBRE DEL CLIENTE], pretende estar siempre alineada con el

cumplimiento de la legalidad vigente y, en concreto, …
A. Todos los equipos, infraestructuras y aplicaciones dispuestos al servicio del

personal contratado son propiedad de [NOMBRE DEL CLIENTE], y sólo se
permite su utilización para desarrollar las tareas establecidas en el ámbito
laboral.
B. Asimismo todos los datos procesados por los elementos anteriormente

mencionados y los resultados son propiedad de [NOMBRE DEL CLIENTE],,
conforme a la legislación sobre propiedad intelectual.
C. La empresa no admite la utilización particular de las TIC y herramientas

puestas a disposición de los usuarios.
D. El uso de las TIC será controlado tanto por motivos de seguridad como por
motivos de control de la actividad laboral.
E. El sistema de control se basará en un sistema proporcional basado en las
siguientes premisas:
1) En el caso de herramientas que permitan sistemas de control menos

invasivos como control de volumen, tráfico, actividad, extensiones de
archivos etc. se procurará previamente el control de estos elementos y
posteriormente el control de aspectos concretos que contengan dato.
2) En todo caso se podrán establecer sistemas de control basados en catas
aleatorias pero que no supongan de inicio un control total de la actividad.
F. Se podrán adoptar las medidas legales oportunas frente al incumplimiento de

estas políticas y normas y en general frente al incumplimiento de la legalidad
vigente.
2.2. POLÍTICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
La política que inspira las normas de uso de las TIC se basa en las siguientes
premisas:
A. Respeto a las normas vigentes en materia de protección de datos.
B. El desarrollo de procedimientos y adopción de medidas para el cumplimiento

de las obligaciones que afecten a datos personales, tanto en soportes
automatizados como no automatizados.
C. El diseño de un plan de mejora continua de los procedimientos adoptados.

3.- NORMAS DE USO.
3.1. NORMAS DE USO DE LAS TIC.
Sin perjuicio de otras normas de uso que puedan existir en la organización, las normas
de uso de las TIC a las que se refiere esta política son las siguientes:
A.- Normas generales.
1. La compañía considera que las TIC son un elemento fundamental para las
comunicaciones entre la empresa y el resto de agentes económicos y sociales
que intervienen en las relaciones empresariales. Por ello las TIC son asignadas
a áreas o puestos de trabajo y no a personas.
2. Queda prohibido el uso de las mismas para fines no relacionados con las
funciones laborales encomendadas.
B.- Uso del Correo electrónico.
B.1.- Normas de uso.
Hay usuarios que solo disponen de correo interno y otros también externo.
a. Normas comunes a todos los usuarios (tanto de correo interno como

externo).
1. El correo electrónico (en el caso de los usuarios que dispongan del mismo) sea
cual sea la dirección asignada, se configura como una herramienta de trabajo
no exclusiva, colectiva y de libre acceso, asignada a áreas o puestos de trabajo
y no a personas.
2. Queda prohibido el uso del mismo para fines no relacionados con las funciones
laborales encomendadas.
3. El empleo del nombre o apellidos de los trabajadores (cuando así suceda) junto
al dominio de la EMPRESA en las direcciones de correo no significa la
asignación por la empresa de un correo personal, esto se realiza únicamente
por motivos organizativos internos de asignación de áreas y puestos de trabajo.
4. Se podrá realizar copia de seguridad de los emails y acceder al contenido de

los mismos ante problemas técnicos o de seguridad o cuando existan
sospechas de que no se cumplen estas normas.
5. No se permite el uso de cuentas de correo distintas a las proporcionadas por la

empresa.
b. Normas específicas para los usuarios de correo externo.
1. El correo electrónico no debe utilizarse como herramienta de difusión de

información masiva. Se prohíbe el envío de correos masivos (spam)
empleando la dirección de correo electrónico corporativa. Para tales fines
existen medios más adecuados (WEB, FTP, foros, news), cuando así se
autoricen.
2. Queda prohibido expresamente participar en “cartas en cadena”.

3. Se limitará a los casos estrictamente necesarios por trabajo el envío o reenvío
de ficheros adjuntos, especialmente en los mensajes dirigidos a múltiples
usuarios, así como para anunciar la aparición de nuevos virus, amenazas, etc.
por parte de personal no autorizado.
4. No está permitido manipular las cabeceras de los mensajes con la finalidad de

ocultar o falsear la identidad del remitente del mensaje.
5. El correo electrónico es una de las fuentes más importantes de difusión de

virus, por lo que se recomienda no abrir mensajes recibidos de remitentes
desconocidos y especialmente si además de remitentes desconocidos tienen el
asunto en ingles.
6. El tamaño máximo de los mensajes está limitado a **** MB En el caso de que

se necesiten enviar ficheros de tamaño superior, el Departamento de
Informática facilitara los medios necesarios para ello.
7. No están permitidos los envíos masivos, siendo rechazados los mensajes si el

número máximo de destinatarios es superior a *****
8. Debido al incremento y la continua aparición de nuevos virus, son eliminados

los mensajes con anexos susceptibles de ejecución. Las extensiones cortadas
son:
• Aplicaciones: exe, dll.
• Scripts: vbs, shs, vbe, hta, pif, bat, lnk, scr, wsh.
• Otros: com, vxd, hlp, sys, shs, ovl, ocx, cab, cmd, class, vdl, chm, cpl,
mdb.
9. Para evitar la posible generación de spam desde servidores internos y aparecer

en listas negras, se limita el envío de correo hacia fuera de la empresa
únicamente a los servidores de correo corporativos.
B.2.- Controles.
La empresa podrá controlar el uso del correo electrónico. Para ello seguirá un sistema
baso en:
• Un primer nivel de control de tráfico y archivos adjuntos.

• Un segundo nivel de control de contenidos.
No obstante también la empresa podrá utilizar sistemas de control de correo basados

en palabras clave u otros que estime oportunos.

C.- Acceso a Internet.
Los usuarios no tienen acceso por regla general a Internet, sólo a la Intranet
corporativa.
No obstante, los usuarios a quienes se de acceso por motivo de trabajo a Internet,

deberán respetar las siguientes normas de uso:
C.1. Normas de uso.
1. El acceso Internet (en el caso de los usuarios que dispongan del mismo) se
configura como una herramienta a disposición de los empleados para el
cumplimiento de sus tareas.
C.2.- Controles.
La empresa podrá controlar el uso del acceso a Internet proporcionado. Para ello
seguirá un sistema baso en un control de las páginas visitadas, lo que podrá suponer
el almacenamiento y control de las cookies que se generen y su utilización en
procedimientos disciplinarios o en cualquier orden administrativo o judicial.
No obstante también la empresa podrá utilizar otros sistemas de control de la

navegabilidad que estime oportunos.
D.- Equipos.
D.1.- Normas de uso.
1. Los equipos proporcionados por la empresa se configuran como herramienta

puesta a disposición de los empleados para el cumplimiento de sus tareas.
3. Queda prohibido trabajar con equipos personales que no sean proporcionados

por la empresa.
4. Sólo podrán trabajar con equipos portátiles las personas autorizadas a ello por
la organización.
5. Cuando se proporcionen equipos portátiles o en general dispositivos móviles el

empleado será el responsable de su custodia cuando estén fuera de la
empresa.
6. Se procurará en todo caso trabajar sobre los servidores corporativos. Cuando

necesariamente se trabaje en modo local el empleado será el responsable de
que cuando la información que contengan los equipos (tenga o no datos

personales) se guarde debidamente en el servidor habilitado al efecto para
evitar la pérdida de la misma.
7. Hay aspectos específicos relativos a normas de protección de datos personales
que se pueden consultar en las normas de uso en protección de datos de
carácter personal.
D.2.- Controles.
La empresa podrá controlar el uso de los equipos, incluso el contenido de los mismos,
mediante el sistema que estime oportuno.
E. Dispositivos de almacenamiento externo.
Los usuarios no pueden técnicamente utilizar dispositivos de almacenamiento externo

y caso de que puedan de forma accidental no deberán hacer uso de ellos, salvo en los
casos en que se autorice expresamente y se adopten las debidas medidas de
seguridad.
1. En general el uso de dispositivos de almacenamiento externo está prohibido

excepto autorización expresa y por escrito por parte de la organización.
2. Cuando se autorice su uso lo será únicamente con dispositivos facilitados por

la organización.
3. La información que se contenga en dichos dispositivos, contengan o no datos

de carácter personal, se mantendrá cifrada.
4. Hay aspectos específicos relativos a normas de protección de datos personales

que se pueden consultar en las normas de uso en protección de datos de
carácter personal.
D.2.- Controles.
La empresa podrá controlar el uso de los dispositivos externos, incluso el contenido de

los mismos, mediante el sistema que estime oportuno.
F.- Aplicaciones.
No se podrán descargar o utilizar programas que no estén previa y expresamente

autorizados por la organización y publicados en el inventario de programas permitidos.
G.- Telefonía.
G.1.- Telefonía fija.
Se podrá controlar el destino de las llamadas realizadas con teléfonos fijos.
G.2.- Telefonía móvil.
A aquellos que dispongan de teléfono móviles se les limitará su uso con un tope de
gasto que se les comunicará y se podrá controlar el destino de llamadas.

H.- Localizadores.
La empresa, con el objeto de mejorar ciertos servicios, podrá utilizar localizadores de

posición de ciertos empleados que al llevarlos conocen de la posibilidad de que con
ellos se conozca su localización y trayectos realizados. La finalidad de estos es
mejorar los servicios y optimizar recursos pero la información que faciliten estos podrá
ser utilizada también para el control de la actividad laboral y la toma de decisiones en
esta materia, incluso disciplinarias o laborales.
I.- Cámaras de Videovigilancia.
La empresa dispone de cámaras de videovigilancia cuya finalidad inicial es la de

seguridad y de cuya ubicación existen carteles informativos. No obstante las cámaras
pueden ser también utilizadas caso de captarse información que revele aspectos
laborales de importancia, para la toma de decisiones laborales.
J.- Grabación de voz.
La empresa no utiliza sistemas de grabación de voz. No obstante es posible la

implantación de sistemas de control de calidad en áreas (como atención a clientes)
que impliquen la necesidad de la grabación de las mismas. La información así
recogida podrá ser utilizada para la mejora de dichos procesos y también para la toma
de posibles decisiones laborales.
K.- Otros aspectos.
No está permitido:
• Emplear identificadores y contraseñas de otros usuarios para acceder al

sistema.
• Burlar las medidas de seguridad establecidas en el sistema informático,

intentando acceder a ficheros o programas cuyo acceso no le haya sido
permitido.
• Modificar la configuración de redes, de equipos y de cualquier dispositivo de

trabajo.
• En general, el empleo de la red corporativa, sistemas informáticos y cualquier

medio puesto al alcance del usuario vulnerando el derecho de terceros, los
propios de la organización, o bien para la realización de actos que pudieran ser
considerados ilícitos.
3.2.- NORMAS DE USO DE DATOS PERSONALES.
A continuación se abordan las normas de uso de los datos personales dispuestas por
la organización.
Con el objeto de dotar de solidez a las mismas y que cumplan con la exigencia legal
de proteger tanto los ficheros automatizados como no automatizados, así como de

estar alineadas con la política de uso de las TIC de la organización se detallan a

continuación:
1. Unas obligaciones generales relativas a la protección de datos comunes a la

información personal cualesquiera que sea el soporte en que se hallen.
2. Unas obligaciones concretas relativas a los ficheros no automatizados
3. Y por ultimo otras relativas a los ficheros automatizados.
3.2.1.- OBLIGACIONES GENERALES: comunes a ficheros automatizados y no

automatizados (papel).
• Guardar el necesario secreto respecto a cualquier tipo de información de

carácter personal conocida en función del trabajo desarrollado, incluso una vez
concluida la relación laboral con la organización.
• Guardar todos los soportes físicos y/o documentos que contengan información
con datos de carácter personal en un lugar seguro, cuando estos no sean
usados, particularmente fuera de la jornada laboral.
• Queda prohibido el traslado de cualquier soporte, listado o documento con

datos de carácter personal en los que se almacene información titularidad de la
organización fuera de los locales de la misma, sin autorización previa del
Responsable de Seguridad. En el supuesto de existir traslado o distribución de
soportes y documentos se realizará cifrando dichos datos, o mediante otro
mecanismo que el acceso o manipulación de la información por terceros.
• Ficheros de carácter temporal o copias de documentos son aquellos en los que

se almacenan datos de carácter personal, generados para el cumplimiento de
una necesidad determinada o trabajos temporales y auxiliares, siempre y
cuando su existencia no sea superior a un mes. Estos ficheros de carácter
temporal o copias de documentos deben ser borrados una vez hayan dejado
de ser necesarios para los fines que motivaron su creación y, mientras estén
vigentes, deberán cumplir con los niveles de seguridad asignados por el
Responsable de Seguridad.
• Si, transcurrido el mes, el usuario necesita continuar utilizando la información

almacenada en el fichero, deberá comunicarlo al Responsable de Seguridad,
para adoptar las medidas oportunas sobre el mismo.
• Únicamente las personas autorizadas en un listado de accesos podrán

introducir, modificar o anular los datos contenidos en los ficheros o documentos
objeto de protección. Los permisos de acceso de los usuarios son concedidos
por el Responsable de Seguridad. En el caso de que cualquier usuario
requiera, para el desarrollo de su trabajo, acceder a ficheros o documentos a
cuyo acceso no está autorizado, deberá ponerlo en conocimiento del
Responsable de Seguridad correspondiente.
• Comunicar al Responsable de Seguridad, conforme al procedimiento de

notificación, las incidencias de seguridad de las que tenga conocimiento.

3.2.2.- Obligaciones específicas respecto de los ficheros automatizados que

contengan datos personales
• Cambiar las contraseñas a petición del sistema.
• Cerrar o bloquear todas las sesiones al término de la jornada laboral o en el

supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar
accesos no autorizados.
• No copiar la información contenida en los ficheros en los que se almacenen
datos de carácter personal al ordenador personal, disquetes, portátil o a
cualquier otro soporte sin autorización expresa del Responsable de Seguridad
correspondiente y sin adoptar las correspondientes medidas de seguridad y
custodia para evitar el acceso por parte de terceros.
• Guardar todos los ficheros con datos de carácter personal en la carpeta

indicada por el Responsable de Seguridad correspondiente a fin de facilitar la
aplicación de las medidas de seguridad que les correspondan.
• Los usuarios tienen prohibido el envío de información de carácter personal de

nivel alto, salvo autorización expresa del Responsable de seguridad que tenga
asignada esta tarea. En todo caso, este envío únicamente podrá realizarse si
se adoptan los mecanismos necesarios para evitar que la información no sea
inteligible ni manipulada por terceros.
3.2.3.- Funciones y obligaciones respecto a los ficheros NO automatizados.
• Mantener debidamente custodiadas las llaves de acceso a la organización, a

sus despachos y a los armarios, archivadores u otros elementos que contenga
ficheros no automatizados con datos de carácter personal, debiendo poner en
conocimiento del Responsable de seguridad competente cualquier hecho que
pueda haber comprometido esa custodia.
• Cerrar con llave las puertas de los despachos al término de la jornada laboral o
cuando deba ausentarse temporalmente de esta ubicación, a fin de evitar
accesos no autorizados.
• Asegurarse de que no quedan documentos impresos que contengan datos de

carácter personal impresos en la bandeja de salida de la impresora o fax.
• Establecerse procedimientos en el copiado o reproducción de documentos, a

fin que solo puedan acceder a las copias las personas habilitadas por el
Responsable de Seguridad correspondiente.
• Las obligaciones sólo serán exigibles a los usuarios en tanto en cuanto la

organización disponga los medios adecuados en cada caso.
3.2.- Responsabilidad de la Dirección.
La Dirección es responsable de:
1. Aprobar las presentes normas.

2. Dotar a la empresa de los medios técnicos y organizativos para su

cumplimiento.
3. Difundirlas entre los empleados.
4. Mantenerlas actualizadas a los cambios organizativos, tecnológicos y legales.
3.3.- Tratamiento de la información generada con ocasión de dichos controles.
La información que se recabe y se trate con ocasión de dichos controles formará parte
de un fichero del que es responsable [NOMBRE DEL CLIENTE], y cuya finalidad es
controlar tanto la seguridad de los sistemas de información, como el control del uso de
las herramientas y medios puestos a disposición de los empleados en los términos
indicados en esta política y normas.
En tanto en cuanto dicha información pueda identificarse a una persona concreta el

empleado tendrá derecho como interesado a ejercitar sus derechos de acceso,
rectificación, cancelación y oposición en los términos dispuestos en la legislación
vigente.
Para ello podrá remitir o presentar una solicitud por escrito con copia del DNI o
documento equivalente a la dirección postal de la empresa.
3.4.- Incumplimiento.
A. Comunicación
En caso de infracción de las presentes normas la empresa procurará comunicar al

empleado, tan pronto tenga certeza de los hechos y le sea posible, la infracción
cometida y sus consecuencias (según la infracción de que se trate y su mayor o menor
gravedad.
Para ello la empresa podrá:
1. Bien comunicar directamente al empleado los hechos: bien de forma

electrónica mediante el uso del email proporcionado al efecto; bien
mediante la comunicación por escrito al domicilio que el empleado haya
comunicado a efectos laborales; bien mediante…
2. Bien…
B. Consecuencias
La empresa dispone de diferentes medios para reaccionar frente al incumplimiento de

las presentes normas (según la gravedad de la infracción y los perjuicios que cause a
la empresa):
1. Por un lado podrá abrirse un expediente disciplinario al empleado con las

correspondientes sanciones impuestas en la legislación laboral.
2. En caso de infracciones graves o muy graves o de infracciones leves

reiteradas, la infracción podrá lugar a despido disciplinario del empleado.

3. En el caso de que como consecuencia de la actuación del empleado la

empresa tenga alguna sanción o responsabilidad, o deba abonar alguna
indemnización por daños en cualquier orden, podrá repetir contra el empleado
el importe de la cantidad que hubiese tenido que abonar más en su caso los
perjuicios y gastos que ello le pudiera haber ocasionado.
D/Dª (datos del trabajador) ………………………………………………………., con DNI

número …………………..declara haber leído y aceptado la presente política de
uso y control de las TICS.
En ……………………………… a …………de…………….de 201_.
ANEXO II. Propuesta a seguir en el sistema de información a los empleados.
En primer lugar se aconseja comunicar previamente estas normas a los delegados

sindicales.
Respecto a la comunicación a los empleados, la forma en que se puede comunicar

dicha política y normas de uso pueden ser varias:
1. Bien realizar simplemente un envío de una circular y comunicar que estas

normas están disponibles en la Red corporativa.
2. O realizar charlas de formación donde se expliquen y comunicar también que

estas normas están en la red corporativa
Nota: En cualquier caso se recomienda que todos los trabajadores afectados firmen
las normas de uso y control de las TICS.


Protocolo Puesta en Marcha Política Uso Control Tic en Sistema de Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Protocolo Puesta en Marcha Política Uso Control Tic en Sistema de Información

Cargado por

Copyright:

Formatos disponibles

PROTOCOLO PARA LA PUESTA EN

MARCHA DE UNA POLÍTICA DE USO

[NOMBRE DEL CLIENTE]

ÍNDICE DEL DOCUMENTO.

expansión@gesdatos.com Delegación Comercial Madrid.

El cliente requiere disponer de las herramientas jurídicas necesarias para poder

Como quiera que se va a abordar un procedimiento de adecuación a la LOPD que va a

NOTA IMPORTANTE: Es importante, en el caso de que existan órganos de

2.- BREVE INTRODUCCIÓN AL CONTROL DEL CORREO ELECTRÓNICO Y

Es evidente la cada vez mayor utilización de las nuevas tecnologías en general y, en

expansión@gesdatos.com Delegación Comercial Madrid.

empresa, y sobre todo, su derecho a protegerse de la responsabilidad o el perjuicio

Históricamente se ha producido un debate sobre la aplicabilidad al control de las TIC

Artículo 18. Inviolabilidad de la persona del trabajador.

Artículo 20. Dirección y control de la actividad laboral.

La Sentencia del TRIBUNAL SUPREMO. Sala de lo Social. Sentencia de 26 de

2.2.-VIGILANCIA Y CONTROL DE LAS COMUNICACIONES ELECTRÓNICAS EN

Los siguientes principios de protección de datos se derivan de la Directiva 95/46/CE (y

CONCEPTO: Según este principio, el empleador, antes de proceder a este tipo de

Debería plantearse la posibilidad de utilizar métodos tradicionales de supervisión, que

Sólo en circunstancias excepcionales se considerará necesaria la vigilancia del correo

• Investigar una posible actividad delictiva de un trabajador que obligara al

• Detectar virus y, en general, cualquier actividad realizada por el empleador

• Cabe mencionar que la apertura del correo electrónico de un trabajador puede

correspondencia no puede garantizarse de otra forma (por ej. mediante las

expansión@gesdatos.com Delegación Comercial Madrid.

En el presente contexto, el principio de “compatibilidad” significa, por ejemplo, que si el

Este principio puede subdividirse en tres aspectos:

2.2.3.1.- La obligación de proporcionar información al interesado.

CONCEPTO: Significa que el empleador debe transmitir a su personal una declaración

• La política de la empresa en cuanto a utilización del correo electrónico e

• Los motivos y finalidad de la vigilancia, en su caso. Cuando el empleador

• Información detallada sobre las medidas de vigilancia adoptadas, por ejemplo:

• Información detallada sobre los procedimientos de aplicación, precisando cómo

Que se informe inmediatamente al trabajador de cualquier abuso de las

Ello se puede hacer de diversas formas:

• Transmitirse información rápida fácilmente mediante un programa informático,

• Otro ejemplo del principio de transparencia es la práctica de los empleadores

• Es posible que los convenios colectivos no sólo obliguen al empleador a

2.2.3.2.- La obligación de notificar a la Agencia Española de Protección de Datos

CONCEPTO: Se trata de que el tratamiento efectuado esté declarado en el RGPD

2.2.3.3.- El ejercicio de Derechos.

CONCEPTO: Un trabajador (como afectado o interesado que es), tiene el derecho de

expansión@gesdatos.com Delegación Comercial Madrid.

La necesidad del empleador de proteger su empresa de amenazas importantes, por

La política de la empresa en este ámbito deberá adaptarse al tipo y grado de riesgo al

El principio de proporcionalidad excluye, por lo tanto, el control general de los

La tecnología ofrece al empleador importantes posibilidades de evaluar la utilización

expansión@gesdatos.com Delegación Comercial Madrid.

Ya existen numerosos ejemplos prácticos de la utilización de estos medios

• Internet: Algunas empresas utilizan un programa informático que puede

• Correo electrónico: Las empresas utilizan una función de desviación

Deberían crearse sistemas de tratamiento de las comunicaciones electrónicas para

Por lo que se refiere a la cuestión de la proporcionalidad, debe destacarse que el

2.2.6.- Exactitud y conservación de los datos.

Para ello los empleadores deberían especificar un período de conservación de los

CONCEPTO: Este principio obliga al empleador a aplicar las medidas técnicas y

Llama la atención el papel del administrador del sistema y, un trabajador cuyas

sometido a una obligación estricta de secreto profesional respecto a la información

2.3.- CONTROL DEL CORREO ELECTRÓNICO.

Los trabajadores deben dar su consentimiento libremente y con conocimiento de

Tal legitimación no puede anular derechos y libertades fundamentales de los

El Grupo de Trabajo del artículo 29 ha opinado a este respecto lo siguiente: “Si un