03. LEGISLACION ESPAOLA Y REGULACIONES EN S.I.

[INTECO] 03.01. Normas que protegen la seguridad TIC y sancionan conductas contrarias. 03.01.01. Constitucin Espaola de 1978. El artculo 18 incluye entre los derechos y libertades fundamentales la proteccin del secreto de las comunicaciones y de la intimidad de las personas frente al uso de medios electrnicos. En el artculo 18.3 se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegrficas y telefnicas, salvo resolucin judicial. En el artculo 18.4 la ley limita el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. 03.01.02. Ley Orgnica 10/1995, de 23 de noviembre, del Cdigo Penal. El Cdigo Penal vigente recoge hasta cinco aspectos diferentes de la seguridad TIC relacionados con: - La proteccin de la intimidad personal y el acceso a datos de carcter personal en soportes electrnicos. - Las estafas usando medios electrnicos. - Las actividades que causen daos deliberados en la informacin o sistemas informticos ajenos. - El espionaje empresarial. - El acceso ilegtimo a servicios de televisin de pago o similares. El artculo 197 prev el que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrnico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios tcnicos de escucha, transmisin, grabacin o [INTEtic]

reproduccin del sonido o de la imagen, o de cualquier otra seal de comunicacin, ser castigado con las penas de prisin de uno a cuatro aos y multa de doce a veinticuatro meses. Las mismas penas se impondrn al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carcter personal o familiar de otro que se hallen registrados en ficheros o soportes informticos, electrnicos o telemticos, o en cualquier otro tipo de archivo o registro pblico o privado. Iguales penas se impondrn a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero. Se impondr la pena de prisin de dos a cinco aos si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imgenes captadas a que se refieren los nmeros anteriores. El artculo 248 tipifica como reos del delito de estafa a los que, con nimo de lucro, y valindose de alguna manipulacin informtica o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero. La misma pena se aplicar a los que fabricaren, introdujeren, poseyeren o facilitaren programas de ordenador especficamente destinados a la comisin de las estafas. El artculo 264 castiga con la pena de prisin de uno a tres aos y multa de doce a veinticuatro meses al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dae los datos, programas o documentos electrnicos ajenos contenidos en redes, soportes o sistemas informticos. El artculo 278 se refiere al espionaje empresarial y establece que el que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrnicos, soportes informticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos sealados en el apartado 1 del artculo 197, ser

castigado con la pena de prisin de dos a cuatro aos y multa de doce a veinticuatro meses. El artculo 286 tipifica como delito aquellas acciones que, sin consentimiento del prestador de servicios y con fines comerciales, faciliten el acceso inteligible a un servicio de radiodifusin sonora o televisiva, a servicios interactivos prestados a distancia por va electrnica, o suministre el acceso condicional a los mismos, considerado como servicio independiente. 03.01.03. Real Decreto legislativo 1/1996 por el que se aprueba el texto refundido de la ley de Proteccin Intelectual. La Ley en sus artculos 95 a 104 regula la proteccin de los derechos de autor sobre programas de ordenador concediendo a su titular los derechos exclusivos para su explotacin. Tendrn la consideracin de infractores de los derechos de autor quienes, sin autorizacin del titular de los mismos: - Pongan en circulacin una o ms copias de un programa de ordenador conociendo o pudiendo presumir su naturaleza ilegtima. - Tengan con fines comerciales una o ms copias de un programa de ordenador, conociendo o pudiendo presumir su naturaleza ilegtima. - Pongan en circulacin o tengan con fines comerciales cualquier instrumento cuyo nico uso sea facilitar la supresin o neutralizacin no autorizadas de cualquier dispositivo tcnico utilizado para proteger un programa de ordenador. Por su parte, los artculos 160 a 162 de la ley regulan la proteccin de las medidas tecnolgicas y de la informacin para la gestin de derechos, y permiten adoptar medidas de proteccin contra quienes, a sabiendas o teniendo motivos razonables para saberlo, eludan cualquier medida tecnolgica eficaz, as como respecto de aquellos que fabriquen o distribuyan cualquier dispositivo, producto o componente para eludir dichas medidas. Asimismo se prev la posibilidad de solicitar medidas de proteccin contra quienes, a sabiendas y sin autorizacin lleven a cabo alguno de los actos siguientes:

- Supresin o alteracin de toda informacin para la gestin electrnica de derechos. - Distribucin, importacin para distribucin, emisin por radiodifusin, comunicacin o puesta a disposicin del pblico de obras o prestaciones protegidas en las que se haya suprimido o alterado sin autorizacin la informacin para la gestin electrnica de derechos.

03.02. Normas que proporcionan seguridad jurdica en prestacin de servicios TIC 03.02.01. Ley 59/2003, de Firma Electrnica. La Ley de Firma Electrnica constituye una norma de gran importancia para el mercado espaol de la seguridad TIC. A diferencia de la LOPD no establece obligaciones directas en materia de seguridad TIC con un impacto directo en la demanda (con la salvedad de la regulacin relativa al eDNI). Sin embargo s ha establecido un marco regulador estable que ha permitido el desarrollo de soluciones de seguridad basadas en firma electrnica en diferentes mbitos (e-Administracin, facturacin electrnica). Por otra parte ha establecido las condiciones bsicas para regular la actividad de los prestadores de firma electrnica estableciendo de esta manera un marco para el desarrollo de este segmento de la oferta de seguridad TIC. El aspecto esencial de esta norma es equiparar el valor jurdico de la firma electrnica al de la firma manuscrita cuando la primera se produce bajo determinadas condiciones y ciertos requisitos de seguridad. No obstante no niega validez a la firma electrnica que no alcance dichos mnimos de seguridad. La norma no establece requisitos tcnicos obligatorios ni normas tcnicas, dejando al mercado la definicin del nivel de seguridad de los productos y servicios de firma electrnica en atencin a las necesidades de los usuarios y a las tecnologas disponibles.

Desde la perspectiva de impacto directo en el mercado el aspecto ms relevante es la regulacin del DNI electrnico y en concreto lo previsto en el artculo 15.2 de la norma que obliga a todas la personas fsicas o jurdicas, pblicas o privadas, a reconocer la eficacia del documento nacional de identidad electrnico para acreditar la identidad y los dems datos personales del titular que consten en el mismo, y para acreditar la identidad del firmante y la integridad de los documentos firmados con los dispositivos de firma electrnica en l incluidos. Otro aspecto a resear desde el punto de vista del mercado de la seguridad TIC es la creacin en la ley de un esquema de certificacin de prestadores de firma electrnica y de dispositivos de creacin de firma electrnica. No obstante el alcance cuantitativo de esta previsin es limitado dado el reducido nmero de prestadores de servicios de certificacin existentes en los mercados nacionales. No obstante se trata de un aspecto cualitativamente relevante al constituir una primera aproximacin legal a la certificacin de los productos y servicios de seguridad TIC. En este caso la ley ofrece a los prestadores y productos certificados la presuncin de cumplimiento de los requisitos de seguridad exigibles para la plena eficacia legal de la firma, lo que en caso de litigio permite acreditar de manera directa el cumplimiento de los mismos. 03.02.02. Reglamento de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la Informacin. La Orden PRE/2740/2007 aprueba el Reglamento de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la Informacin. Se trata de un paso importante para la consolidacin del mercado de la seguridad TIC en Espaa, que permite disponer de un esquema propio para que los fabricantes de productos o sistemas de TI que lo deseen puedan certificar la seguridad de dichos productos. Al mismo tiempo se establecen las condiciones para facilitar que las entidades pblicas o privadas que quieran ejercer de laboratorios de evaluacin de la seguridad de las TI en el marco del Esquema puedan desarrollar su actividad en Espaa, creando un mercado en este mbito.

Esta norma regula dos aspectos bsicos. En primer lugar establece los requisitos que habrn de cumplir los laboratorios de evaluacin y los procedimientos para su acreditacin. En segundo lugar regula los procedimientos para la certificacin de productos y sistemas, as como los criterios y metodologas para la evaluacin de la seguridad. Los criterios de evaluacin sern los recogidos en las siguientes normas: 1 2 - Common Criteria for Information Technology Security Evaluation. - ISO/IEC 15408, Evaluation Criteria for IT Security. - Information Technology Security Evaluation Criteria (abreviado, ITSEC). Office for Official Publications of the European Communities. Acta como organismo de certificacin de todo el esquema el Centro Criptolgico Nacional. Dicho organismo se constituye al amparo de la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, que encomienda a este centro el ejercicio de las funciones relativas a la seguridad de las tecnologas de la informacin, y segn lo dispuesto en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptolgico Nacional, entre cuyas funciones est la de constituir el Organismo de Certificacin del Esquema Nacional de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la Informacin. 03.03. Normas que establecen obligaciones en seguridad TIC a empresas. 03.03.01. Ley Orgnica 15/1999, de Proteccin de Datos Personales (LOPD). La Ley 15/1999 de Proteccin de Datos Personales es sin duda la norma que ha tenido un impacto ms directo en el desarrollo del mercado de la seguridad TIC en Espaa, al establecer todo un conjunto de disposiciones sobre la seguridad de los ficheros informticos que contienen datos personales de obligado cumplimiento para todos los sujetos pblicos (Administraciones) y privados (salvo las personas fsicas en sus actividades personales o domsticas) titulares de dichos ficheros.

Como cuestin inicial es necesario sealar que las disposiciones de la ley no se refieren de una manera especfica o exclusiva a la proteccin de datos personales contenidos en soportes electrnicos sino que es de aplicacin a toda clase de soportes de los ficheros correspondientes. Ha sido el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, la norma que ha venido a establecer los requisitos concretos para los titulares de ficheros o sistemas de informacin que realicen almacenamiento o tratamiento de datos personales tanto en formato electrnico como en papel (ficheros automatizados y no automatizados) Este reglamento establece tres niveles de seguridad en funcin de la naturaleza de los datos personales de que se trate y ms que requisitos tcnicos concretos, recoge obligaciones de carcter organizativo y de gestin para cada tipo de datos como las siguientes: 1 2 - Documento de seguridad que incluya funciones y obligaciones del personal. - Registro de incidencias. - Sistema de identificacin y autenticacin de usuarios y de control de acceso a los datos. - Obligacin en cuanto a la gestin de soporte de los datos, copias de respaldo y recuperacin. 3 4 - Auditora de los sistemas de informacin y de los soportes. - Cifrado de datos cuando se transmitan por redes de telecomunicaciones.

Esta ley adems de su efecto directo sobre las empresas y el sector pblico ha dado lugar a todo un conjunto de efectos indirectos, asociados a otras disposiciones legales que imponen al sector pblico o privado obligaciones de almacenamiento de datos. A ttulo de ejemplo y por su relevancia puede citarse la Ley 25/2007 de Conservacin de datos relativos a las Comunicaciones Electrnicas y a las Redes Pblicas de Comunicaciones, que tiene por objeto la regulacin de la obligacin de los operadores

de conservar los datos generados o tratados en el marco de la prestacin de servicios de comunicaciones electrnicas o de redes pblicas de comunicacin, as como el deber de cesin de dichos datos a los agentes facultados siempre que les sean requeridos a travs de la correspondiente autorizacin judicial con fines de deteccin, investigacin y enjuiciamiento de delitos graves contemplados en el Cdigo Penal o en las leyes penales especiales. En esta norma se obliga a estos operadores a garantizar la seguridad de los datos almacenados. 03.03.02. Factura electrnica. El Real Decreto 1496/2003 por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturacin, y se modifica el Reglamento del Impuesto sobre el Valor Aadido, regula determinados aspectos relativos a la factura electrnica. En su artculo 17 exige que dichas para facturas, los medios electrnicos utilizados en la transmisin garanticen la autenticidad del origen y la integridad de su contenido. Su artculo 18 prev que para cumplir estos requisitos, el contenido de las facturas electrnicas se acredite mediante firma electrnica avanzada basada en un certificado reconocido y creada mediante un dispositivo seguro de creacin de firmas (requisitos establecidos en la Ley de Firma Electrnica para que esta sea equiparable a la manuscrita), o mediante un intercambio electrnico de datos (EDI). De la misma manera se establecen requisitos de seguridad y accesibilidad en lo relativo a la conservacin de las facturas electrnicas (artculo 21). La utilizacin de facturas electrnicas tiene carcter voluntario. Las previsiones sobre factura electrnica recogidas en este Reglamento han sido desarrolladas y detalladas en la Orden EHA/962/2007 por la que se desarrollan determinadas disposiciones sobre facturacin telemtica y conservacin electrnica de facturas, contenidas en el Real Decreto 1496/2003. Sin embargo el uso de la factura electrnica en el mbito privado ha tenido un reciente impulso importante en la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Informacin, que prev (art. 1) que las administraciones pblicas

impulsen el uso de la factura en el mbito privado y que se desarrollen requisitos tcnicos para facilitar la interoperabilidad de los diferentes sistemas de factura electrnica existentes, en condiciones seguras. 03.03.03. Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Informacin. Adems de las previsiones sobre uso de la factura electrnica en los mbitos pblico y privado recogidas en esta norma legal, la ley establece una serie de obligaciones para un nmero significativo de empresas del sector privado muy relacionadas con la seguridad TIC. La Ley impone (artculo 2) a todas las empresas que presten servicios al pblico en general de especial trascendencia econmica la obligacin de facilitar a sus usuarios un medio de interlocucin telemtica que les permita la realizacin de diferentes trmites tales como la contratacin electrnica de servicios, suministros y bienes, la consulta de sus datos de cliente, la presentacin de quejas, incidencias, sugerencias y, en su caso, reclamaciones, y el ejercicio de sus derechos de acceso, rectificacin, cancelacin y oposicin en los trminos previstos en la normativa reguladora de proteccin de datos de carcter personal. Para ello impone a estas empresas la obligacin de garantizar la seguridad del uso de estos medios mediante el uso de certificados reconocidos de firma electrnica. Por otra parte en su disposicin adicional tercera prev un plan de mejora de los niveles de seguridad y confianza en Internet, que habr de ser elaborado por el Gobierno y que incluir directrices y medidas para aumentar la seguridad frente a las amenazas de Internet y proteger la privacidad online. Este plan se revisar peridicamente para poder responder al escenario de amenazas en continua evolucin. 03.03.04. Ley 32/2003, General de Telecomunicaciones. La Ley General de Telecomunicaciones dedica el Captulo III de su Ttulo III a regular el secreto de las comunicaciones y la proteccin de los datos personales en este mbito.

El artculo 33 de la ley establece la obligacin de los operadores de redes y servicios de comunicaciones electrnicas a garantizar el secreto de las comunicaciones de conformidad con los artculos 18.3 y 55.2 de la Constitucin, debiendo adoptar las medidas tcnicas necesarias para ello. Asimismo se les obliga a la interceptacin legal de las comunicaciones de acuerdo con la legislacin vigente, adoptando para ello a su costa las soluciones tcnicas necesarias. El alcance de las obligaciones de interceptacin previstas en este artculo ha sido ampliado y detallado en la Ley 25/2007. El artculo 34 establece que los operadores debern garantizar la proteccin de los datos personales adoptando para ello las medidas tcnicas y de gestin adecuadas para preservar la seguridad en la explotacin de su red o en la prestacin de sus servicios. El artculo 35 se refiere al cifrado en las redes y servicios de comunicaciones electrnicas, reconocindose con carcter general el derecho a proteger la informacin mediante sistemas de cifrado. Asimismo se prev la posibilidad de que se podr imponer la obligacin de facilitar a un rgano de la Administracin General del Estado o a un organismo pblico los algoritmos o cualquier procedimiento de cifrado utilizado. No obstante dicha previsin no se ha concretado por el momento. 03.03.05. Ley 34/2002, de Servicios de la Sociedad de la Informacin y del Comercio Electrnico. La Ley de Servicios de la Sociedad de la Informacin contempla tres aspectos relacionados con la seguridad TIC. En primer lugar, establece determinadas obligaciones de colaboracin de los prestadores de estos servicios de la Sociedad de la Informacin con las autoridades al objeto de facilitar la persecucin de actividades o conductas ilcitas o impedir su realizacin. En segundo lugar recoge una serie de previsiones en relacin con el envo de comunicaciones comerciales no solicitadas (spam). Por ltimo recoge previsiones sobre la informacin a los usuarios relativa a la seguridad TIC.

10

Respecto de la primera de estas cuestiones, el artculo 11 establece un deber general de colaboracin de los prestadores de servicios de intermediacin, al objeto de hacer efectivas las resoluciones de las autoridades para ordenar la interrupcin de un servicio o la retirada de un contenido ilcito proveniente de otros prestadores de servicios. Por su parte, en su artculo 12 se regula una obligacin de retencin de datos de trfico. Se obliga a los operadores de redes y servicios de comunicaciones electrnicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos a retener los datos de conexin y trfico generados por las comunicaciones establecidas durante la prestacin de un servicio de la Sociedad de la Informacin por un perodo mximo de doce meses. Asimismo, estn obligados a adoptar las medidas de seguridad apropiadas para evitar su prdida o alteracin y el acceso no autorizado a los mismos. No obstante ese artculo no ha sido objeto de desarrollo reglamentario por lo que hasta la fecha no ha tenido una aplicacin prctica. En todo caso la aprobacin de la Ley 25/2007 de conservacin de datos ha venido a establecer un rgimen legal ms detallado y completo en esta materia. La segunda de las cuestiones relevantes en materia de seguridad TIC recogidas en esta ley es la relativa a las comunicaciones comerciales por va electrnica a las que se dedica el Ttulo III (artculos 19 a 22). En este aspecto la ley puede ser considerada como garantista al establecer la prohibicin del envo de comunicaciones publicitarias o promocionales por correo electrnico u otro medio de comunicacin electrnica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas (Modelo Opt-In). Se recoge en la norma una excepcin a este principio general por imposicin de la normativa comunitaria para los casos en que exista una relacin contractual previa, siempre que el prestador hubiera obtenido de forma lcita los datos de contacto del destinatario y los empleara para el envo de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratacin con el cliente (Opt-Out).

11

Asimismo se reconoce una serie de derechos a los destinatarios como el de revocar en cualquier momento el consentimiento prestado o derechos en relacin con el tratamiento de datos personales. Por ltimo, la Ley de Medidas de Impulso de la Sociedad de la Informacin ha introducido (artculo 4.6) determinadas modificaciones en la Ley 34/2002, entre las que destaca la introduccin de un nuevo artculo 12bis relativo a obligaciones de informacin sobre seguridad. Se obliga los proveedores de servicios de acceso a Internet a informar a sus clientes de forma permanente, fcil, directa y gratuita sobre los diferentes medios de carcter tcnico que aumenten los niveles de la seguridad de la informacin y permitan, entre otros, la proteccin frente a virus informticos y programas espa, y la restriccin de los correos electrnicos no solicitados. Debern igualmente informar a sus clientes sobre las herramientas existentes para el filtrado y restriccin del acceso a determinados contenidos y servicios en Internet no deseados o que puedan resultar nocivos para la juventud y la infancia, y tambin acerca de las posibles responsabilidades en que puedan incurrir por el uso de Internet con fines ilcitos, en particular, para la comisin de ilcitos penales y por la vulneracin de la legislacin en materia de propiedad intelectual e industrial. Asimismo, estos proveedores de acceso a Internet y los prestadores de servicios de correo electrnico debern informar a sus clientes de forma permanente, fcil, directa y gratuita sobre las medidas de seguridad que apliquen en la provisin de los mencionados servicios. Estas obligaciones de informacin vendrn a mejorar sin lugar a dudas la sensibilizacin de los usuarios y en especial de los usuarios residenciales sobre la seguridad TIC y las soluciones y productos existentes para prevenir y resolver posibles problemas relacionados con la misma, actuando en consecuencia sobre uno de los problemas bsicos identificados entre las barreras para el desarrollo del mercado de la seguridad TIC en Espaa.

12

03.04.

Normas

que

establecen

obligaciones

en

seguridad

TIC

las

Administraciones Pblicas. Las Administraciones Pblicas son el principal inversor por volumen total en sistemas y servicios TIC en el mercado espaol y en particular de soluciones y productos de seguridad TIC. Por ello, toda medida legislativa que establezca obligaciones o recomendaciones en lo relativo al uso seguro de las TIC por las Administraciones tiene un enorme impacto en el mercado global de la seguridad. Por otra parte las Administraciones ostentan una gran capacidad de prescripcin hacia otros usuarios, bien sea de una manera directa a travs de las relaciones electrnicas con los ciudadanos y empresas que se ven obligadas a adoptar y utilizar las soluciones y procedimientos establecidos por la Administracin, o bien a travs de un notable efecto de demostracin hacia el sector privado y la sociedad en general. As, aquellas disposiciones normativas que establecen requisitos de seguridad en el uso de las TIC por las diferentes Administraciones provocan unos efectos directos e indirectos en la positiva evolucin del mercado. Se recogen a continuacin los ejemplos ms significativos de las disposiciones legales que podran incluirse dentro de esta categora de normas. 03.04.01. Ley 11/2007 de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos. La Ley 11/2007 tiene por objeto regular los aspectos bsicos de la utilizacin de las Tecnologas de la Informacin en la actividad administrativa, en las relaciones entre las Administraciones Pblicas, as como en las relaciones de los ciudadanos con las mismas. Dentro de estos objetivos recoge una serie de previsiones en cuanto a los requisitos para garantizar el uso seguro de las TIC en este mbito. Ya en su artculo 1 la ley proclama que las Administraciones Pblicas utilizarn las Tecnologas de la Informacin de acuerdo con lo dispuesto en la presente ley, asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la

13

confidencialidad y la conservacin de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias. Asimismo, entre los objetivos de la ley, el artculo 3 seala que entre ellos se incluye el crear las condiciones de confianza en el uso de los medios electrnicos, estableciendo las medidas necesarias para la preservacin de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la proteccin de datos de carcter personal, por medio de la garanta de la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrnicos. Desde la perspectiva de la seguridad TIC, el artculo 4 de la ley recoge entre sus principios generales, los siguientes: - El respeto al derecho a la proteccin de datos de carcter personal en los trminos establecidos por la Ley Orgnica 15/1999, de Proteccin de los Datos de Carcter Personal, en las dems leyes especficas que regulan el tratamiento de la informacin y en sus normas de desarrollo, as como a los derechos al honor y a la intimidad personal y familiar (). - Principio de seguridad en la implantacin y utilizacin de los medios electrnicos por las Administraciones Pblicas, en cuya virtud se exigir al menos el mismo nivel de garantas y seguridad que se requiere para la utilizacin de medios no electrnicos en la actividad administrativa. Entre los derechos de los ciudadanos (artculo.6) se incluye el de obtener y utilizar sistemas de firma electrnica y en especial del DNI electrnico en sus relaciones con la Administracin. El uso de la firma electrnica habr de garantizar la identificacin de los participantes y la autenticidad e integridad de los documentos electrnicos (artculos13 a 23), todo ello conforme a lo previsto en la Ley de Firma Electrnica. Se regula asimismo el uso de la firma en sistemas automticos (firma de servidores seguros).

14

En cuanto a las sedes electrnicas (artculo10) se prev la responsabilidad de su titular respecto de la integridad de la informacin y que estas dispondrn de sistemas que permitan el establecimiento de comunicaciones seguras siempre que sean necesarias. Tambin se detallan determinados requisitos de seguridad exigibles a los registros electrnicos (artculo 25). De la misma manera se prev que las comunicaciones electrnicas (artculo 27.5) y los sistemas de notificacin electrnica (artculo 28) respeten los requisitos de seguridad e integridad adecuados. Obligaciones similares se prevn respecto de los documentos electrnicos, copias electrnicas y sistemas para su archivado (artculos 29 a 32). Por ltimo es necesario resaltar por su importancia la creacin dentro del mbito de la cooperacin entre administraciones del Esquema Nacional de Seguridad, que tiene por objeto establecer la poltica de seguridad en la utilizacin de medios electrnicos en el mbito de la ley y est constituido por los principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin (artculo 42). 03.04.02. Real Decreto 263/1996 por el que se regula la Utilizacin de Tcnicas electrnicas, Informticas y Telemticas por la Administracin General del Estado. Se destaca esta norma por su especial relevancia desde el punto de vista del mercado de la seguridad TIC, al ser aplicable a toda la Administracin del Estado y sus Organismos y Entidades de Derecho Pblico dependientes. Establece garantas generales en cuanto al uso seguro de soportes, medios y aplicaciones informticas, obligando a adoptar las medidas tcnicas y organizativas necesarias que aseguren la autenticidad, confidencialidad, integridad, disponibilidad y conservacin de la informacin. Dichas medidas debern garantizar: - La restriccin de su utilizacin y del acceso a los datos e informaciones en ellos contenidos a las personas autorizadas.

15

- La prevencin de alteraciones o prdidas de los datos e informaciones. - La proteccin de los procesos informticos frente a manipulaciones no autorizadas.

De la misma manera se establecen obligaciones de seguridad TIC en otros aspectos concretos como la emisin de documentos y copias en formato electrnico y su almacenamiento, las comunicaciones electrnicas con los administrados o entre diferentes rganos administrativos o la expedicin de certificados telemticos. 03.04.03. Ley 58/2003 General Tributaria. Esta norma prev el uso generalizado de medios electrnicos para las relaciones de los ciudadanos con la Administracin Tributaria, exigiendo para ello los debidos requisitos de seguridad. As, se prev la existencia de pago electrnico de la deuda tributaria (artculo 60), y asimismo se exige que los documentos emitidos, cualquiera que sea su soporte, por medios electrnicos, informticos o telemticos por la Administracin Tributaria, o los que esta emita como copias de originales almacenados por estos mismos medios, as como las imgenes electrnicas de los documentos originales o sus copias, tendrn la misma validez y eficacia que los documentos originales, siempre que quede garantizada su autenticidad, integridad y conservacin (artculo 98). Esta norma ha dado lugar a diferentes disposiciones de desarrollo que han ido configurando un escenario de relaciones telemticas con las autoridades tributarias basadas en un modelo de seguridad del uso de las TIC. Sin nimo de ser exhaustivos, algunos ejemplos son los siguientes: - Real Decreto 1377/2002, de 20 de diciembre, por el que se desarrolla la colaboracin social en la gestin de los tributos para la presentacin telemtica de declaraciones, comunicaciones y otros documentos tributarios. 1

16

- Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemticas, as como la utilizacin de medios telemticos para la sustitucin de la aportacin de certificados por los ciudadanos. - Orden EHA/2261/2007, de 17 de julio, por la que se regula el empleo de medios electrnicos, informticos y telemticos en la justificacin de las subvenciones. - Orden PRE/3949/2006, de 26 de diciembre, por la que se establece la configuracin, caractersticas, requisitos y procedimientos de acceso al Sistema de Verificacin de Datos de Identidad. - Orden EHA/3256/2004, de 30 de septiembre, por la que se establecen los trminos en los que podrn expedirse certificados electrnicos a las entidades sin personalidad jurdica a que se refiere el artculo 35.4 de la Ley General Tributaria. - Orden HAC/1181/2003, de 12 de mayo, por la que se establecen normas especficas sobre el uso de la firma electrnica en las relaciones tributarias por medios electrnicos, informticos y telemticos con la Agencia Estatal de Administracin Tributara. 03.04.04. Factura electrnica en las Administraciones Pblicas. Diferentes previsiones regulan el uso de la factura electrnica con carcter general para su intercambio entre empresas. Sin embargo existe asimismo toda otra serie de disposiciones que regulan el uso de la factura electrnica en las relaciones de las empresas con la Administracin, en especial con la Agencia Tributaria. Pueden citarse en este mbito: - Orden PRE/2971/2007, de 5 de octubre, sobre la expedicin de facturas por medios electrnicos cuando el destinatario de las mismas sea la Administracin

17

General del Estado u organismos pblicos vinculados o dependientes de aquella y sobre la presentacin ante la Administracin General del Estado o sus organismos pblicos vinculados o dependientes de facturas expedidas entre particulares. En esta norma se atribuye carcter voluntario al uso de facturas electrnicas y se establecen requisitos tcnicos para su utilizacin, exigiendo el uso de firmas electrnicas avanzadas y definiendo el formato de las mismas. - Orden HAC/1181/2003, de 12 de mayo, por la que se establecen normas especficas sobre el uso de la firma electrnica en las relaciones tributarias por medios electrnicos, informticos y telemticos con la Agencia Estatal de Administracin Tributaria. Sin embargo el uso de la factura electrnica en el mbito de las Administraciones Pblicas ha tenido su impulso ms importante en la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Informacin. Esta norma establece (artculo 1) la obligatoriedad de la facturacin electrnica en el marco de la contratacin con el sector pblico estatal. Para ello la factura electrnica ser un documento electrnico que cumple con los requisitos exigibles a las facturas y que, adems, garantiza la autenticidad de su origen y la integridad de su contenido, lo que impide el repudio de la factura por su emisor. Igualmente se prev el uso de la factura electrnica en otras relaciones de los ciudadanos con la Administracin tales como justificacin de ayudas y subvenciones pblicas. 03.05. Redaccin de clusulas contractuales para la SI. Dentro de este apartado se dictan unas recomendaciones sobre los aspectos y clusulas a incluir en los distintos modelos de acuerdos y contratos que tiene que ver con la Seguridad de la Informacin y de los servicios prestados.

18

03.05.01. Modelo de acuerdo de confidencialidad y secreto. Es un modelo de acuerdo de confidencialidad que permite regular contractualmente la obligacin de confidencialidad y secreto respecto a la informacin intercambiada en una relacin empresarial. [ANEXO 1] 03.05.02. Modelo de poltica de privacidad para sitio web. Con este documento contractual, y tras su cumplimentacin por parte del usuario, se logra dar cumplimiento a las obligaciones legales bsicas dispuestas en la Ley 34/2002, de Servicios de la Sociedad de la Informacin y del Comercio Electrnico (LSSI-CE) y en la Ley Orgnica 15/1999, de Proteccin de Datos de Carcter Personal, as como en el Reglamento de Desarrollo de la LOPD. Se trata de un modelo especfico para sitios web, previndose en el documento aspectos especficos de la proteccin de datos a travs de sitios web [ANEXO 2] 03.05.03. Modelo de contrato de cesin de datos. Este modelo contractual tiene por objeto regular la cesin de una base de datos especfica por parte del cedente al cesionario de la misma. [ANEXO 3] 03.05.04. Modelo de solicitud de ejercicio de derecho de acceso a los datos de carcter personal. Con este documento se pone a disposicin de los usuarios un modelo para el ejercicio de los derechos que asisten a todos los titulares de datos de carcter personal.

[ANEXO 4]

19

03.05.05. Clusulas Contractuales sobre Proteccin de Datos de Carcter Personal. Este modelo de clusulas contractuales sobre proteccin de datos de carcter personal comprende las referidas al "cumplimiento del deber de informacin a los afectados" y la "obtencin de datos provenientes de fuentes accesibles al pblico".

Cumplimiento del deber de informacin a los afectados. Art 5 LOPD: Esta clusula es idnea para ser incluida junto a los formularios de las pginas web, as como en cualquier documento a travs del que se recaben datos de carcter personal. Con este aviso se da cumplimiento a la obligacin de informacin dispuesta en el art. 5 de la Ley 15/1999, de Proteccin de Datos En cumplimiento de lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, le informamos de que sus datos personales quedarn incorporados y sern tratados en los ficheros de (nombre del Responsable del Fichero), con DNI/NIF (introducir Identificacin Fiscal), con el fin de (introducir todas las finalidades especficas para las que se tratarn los datos). Le informamos de la posibilidad de ejercer los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos de carcter personal, solicitndolo por escrito en la siguiente direccin postal (introducir la direccin postal).

Obtencin de datos provenientes de fuentes accesibles al pblico. Art 5.5 LOPD : Cumplir con la obligacin dispuesta en el art. 5.5 de la LOPD. Esta clusula est destinada a ser incluida en todas aquellas comunicaciones comerciales que sean realizadas, habiendo obtenido los datos de carcter personal de una fuente accesible al pblico. Con ella se pretende dar cumplimiento a lo dispuesto en el art. 5.5 de la Ley 15/1999, de Proteccin de Datos. En cumplimiento de lo dispuesto en el artculo 5.5 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, le informamos que (nombre del Responsable del Fichero), con DNI/NIF (introducir Identificacin Fiscal), ha obtenido sus datos de carcter personal de la Fuente Accesible al Pblico (introducir la que corresponda: Censo Promocional, las guas de servicios de comunicaciones electrnicas, las listas de personas pertenecientes a grupos profesionales, los diarios y boletines oficiales y los medios de comunicacin social). Le informamos de la posibilidad de ejercer sus derechos de acceso, rectificacin, cancelacin y oposicin respecto a sus datos de carcter personal, solicitndolo por escrito en la siguiente direccin (introducir la direccin que corresponda).

20

03.05.06. Clusulas Contractuales de 'No Competencia'. Este modelo de clusulas contractuales de "no competencia" se presenta diferenciado para los mbitos laboral (relacin contractual entre empleador y empleado) y mercantil (relacin contractual entre empresas). Respecto al primer mbito, se recoge la "clusula de no competencia contractual" (durante la vigencia del contrato) y la "clusula de no competencia post-contractual" (despus de finalizada la relacin laboral).

Clusula de no competencia contractual. Art. 21 del RD 1/1995. Estatuto de los trabajadores Con esta clusula se pretende regular la posibilidad o no de que el trabajador preste sus servicios profesionales en dos compaas a la vez. De conformidad con el artculo 21 del Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el Texto Refundido de la Ley del Estatuto de los Trabajadores, el trabajador se compromete a desarrollar su tarea profesional de forma exclusiva para el empleador, quedando expresamente prohibido que el trabajador mantenga ninguna relacin, sea sta laboral o por cuenta ajena, con terceros que pudieran ser competencia, directa o indirecta, con la actividad llevada a cabo por el empleador. A todos los efectos, y de forma ejemplificativa y no limitativa, se considerar que existe competencia directa cuando (incluir aquellas actividades que entren en competencia directa). El incumplimiento de lo anteriormente dispuesto facultar al empleador para proceder al despido disciplinario del trabajador, por incumplimiento grave de sus obligaciones contractuales. De igual forma, la compaa se reserva la posibilidad de sancionar al trabajador los daos y perjuicios causados durante el tiempo que el trabajador hubiera incumplido el contrato. El empleado se compromete a no extraer, almacenar, ceder o distribuir, de forma directa o indirecta, cdigo fuente, cdigo tipo, diagramas de flujo y, en definitiva, documentacin relativa a sus labores desarrolladas bajo su relacin laboral. En todo caso, el trabajador mantendr la diligencia debida, responsabilizndose y comprometindose en todo momento a garantizar la seguridad fsica y lgica de la informacin tratada en ejercicio de sus labores diarias. Clusula de no competencia post-contractual. Art. 21.2 del RD 1/1995. Estatuto de los Trabajadores Con esta clusula se pretende asegurar que determinados trabajadores, que por su trabajo son esenciales para la compaa, no abandonan su puesto de trabajo para trabajar

21

en una empresa competencia directa o por cuenta propia. La legislacin espaola permite este tipo de clusulas, siempre que se cumplan una serie de requisitos: Aceptacin expresa por parte del trabajador. / Existencia de un inters comercial o industrial por parte del empleador. / Duracin mxima del pacto de no competencia de 2 aos (para personal tcnico) y de 6 meses para el resto de los trabajadores. / Abono al trabajador de una contraprestacin proporcional a su sueldo, debiendo ser expresamente indicada en las nminas de los trabajadores./ Una vez establecido no puede renunciarse unilateralmente por el empresario El trabajador manifiesta que no existe ninguna causa que le impida o limite ejercer como trabajador de la compaa, asumiendo expresamente cualquier tipo de daos y perjuicios que pudieran causarse al empleador por reclamaciones posteriores debidas al incumplimiento de este compromiso. El puesto que ocupar el trabajador en la compaa implica el acceso de ste a una gran cantidad de informacin y formacin especfica del sector y el mercado al que se dedica la compaa y que es de un alto valor para las empresas de la competencia. En este sentido, el trabajador se compromete y garantiza al empleador que, una vez extinguida la relacin laboral, no prestar sus servicios, ya sea de forma directa o indirecta, ni colaborar en proyectos desarrollados por compaas dedicadas al sector informtico, que entren o potencialmente pudieran entrar en competencia directa o indirecta con la comercializacin y desarrollo de producto y servicio de (introducir los productos y servicios concretos). Este compromiso de no competencia por parte del trabajador tendr una duracin de 2 aos, al tratarse de personal tcnico, obteniendo el trabajador a cambio de ello una compensacin econmica mensual de un 10% adicional a su salario mensual. A todos los efectos, dicha cantidad quedar expresamente reflejada en las nminas del trabajador. En caso de que el trabajador incumpliera la obligacin dispuesta en la presente clusula, deber devolver a la compaa todas las cantidades econmicas que hubieran sido abonadas en concepto de no competencia. Asimismo, el trabajador asume la indemnizacin de los daos y perjuicios que hubiera podido ocasionar a la compaa, por el uso a favor de empresas de la competencia de la informacin, documentacin, cdigo informtico, conocimiento y formacin que hubiera adquirido durante su relacin laboral en la compaa. mbito mercantil (relacin contractual entre empresas). Art.11 de la Ley 3/1991, de 10 de enero, de Competencia Desleal Con esta clusula se pretende asegurar que el prestador de servicios de desarrollo de software no aprovechar todo lo desarrollado, para iniciar una nueva lnea de negocio propia o ajena. Existen una serie de lmites en relacin a: - Temporal: La Comisin Europea en relacin a los pactos de no competencia, ha sido de 3 aos.

22

- Material: Se prohben expresamente las clusulas de no competencia en contratos de distribucin, comisin, agencia o similares, cuya duracin supere los 5 aos tras la finalizacin de la relacin contractual. El prestador se compromete a no llevar a cabo, durante la duracin del presente contrato, ningn desarrollo que pudiera entrar en competencia directa o indirecta con el objeto de la aplicacin. A todos los efectos, se entender que el prestador incurre en dicha circunstancia siempre que desarrolle para otra compaa o cualquier tercero, de forma paralela y aprovechando los conocimientos, diagramas y cdigo desarrollados, para la otra. En todo caso, se considerar que existe acto de competencia indirecta cuando se ejercite la actividad prohibida a travs de familiares directos, que se encuentren al menos dentro del segundo grado de parentesco o a travs de sociedades interpuestas. La obligacin de no competencia se extender durante la vigencia del presente contrato, as como durante el plazo de dos aos desde la finalizacin del mismo, siendo aplicable dicha obligacin para todo el territorio nacional de Espaa. En todo caso, el prestador se compromete, una vez finalizado el desarrollo y el proyecto, a hacer entrega de toda la documentacin, cdigo e informacin elaborada por su parte o facilitada por parte del cliente durante la duracin de la relacin del proyecto, comprometindose a no mantener una copia de dicha documentacin, as como a no utilizar la informacin en ella contenida para el desarrollo de otros proyectos semejantes y encargados para empresas consideradas competencia directa del cliente. A los efectos de lo aqu dispuesto, se considerarn competencia directa del cliente todas aquellas empresas o profesionales que lleven a cabo las siguientes actividades: (enumerar aquellas actividades que entren en competencia directa). 03.05.07. Clusulas Contractuales sobre Propiedad Intelectual e Industrial. Este modelo de clusulas contractuales comprende un modelo utilizado para la reserva de derechos de propiedad intelectual sobre un sitio web o una aplicacin online. As mismo, se incluye un modelo especfico para la regulacin de cesin de los derechos de propiedad intelectual sobre un desarrollo informtico orientado tanto al cliente como al desarrollador. Clusula de propiedad intelectual para pginas web. Art. 43 TRLPI Esta clusula es un modelo bsico a incluir en cualquier aviso legal de sitios web. Es utilizado para establecer la reserva de los derechos de propiedad intelectual sobre el sitio web.

23

Si bien el art. 43 del TRLPI protege al autor de la obra, la inclusin de esta clusula plasma de forma expresa la reserva de todos los derechos existentes sobre el sitio web. El presente sitio web, incluyendo a ttulo enunciativo pero no limitativo su programacin, edicin, compilacin, diseos, logotipos, texto y/o grficos, son propiedad del responsable del sitio web, encontrndose protegidos por la normativa nacional e internacional sobre propiedad intelectual e industrial. El acceso por parte del usuario al sitio web no le otorga ningn derecho de propiedad sobre los mismos. El uso de denominaciones de terceros se encuentra autorizado expresamente por sus propietarios, por lo que el prestador no se responsabiliza de las controversias que sobre ellas pudieran suscitarse al respecto, procediendo a su retirada inmediata tan pronto tenga constancia fehaciente de las mismas. Si ve en el sitio web cualquier contenido que pudiera vulnerar derechos de propiedad intelectual e industrial, rogamos lo pongan en conocimiento del prestador con la mayor brevedad posible, remitiendo un correo electrnico a la direccin _____@_____ Clusula de propiedad intelectual respecto a aplicacin online. Art. 43 TRLPI Esta clusula se puede incluir en la Licencia de Uso de aquellas aplicaciones que son ejecutadas de forma remota por los usuarios, no siendo necesaria la descarga o instalacin de software alguno en su equipo. La proteccin se extiende tanto a la aplicacin, como a los contenidos que son ejecutados a travs de la misma. El prestador es el nico propietario de la aplicacin software. Esta licencia es slo una cesin de uso realizada sin exclusividad, que habilita para el uso de la aplicacin sin limitacin territorial alguna, que tiene una duracin indefinida, en tanto ninguna de las partes decida revocar los derechos y que nicamente permite el uso y ejecucin de la aplicacin de forma online y exclusivamente a travs del sitio web www._________.____ (estas condiciones pueden variar en funcin de las caractersticas concretas de la aplicacin online). En ningn momento el prestador otorga derecho de propiedad sobre el software, sino que cede el derecho de uso del mismo en las condiciones descritas en esta licencia, no entendindose en ningn caso que se habilite para su reproduccin y difusin pblica, cesin, venta, alquiler o prstamo, comprometindose a no ceder su uso parcial o total de ninguna forma, as como a no divulgar, publicar, ni poner de ninguna otra forma a disposicin de otras partes. A ttulo enunciativo, pero no limitativo, todos los logotipos, nombres comerciales, contenidos sonoros, audiovisuales, seales y signos, incluidos en la aplicacin, se encuentran protegidos por los derechos de propiedad intelectual e industrial de sus respectivos dueos, por lo que queda terminantemente prohibido que el usuario del software pueda descompilar, reproducir, copiar, modificar o manipular de ningn otro modo cualquiera de los contenidos de la aplicacin, en su totalidad o en parte,

24

as como modificarlo, ya sea en su apariencia externa como en su funcionamiento operativo. Regulacin de cesin de los derechos de propiedad intelectual sobre desarrollo informtico (orientado a cliente). Art. 43 TRLPI Esta clusula debe incluirse en los contratos de desarrollo de aplicaciones software. Con ella el desarrollador cede al cliente todos los derechos de explotacin sobre la aplicacin desarrollada. La no inclusin de esta clusula implica que el cliente slo obtiene el derecho de uso sobre el desarrollo informtico, quedando en principio todos los dems derechos (explotacin, modificacin, etc.) reservados a favor del desarrollador El prestador reconoce los derechos de Propiedad Intelectual del cliente sobre todo el desarrollo, cediendo todos los derechos de explotacin y propiedad de los mismos. (En su caso se recomienda enumerar todos los derechos de explotacin cedidos: reproduccin, distribucin, comunicacin pblica y transformacin sobre el resultado del desarrollo a favor del cliente). La titularidad del desarrollo afecta no slo al producto final de la misma, sino al conjunto de trabajos, bocetos, esquemas, documentos previos, diagramas de flujo y, en conjunto, todos y cada uno de los trabajos susceptibles de ser objeto de propiedad intelectual e industrial realizados para el desarrollo. El prestador garantiza al cliente que el desarrollo es absolutamente original y que cuenta con la totalidad de los derechos de propiedad intelectual sobre el mismo, habiendo sido completamente realizado por l, por lo que puede garantizar que todo el software y las herramientas utilizadas no vulneran ninguna normativa, contrato, derecho, inters o propiedad de terceros. Regulacin de cesin de los derechos de propiedad intelectual sobre desarrollo informtico (orientado a desarrollador). Art. 43 TRLPI Esta clusula debe insertarse en los contratos de desarrollo informtico y est orientado al desarrollador. Esta clusula declara expresamente que el cliente solo tiene derecho de uso sobre el desarrollo, quedando los dems derechos en manos del desarrollador. El cliente reconoce los derechos de Propiedad Intelectual del prestador sobre todo el desarrollo informtico, tanto el objeto final del mismo como el conjunto de documentos, diagramas, esquemas y dems elementos previos que lo conforman. El prestador cede su desarrollo nicamente para su uso personal, sin exclusividad, por un tiempo determinado y nicamente para llevar a cabo la siguiente finalidad _______________, no quedando permitida en ningn caso su reproduccin, cesin,

25

venta, alquiler o prstamo, comprometindose el usuario, a ttulo enunciativo y no limitativo, a no ceder su uso parcial o total de ninguna forma, as como a no divulgarlo, publicarlo, ni ponerlo de ninguna otra manera a disposicin de otras personas. El prestador garantiza al cliente que el desarrollo es absolutamente original y que cuenta con la totalidad de los derechos de propiedad intelectual sobre el mismo, habiendo sido completamente desarrollado por el prestador. Por lo que se puede garantizar que ste y las herramientas con las que ha sido realizado no vulneran ninguna normativa, contrato, derecho, inters o propiedad de terceros.

03.06. Aspectos Legales en la inspeccin de contenidos.

[CLEARs]

El presente apartado tiene como objetivo el determinar los aspectos legales que implican el uso de herramientas que permiten inspeccionar el contenido de diversos medios de comunicacin electrnicos, como son el correo electrnico del trabajo, correo electrnico personal, mensajera instantnea, navegacin por Internet, etc. De cara a un mejor entendimiento de dichos aspectos legales, hemos optado por un estilo de Preguntas y respuestas que las organizaciones se hacen a la hora de decidir implantar una solucin de inspeccin de contenidos, dado el conflicto de intereses existentes entre las empresas, que luchan por proteger su informacin confidencial y los empleados, que luchan por defender su derecho a la intimidad. 0. Tiene derecho una empresa a monitorizar el contenido de los correos electrnicos enviados por sus empleados? Tiene amparo legal, dentro de la LOPD, si con ello se pretende el control de fuga de informacin sobre datos personales, que pudieren vulnerar los derechos fundamentales de los trabajadores Ej, estado civil, afiliacin sindical, numero de hijos,... Y otra vertiente es el control que todo empresario tiene de la actividad empresarial y que encuentra su amparo dentro del Estatuto de los trabajadores (E.T.). 1. Que es el poder de direccin? El poder de direccin del empresario, imprescindible para la buena marcha de la organizacin productiva y reconocido expresamente en el art. 20 LET atribuye al

26

empresario, entre otras facultades, la de adoptar las medidas que estime mas oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales (art. 20.3 LET). Mas esa facultad ha de producirse en todo caso, como es lgico, dentro del debido respeto a la dignidad del trabajador, como expresamente nos lo recuerda la normativa laboral (arts. 4.2 e y 20.3 LET) (STC 98/2000, de 10 de abril). 2. Si es as, se puede realizar esta inspeccin manualmente (es decir, leer esos correos), o se tiene que realizar sin intervencin humana? La intervencin puede ser por medios informaticos, as como humanos, ya que la finalidad de la LOPD es evitar la fuga de informacin sobre cualquier clase de datos que vulneren derechos fundamentales de las personas. En el supuesto de tratarse de evitar fuga de informacin de la empresa o de controlar el uso correcto de los medios de trabajo que la empresa facilita, como correos electrnicos, puede utilizarse medios humanos, si bien no se puede utilizar la informacin que se obtenga para uso publico, ya que vulneraria los derechos fundamentales. Pero si para una posible sancin al trabajador, si procediese la misma. Cuando se trata de leer correos que puedan vulnerar la intimidad de la persona, se suele acudir a la llamada del representante sindical de la empresa (delegado, comits,...) como garante del uso de la informacin que se obtiene. 3. Para poder leer esos correos, tiene la empresa que notificar a sus empleados? Tiene que escribir una poltica de buen uso del correo? Tiene que ser sta aceptada y firmada por los empleados? Si, la organizacin debe notificar que el correo electrnico y el uso de la herramienta de trabajo, esta destinado solo y exclusivamente a la realizacin del trabajo, por lo que esta sujeto a control empresarial y cualquier contenido personal, podr ser visto, por el empresario, si bien y en el supuesto que los datos personales que se puedan ver no atentan contra legislacin ni contra el buen hacer de su trabajo, no podr ser utilizado, por el empresario, y en todo caso nunca se har publico, solo se utilizara si procede en los tribunales pertinentes. En cuanto a la autorizacin del trabajador, no es necesario que firme el trabajador ningn conforme, si bien la empresa si debe acreditar que se le ha informado, por lo que debe tener justificante, de haberle informado, este conforme o

27

no el trabajador. Para poder alegar ante quien proceda que la empresa solo esta buscando la optimizacin del trabajo realizado por sus empleados, debemos contar con justificacin documental de esa poltica. Para ello debemos de comunicar al trabajador, como mnimo los siguientes puntos: Las herramientas de trabajo que la empresa facilita al trabajador son para el desarrollo de su actividad laboral y dependiendo de la poltica de la empresa, esta puede limitar su uso a dicha actividad. Las herramientas de trabajo son las que se le entreguen al trabajador y cuya recepcin debe figurar en documento Todo uso que se realice fuera de la actividad laboral ser un uso indebido de dichos medios, conforme a la poltica comunicada por la empresa a sus trabajadores. Un ejemplo que se asemeja al control que el trabajador tiene que soportar en su trabajo, es el que todo ciudadano esta obligado a soportar cuando esta siendo grabado e informado de dicha grabacin en una calle o en un establecimiento. Si el ciudadano decide realizar cualquier acto que pudiera ser declarado intimo, no puede alegar despus que un tercero lo vio, ya que fue avisado. Si podr prohibir que ese video se divulgue. Ahora bien si ha realizado un acto punible, ese video se podr utilizar en su contra ante la autoridad pertinente, sin vulnerar derecho alguno. 4. Al monitorizar esos correos, tiene la empresa que hacerlo buscando informacin que pudiera ser perjudicial para el negocio, o puede buscar cualquier informacin que le parezca conveniente? El monitorizar esos correos solo debe hacerse con ocasin de dos motivos, o bien intentando evitar la fuga de datos que contengan informacin personal o bien intentando evitar el uso indebido de esa herramienta de trabajo, extrayendo informacin de la empresa, haciendo un uso particular de dicha herramienta,... No se puede utilizar en forma genrica, ya que convertiramos una medida de seguridad en un software dedicado al voyeurismo. No olvidemos la medida de proporcionalidad entre lo que se quiere evitar y los medios con los que lo evitamos.

28

5. Tiene derecho una empresa a monitorizar los correos que le llegan desde fuera a un usuario, sabiendo que pueden venir de un particular, y por tanto no tener nada que ver con el trabajo? La monitorizacin del correo, con el objetivo de optimizar el trabajo, entiendo que es legal, la duda surgira con el uso de esa informacin, que pudiramos obtener. Si la informacin afecta directamente a la empresa, (secretos empresariales o ponen de manifiesto una falta de rigor en el trabajo del empleador) si se puede utilizar; pero si lo que pone de manifiesto es un dato personal del trabajador que no impide ni supone falta alguna en su trabajo no se puede utilizar. Pero siempre, tenemos que tener presente, que el trabajador debe saber que cualquier correo que se reciba en el correo de la empresa, es susceptible de ser ledo, al igual que cualquier informacin que se descargue en el ordenador o terminal de la empresa. Siendo por tanto decisin del trabajador si expone su vida personal a esta monitorizacin o no. 6. Tiene la empresa derecho a bloquear, a modificar o censurar estos correos que entran sin necesidad de informar al destinatario o al remitente? Seria ms correcto, si es posible, configurar el correo para que no pueda recibir correos del exterior que no estn autorizados. Con lo anterior lo que quiero exponer es la posibilidad de la empresa de limitar el uso del correo, prohibiendo, si es tcnicamente posible, recibir correos, por ejemplo de entidades financieras, tiendas on line,... pero nunca puedes limitar su derecho a recibir informacion sindical. Es un derecho que tiene todo trabajador. Entiendo suficiente garanta para la empresa el conocer que los trabajadores estn recibiendo informacin sindical. 7. Tiene derecho una empresa a monitorizar las conversaciones de mensajera instantnea de sus empleados? Si, pero debe notificar claramente dicha monitorizacin y tener una causa empresarial justificada. Por ejemplo, si con ocasin de esas conversaciones, y dado su puesto de trabajo, deben tratar informacin confidencial, puede grabarse con el fin de conocer quien y cuando recibi informacin de la empresa de carcter confidencial: conociendo los sujetos que saben dicha informacin podemos localizar la causa o agente

29

de la fuga. En los supuestos de mensajera instantnea, ambas partes deben de ser notificadas de la grabacin al comienzo de la conversacin. 8. Tiene derecho una empresa a utilizar esta monitorizacin para buscar posibles casos de acoso en el trabajo? s, y an con mas motivo si existe algun tipo de queja o denuncia de un trabajador. En el supuesto en el que se abra un procedimiento de investigacin en virtud de denuncia o reclamacin, es conveniente la intervencin del representante de los trabajadores 9. Puede la empresa guardar correos electrnicos o grabaciones de mensajera instantnea para utilizarlas despus como prueba ante un juez? Si, si ambos interlocutores fueron notificados. En el correo electrnico tenemos que atender al procedimiento y poltica de la empresa de la que antes hemos hecho referencia y cuyo protocolo de actuacin debe seguirse fielmente. Todo uso que se realice fuera de la actividad laboral ser un uso indebido de dichos medios, conforme a la poltica comunicada por la empresa a sus trabajadores. Que en virtud de lo anterior, todo el software y hardware, que se le entrega por razn de su trabajo, es propiedad de la empresa y su uso esta siendo monitorizado-grabado por la direccin para comprobar tanto su buen uso como la optimizacin de su trabajo. 10. De nuevo, puede monitorizar estas conversaciones sin haber informado al usuario de que lo estoy haciendo? No, para que sean prueba en juicio debieron ser informados de la grabacin; no olvidemos que se trata de, evitar, persuadir, no de pillar. Deben ser informados 11. Puede una empresa monitorizar a qu tipo de pginas web navegan sus empleados? Si, entendiendo el espritu de lo que hemos hablado los trabajadores estn sometidos a una monitorizacin de su trabajo como lo estn todos los empleados, dentro del poder de direccin, ahora bien, en este caso se utilizan todos los medios tcnicos a nuestro alcance, por ello, podemos monitorizar dichos accesos. El trabajador debe saber y ser consciente que su trabajo esta siendo vigilado no solo para un control negativo sino

30

tambin positivo, (obtencin de incentivos por rendimientos,... y dems.) En virtud de lo anterior, la empresa puede limitar incluso prohibir el acceso a paginas web, cuyo contenido no este relacionado con la actividad del trabajador. Siendo la empresa la que tiene que fijar ese filtro de contenidos. 12. Puede la empresa sacar estadsticas sobre cuanto tiempo pasa un empleado en webs pornogrficas, de apuestas por Internet, u otro tipo? Si; A la hora de obtener estadsticas sobre las paginas que visita, se podrn ver tanto las paginas que tienen relacin con el trabajo como las que no. Por tanto el acceso excesivo de tiempo en otras paginas puede ser tenido en cuenta por la empresa. No solo hablamos de pginas pornogrficas, ya que el acceso a la pgina de un diario de noticias, en el que el trabajador pasa, durante su jornada laboral, 30 minutos leyendo el peridico, atenta contra su labor fundamental que es trabajar. 13. Y puede utilizar estos datos para demostrar ante un juez que un usuario se pasa el da en Internet en lugar de trabajar? Si, pues entiendo que su actuacin vulnera su deber como trabajador, al no realizar su quehacer profesional, y atentar contra la buena fe contractual que debe presidir dentro de la relacin laboral del trabajador. 14. Tiene derecho la empresa a monitorizar lo que un empleado recibe o escribe desde su mensajera webmail (tipo Hotmail, gmail)? Se puede controlar todo acceso a las herramientas de trabajo, por tanto lo que se recibe tambin puede ser detectado, pero el uso de esa informacin, no puede ser utilizado si atenta a la privacidad de las personas, ante todo del tercero que escribe. 15. Tiene la empresa derecho a monitorizar los comentarios que un usuario pueda hacer en un foro, blog o wiki en Internet? Si, si van contra terceras personas o tienen relacin con la empresa empleadora, haciendo comentarios o dando informacin sobre la misma.

31

16. Puede la empresa bloquear o censurar estos comentarios? Si por la misma razn y mxime cuando la divulgacin de determinados comentarios, puede llevar al deterioro de la imagen de la empleadora incluso posibles reclamaciones de derecho de terceros afectados por los comentarios efectuados. 17. En qu casos es posible monitorizar el correo, accesos web o mensajera instantnea de un empleado especfico? Y de un grupo de empleados? Cuando la monitorizacin va destinada a una persona en concreto o a un colectivo de personas, debe existir una razn. La casustica es muy extensa, pero podramos reducirla a dos supuestos; El seguimiento o monitorizacin de una persona en concreto, a consecuencia de una denuncia de sus compaeros, por su presunto mal actuar. Y, por otro lado la monitorizacin de una persona o un grupo de personas, en base a la informacin confidencia que por razn de su puesto y categora de trabajo, manejan en el da a da. En Conclusin: Es legal tener programas que controlen la fuga de informacin? Y qu relacin tiene LOPD con el control empresarial? Como hemos visto tener medidas de seguridad en materia de datos referentes a personas fsicas, no slo no es ilegal sino que, legalmente es obligatorio tenerlas. No podemos obviar que la proteccin de los datos de carcter personal, supone un control del trabajo de quien maneja o crea esos datos. Control que la Ley obliga a tener las empresas. La vulneracin por parte de un trabajador de la LOPD, es decir extraer esa informacin es una vulneracin legal que lleva o puede llevar aparejada una sancin de carcter laboral, como puede ser el despido. La utilizacin del un programa informtico, para controlar en que emplea el trabajador las herramientas de trabajo que la empresa le ha puesto para realizar su actividad, no es mas que una medida para controlar al trabajador conforme al amparo legal. Debemos de aclarar que si el trabajador conoce que las herramientas de trabajo son para uso exclusivo de trabajo y se le ha notificado dicha condicin, es de su cuenta hacer un uso personal del mismo. Si un trabajador de la denominada, banca telefnica, utiliza la lnea de telfono reservada para operaciones, para mantener

32

conversaciones privadas, no puede alegar que la grabacin de dicha conversacin sea vulnerar su derecho a la intimidad, ya que sabe y conoce que por seguridad se graban las conversaciones. Pues lo mismo ocurrira con los programas informaticos que controlan los emails o cualquier tipo de comunicacin que se realiza por vas o medios de trabajo. por lo dicho, un programa que evita fuga de informacin, es un producto que cubre con la obligatoriedad legal de la lopd y que adems de estar altamente cualificado para el control de la fuga de datos es un programa cuya aplicacin y puesta en marcha es desde todo punto legal, siempre que se guarden las precauciones que se han expuesto y las que legal y oportunamente procedan para cada sector en el que se implante.

33