Entre el control legitimo y el delito de acceso indebido
Autor: Marcelo Temperini
Desde hace un par de días que nació esta noticia, me parecía extraño la manera de abordar el tema, divulgando por los medios que existía "espionaje" de los mails de los empleados del Ministerio (Segu-Info ha publicado la verdad sobre la política de "espionaje" del gobierno). Dicho término, desde ya que tiene una connotación negativa que no hace falta aclarar, pero personalmente me resultó rara la noticia al escuchar que abiertamente mencionaban que se había autorizado revisar todos los mails, dandole desde la prensa una interpretación sobre que dichas medidas eran parte de un "amedrentamiento" de los empleados del Ministerio, como bien se puede leer en las notas originales del Diario.
La idea de estas palabras, es tratar de abordar el tema desde una perspectiva netamente académica y profesional, sin caer en las discusiones e intereses políticos que evidentemente tienen el caso, pero que considero que deben ser dejados de lado para traer luz sobre la cuestión. Personalmente es un tema el cuál me interesa, dado que hace 2 años he realizado una pequeña investigación sobre el tema de control laboral, ponencia la cuál ha sido expuesta en el II Encuentro de Abogados de Derecho Informático de Argentina, organizado en la ciudad de Trelew.
La resolución 464/09, que lo único que hace es aprobar una clásica y común Política de Seguridad general, que desde la Seguridad de la Información no revista ninguna novedad, ya que trata los temas habituales que cualquier política más o menos debe tratar según el organismo o empresa que se trate. En general, la misma trabaja mucho el tema de la propiedad intelectual, indicando los límites legales (no instalar soft extraño, no alterar las licencias, y un largo etc.).
La parte que nos interesa está recién en el ANEXO III, donde en el pto. 1 afirma que está "terminantemente prohibido la utilización de cuentas de correo personales", cuestión que se hace en prácticamente todas las políticas de seguridad de las empresas. Dicha práctica es normal a partir de reiterados fallos que enuncian que:
En una u otra postura, se reconoce que es 100% posible que la empresa u organismo pueda legalmente revisar y controlar las casillas de correos laborales (siempre laborales). Una tercera postura sin embargo (más extrema), afirma que ello no es posible, ya que se vulnera el derecho a la intimdad consagrado constitucionalmente. Dicha postura no es la practicada por la jurisprudencia argentina, ya que en una gran cantidad de casos, ha reconocido la legalidad del control laboral, sujeto a las condiciones mencionadas.
Otro aspecto que no debe dejarse de lado es a que nos referimos con control laboral. En general, desde la Seguridad de la Información, se pueden acceder a dos capas (o niveles) de información. El primero de ellos, y en una categorización que utilizo personalmente, es un control de monitoreo, control en el cuál se accede solamente a información externa de la transmisión de datos (que son los datos de tráfico), sin pasar a revisar el contenido en sí de los paquetes. En este nivel de control, se puede saber a que tipo de sitios de accede (por ejemplo, si accede a sitios pornográficos, si accede a hotmail, gmail, etc.), o la cantidad de datos transmitidos (dato también importante, ya que a través de estadísticas se puede establecer transferencias inusuales de información en determinados períodos, siendo un indicio de una posible fuga de información confidencial).
Básicamente, son los datos que se tendrían que recolectar para los casos de delitos informáticos, cuestión que todos recordaran que la norma argentina que regulaba la registración de estos datos (que tenía sus defectos a corregir), ha sido suspendida tras varios embates mediáticos de que también era una "Ley Espía". Para aquellos informados en materia de delitos informáticos, sabrán que dichos datos son fundamentales para poder avanzar en el combate contra este tipo de delitos, y que si Argentina es aceptada para el Convenio de Budapest, hay que corregir esa Ley y volver a ponerla en funcionamiento, ya que es una de las obligaciones inherentes del Convenio de cooperación.
El segundo nivel de control, es si el nivel de contenidos, donde es posible revisar el texto de los correos enviados. A criterio personal (postura que mantengo en la investigación mencionada), considero que dicho nivel de control, debe ser reservado sólo para los casos debidamente justificados. No obstante, la mayoría de la doctrina y jurisprudencia, no considera que deban existir casos específicos de infracciones o motivos fundados, sino que cumplido los requisitos anteriormente mencionados, es posible controlar en este nivel en todo momento (siempre sobre los mails laborales).
Para los casos donde se realice control directo de los correos laborales, lo mismo que sin dudas lo es para los casos de revisar contenidos de mails personales sin autorización judicial, se estaría realizando una actividad tipificada en la Ley de Delitos Informáticos Nº 26.388, más especificamente el art. 153.
Volviendo al caso concreto, no observa entonces la ilegalidad manifiesta de la implementación de dicha política de seguridad, que en el Anexo 4 (no publicado en el diario), es precisamente el anexo que informa al empleado, solicitando su consentimiento. Además, en las propias políticas se aclara que las mismas son aplicables a todo el personal del ministerio, sin distinguir rangos ni categorías, de manera que el comité de seguridad habilitado a tal fin, tendría el control de la información de todos los correos, tanto del propio Ministro, como de los empleados de más bajo rango.
Fuente: Red de Derecho Informático
Desde hace un par de días que nació esta noticia, me parecía extraño la manera de abordar el tema, divulgando por los medios que existía "espionaje" de los mails de los empleados del Ministerio (Segu-Info ha publicado la verdad sobre la política de "espionaje" del gobierno). Dicho término, desde ya que tiene una connotación negativa que no hace falta aclarar, pero personalmente me resultó rara la noticia al escuchar que abiertamente mencionaban que se había autorizado revisar todos los mails, dandole desde la prensa una interpretación sobre que dichas medidas eran parte de un "amedrentamiento" de los empleados del Ministerio, como bien se puede leer en las notas originales del Diario.
La idea de estas palabras, es tratar de abordar el tema desde una perspectiva netamente académica y profesional, sin caer en las discusiones e intereses políticos que evidentemente tienen el caso, pero que considero que deben ser dejados de lado para traer luz sobre la cuestión. Personalmente es un tema el cuál me interesa, dado que hace 2 años he realizado una pequeña investigación sobre el tema de control laboral, ponencia la cuál ha sido expuesta en el II Encuentro de Abogados de Derecho Informático de Argentina, organizado en la ciudad de Trelew.
La resolución 464/09, que lo único que hace es aprobar una clásica y común Política de Seguridad general, que desde la Seguridad de la Información no revista ninguna novedad, ya que trata los temas habituales que cualquier política más o menos debe tratar según el organismo o empresa que se trate. En general, la misma trabaja mucho el tema de la propiedad intelectual, indicando los límites legales (no instalar soft extraño, no alterar las licencias, y un largo etc.).
La parte que nos interesa está recién en el ANEXO III, donde en el pto. 1 afirma que está "terminantemente prohibido la utilización de cuentas de correo personales", cuestión que se hace en prácticamente todas las políticas de seguridad de las empresas. Dicha práctica es normal a partir de reiterados fallos que enuncian que:
Si una empresa no tiene una política clara relativa al uso del correo electrónico, no advirtiendo al empleado que dicho uso debe ser realizado exclusivamente en función de su actividad laboral, haciéndole conocer el derecho de la compañía a controlar el correcto uso del e-mail, podría crear una falsa expectativa de privacidad.” (CNTrab., sala VII, 2003/03/27 - Pereyra, Leandro R. c. Servicios de Almacén Fiscal Zona Franca y Mandatos S.A.). DT, 2003-B, 1524, con nota de Martín I. De Virgiliis; LNL, 2003, fasc. n° 8, p. 546; TySS, 2004, p. 22.En el pto. 2-a del mismo Anexo, afirma que "El Ministerio... tiene la facultad de controlar los e-mails enviados por el agente". No agrega nada más. Con relación a su redacción, y también haciendo referencia al punto anterior, tenemos que recordar que en nuestro país, existen en principio 2 grandes posturas en relación al control laboral. La primera, sostiene que el mismo puede ser controlado sin necesidad de consentimiento previo ni política firmada o autorizada, dado que todos los recursos informáticos y no informáticos son propiedad exclusiva del empleador, existiendo su poder de dirección y vigilancia clásicos del Derecho Laboral. Una segunda, en la cuál personalmente me identifico, sostiene que para que el control sea legitimado, necesariamente debe existir previo deber de informar al empleado, políticas clara que indiquen las facultades y controles que se efectuarán, solicitando su consentimiento (cuestión que debate la otra postura en QUE PASA si el emplado no quiere firmar ni consentir las políticas de seguridad).
En una u otra postura, se reconoce que es 100% posible que la empresa u organismo pueda legalmente revisar y controlar las casillas de correos laborales (siempre laborales). Una tercera postura sin embargo (más extrema), afirma que ello no es posible, ya que se vulnera el derecho a la intimdad consagrado constitucionalmente. Dicha postura no es la practicada por la jurisprudencia argentina, ya que en una gran cantidad de casos, ha reconocido la legalidad del control laboral, sujeto a las condiciones mencionadas.
“El empleador que proveyó a su dependiente el servicio de correo electrónico concediéndole una clave personal de acceso no puede revisar la cuenta sin que el empleado esté presente, o brinde su consentimiento, o se le haya comunicado el propósito y la necesidad de la apertura o exista algún peligro grave e inminente en relación al sistema informático” (CNTrab., sala X, 2003/11/17 - Villarruel, Roxana I. c. Vestiditos S.A.). LA LEY, 2004-C, 455; DJ, 2004-1-1006.Se debe tener claro que en ningún caso, ni siquiera con consentimiento por política, se podría controlar el contenido de los mails personales. En dichos casos, si existe vulneración al principio constitucional. La única manera admitida por la jurisprudencia, es en caso de contar con autorización judicial de juez competente (se ha realizado por ejemplo para casos fundados de infidelidad laboral, solicitando anticipadamente al juez como medida para proveer pruebas al proceso).
Otro aspecto que no debe dejarse de lado es a que nos referimos con control laboral. En general, desde la Seguridad de la Información, se pueden acceder a dos capas (o niveles) de información. El primero de ellos, y en una categorización que utilizo personalmente, es un control de monitoreo, control en el cuál se accede solamente a información externa de la transmisión de datos (que son los datos de tráfico), sin pasar a revisar el contenido en sí de los paquetes. En este nivel de control, se puede saber a que tipo de sitios de accede (por ejemplo, si accede a sitios pornográficos, si accede a hotmail, gmail, etc.), o la cantidad de datos transmitidos (dato también importante, ya que a través de estadísticas se puede establecer transferencias inusuales de información en determinados períodos, siendo un indicio de una posible fuga de información confidencial).
Básicamente, son los datos que se tendrían que recolectar para los casos de delitos informáticos, cuestión que todos recordaran que la norma argentina que regulaba la registración de estos datos (que tenía sus defectos a corregir), ha sido suspendida tras varios embates mediáticos de que también era una "Ley Espía". Para aquellos informados en materia de delitos informáticos, sabrán que dichos datos son fundamentales para poder avanzar en el combate contra este tipo de delitos, y que si Argentina es aceptada para el Convenio de Budapest, hay que corregir esa Ley y volver a ponerla en funcionamiento, ya que es una de las obligaciones inherentes del Convenio de cooperación.
El segundo nivel de control, es si el nivel de contenidos, donde es posible revisar el texto de los correos enviados. A criterio personal (postura que mantengo en la investigación mencionada), considero que dicho nivel de control, debe ser reservado sólo para los casos debidamente justificados. No obstante, la mayoría de la doctrina y jurisprudencia, no considera que deban existir casos específicos de infracciones o motivos fundados, sino que cumplido los requisitos anteriormente mencionados, es posible controlar en este nivel en todo momento (siempre sobre los mails laborales).
Para los casos donde se realice control directo de los correos laborales, lo mismo que sin dudas lo es para los casos de revisar contenidos de mails personales sin autorización judicial, se estaría realizando una actividad tipificada en la Ley de Delitos Informáticos Nº 26.388, más especificamente el art. 153.
Volviendo al caso concreto, no observa entonces la ilegalidad manifiesta de la implementación de dicha política de seguridad, que en el Anexo 4 (no publicado en el diario), es precisamente el anexo que informa al empleado, solicitando su consentimiento. Además, en las propias políticas se aclara que las mismas son aplicables a todo el personal del ministerio, sin distinguir rangos ni categorías, de manera que el comité de seguridad habilitado a tal fin, tendría el control de la información de todos los correos, tanto del propio Ministro, como de los empleados de más bajo rango.
Fuente: Red de Derecho Informático
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!