12 junio 2007

Aspectos legales

El cumplimiento legal puede ser uno de los motivos que lleven a una organización a plantearse la adopción de medidas de seguridad. Sin embargo, un excesivo celo en la aplicación puede volverse en contra de la organización. El caso más clásico es el desarrollo de políticas de seguridad sobre el uso del correo electrónico, que si no se realiza de la forma adecuada, puede provocar vulneraciones de la ley.

Para ilustrar este caso me remito a esta referencia. Un artículo sencillo y completo, que expone las exigencias legales al respecto del control del correo electrónico y termina con una serie de recomendaciones básicas a desarrollar. En resumen, el artículo señala lo siguiente:
  • Regular: La organización deberá desarrollar cláusulas de confidencialidad y políticas completas de uso del correo electrónico.
  • Informar: Todo el personal deberá conocer la regulación establecida, y a ser posible deberá ser demostrable que se ha leído y aceptado.
  • Investigar con "permiso" explícito: Si es necesario llevar a cabo una investigación, será necesario recabar el consentimiento previo del comité de empresa, del afectado o de un juez.

Y es importante recordar que estas medidas son necesarias, pero no suficientes. Para más detalles, seguro que los abogados pueden echar una mano.

Pero no es este el único caso en el que hay que tener en cuenta las implicaciones legales que puede tener una actuación. Tareas tan "habituales" como el hacking ético pueden llegar a ser problemáticas si no se regula y estipula adecuadamente las condiciones en las que se debe efectuar, y queda claro el consentimiento de la "víctima". Y las consecuencias de no tenerlo en cuenta no son despreciables, por lo que señala este documento. Estamos hablando de vulneraciones del código penal.

Y por último, un pequeño comentario acerca de la noticia de moda: el robo de datos por parte de piratas informáticos a un ISP nacional (Arsys, según parece). En particular, de la crítica que hace Xavier Ribas sobre la diligencia del ISP, que habría sufrido un ataque existoso previo en abril. Si esto fuera cierto, estaríamos ante una actuación "reprochable", o podrían llegar a existir implicaciones legales? Si algún abogado está dispuesto a dar su opinión, seguro que todos estaremos encantados de leerla.

2 comentarios:

deincognito dijo...

Joseba,

Este es un tema que da para mucho.

El documento de Microsoft apunta bien más o menos, pero la cosa es mucho más profunda.

Idealmente la empresa debe ser lo más transparente posible y ha de recabar el consentimiento de los empleados (todo ello aportaría una base para el respeto de los derechos a la intimidad, secreto de las comunicaciones y protección de datos).

El problema puede venir en que el consentimiento puede llegar a ser considerado viciado por la posición dominante del empleador sobre el empleado. Por ello es muy importante para la empresa no extralimitarse y estar en condiciones de que las prácticas de control puedan ser consideradas conformes a la doctrina del juicio de proporcionalidad. La empresa puede monitorizar para proteger su patrimonio, por razones de seguridad, pero no debe controlar de forma permanente la actividad de los trabajadores.

Todo gira en torno a la propiedad de los equipos por la empresa y la reserva para usos profesionales y la prohibición o tolerancia de un uso privado razonable, con la monitorización de los sistemas como catalizador de todo ello.

Y en todo ello se deben tener en cuenta asuntos como la relación contractual empresa-persona (persona de plantilla, becario, colaborador externo, personas de proveedores), la legislación aplicable (Estatuto de los Trabajadores o Convenio Colectivo, normas mercantiles,...), la ubicación de los sistemas empleados (sistemas en la red de la oficina, sistemas en movilidad, sistemas en teletrabajo), la existencia de test de intrusión y auditorías de seguridad, la adecuación a la LOPD,... a fin de no vulnerar los derechos fundamentales a la intimidad, al secreto de las comunicaciones y a la protección de datos, pues en caso contrario las evidencias electrónicas obtenidas de los sistemas pueden haber caído en nulidad (ver art. 11.1 LOPJ) y sería posible que se reclamaran infracciones penales en su obtención.

En los casos con respecto a terceros la cosa cambia algo, pero no deja de ser parecida por cuanto que la empresa debe tratar de que sus políticas y prácticas de seguridad no vulneren los derechos fundamentales antes citados.

Joseba Enjuto dijo...

No, si ya decia yo que era necesario, pero no suficiente... En fin, un tema realmente complejo, en el que pasarse puede ser tan perjudicial (o mas) que quedarse corto. Si ya decian los antiguos sabios que lo que habia que buscar era el "justo medio". Lo malo es que nunca dijeron cual era...