lunes, 31 de enero de 2011

CORREO ELECTRONICO - CONFIDENCIALIDAD Y USO EN EL AMBITO LABORAL

Correo electrónico. Confidencialidad y uso en el ámbito laboral.
Disertante: Dr. Eduardo Molina Quiroga (Abogado, Doctor en Derecho Civil UBA, Subdirector del Programa de Actualización en Derecho Informático UBA).
El correo electrónico ha sido equiparado desde sus orígenes a la correspondencia epistolar y por lo tanto tiene carácter confidencial. La doctrina y jurisprudencia civil lo ampararon como parte de la intimidad o vida privada. La reforma al Código Penal (ley 26.388) incluyó el acceso y difusión "indebidas" como delitos. En los casos en que el correo es provisto por el empleador se discute si este puede acceder a su contenido, como debe proceder y si la prueba obtenida es válida para justificar un despido u otra sanción.
Están en tensión el derecho a la correspondencia privada y el derecho de propiedad, ambos garantizados constitucionalmente. Cómo resolver este dilema es el propósito de la exposición.



La Jornada "Aspectos Legales de las Tecnologías de Información" organizada por USUARIA y llevada a cabo en la UADE el 30 de noviembre de 2010 tuvo entre los disertantes al Dr. Eduardo Molina Quiroga quien expuso la temática "Correo electrónico. Confidencialidad y uso en el ámbito laboral". A continuación se presenta la desgrabación de su disertación:

Es un tema polémico, de hecho no resuelto y en el cual, las opiniones no son neutras, el emplazamiento de cada uno va ha determinar una visión y en algunos casos será conciliable y en otros no.

Se tratará de conciliar ambas posiciones.

El código penal de 1920 e incluso nuestra constitución tenemos una idea de la confidencialidad basada en la carta típica, es decir la carta tiene un escudo que es el sobre, es una correspondencia, un texto, un mensaje que está de alguna manera resguardada por una cubierta, más allá de alguna película en la que la gente en Alemania oriental destapaba sobres con vapor, pero en principio era más fácil imaginar la confidencialidad de la correspondencia en el soporte de papel porque tenía esta cubierta material-física, más allá de que la carta no volaba, la recibía una persona o una organización y la trasladaba a su destinatario.

En el caso del correo electrónico a través de los protocolos más conocidos el ICMP, POP3, IMAP, más allá de los celulares, BlackBerry, etc, pasa inevitablemente por equipos-servidores que no son propios, con lo cual este secreto que imaginábamos con relación a las cartas en soporte de papel, técnicamente es imposible o en todo caso bastante costoso si nosotros hubiéramos desarrollado para el acceso público y cotidiano tecnologías de encriptación confiables, quizás podríamos llegar a eso, para que tengan una idea el grupo más famoso de derechos civiles de Estados Unidos en materia de sociedad de información y conocimiento el "ETIC" brega porque el Pentágono brinde la tecnología de encriptamiento que usa el Pentágono para todos los ciudadanos porque sería la única manera de garantizar la privacidad en la sociedad de la información y el conocimiento, es decir en realidad si no hacemos esta aclaración, varias de las cuestiones que vamos a plantear me parece que no se van ha entender, no es técnicamente fácil (por no decir imposible) mantener la confidencialidad que si era más verosímil en el caso de la correspondencia en soporte papel. Cuando yo estoy enviando un correo electrónico o chateo o interactúo con un formulario electrónico o cualquier otro tipo de intercomunicación personal a través de un sistema hard-soft, inevitablemente paso por un agente de transmisión de mensajes que tiene la posibilidad, lo haga o no de conocerlo y que sin ninguna duda dependerá el tiempo que tenga.
Las víctimas de muchos ataques en la red no tienen a donde recurrir o tienen que pagar para que las empresas les brinden y no tienen ninguna obligación, en la Comunidad Europea, las empresas tienen de acuerdo a la última directiva un promedio entre 6 meses y 2 años de un registro.

Cuando se utiliza el correo corporativo en una empresa, organización estatal o privada y se presenta un dilema entre dos posiciones muy encontradas:

1. Ley de Contrato de Trabajo (en el caso argentino) establece que el empleador tiene derecho a controlar la utilización que se le de a todos los instrumentos que le proporcione a sus dependientes y que tiene que estar orientado al cumplimiento de los fines de la organización, en definitiva todo esto está amparado en un derecho protegido constitucionalmente como es el derecho de propiedad.

2. La correspondencia epistolar está protegida por la Constitución, el artículo 1071 bis del Código Penal y la Ley de Protección de Datos 25326, de esta manera se trata de garantizar que el ciudadano de la sociedad de la información tiene derecho a que ciertos aspectos de su vida queden fuera del conocimiento de otras personas y además poder controlar el uso desleal incluso aquella información que no es privada o confidencial

Estos dos elementos entran en conflicto cuando el empleador utiliza el correo electrónico, la mensajería instantánea o el acceso a Internet cuya infraestructura física y lógica es provista por un ajeno que es su empleador. El aspecto principal no es si el trabajador puede hacer el uso indebido o no de esta infraestructura que fue puesta a su disposición, sino cuales fueron las pautas que la jurisprudencia ha estado estableciendo en relación a como resolver este tema.

De lo anteriormente señalado surgen cuestionamientos como los siguientes:
• ¿El hecho de utilizar herramientas informáticas puestas al servicio de la organización y utilizadas en beneficio personal o simplemente para entretenimiento (teniendo en cuenta los fines previstos por el empleador) constituye una falta tan grave que justifique la disolución del vínculo laboral?
• ¿Cuál es la eficacia de la advertencia previa al trabajador sobre el uso de herramientas informáticas para los fines de la organización del empleador?
• ¿Cómo se acredita la conducta invocada como impropia?
• ¿Es necesario o no que la falta del trabajador haya ocasionado un perjuicio a la empresa?
• ¿Hasta donde llega la facultad del empleador de controlar la utilización de los elementos que se ponen a disposición del trabajador para conocer el contenido de la correspondencia electrónica o de la navegación por Internet?
• ¿Cómo debería proceder un empleador para no vulnerar la Ley, los derechos fundamentales? e incluso cabe preguntarse si no estaría vulnerando artículos del código penal (sin embargo no se ha visto todavía casos resueltos a este respecto).

La confidencialidad del Correo electrónico no es solamente un tema argentino,
• Hay un famoso caso francés que se cita siempre donde la cámara de casación condenó a un empleador por una injerencia en el correo electrónico de su trabajador, quien consideró darse por despedido porque se había violentado su privacidad.
• En España hubo fallos contradictorios, algunos tribunales como los de Barcelona protegieron en algún caso la confidencialidad del correo electrónico y en otros casos no, en Madrid sucedió lo mismo.
• En Chile la Dirección de Relaciones Laborales dispuso una normativa específica sobre como tenía que ser las instrucciones y reglamentos sobre el uso de elementos informáticos
Con esto lo que se quiere señalar es que no es un problema que nació para Argentina desde ahora, sino que es un problema que viene con el uso de las nuevas tecnologías.


Entonces nos vamos a encontrar muy esquemáticamente con dos grandes posiciones:
1. Los que entienden que el valor que prima y debe primar siempre es el respeto a la propiedad ya que el empleador ha colocado esos medios e hizo una inversión (muchas veces inversiones muy importantes) y eso es para que sirva a los fines de la empresa
2. Otro sector que señala que lo que está en juego son principios fundamentales consagrados en los tratados de derechos humanos que tienen rango supraconstitucional y además los derechos de los trabajadores son de orden público y son irrenunciables.

Entre estas dos posiciones extremas entre las cuales encontramos pronunciamientos de la jurisprudencia argentina, hay que ver como se encontrar alguna solución intermedia.

Haciendo un resumen de la jurisprudencia argentina:

En primer lugar yendo de lo más sencillo a lo más complejo, hoy nadie discute que es necesario una advertencia previa a los trabajadores (aunque la infraestructura sea propiedad del empleador) para poder considerar que la utilización del correo electrónico o de Internet constituye una injuria (falta) laboral, existe una casuística que en muchas situaciones se dice, bueno en este caso se resolvió porque estas eran las características, la situación y en otros casos se resolvió de otra manera, por ejemplo: Si a alguien lo despiden porque utilizaba el mail de la empresa para mandar correos personales y a ese mail solo podía acceder con su clave y no se acredita un perjuicio a la empresa y no hubo antecedente que lo justificara, la jurisprudencia esquemáticamente ha entendido que ese despido era arbitrario y que por tanto había que indemnizar al trabajador, aún cuando hubo una advertencia, y acá se abre un segundo conflicto, se dice bueno, violó el reglamento sobre el uso de herramientas informáticas, pero su conducta en relación con su historial laboral no justificaba una medida tan severa como el despido, se ha violado el principio de proporcionalidad que es básico en cualquier régimen sancionatorio y más en el ámbito laboral, por lo tanto también el despido se considera injustificado.

En otros casos también se ha analizado si el acto realmente le ocasionó un daño o perjuicio a la empresa, si la empresa no lo pudo probar, entonces tampoco procede, por supuesto, el caso cero es cuando no pude acreditar que el sujeto hombre o mujer que fue motivo de la sanción había sido el autor de la utilización indebida del correo o del acceso a Internet o de la mensajería instantánea. Pero quizás el tema más delicado es que el empleador suponiendo que elaboró un reglamento absolutamente meticuloso que fue notificado personalmente a cada uno de los trabajadores sobre cuales eran los usos permitidos de esas herramientas informáticas que se pusieron a su disposición frente a la sospecha de que el empleado no cumplió esto, lo despide.

La reflexión:
Si yo quiero mandar una carta a mi madre y el único papel disponible y los únicos sobres son de propiedad de la empresa y mando eso, no hay ninguna duda de que ese papel y sobre le corresponden a la empresa. ¿Está autorizado el empleador a abrir mi carta para enterarse del contenido?
Este ejemplo puede sonar forzado, pero si se ha equiparado en el Código Penal a las comunicaciones electrónicas a al correspondencia epistolar, hoy ya no hay ninguna discusión sobre la protección equivalente que tiene, si en el artículo 77 se ha equiparado el documento sin importar el soporte en el que esté y uno tiene que interpretar la Constitución Nacional, todos los tratados de derechos humanos con el criterio de la Comisión Interamericana y todos los especialistas han dicho a favor del derecho, se tendría que concluir que en principio:
Ningún empleador por más que haya firmado un reglamento, podría intervenir la comunicación electrónica por su propia decisión.

¿Qué debería hacer?
Lo que se hace con las comunicaciones telefónicas, el juez basado en una sospecha (no en una certeza), basado en elementos objetivos tiene la vía libre para ordenar la suspensión de garantías constitucionales como son la inviolabilidad del domicilio, la confidencialidad de las comunicaciones, cuando esto se basa en una sospecha meramente subjetiva, la corte (por citar el último caso Poveda) permanentemente ha declarado la nulidad no solo del procedimiento sino de todo lo que se obtuvo a partir de este procedimiento por la teoría "del fruto del arbol envenenado", entonces existe la posibilidad de obtener un congelamiento de los datos del tráfico, de tal manera que esto se convierte en un elemento objetivo de sospecha para decirle al juez, yo tengo la sospecha de que este empleado está haciendo un uso indebido de las herramientas proporcionadas, pero como no se quiere viciar el procedimiento y después no digan que afecté su intimidad, su vida privada, confidencialidad, etc., yo le pido a usted con un funcionario judicial o un tercero ajeno a la causa que obtenga una copia bit a bit o secuestre la computadora o como acabo de leer en un diario digital (www.elabogado.com) en un conflicto laboral donde fue el propio empleado el que pidió el depósito judicial de la BlackBerry y una Notebook que tenía porque el empleador lo acusaba de un uso indebido y el empleado decía aquí están las pruebas de que yo trabajaba para él, lo pongo en manos de un tercer imparcial que es el órgano judicial. Aunque es mucho más fácil (por supuesto que esto no es un proceder adecuado) el procedimiento de decirle al administrador del servidor que lo haga sin que se de cuenta el trabajador en cuestión, es decir no es que no se puede hacer, desde el punto de vista tecnológico se puede hacer perfectamente y si alguien tuviera tiempo se enteraría absolutamente hasta del mail más insignificante de una persona, no hay tiempo por el volumen, por la cantidad.

Si nosotros siguiéremos ese procedimiento (mediante orden judicial), yo creo que respetaríamos ambas posiciones, es decir el respeto al derecho de propiedad que tiene el empleador sobre los elementos que puso al servicio de los fines de la empresa y los derechos fundamentales a la confidencialidad de la correspondencia y al manejo de sus propios datos que tiene el trabajador, por supuesto que esta es una vía mucho más complicada y seguramente muchos dirán, si el trabajador firmó, el aceptó. En uno de los casos más citados, en realidad se lo convocó al trabajador, quien prestó su consentimiento y estuvo presente cuando se obtenía la información de los mails, con lo cual participó en el tema, no es que se enteró cuando le llegó el telegrama o cuando lo citaron a declarar.

Este tema de bilateralidad del control de la información es fundamental así como la cadena de custodia. Si yo fuera abogado del trabajador, lo primero que cuestionaría sería la obtención de la evidencia y si no se ha seguido una custodia adecuada, porque en general lo que se suele hacer es imprimir los mails y llevárselos al juez y decirle mire acá está la prueba.

Hubieron casos que rompen la regla, porque fueron muy groseros, cuando por ejemplo se comprobó por testigos y numerosas pruebas que el trabajador hacía un abuso permanente, mandaba comunicaciones de tipo sexista a directivos, etc., entonces en este caso ya no se trata de que el empleador interceptó los mails, la evidencia se construyó con otras fuentes y lo de la intercepción de los mails en este caso pasó a un segundo plano, no era la fuente principal de prueba en la cual se basó el dictamen.

En algunos países se han inclinado más hacia proteger el derecho de propiedad de la empresa, en otros casos a proteger la intimidad y la confidencialidad de la correspondencia de los trabajadores y yo creo que un punto de equilibrio es:
Técnicamente es posible hacerlo, congelar los datos de tráfico, pedir una intervención judicial como se pide en la intervención de comunicaciones telefónicas y con esto obtener evidencia eficaz y determinar si efectivamente la persona ha incurrido en una falta, se debe respetar el principio de proporcionalidad, es decir si la medida que se va ha tomar reconoce una gradualidad y quedará en todo caso de acuerdo al tribunal que nos toque el criterio de si se justificaba o no, porque algunos exigirán que haya habido un perjuicio y no solamente que sea el mero incumplimiento de las órdenes de la organización y para otros dirá, incumplió, falto a la buena fé y lealtad que le debe a su empleador.


CONCLUSIONES:

Si bien existen diferencias tecnológicas entre la correspondencia epistolar clásica y las comunicaciones telefónicas y el correo electrónico, todas estas se engloban en lo que las comunicaciones interpersonales que por lo tanto deben ser protegidas en su confidencialidad condenando la intercepción de las mismas.

El legislador evidentemente en esto no pudo llegar a un consenso y salió por la tangente, puso indebidamente, ¿qué significa indebidamente?, es algo que todavía no tengo referencia judicial como para decir como han interpretado los jueces que constituye una intromisión indebida en las comunicaciones electrónicas, algunos sostienen que indebidamente no es cuando ha habido un compromiso firmado, un reglamento aceptado, frente a eso mi argumento es, en materia penal rige el principio de interpretación a favor del reo con lo cual a lo mejor si el que está involucrado es un gerente de personal o un administrador de red, podrá decir yo creí que con esto estaba autorizado y en realidad no se demostró que lo hice a propósito para violentar el secreto. Habrá otros que dirán, si hay una protección constitucional para la confidencialidad del correo electrónico y precisamente se modificó.

Lo que se incorporó a la Ley de Delitos Informáticos es exactamente lo que el Convenio de Budapest acepta, son las 4 grandes figuras que preocupan mundialmente y no se siguió exactamente la misma redacción de Budapest, esto del indebidamente generó y sigue generando bastantes dudas, ¿qué significa indebidamente?, cada uno dará su opinión.

Después fíjense alguien podría decir, en un caso se habla de comunicación electrónica y en otro se habla de un pliego cerrado, claro es imposible que la comunicación electrónica esté cerrada, esta es una figura mucho más sofisticada si alguien hackeara la encriptación que no es una modalidad que nosotros estemos usando.

Hay algunas situaciones, por ejemplo el caso que alguien hace público el contenido de una comunicación electrónica (el caso La Natta) donde el interés público, algunos sostienen que sería aplicable una doctrina de la Corte Suprema (el caso Campigae) que de alguna manera introdujo la teoría de la real malicia americana, es decir cuando una persona es pública, es necesario acreditar el deseo de perjudicar, porque sino lo que prima es la transparencia en la información, que no creo que sea aplicable a este caso y tenemos el 155 que es el que tiene una correspondencia que no está destinada a la publicidad y la hace pública. Hoy todas las noticias de los diarios nos llevan a este tipo de situaciones.

Como no es posible distinguir la etapa de almacenamiento, ya que inevitablemente por lo menos en el actual estado del arte todo mensaje pasa por uno o más servidores que actúan como agentes de transmisión de mensajes y a veces como agente de envío o ubicación de los mismos, cuando el email pasa por estos sistemas, sufre proceso de almacenamiento transitorio al menos en sus datos de tráfico, en consecuencia el acceso a estos mensajes debe ser el imprescindible por necesidad de su operación, en el caso mencionado además de estar presente la persona, se buscaron sólo los mails que habían sido remitidos a una empresa competidora a través de los datos de tráfico y no se analizó el resto de la correspondencia de esta persona, por tanto la divulgación sin autorización de los contenidos constituye una clara violación a la privacidad y esto lo tenía resuelto la jurisprudencia civil desde hace mucho antes de la reforma del Código Penal, en el caso del correo electrónico puesto a disposición del trabajador

Creemos que para monitorear los mensajes (el empleador) debe contar con una autorización judicial como establece la Ley, el empleador debe notificar claramente su política en relación al uso permitido o prohibido de los recursos informáticos dispuestos y en caso de sospechar uso indebido, debe solicitar la intervención de las comunicaciones al juez o fiscal competente y de este modo se concilian el respeto a los derechos personalísimos con la propiedad privada en un marco de estricta observancia de las garantías constitucionales.

martes, 4 de enero de 2011

Boqueteros de Bancos

Banco Provincia - Argentina
Asalto al Banco Provincia, boqueteros se llevaron mas de 100 cajas de seguridad. El túnel tiene ventilación, luces y alfombra. Una obra de más de 6 meses de trabajo.



Reventaron 97 cajas de seguridad del banco Provincia de la sucursal Belgrano, ubicada en Cabildo y Echeverría. Los ladrones entraron a la bóveda el fin de semana por un boquete en el piso que viene de un túnel que todavía no se informó en dónde se inicia. Los investigadores están ante un nuevo trabajo de alta ingeniería. Los clientes se empujan en la puerta de la sucursal por información. Emitido por Visión Siete, noticiero de la TV Pública argentina, el lunes 3 de enero de 2011. http://www.tvpublica.com.ar




Banco Macro - Argentina
Un robo planeado a dos cuadras del Congreso de la Nación. Saquearon 218 cajas de seguridad de una Sucursal del Banco Macro.




Banco Unión - Bolivia
Túnel para robar el Banco Unión

web stats