Archivos de la etiqueta: cifrado

01Ene/15

Apuntes sobre correo electrónico en la empresa

Trabajos, , , , ,

“Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”

Declaración Universal de Derechos Humanos, 1948

Dice Nicholas Negroponte, gurú de la tecnología y famoso visionario, que “la intimidad en Internet carece de estado de salud, ya que ésta no existe”. Al plantearme el secreto del correo electrónico de los trabajadores como actividad monográfica, es necesario tener en cuenta que la intimidad, y todos sus derechos conexos (libertad, propia imagen, etc..) están en franco retroceso, mas aún después de la crisis del once de Septiembre. Un país, Estados Unidos, locomotora mundial de las nuevas tecnologías, está poniendo en entredicho derechos constitucionales que jamás se habían puesto en duda, al menos en los términos en los que nos los plantearemos a continuación. El secreto de un correo electrónico en una esfera laboral nace ya bastante desdibujado, y es que en el país mas avanzado del mundo, éste secreto, simplemente no existe, consecuencia de la distinta concepción de intimidad entre Europa y Norteamérica. En Europa, la intimidad es un derecho intrínseco a la persona. En Estados Unidos, la intimidad pertenece al estado. Un altísimo porcentaje de empresarios norteamericanos instalan pequeñas aplicaciones en sus redes de ordenadores para espiar no ya sólo el correo, sino toda la actividad del trabajador, sea o no sea este último consciente de ello. Pero nadie protesta: el sentimiento patriótico está por encima de mis asuntos.

Bien es cierto que no hay que ser negativos, porque nuestros dos altos tribunales, Constitucional y Supremo, siempre se han caracterizado por velar por nuestros derechos fundamentales. En cualquier caso, hay que entender estos derechos como un conjunto, es decir, en esta monografía nos plantearemos el secreto de las comunicaciones, pero también el derecho del empresario para que los trabajadores lo usen con la debida diligencia. Hasta comienzos de este año, podríamos decir que los pronunciamientos judiciales sobre esta materia favorecían, de una u otra forma, los intereses del empresario. En éste sentido, se equiparaba el e-mail a la “taquilla” del trabajador. Consecuentemente, era posible su registro para comprobar el posible mal uso, siempre que se hiciera con unas debidas protecciones y garantías. Sin embargo, a raíz de una sentencia del Tribunal Supremo francés, junto con un primer pronunciamiento y acercamiento de nuestro homólogo español, parece que se empieza a tener en cuenta y apostar más por el “secreto de las comunicaciones”.

Desde luego, y mas que nunca en este aspecto, hay que buscar un punto medio, pero encontrarlo muchas veces, es casi utópico. Especialmente por la cantidad de situaciones diversas y derechos afectados, todos de suprema importancia, que es preciso proteger. Cuando hablamos del “secreto del correo electrónico en la empresa” no nos referimos a una actividad única. Algo tan sencillo como mandar un email tiene una complejidad interna que creo que es merecedora de explicación, para luego introducirnos en las posibles responsabilidades jurídicas. No puede ser lo mismo mandar un correo electrónico con un dominio propio de la empresa en la que el trabajador presta sus servicios, que hacer esto mismo desde uno de los numerosísimos servicios gratuitos de correo que pueblan la red de redes. En el primer supuesto, el trabajador está comprometiendo el nombre y prestigio de la entidad que defiende, en el segundo solo se compromete él mismo. De la misma forma, cuando nos referimos a la acción de “espiar” el contenido del email de un trabajador, no puede ser lo mismo adentrarnos en datos poco reveladores de la intimidad personal, como puede ser el destinatario del mensaje, o el “subject”, donde solo se suelen dar datos generales, que en el cuerpo del mensaje. Idem de ídem, no es lo mismo mandar un email personal al día que hacerlo con una alta frecuencia. Lo único que podemos llegar a tener claro en esto es que el coste para el empresario es realmente despreciable: el empresario no pierde dinero -en términos de uso de la infraestructura empresarial- por el envío de uno o de cuatrocientos correos. Desde la instauración de la tarifa plana -e incluso sin que estuviera esta-, y más teniendo en cuenta las sucesivas conexiones de banda ancha que priman en las actuales estructuras empresariales, mandar un correo tiene un “coste cero” para el empresario. Obviamente, hablar en términos de falta de productividad del trabajador es hablar de la falta de horas que ha dejado de dedicárselas al empresario, y esto si tiene relación directa con el número de correos electrónicos, o la longitud de los mismos.

La complejidad del asunto nos llevará a intentar resolver el problema desde la perspectiva de la ponderación de los derechos que están en juego. Sólo aplicando la cordura, reconociendo que no hay ninguna esfera de impunidad para ninguna de las partes, y que el término “buena fe”, una vez más, va a ser imprescindible, podremos llegar buen puerto.

Junto a esto, el estado de la técnica hace que hoy en día, programas de cifrado sean totalmente accesibles para cualquier persona. Utilizando complejos algoritmos de encriptación, cualquier persona, haciendo un par de “clics”, puede hacer, literalmente, inaccesible cualquier contenido del email que quiera cifrar. Cabe preguntarse si el trabajador tiene derecho a usar este software o no lo tiene. Actualmente, no hay jurisprudencia que contemplen este extremo.

Considero que, previamente al enfrentamiento y colisión entre estos derechos, debemos de conocer perfectamente los límites de todos ellos. Nos valdremos principalmente de la doctrina del Tribunal Constitucional para saber a que nos referimos exactamente cuando citamos el derecho al honor o ponemos el límite de la “libertad de empresa” a dicho derecho. Posteriormente, los enfrentaremos para conseguir vislumbrar los límites de cada uno de ellos. Adelantamos aquí algo que parecía obvio desde un primer momento y que ya he repetido: no hay derechos absolutos.

El despido en el ámbito laboral es la consecuencia más grave derivado del uso de las llamadas “nuevas tecnologías”. Creo que merece una especial atención, apoyándonos en la jurisprudencia mas reciente. La “caja de los truenos” fue despertada por el famoso caso Deutsche Bank en Cataluña, pero ya podemos encontrar pronunciamientos de Tribunales Superiores de Justicia. A ellos nos referiremos

SEGURIDAD EN EL CORREO ELECTRÓNICO

El correo electrónico tiene una imagen sumamente moderna, pero ya cumplió 30 años. En efecto, este sistema de comunicación nació allá por 1971. A diferencia de Edison, su “progenitor” Ray Tomlison no recuerda cuál fue el primer mensaje que se envió o cuál fue su destinatario. “Solo recuerdo que estaba en mayúsculas”, dijo Tomlison. Este ingeniero de BBN Technologies diseñó un programa con 200 líneas de código que perfeccionó el software existente creando los buzones electrónicos que conocemos en la actualidad. Otro de los inventos de Tomlison fue la famosa “@”, que concibió a fin de asegurarse de que el mensaje llegaría a su destinatario. Para enviar el mensaje se utilizó ARPA Net, la red militar que precedió al Internet que conocemos en la actualidad

Los programas que gestionan el correo se suelen llamar “clientes” porque interactúan directamente con el usuario, permitiendo mandar correo electrónico, pero también leerlo, crearlo, imprimirlo y mucho más, a través de su interfaz gráfico. Los mejores tienen un equilibrio entre potencia y facilidad de uso.

-Las partes de un mensaje

Es de sobra conocido por todos que un correo electrónico se compone principalmente de la dirección del remitente, un asunto o “subject” y el cuerpo del mismo. Este mensaje discurre desde el ordenador cliente hasta su destinatario usando distintos protocolos de comunicación, y “saltando” de máquina en máquina. Jurídicamente, no es lo mismo entrar en el contenido del mensaje que quedarnos en la simple presentación, que realizan los programas clientes (o los correos de tipo webmail) sobre el envío, o recepción (o “cola de envío”) de los mensajes. Consecuentemente, para comprobar si un mensaje es idóneo dentro del fin social del empresario, bastaría, en la mayoría de las ocasiones, con mirar el destinatario o el asunto del correo. Obviamente, la entrada en el cuerpo del mensaje es alcanzar un límite que quizás no se debería sobrepasar, si ya se tienen pruebas suficientes sobre el destino del correo en cuestión. Lo contrario, podría suponer una vulneración de los Derechos antes explicados, sobre todo si no se hacen con las garantías suficientes. Desgraciadamente, no demasiados de los pronunciamientos jurisprudenciales que repasaré posteriormente, tienen en cuenta este aspecto

-Dominio de la empresa o dominio genérico

Tema capital, que también determinará un diferente grado de gravedad. Podemos distinguir dos situaciones: si la empresa ha contratado un dominio propio, y ésta permite que sus empleados se valgan de dicho dominio, o si se utiliza uno gratuito o, igualmente, no tiene un nombre relacionado con la entidad. En el primer caso, la gravedad es mayor, porque se puede poner en entredicho a la entidad a la cual el trabajador presta sus servicios. En el segundo, al utilizarse un correo propio -contratado por el trabajador- quien se compromete es la persona en cuestión. En general, si el trabajador tiene una dirección de correo electrónico cuyo nombre de dominio se parezca, o acaso sea, idéntica a la empresa a la que presta sus servicios y ha hecho un mal uso de el, tiene un ámbito de gravedad mas amplio que aquel que ha usado un correo gratuito (tipo hotmail). En primer lugar, el trabajador en el primer caso está usando mas infraestructura empresarial que en el segundo: la contratación de un dominio de Internet es algo que no es gratuito, por contra en el segundo caso si lo es. En segundo lugar, el nombre de la empresa aparece en el primer caso, no así en el segundo. La consecuencia es clara: el trabajador puede incluso contratar productos con cargo a la empresa con fines ilegales o al menos no apropiados. Otro elemento mas a ponderar para determinar la gravedad de los hechos.

-Estructura de red corporativa

Las estructuras de redes empresariales suelen ser bastante complejas, según el siguiente esquema:

Los ordenadores “clientes” se conectan mediante la red entre ellos, y obtienen las aplicaciones necesarias de servidores de ficheros, se conectan a Internet mediante un router, usan servicios web mediante el servidor y se protegen con diversos firewalls. Pero todo esto está controlado desde la posición del administrador, que es una persona con unos privilegios exclusivos para el mantenimiento de toda la red. La consecuencia es que un ordenador cliente envía el correo electrónico desde su máquina y pasa al servidor, para enlazar, mediante el router, con la red de redes. El administrador es consciente, o puede ser consciente, del contenido del correo en cualquier momento: da igual que el correo no se haya mandado, o que se encuentre en el servidor. Y es la persona que tiene mas facilidades -además de formación técnica- para que esto se produzca. Además, los correos mandados siempre dejan rastros, en forma de archivos “logs” que se pueden encontrar en los ordenadores clientes y en el servidor. La intimidad aquí también puede verse empañada, y ahora no estamos hablando del empresario, si no de los exorbitantes poderes que puede tener esta figura, a la que no se le ha dado la suficiente importancia. No he encontrado referencias jurisprudenciales que aborden esta problemática. En mi opinión, puede no haber vulneración si el administrador hace un trabajo equitativo y los datos a los que accede son estrictamente necesarios para la consecución de su trabajo.

-Cifrado

La función inmediata del cifrado es el suministro del servicio de confidencialidad sea de los datos o del flujo de tráfico, pero además es una pieza fundamental para el logro de otros varios servicios. Este mecanismo supone procedimientos y técnicas de gestión de claves, capaces de generarlas y distribuirlas de manera segura a lo largo de la red.

Resulta curioso comprobar como toda la problemática que se plantea podría verse reducida a la nada si el trabajador en cuestión usara herramientas de encriptación (cifrado) para que resultara imposible la lectura de los correos electrónicos que el envía. Con los algoritmos que se usan hoy en día (hasta 512 bits), resultaría virtualmente imposible acceder a un determinado tipo de información con el simple uso de un software, como PGP (http://www.pgp.com).

Básicamente hablando, PGP funciona como un algoritmo del tipo de clave pública o asimétrica. En un sistema de clave pública, cada usuario crea una privada y otra pública. Se puede cifrar un mensaje con la pública y descifrarlo con la privada (no se puede cifrar y descifrar con la misma clave). El usuario difunde la pública, poniéndola a disposición de cualquiera que quiera enviarle un mensaje. Una vez que el mensaje ha sido recibido por el usuario, éste podrá descifrarlo con su clave privada. Es evidente que la privada debe ser mantenida en secreto por el propietario.

El esquema se puede considerar como si fuese un buzón con dos llaves, una para abrir y otra para cerrar. Cualquiera puede introducir un mensaje en el buzón y cerrarlo, pero solamente el propietario podrá abrirlo. Una gran ventaja de éste esquema criptográfico es que, al contrario que los sistemas tradicionales donde la clave de cifrado y descifrado coinciden, no es necesario encontrar un procedimiento seguro para enviarla al recipiente del mensaje.

También permite la opción de “firmar” un mensaje con una firma digital que nadie, ni siquiera el receptor, puede falsificar. Esto resulta especialmente útil, aunque no se cifre el mensaje en sí, porque actúa como certificación de autenticidad, ya que permite comprobar si el mensaje ha sido alterado durante la transmisión. También permite al receptor confirmar que el mensaje ha sido enviado realmente por el remitente (resulta demasiado fácil trucar los encabezamientos de los mensajes de correo electrónico).

PGP es un software gratuito, y la obtención de claves para su uso también. Significa eso que cualquiera tiene acceso a el, y significa también que la “inviolabilidad de hecho” para los mensajes de correo electrónico de los trabajadores es muy fácil de conseguir. La falta de información sobre el correcto funcionamiento del correo electrónico provoca el poco uso de este y otros programas parecidos. En la actualidad, no hay ningún pronunciamiento sobre la legalidad o no del uso por parte de un trabajador de mecanismos de cifrado en sus mensajes de correo electrónico.

-Firma electrónica y certificados digitales

Este mecanismo comprende dos procesos: primero la firma del mensaje y segundo la verificación de la misma. La primera se consigue a partir del propio mensaje, o una transformación precisa del mismo, a firmar, de modo que si éste cambia también lo hace la firma, y de una información privada sólo conocida por el signatario.

El segundo proceso se consigue aplicando a la firma a comprobar una información pública, que aunque es una función matemática de la citada información privada es computacionalmente imposible de obtener de ésta última. Finalmente, el resultado de este proceso se coteja con el mensaje, o la transformación citada del mismo.

Pero para proporcionar plena seguridad jurídica a este mecanismo se precisa hacer intervenir en la comunicación una tercera parte confiable entre los sistemas terminales, la cual garantiza que las claves usadas en la firma digital son efectivamente de aquel que se dice su propietario. Este tercero de confianza se denomina “Autoridad de certificación”

El uso de la firma electrónica, conjuntamente con certificados digitales expedidos por autoridades de certificación competentes, consiguen un alto grado de autentificación en los mensajes de correo electrónico. Recordemos que “La firma electrónica avanzada, siempre que esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y los documentos que la incorporen serán admisibles como prueba en juicio, valorándose éstos, según los criterios de apreciación establecidos en las normas procesales”

En el seno de una empresa, puede estar asentado perfectamente el uso de esta tecnología. Sin embargo, en el ámbito que nos interesa ahora mismo, debemos contemplarlo como un elemento de prueba a la hora de identificar al emisor de mensajes. Los programas-cliente de correo actuales, o las cuentas web-mail ya proporcionan suficiente información al respecto para averiguar el destino, uso, fecha, y muchos mas detalles como para razonar el debido o indebido uso de una persona de los medios informáticos de una empresa, sin la necesidad de usar mecanismos como el que estamos contemplando ahora mismo. Aunque por supuesto, ello provocaría un refuerzo cuasi inapelable sobre la autoría del envío de los e-mails. De nuevo, no tenemos constancia de pronunciamientos en sentencias sobre el caso planteado, y es que, a pesar de su gratuidad, se trata de técnicas bastante desconocidas para un usuario medio de la red de redes.

-Soluciones que vulneran la intimidad

Paralelamente a las aplicaciones que protegen la intimidad de un usuario, la parcela contraria contiene programas que la vulneran. Programas como “spector” por ejemplo, generan automáticamente decenas de “snapshots” (imágenes) del pc del empleado para “vislumbrar” cómo trabaja. Por supuesto, permite la lectura de los correos desde la empresa, pero no sólo éso: prácticamente cualquier cosa queda al descubierto. Ideal para “jefes sin escrúpulos”. Resulta curioso comprobar como la licencia de uso de éste software queda constreñida a que el adquiriente avise a todas las personas que van a ser “observadas” mientras trabajan. Estamos ante el número 1 en ventas en Estados Unidos, país donde derechos como la intimidad están, francamente, por los suelos.

Y es que son las empresas norteamericanas las que más a menudo recurren a este tipo de soluciones informáticas para asegurar el correcto uso de los medios que ponen a disposición de sus empleados.

Hasta un 55% de las mismas , según los últimos estudios, tienen instalados sistemas de rastreo del correo electrónico, capaces de interceptar y eliminar mensajes que contengan determinadas palabras o expresiones “prohibidas “; marcas competidoras, nombres de directivos de otras compañías, términos escatológicos, sexistas u obscenos, etc.

Las empresas son conscientes de que la utilización del e-mail y de Internet, trae consigo grandes beneficios, que repercuten en un aumento de la productividad, pero que utilizados de forma descontrolada o indebida producen un efecto contrario, no deseado.

Una vez más se manifiesta el choque entre los intereses de las empresas y el derecho a la intimidad en sus comunicaciones de los empleados a su cargo.

De igual forma, hay que señalar que en una red privada -configuración usual en el seno de una empresa de tamaño medio- la privacidad también se ve atenuada por la propia estructura de la red. En ella, la figura del administrador de la red, puede poseer facultades exorbitantes e incluso desconocidas para los trabajadores. Entre ellas, puede estar el acceso a los cuerpos de los mensajes del correo electrónico, si no están protegidos con contraseñas o por cualquier otro mecanismo.

PROTECCION DE DATOS

Con relación a la normativa de protección de datos (tanto la ley como el reglamento de seguridad), el correo electrónico puede plantear una gran cantidad de cuestiones diversas. El empresario es susceptible de realizar ficheros que contengan la dirección electrónica de sus trabajadores, puede venderlos o cederlos. Una empresa recibe una gran cantidad de correos electrónicos con currículums solicitando establecer una relación de trabajo con el empresario. ¿Qué ocurre en este caso?

Precisamente, una de las consultas mas interesantes que se realizó a la Agencia de Protección de datos se refería a si la venta o cesión de un fichero que contenía direcciones de correo electrónico debía ser considerada cesión de datos a los efectos de la ley, lo que exigía analizar si dichas direcciones tenían la consideración de datos de carácter personal.

Apreció la Agencia que la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la de otra persona. Esta combinación puede tener significado en sí misma o carecer de él pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta al titular.

Por lo anterior, la Agencia analizó distintos supuestos atendiendo al grado de identificación de la dirección del correo con el titular de la cuenta de dicho correo. Si la dirección contiene información acerca de su titular, pudiendo esta información referirse a su nombre, apellidos, empresa…aparezcan o no estos extremos en la denominación utilizada, la dirección identifica al titular por lo que debe considerarse dato de carácter personal. Si la dirección no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una dirección abstracta o a una simple combinación alfanumérica sin significado alguno), en principio, no sería un dato de carácter personal. Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto de tal forma que podrá procederse a la identificación de su titular mediante la consulta del servidor en que se gestione dicho dominio sin necesidad de un esfuerzo desproporcionado por parte de quien lleve a cabo dicha identificación. Concluye la Agencia que también en este caso la dirección se encuentra amparada en el régimen de la ley. Se concluye que la cesión de un listado de direcciones está sujeta al artículo 11 en materia de cesiones, sin que la mera publicación en Internet de un directorio de correo electrónico puede ser considerada como circunstancia que convierte los datos en accesibles al público toda vez que dicha inclusión supone un tratamiento que deba haber sido efectuado recabando el consentimiento de los afectados.

La conclusión final es que se considera a todos los efectos una dirección de correo electrónico como “dato” dentro de la L.O.P.D., lo que implica que, si existe un fichero que contengan dichos datos, el empresario está obligado a realizar muchas tareas: debe darlo de alta, debe establecer las medidas de seguridad oportunas según el reglamento de medidas de seguridad, a la vez que respetar los principios de la ley.

Contenido del derecho al honor, intimidad y propia imagen

Nuestra Carta Magna habla de tres derechos distintos. Vamos a intentar ahondar en ellos, a través de la doctrina mas autorizada al efecto: la del Tribunal Constitucional.

En la sentencia 231/1988, caso Paquirri, se afirma que “Los derechos a la imagen y a la intimidad personal y familiar reconocidos en el art. 18 de la C.E. aparecen como derechos fundamentales estrictamente vinculados a la propia personalidad, derivados sin duda de la “dignidad de la persona”, que reconoce el art. 10 de la C.E., y que implican la existencia de un ámbito propio y reservado frente a la acción y conocimiento de los demás, necesario -según las pautas de nuestra cultura- para mantener una calidad mínima de la vida humana. Se muestran así esos derechos como personalísimos y ligados a la misma existencia del individuo.”

La Constitución Española garantiza en su Título I éste derecho junto a los de intimidad personal y familiar hacia todos los ciudadanos sin excepción.

El honor es aquel derecho que tiene toda persona a su buena imagen, nombre y reputación, de tal forma que todos tenemos derecho a que se nos respete, dentro de nuestra esfera personal cualquiera que sea nuestra trayectoria vital, siendo un derecho único e irrenunciable propio de todo ser humano.

Sobre el contenido al derecho a la intimidad, en cuanto derivación de la dignidad de la persona, implica “la existencia de un ámbito propio y reservado frente a la acción y el conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana “. Además, el derecho a la intimidad no es absoluto, “como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho “.

La intimidad es la esfera personal de cada uno, en donde residen los valores humanos y personales, siendo un derecho fundamental para el desarrollo de la persona y de la familia además de ser un ámbito reservado a la curiosidad de los demás contra intromisiones e indiscreciones ajenas. La intimidad se ha protegido siempre de forma limitada. Por ejemplo, la violación de la intimidad domiciliaria, se centrará en aquellos casos en los que se produzcan registros no permitidos y vejaciones injustas ocasionados por los mismos. No sólo se centrará dentro de este ámbito sino que además también afecta a otros campos como son las violaciones de la correspondencia y comunicaciones personales, intimidad laboral, obtención de datos relativos a la intimidad personal, familiar, o de terceros pertenecientes a la esfera de la familia. De tal forma que la intimidad es aquella esfera personal y privada que contienen comportamientos, acciones y expresiones que el sujeto desea que no lleguen al conocimiento público. Todo lo expuesto anteriormente requiere una protección jurídica con el fin de que se respete la vida privada y familiar garantizando a la persona esa esfera o zona reservada en donde transcurren las circunstancias de la vida personal, nacimiento de hijos, embarazos, enfermedades, desengaños amorosos, aspectos profesionales, en definitiva, cosas que ocurren en la vida de toda persona. En el caso de los personajes públicos, esta intimidad debe de estar mayormente protegida, al estar dentro del panorama de personajes conocidos mas o menos por el resto de la sociedad, porque comentarios o noticias realizadas de forma injuriosa pueden gravemente perjudicar su imagen pública creando una imagen irreal y distorsionada de la realidad reflejada desde un punto de vista subjetivo. Puede ocurrir que lo publicado sea totalmente verídico pero no por ello se puede permitir la intromisión de cualquier persona pues violaría la intimidad que todo ser humano tiene y necesita que respeten los demás.

Por último, el derecho a la propia imagen, consagrado en el art. 18.1 CE junto con los derechos a la intimidad personal y familiar y al honor, contribuye a preservar la dignidad de la persona (art. 10.1 CE), salvaguardando una esfera de propia reserva personal, frente a intromisiones ilegítimas provenientes de terceros. Sólo adquiere así su pleno sentido cuando se le enmarca en la salvaguardia de “un ámbito propio y reservado frente a la acción y conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana “. Y en esta línea, la Ley Orgánica 1/1982 (art. 2 en conexión con el 7, aps. 5 y 6, y art. 8.2) estructura los límites del derecho a la propia imagen en torno a dos ejes: la esfera reservada que la propia persona haya salvaguardado para sí y su familia conforme a los usos sociales; y, de otra parte, la relevancia o el interés público de la persona cuya imagen se reproduce o de los hechos en que ésta participa, como protagonista o como elemento accesorio, siendo ésta una excepción a la regla general citada en primer lugar, que hace correr paralelo el derecho a la propia imagen con la esfera privada guardada para sí por su titular.

El secreto de las comunicaciones

Los pronunciamientos judiciales que veremos mas adelante equiparan el correo electrónico a una especie de “taquilla virtual”, a la que, cumpliéndose ciertas garantías, se puede acceder. Sin embargo, parece que últimamente se va a empezar a asimilar éste a la de un sobre cerrado o carta, con todo lo que ello conlleva. Así, en un caso de narcotráfico (con pronunciamiento de 7 de Abril del 2002), el Tribunal pidió una reforma legislativa. Se reclamó que la legislación se adapte para incorporar los avances de las nuevas tecnologías y que se amplíe el concepto jurídico de “carta” con el fin de proteger el derecho al secreto de las comunicaciones. Así “los avances tecnológicos que en los últimos tiempos se han producido en el ámbito de las telecomunicaciones, especialmente en conexión con el uso de la informática, hacen necesario un nuevo entendimiento del concepto de comunicación y del objeto de protección del derecho fundamental, que extienda la protección a esos nuevos ámbitos”. Esto va a provocar un vuelco total en la concepción que tenemos de “secreto del correo electrónico”, ya que sólo mediante las garantías judiciales que hoy en día se aplican a las escuchas telefónicas -por poner un ejemplo- se podrá saber el contenido de un e-mail. Pero meses antes, en Octubre del 2001, ya había tenido ocasión de pronunciarse el Tribunal Supremo francés: “Un empresario no puede tener conocimiento de los mensajes personales enviados por un trabajador y recibidos por éste a través de un útil informático puesto a su disposición para su trabajo” sin violar el secreto de correspondencia, aunque el patrón “haya prohibido la utilización no profesional del ordenador”.

En esta sentencia se refiere al caso que enfrenta a la empresa Nikon France con uno de sus antiguos trabajadores, despedido en Junio de 1995 por una falta grave por pasar gran parte de su tiempo laboral realizando asuntos propios y utilizando para ello los métodos informáticos puestos a su disposición sólo para fines laborales.
Nikon presentó, como prueba, los múltiples ficheros que aparecían en el dossier “Personal” que este ingeniero había abierto en su ordenador.
El caso llegó hasta el Supremo, después de que en Marzo de 1999 el Tribunal de Apelaciones de París confirmara el despido del trabajador. Ya digo que estos dos primeros pronunciamientos altos tribunales europeos cambiarán, y de hecho ya lo están haciendo, la doctrina sobre el secreto del correo electrónico en el trabajo. En las próximas líneas, hago un repaso sobre lo que implica el secreto de las comunicaciones.

La Constitución, al reconocer y proteger el secreto de las comunicaciones está consagrando implícitamente la libertad de las mismas. Libertad que se erige así como bien constitucional protegido y que se ve conculcada tanto por la interceptación del mensaje, en sentido estricto, como por el simple conocimiento antijurídico del mismo, y cuya protección no se limita sólo al contenido de la comunicación.
La norma constitucional se dirige a garantizar la impermeabilidad de la comunicación frente a terceros ajenos a la misma, sea cual sea su contenido. El concepto de secreto que maneja el texto constitucional es, pues, formal. Se presume que el contenido de la comunicación es secreto para todos aquellos que no participan en la misma. No ocurre así con los interlocutores a quienes no se extiende la imposición absoluta e indiferenciada del secreto. A aquellos cabe exigir un deber de reserva.

En definitiva, cuando alguien graba una conversación ajena vulnera el derecho. Si lo hace uno de los comunicantes no vulnera, por esta sola conducta, el citado precepto. En este orden de cosas, la única intervención legítima de las comunicaciones ha de ser autorizada por resolución judicial. Resolución que, en todo caso, ha de ser específica y razonada y que, en cuanto supone una injerencia sustancial en el ámbito de la esfera personal, ha de otorgarse conforme al principio de legalidad y al principio de proporcionalidad. Bien, esto hoy en día no se hace y no se aplica al envío de correos electrónicos por parte de un trabajador. La doctrina ha ido construyendo una serie de garantías -que examinaremos más adelante- para acceder al contenido de estos correos, sin una resolución judicial. Se han ido matizando los derechos al entrar en contacto con otros, para que el empresario pueda acceder a esos correos, y toda la jurisprudencia que mas adelante tocaremos así lo corrobora. En un ámbito laboral, tus comunicaciones pueden ser perfectamente violadas sin antes haber acudido a un juez a que te permita dicho acceso. Además, como veremos a continuación, tenemos un delito perfectamente tipificado en el Código Penal que no tiene aplicación en el trabajo, al menos hasta el momento. La pregunta que cabe hacerse es: ¿está justificado que, con la excusa del ámbito laboral, el empresario, aún con las garantías que se construyan, pueda acceder al contenido sustantivo de un correo electrónico? Y por supuesto, la otra: ¿Puede un trabajador, amparado en el “secreto de las comunicaciones” y en el delito tipificado en el Código Penal mandar cuantos correos quiera ya que le protege este derecho fundamental? Obviamente, tendremos que proceder a hallar un punto intermedio. Eso quedará examinado al final. Pasamos ahora a seguir desglosando la doctrina mas autorizada sobre el “secreto de las comunicaciones”.

El Titulo X del Libro II, bajo la rúbrica “Delitos contra la intimidad”, el derecho a la propia imagen y la inviolabilidad del domicilio trata en el primer capitulo, arts. 197 a 201, “Del descubrimiento y revelación de secretos”, y en el segundo, arts. 202 a 204, “Del allanamiento de morada, domicilio de personas jurídicas y establecimientos abiertos al publico”.

Por secreto podemos entender todo lo que una persona o grupo reducido cuidadosamente tiene reservado y oculto, en tanto la intimidad, como señala Bajo, y en el mismo sentido Jorge Barreiro, es el “ámbito personal donde cada uno, preservado del mundo exterior, encuentra las posibilidades de desarrollo y fomento de su personalidad”, estando considerada como derecho fundamental en el articulo 18.1 de la Constitución. En relación con tal intimidad, los secretos protegidos son los de tipo personal, salvo el supuesto del art. 200, excluyéndose los secretos de empresa, a que se refieren los arts. 278 a 280. En el apartado 1 del art. 197, en que se refunden, con modernizado contenido, los arts. 497 y 497 bis del Código anterior, se describe el tipo básico, en que es castigado, con penas de prisión y multa, “El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, mensajes de correo electrónico..etc, etc”.

El derecho del empresario: la libertad de empresa del artículo 38 de la Constitución Española.

El principio de la libre empresa reflejado en el 38 de la Constitución es fundamental, ya que a éste principio le es connatural el principio de la libre competencia. La libertad de empresa es uno de los principios neocapitalistas. Conjuntamente existen otros: derecho a la libre elección de profesión, derecho de la propiedad privada y medios de producción y derecho de fundación y asociación para la realización y explotación de actividades económicas.

El principio de la libertad de empresa supone una doble vertiente:

1. Los empresarios son libres de crear y dirigir las condiciones de desarrollo de su actividad pudiendo utilizar todos los medios oportunos para afirmarse en el mercado: libertad de adquirir factores de producción, etc. Pero con un límite impuesto que se sobrepasa si el ejercicio de este derecho supusiere una infracción en el fin social. Esto también tiene su aspecto negativo, pues haciendo uso de su libertad el empresario puede ocasionar un daño a un competidor.

2. Los poderes públicos deben garantizar que es el mercado el que regula la ley de oferta y demanda, quien mediante la fuerza de las dos magnitudes regula y fija los precios y otras condiciones de los bienes y servicios. Una vez más se impone un límite, que será el respeto a lo establecido en la Constitución.

Límites de la libertad de empresa.

1. Reserva al sector público: el Estado, por ley, puede reservarse determinadas materias siempre que sean esenciales e indemnizando del perjuicio que ocasione esta reserva por parte del Estado. Se podrá hacer cuando se cumpla un fin social de interés general. Por ejemplo Telefónica.

2. Expropiación: el Estado puede privar a los empresarios de la titularidad de sus empresas con el requisito de que se indemnice a los propietarios y siempre que así lo exija el interés social general .

3. Intervención de empresas: parecido a la expropiación. No se produce modificación ni pérdida de la titularidad por parte del empresario, sino que el Estado pasa a tener poder de control sobre el órgano de decisión de la empresa, que se encuentra en una situación crítica, para poder reflotarla. Por ejemplo Banesto.

El despido por uso de correo electrónico e Internet

Podemos hablar de dos motivos por los que se podría legitimar el despido por uso del correo electrónico e Internet: la trasgresión de la buena fe y el abuso de confianza, además de la indisciplina y desobediencia. Ambos extremos están recogidos en los artículos 54.2 d) y b) del Estatuto de los Trabajadores, respectivamente. Existen seis causas pero son esas dos las que se acercan mas a los supuestos de esta monografía. El resultado es que el empresario puede acogerse a cualquiera de las dos.

Así, si el empresario ha emitido órdenes por medio de comunicaciones hacia los trabajadores, advirtiéndoles que los equipos informáticos sólo pueden ser utilizados para trabajar y no para uso particular y estos desobedecieran, estarían incurriendo en causa de despido.

Vamos a tratar la extraordinariamente amplia jurisprudencia que hay sobre el tema, no sobre el correo electrónico en sí, pero si en cuanto a cuestiones conexas. Intentaremos establecer, al mismo tiempo, paralelismos sobre otras casos para luego extrapolarlos al tema que estamos estudiando. Adelantamos algo a continuación:

Por ejemplo, es motivo de indisciplina que el trabajador se negare al registro y por ello podría ser causa de despido procedente, según la sentencia del Tribunal Supremo de 28 de Junio de 1990

También por motivo de indisciplina es considerado el despido procedente de un trabajador que usó el correo electrónico, a pesar de que habían sido todos advertidos por la empresa que no estaba autorizado el uso para motivos ajenos a la empresa. El Tribunal dice que tal advertencia era innecesaria porque el trabajador debe cumplir sus obligaciones de acuerdo con la buena fe, lo que excluye actividades ajenas al puesto de trabajo. Esta sentencia del Tribunal superior de Justicia de Cataluña de 5 de Julio de 2000 la examinaremos más adelante a propósito del correo electrónico.

Los “logs” de acceso del ordenador pueden servir de prueba para esclarecer los hechos enjuiciados. Ello es deducible del pronunciamiento de el Tribunal Superior de Justicia de Madrid, en sentencia de 16 de Octubre de 1998 . Como prueba documental es perfectamente esgrimible: fue el caso por el que un trabajador usó internet en horas de trabajo para asuntos “poco procedentes” con su trabajo, como compras de material pornográfico.

En muchas ocasiones, el hecho de que un trabajador de una determinada empresa tenga como misión específica el “rastreo” de la red para búsqueda -como dice el pronunciamiento al que ahora nos referimos- de nuevos “productos y tendencias”, no cambia lo anteriormente estipulado. En Sentencia del Tribunal Superior de Justicia de Cataluña, de fecha 29 de Enero de 2001 , se declara despido procedente a la afectada una trabajadora que tenía encomendada dicha misión. La trabajadora accedía a páginas de ocio.

Además, si ya no sólo el trabajador se dedica a navegar sino que pasa a tener una conducta mas o menos activa en la red, pasamos ya a un nivel superior: el abuso de la confianza. En sentido parecido se pronunció la sentencia del Tribunal Superior de Justicia de Murcia de 15 de Junio de 1999 en que un trabajador utilizó los servicios informáticos de la Empresa para cuestiones particulares e incluso poniendo en Internet una dirección de correo que correspondía al ordenador de la oficina comercial de la empresa.

Podríamos hacer un paralelismo sobre el uso particular y abusivo del teléfono fijo y el móvil, que podríamos denominar similar, pues se utiliza aprovechando medios de la empresa y durante el tiempo de trabajo, para asuntos particulares.

Por ello la similitud de la escena hace que puedan ser aplicables al caso de navegación por la red. Veamos algunas sentencias al efecto:

Sentencias como: Tribunal Superior de Justicia de Galicia de 26 de Septiembre de 2000 o la del Tribunal Superior de Justicia de Cataluña de 11 de Marzo de 1999 . En la primera, se califica de procedente el despido del trabajador que en 22 días hizo 48 llamadas particulares a otra empresa, de la que era administrador y que era competidora de la actual, por trasgresión de la buena fe contractual y abuso de confianza. En la segunda, se califica de procedente el despido del trabajador que había hecho 388 llamadas en 10 meses y había sido advertido por escrito, y además la empresa comunicó a los trabajadores la política de reducción de costes, entre ellos el teléfono, y transcurrido un tiempo reincide en el uso abusivo del mismo
Hemos examinado jurisprudencia del uso abusivo de Internet y de las llamadas telefónicas. Examinemos ahora el caso concreto del correo electrónico.

Se pronunció el Tribunal Superior de Justicia de Cataluña en sentencia de 5 de Julio de 2000 en el que en un caso dos trabajadores fueron despedidos por enviar correos electrónicos, durante un mes y medio, a dos compañeras. Dichos correos eran claramente obscenos, y en esta empresa se había comunicado a los trabajadores que no estaba autorizado el uso de los medios informáticos para asuntos ajenos a la empresa. Es decir, había ese aviso previo que antes he señalado, en el sentido de que refuerza la culpabilidad del trabajador. Aunque claro está, esto no es concluyente. Precísamente en esta sentencia, el Tribunal considera innecesario la advertencia de la empresa de no poder usar particularmente el sistema informático, pues de acuerdo con el art. 5 a) ET, obliga a los trabajadores a cumplir con sus obligaciones, entre los que está excluida la realización de actividades ajenas al puesto de trabajo en el horario laboral. La sentencia no considera acoso sexual, ni comportamiento obsceno y depreciativo tales correos, pero sí son motivo de transgresión de la buena fe y abuso de confianza, por realizar actividades ajenas en el puesto de trabajo y por desobedecer las órdenes de la empresa de no usar los medios informáticos para uso particular. Por tales motivos los despidos son procedentes.

Pero ha sido la sentencia del Tribunal Superior de Justicia de Cataluña de 14 de Noviembre de 2000 la que salió por primera vez a los medios de comunicación. La examinaremos con detenimiento.

En éste supuesto el despedido, afiliado a sindicato, con 30 años de antigüedad, envió 140 correos electrónicos a 298 destinatarios, en un mes y medio, mediante los ordenadores de la empresa, con mensajes humorísticos, sexistas e incluso obscenos, con coste económico escaso de tales envíos. Los fundamentos principales de este pronunciamiento son los siguientes: “…dichos mensajes, ajenos a la prestación de servicios (de naturaleza obscena, sexista y humorística), se remitieron en horario laboral; cuando es así que la empresa demandada sólo permite utilizar el referido sistema de comunicación por motivos de trabajo. Concurre así un acreditado incumplimiento laboral del trabajador sancionado, que tanto por su contenido como por su reiteración en el tiempo, resulta expresivo de una entidad disciplinaria suficiente como para revestir de razonabilidad a la reacción empresarial; no pudiendo, por ello enmarcarse su decisión en motivaciones ajenas a las propias que disciplinan la relación de trabajo. Nuestra doctrina jurisprudencial ha venido señalando [en aplicación del art. 54.2 d) ET] cómo esta causa de despido comprende, dentro de la rúbrica general de transgresión de la buena fe contractual, todas las violaciones de los deberes de conducta y cumplimiento de la buena fe que el contrato de trabajo impone al trabajador (STS 27 Octubre 1982), lo que abarca todo el sistema de derechos y obligaciones que disciplina la conducta del hombre en sus relaciones jurídicas con los demás y supone, en definitiva, obrar de acuerdo con las reglas naturales y de rectitud conforme a los criterios morales y sociales imperantes en cada momento histórico (STS 8 Mayo 1984); debiendo estarse para la valoración de la conducta que la empresa considera contraria a este deber, a la entidad del cargo de la persona que cometió la falta y sus circunstancias personales (STS 20 Octubre 1983); pero sin que se requiera para justificar el despido que el trabajador haya conseguido un lucro personal, ni ser exigible que tenga una determinada entidad el perjuicio sufrido por el empleador, pues simplemente basta que el operario, con intención dolosa o culpable y plena consciencia, quebrante de forma grave y relevante los deberes de fidelidad implícitos en toda prestación de servicios, que debe observar con celo y probidad para no defraudar los intereses de la empresa y la confianza en él depositada (STS 16 Mayo 1985). En el presente supuesto, la naturaleza y características del ilícito proceder descrito suponen una clara infracción del deber de lealtad laboral que justifica la decisión empresarial de extinguir el contrato de trabajo con base en el citado art. 54.2 d), al haber utilizado el trabajador los medios informáticos con que cuenta la empresa, en gran número de ocasiones, para fines ajenos a los laborales (contraviniendo así con independencia de su concreto coste económico temporal un deber básico que, además de inherente a las reglas de buena fe y diligencia que han de presidir las relaciones de trabajo ex art. 5 a), parece explicitado en el hecho 11) y comprometiendo la actividad laboral de otros productores. Como señala la STSJ de Murcia 15 Junio 1999 (…) por razones elementales de orden lógico y de buena fe, un trabajador no puede introducir datos ajenos a la empresa en un ordenador de la misma, sin expresa autorización de ésta, pues todos los instrumentos están puestos a su exclusivo servicio…”.

El Correo electrónico para usos sindicales

¿Qué ocurre cuando se usa el correo electrónico sin tanta desproporción? ¿Y qué ocurre cuando se usa para asuntos sindicales? El pronunciamiento de la Audiencia Nacional de 6 de Febrero de 2001 intenta aclarar el supuesto. Se había notificado a los trabajadores que el uso particular del correo electrónico era “inapropiado y podría configurar falta laboral”. Y advertía del uso masivo de correos que podía ser sancionable. Pero también por la empresa se estimulaba el uso del correo electrónico, para evitar las cartas y el teléfono, con lo que tenemos un elemento que de alguna forma puede contrarrestar la mala fe de los empleados. Finalmente, la sentencia reconoce a los trabajadores su derecho a transmitir noticias de interés sindical para sus afiliados, pero siempre dentro de los cauces de la normalidad. Precisamente porque el uso de internet, entre otros factores, está plenamente extendido en la empresa, y porque supone prácticamente un “coste cero” para el empresario.

Sin embargo, cuando la mala fe en el uso del correo sindical está acreditada, las cosas se vuelven distintas. Para muestra, la sentencia del Juzgado de lo Social nº 25 de Madrid en sentencia de 13 de Octubre de 2000 : “…la evolución tecnológica permite el empleo de medios más sofisticados, rápidos, útiles y directos, que el tradicional tablón o la no menos habitual hoja informativa expuesta en el mismo y/o entregada en mano, de tal manera que en aras a satisfacer ese derecho, no pueden existir impedimentos legales para utilizar otros medios que busquen esa misma finalidad y con las características ya expuestas, aunque, lógicamente, su empleo deba adaptarse a sus particularidades y condiciones, en este caso el correo electrónico. Sin ánimo de ser exhaustivo entendemos que ese uso ha de tener en cuenta los siguientes parámetros:

1. Deben tener acceso los mismos que normalmente ejercitan tal derecho en los tablones de anuncios, es decir los representantes unitarios, sindicales y grupos de trabajadores que tengan cierta cohesión. Por tanto, no puede estar limitado su ejercicio al Presidente de la representación unitaria, como alega la empresa.

2. Respecto a la libertad de expresión y a su vez a las limitaciones que tiene ese derecho en el ámbito laboral.

3. Tampoco, en principio, pueden establecerse restricciones en orden a su difusión, ya sea geográfica, ya de otro tipo, con la excusa de su falta de interés para ciertos trabajadores, pues como toda información, es el destinatario el que voluntariamente ha de discriminarla. Sin embargo, no se debe sobrepasar el marco de lo que es la empresa, pues, también en principio, esa información es ajena a terceros, problemas que no se pueden dar en la empresa hoy demandada al ser interno su correo electrónico.

4. Las comunicaciones deben salvaguardar el sigilo profesional que establece el art. 65.2 ET.

5. En aquellos supuestos en los que su utilización deba compatibilizarse con lo que es la actividad empresarial propiamente dicha, como es el supuesto que nos ocupa, debe subordinarse a la misma, en situaciones especialmente conflictiva y en las que estén en juego derechos fundamentales, como por ejemplo el de huelga, aunque han de evitarse interpretaciones abusivas sobre tal subordinación y que en la práctica impidan su ejercicio.

Se ha de rechazar que la utilización sindical del correo electrónico deba configurarse como responsabilidad privativa del que nominativamente lo insta, y más si se tiene en cuenta que el origen de todo lo actuado es una decisión de la Sección Sindical de CC.OO., que además tiene importante representación en el Comité de Empresa de esta Comunidad, siendo, por tanto, el demandante mero ejecutor de lo allí previamente acordado. En ese mismo sentido, se ha de recordar todo lo expuesto en el anterior fundamento de derecho, sobre la posibilidad que han de tener los representantes unitarios y/o sindicales para utilizar ciertos medios que sirven para informar a sus representados, por lo que se rechaza cualquier utilización patrimonial y particular de este sistema electrónico de comunicación.

No obstante lo anterior, ello no es óbice para que se reconozca que, con todas las atenuantes que se quiera, la actuación del actor es ilícita desde el punto de vista laboral, ya que una vez que solicita permiso para utilizar el correo electrónico y mientras no le sea dado, lo lógico sería esperar a una contestación definitiva, o extender su reivindicación a niveles más altos, y, en último caso, utilizar los medios legales que a su alcance tiene, aunque en este último supuesto tampoco se ha de olvidar que existe cierta premura a la hora de informar de algunos temas a los trabajadores. Pero, con todo, lo que no tiene justificación es que engañe a dos subencargados para conseguir ésta finalidad, aunque en principio sea lícita y esto es lo que aquí exclusivamente se debe sancionar.

En consecuencia y utilizando el cauce disciplinario que la propia empresa enuncia, se ha de considerar que su actuación no puede ir más allá de una falta leve, vistas las circunstancias reiteradamente invocadas, de tal manera que en consonancia al art. 68.1, la suspensión de empleo que se autoriza a imponerle no puede superar los tres días”.

09Jun/03

La firma electrónica: mayor seguridad en la red

Trabajos, ,

La firma electrónica: mayor seguridad en la red

Se proponen cambios en la regulación de la firma electrónica, para impulsar el comercio electrónico. La confianza y la seguridad de los usuarios es clave para conseguirlo. Pero, ¿sabe usted qué es exactamente y cómo funciona?

¿Qué es la firma electrónica?

La firma electrónica o digital es un conjunto de datos electrónicos que identifican a una persona en concreto. Suelen unirse al documento que se envía por medio telemático, como si de la firma tradicional y manuscrita se tratara, de esta forma el receptor del mensaje está seguro de quién ha sido el emisor, así como que el mensaje no ha sido alterado o modificado.

La firma electrónica puede utilizarse en el sector privado, para contratación privada por vía electrónica, entre empresa y consumidor (por ejemplo, la compra de un libro o un compacto por Internet) y entre empresas (por ejemplo, realizar un pedido a un distribuidor) o incluso entre los mismos consumidores finales (por ejemplo, venta de una raqueta de 2° mano, una colección de monedas etc).
También nos sirve para realizar actuaciones con y entre la Administración, es decir, sirve tanto para las relaciones entre los propios entes públicos que la forman como para las relaciones del ciudadano con la Administración (por ejemplo, algo tan simple como la renovación del D.N.I, la solicitud de prestaciones a la Seguridad Social o incluso la presentación de la declaración de la renta por Internet con el conocido programa “Padre”).

¿Cómo funciona la firma electrónica?

La firma electrónica funciona mediante la encriptación o cifrado de los datos que la componen, de forma que si no se tiene la clave, el documento se convierte en ilegible.
Para ello es necesario contar con un par de claves :clave privada y clave pública que se corresponden de forma matemática. Pongamos un ejemplo, escribimos un documento y lo firmamos con nuestra clave privada y lo enviamos a nuestro receptor al cual previamente le habremos otorgado nuestra clave pública, esta clave pública es la que permite verificar la procedencia del mensaje y que verdaderamente ha sido firmado por nosotros, que somos los únicos poseedores de la clave privada)

Con esta encriptación se consigue que :

  • La información enviada bajo la firma electrónica sólo pueda leerse por la persona autorizada que posea la clave.
  • Acreditar la identidad de quien firma el documento electrónicamente.

¿Cuántos tipos de firma electrónica existen?

En nuestra actual normativa existen dos tipos: la básica y la avanzada.

La firma electrónica básica contiene un conjunto de datos recogidos de forma electrónica que formalmente identifican al autor y se incorporan al propio documento, pero este sistema tiene algunos problemas. ¿cómo sabemos que los datos enviados hayan sido creados por la persona que lo firma o que verdaderamente lo ha firmado él y no una tercera persona haciéndose pasar por él?.

Para resolver este problema se crea la firma electrónica avanzada , a la que nuestro ordenamiento atribuye plena eficacia jurídica y valor probatorio en juicio. Permite la identificación del emisor del mensaje ya que está vinculada de manera única al que firma el documento y a los datos que incorpora, debido a que es el signatario quien únicamente posee el control exclusivo de estas claves, además de que permite saber si estos datos han sido modificados posteriormente o en su transcurso.

Sin duda son figuras todavía desconocidas y complicadas para el uso y entendimiento de la población , no sólo porque son tratadas desde un punto de vista excesivamente técnico, sino por la propia ambigüedad que produce la lectura de las definiciones que ofrece la regulación actual.

¿Quién autentifica las firmas electrónicas?

Las autoridades de certificación, que son personas o entidades que cumplen una serie de requisitos legales y que deben ser autorizados por el Ministerio de Justicia para otorgar certificados que acrediten que la persona o entidad que usa dicha firma es ciertamente quien dice ser.

Las principales autoridades de certificación que operan en España y que por consiguiente se hayan debidamente acreditadas son:

  1. Agencia de Certificación Electrónica (ACE), está homologada por Visa y Mastercard y ofrece certificados para Entidades y Corporaciones dentro de Comercio electrónico y de comunicaciones a través de Internet. (www.ace.es)
  2. Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE), se trata de entidad formada por registradores, notarios, abogados, la Universidad de Zaragoza e Intercomputer S.A y su principal actuación se dirige a la contratación privada. (www.feste.es)
  3. Certificación Española (CERES), es una entidad de certificación pública que lleva a cabo la Fábrica Nacional de Moneda y Timbre. Su campo de actuación es la garantía de seguridad, validez y eficacia de comunicaciones entre los órganos de la Administración Pública y entre las personas físicas y jurídicas que se relacionen con ella, sin olvidar servicios de Comunidades autónomas, Entidades Locales y de derecho público siendo necesario únicamente un convenio previo.(www.fnmt.es/faq.htm).

En España la prestación de estos servicios es libre, si bien existe un procedimiento voluntario, que es la acreditación, mediante la cual la Administración, realizando las evaluaciones técnicas de rigor , emite una resolución o documento oficial donde certifica que ese Prestador cumple con las normas de calidad y seguridad establecidas en cuanto a sus procedimientos y a los productos y tecnología que utiliza.

¿Qué necesitamos para emitir un documento con firma digital avanzada?

Primeramente necesitaremos una serie de requisitos técnicos en nuestro ordenador, como es un navegador del tipo Nestcape o Microsoft Internet Explorer 4.0 o superior, en segundo lugar contactar con una Autoridad de certificación de firmas, como por ejemplo la Agencia de Certificación Electrónica, Verisign, IPS, etc, estas entidades comprobarán su identidad y le facilitarán un juego de claves (pública o privada) además de que le expedirán un certificado.

Actual Regulación: R.D.Ley 14/1999, de 17 de Septiembre sobre firma electrónica.

España es un país pionero en lo que respecta a la regulación de la firma electrónica, de hecho el Real Decreto fue publicado antes que la Directiva europea de 13 de Diciembre de 1999 de armonización de la firma electrónica.

Se critica de este Real Decreto Ley , precisamente que sea un Decreto la norma que regule la firma electrónica y que fuera aprobado con carácter de urgencia, y no una ley aprobada de forma consensuada y debatida en el Parlamento.

Su contenido es demasiado técnico y de difícil comprensión por personas no especializadas en la materia, incluidos jueces y abogados cuando realizan una interpretación de los mismos, asimismo se centra demasiado en aspectos administrativos, dejando un vacío respecto al verdadero y cotidiano uso de la firma por particulares.

Además observamos una falta de concreción con respecto a los requisitos necesarios para la prestación de servicios de certificación y a la posición de preeminencia que se otorga a las Administraciones Públicas pareciendo impedir en muchos casos el acceso al mercado de operadores privados dejando en muchos casos en entre dicho la libertad de competencia. También sería deseable que hubiera una autoridad claramente definida con una competencias marcadas en la tramitación de los “servicios de la sociedad de la información”, como en el caso que nos ocupa la firma electrónica, ya que da la sensación de no saber dónde acudir.

Anteproyecto de Ley de firma electrónica

Se pretende dotar a la firma electrónica de una regulación legal, respecto a su forma y limar algunos de sus contenidos, algo que la propia evolución social y tecnológica clamaba desde hace tiempo.

La validez jurídica de la firma electrónica sigue teniendo la plena eficacia jurídica y probatoria.

Sin embargo podemos observar dos novedades importantes en este anteproyecto:

1º/ Creación del DNI electrónico, de este modo todos los ciudadanos podrán emitir firmas electrónicas certificadas por la Administración del Estado. Será muy útil en trámites administrativos, transacciones electrónicas y banca online.

2º/ Regulación de los certificados de personas jurídicas.
Las solicitarán los administradores, representantes legales y apoderados de la persona jurídica, es decir se requiere que haya una persona física con vinculación a la persona jurídica.

Será un gran paso para la seguridad jurídica entre empresas y como impulso del comercio electrónico.

Se pretende que cada vez más se extienda a la población en general y deje de ser un servicio prácticamente exclusivo de empresas y Administraciones Públicas.

Es deseable una distinción clara entre firma básica o simple y firma avanzada, en qué consisten , cuales son sus efectos y qué utilidades ofrecen para el usuario en función del destino que le vaya a dar.

Respecto a las entidades de certificación , es criticable la falta de transparencia hacia los ciudadanos de cual es su procedimiento.

Primeramente ante el desconocimiento de quién puede realizar estos servicios, qué requisitos deben cumplir, si están o no acreditados, en qué medida la acreditación influye en la prestación del servicio y las responsabilidades que conlleva etc, y en segundo lugar, la falta de información que existe sobre los servicios que se ofertan , los precios de los mismos, su utilidad real, y el procedimiento para llevarlos a cabo.
En la práctica nos encontramos con servicios dirigidos a un público demasiado especializado, que producen impotencia en el usuario ante la amalgama de términos empleados, también son frecuentes los enlaces a otras paginas, llevando al usuario a un desconcierto y la confusión.

01Sep/02

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Trabajos,

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Se trata de un requerimiento para los ficheros que contengan datos de nivel alto exclusivamente. Viene contenido en los artículo 23 y 26 del Reglamento:

“CAPÍTULO IV
Medidas de seguridad de nivel alto

Artículo 23. Distribución de soportes.

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

Artículo 26. Telecomunicaciones.

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. ”

En la práctica, lo que significa es que los ficheros informáticos que contengan datos de nivel alto han de estar permanentemente cifrados, y al transmitirse por las redes de telecomunicaciones (por ejemplo, mandando un correo electrónico a través de la red Internet), igualmente, habrán de cifrarse de manera que no se pueda acceder al contenido de éstos. El reglamento habla de cifrado o “cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros”.

No encontramos una definición de cifrado ni en la Ley ni en el Reglamento. Está claro que es un mecanismo que va unido a la disponibilidad del dato a cifrar: se quiere que solo esté disponible para aquel que conozca la forma de descifrarlo. Se trata de un término muy unido a la Criptografía: técnica de transformar un mensaje inteligible, denominado texto en claro, en otro que sólo puedan entender las personas autorizadas a ello, que llamaremos criptograma o texto cifrado.

Por lo tanto, vemos que el Reglamento impone el uso del cifrado en ficheros de datos de nivel alto. Sin embargo, es grato encontrarse con programas que usan complicados sistemas de encriptación y que hacen prácticamente inaccesible a un determinado documento o fichero con un par de clicks. Es importante que desaparezca la idea de “dificultad” del uso del cifrado: con el uso de los programas que desde este site recomendamos, cifrar, firmar, descifrar…es prácticamente un juego de niños. Es necesario que los ficheros que contengan datos sensibles (nivel alto) estén cifrados con alguno de los programas de cifrado existentes en la actualidad, y que cuando éstos se transmitan por las redes de telecomunicaciones (internet, redes lan o wan) vayan igualmente cifrados.

Las soluciones software existentes en la actualidad cumplen sobradamente el objeto de garantizar la confidencialidad de los archivos de datos personales de estas características. A continuación, recomendamos los programas más usuales que garantizan esta confidencialidad, a la vez que señalamos los sites oficiales de Internet desde donde pueden ser descargados.

Programas de Cifrado

Gnupg

Reune prácticamente todo lo que se le puede pedir un software: es efectivo, claro, sencillo, conciso, no requiere de mucho procesador…y para colmo es libre y la licencia que lo acompaña es gratuita, incluso para usos comerciales, lo que hace que lo recomendemos encarecidamente. Sus tres primeras letras (gnu) ya nos referencian que se trata de un software bajo este tipo de licencia, muy común en los sistemas operativos linux. Sin embargo, podemos encontrar versiones para windows desde su página web, en http://gnupg.org. Actualmente, es el programa de cifrado de mas éxito y se está imponiendo de forma apabullante. Además, está siendo avalado de una manera muy fuerte por toda la comunidad del software libre.

Pgp freeware

Se ha anunciado que no habrá nuevas versiones de este soft, pero eso no quita para que en la actualidad sea poco menos que un estándar. Con pgp, siglas que corresponden a “pretty good privacy”, se pueden firmar y cifrar emails y ficheros de datos, lo que lo hace ideal para los requerimientos del Reglamento. PGP está bien caracterizado y es rápido, con un sofisticado manejo de llaves, firmas digitales, compresión de datos, y un buen diseño ergonómico. La página web oficial del programa es http://www.pgp.com. Se trata de un software para todo tipo de plataformas y es completamente gratuito. Recomendamos la guía sobre el pgp que la Asociación de internautas ha preparado en su página web:
http://seguridad.internautas.org/pgp.php