¿Una orden judicial para ver un correo electrónico de mi propia empresa?

Con un título similar publiqué hace años un breve artículo en v-Lex (premium) en el que me preguntaba si algún día sería necesario solicitar una autorización judicial para que una empresa pudiese inspeccionar el correo electrónico corporativo utilizado por sus trabajadores. Parece que ese momento ha llegado, aunque la intervención judicial sea sólo exigible para los correos no abiertos por el trabajador que tengan que ser utilizados como prueba en un procedimiento penal.

Aunque pensábamos que la doctrina jurisprudencial en esta materia estaba unificada y consolidada, una reciente sentencia de la Sala II del Tribunal Supremo ha establecido que el criterio existente hasta la fecha es aplicable a la jurisdicción laboral, pero no a la penal.

Esta sentencia se refiere a un delito continuado de falsedad en documento mercantil y de estafa que la empresa perjudicada acreditó mediante mensajes de correo electrónico del trabajador presunto autor de los delitos.

Adelanto que una de mis conclusiones va a ser que es irrelevante la forma en que las pruebas relativas al correo electrónico corporativo lleguen a un proceso penal, ya que, al ser un instrumento que está en la mayoría de los casos bajo el control de la empresa, las garantías que ofrece la intervención judicial pierden toda su eficacia.

Afirmaciones más relevantes de la Sentencia del Tribunal Supremo de 16/06/14

1. Los criterios establecidos en las sentencias previas del Tribunal Supremo y del Tribunal Constitucional han de quedar restringidos al ámbito de la Jurisdicción Laboral y no procede, en modo alguno, que se extiendan al enjuiciamiento penal.

2. El artículo 18.3 de la Constitución Española es claro y tajante cuando afirma que se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

3. No contempla, por tanto, ninguna posibilidad ni supuesto que permita la injerencia en el contenido secreto de las comunicaciones sin la necesaria e imprescindible autorización judicial.

4. No son una excepción los argumentos relativos a la propiedad o titularidad del ordenador y la cuenta de correo electrónico, ni el uso de dichos recursos durante la jornada laboral, ni la naturaleza corporativa del cauce empleado.

5. Tampoco una supuesta renuncia tácita del derecho puede convalidar la ausencia de autorización judicial. En primer lugar porque esta renuncia al secreto de las comunicaciones no se produce en el caso concreto. En segundo lugar porque aunque se hubiese producido una renuncia-autorización, la Constitución no prevé, por la lógica imposibilidad para ello, la autorización del propio interesado como argumento habilitante de la intervención del correo.

6. La protección reforzada del derecho al secreto de las comunicaciones se justifica porque este tipo de injerencias revelan aspectos de la privacidad del comunicante que son ajenos al legítimo interés de una investigación.

7. Además se produce una situación de absoluta indefensión, por no saber la persona investigada que sus comunicaciones están siendo intervenidas.

8. Finalmente, el secreto de las comunicaciones beneficia también a los terceros que comunican con el trabajador, que son ajenos a la relación de éste con el titular del recurso y de sus condiciones de uso.

9. Por consiguiente, para que pueda otorgarse valor y eficacia probatoria en sede penal al resultado de una intervención del correo electrónico de un trabajador, resultará siempre necesaria la autorización e intervención judicial.

10. Quedan excluidos del secreto de las comunicaciones los mensajes que, una vez recibidos y abiertos por su destinatario, no forman ya parte de la comunicación propiamente dicha.

11. A los mensajes abiertos le son aplicables las normas relativas a la protección de datos personales y a la intimidad en sentido genérico, por lo que en este caso no es necesaria la autorización judicial.

12. También quedan excluidos los datos de tráfico y el uso del ordenador para acceder a páginas web y a otros servicios de Internet.

Ausencia de contenido privado y confidencial

1. Las alegaciones del trabajador recurrente acerca de las dudas sobre la integridad y validez de la prueba informática aportada por la empresa no son tenidas en cuenta en la sentencia, ya que se considera que no se ha producido injerencia en el secreto de las comunicaciones en este caso concreto.

2. En la sentencia recurrida se dice que no consta que se haya examinado correo electrónico privado ni cualquier otro tipo de programa o archivos temporales que haya supuesto intervenir o desvelar algún tipo de de comunicación privada y confidencial del trabajador.

3. Pensemos que los mensajes intervenidos estaban relacionados con las funciones administrativas desarrolladas por el trabajador y los destinatarios o remitentes de los mensajes eran sus interlocutores en las entidades financieras y los clientes con los que la empresa operaba.

4. Los criterios establecidos en la sentencia se plantean, por lo tanto, con la finalidad de fijar una clara doctrina sobre la validez probatoria de este tipo de intervenciones en sede penal.

¿Comete un delito la empresa que abre un mensaje cerrado de un trabajador?

1. En la sentencia se habla de la invalidez en sede penal de los mensajes cerrados intervenidos a un trabajador sin autorización judicial, pero no habla de las consecuencias penales de esta intervención.

2. Se entiende que no, ya que en el caso de que esta intervención fuese subsumible en el tipo penal del artículo 197 del Código Penal, algunas de las actividades rutinarias que se realizan cada día en muchas empresas podrían llegar a constituir un delito.

3. Imaginemos a la secretaria que, siguiendo las instrucciones de su jefe, abre sus mensajes cuando está en una reunión, para avisarle de cualquier asunto urgente. O el supervisor de un call center que escucha una muestra de llamadas cada día para controlar la calidad ofrecida por los operadores del servicio de atención al cliente. O las líneas de banca telefónica cuyas conversaciones son grabadas como prueba del consentimiento dado a las operaciones realizadas. ¿Se está cometiendo un delito en todos estos casos? Entiendo que no. ¿Son válidas estas pruebas en un proceso penal? Entiendo que sí.

4. También ha que hablar en este punto del consentimiento que dan los trabajadores que causan baja en una empresa para que sus sucesores puedan acceder a sus documentos y mensajes con el fin de continuar su trabajo. ¿Qué pasa si la persona que recibe los pedidos causa baja en la empresa? Los clientes seguirán enviando sus pedidos a esa dirección durante un tiempo, aunque se les avise puntualmente. En estos casos se utilizan direcciones genéricas de departamento, pero según la doctrina del Tribunal Supremo de 2007, cualquier usuario podría utilizar la cuenta genérica para un uso personal, con la consiguiente “expectativa de privacidad”.

5. El artículo 197 del Código Penal describe un tipo penal en el que el consentimiento del interesado elimina la posibilidad de que se cometa un delito.

6. De ello se deduce a mi entender que un consentimiento expreso debería ser también suficiente para habilitar una intervención del correo electrónico con la finalidad de causar prueba en un proceso penal, siempre que se aplicase un protocolo con las debidas garantías, se utilizase un fedatario público y se respetase la cadena de custodia.

7. La tecnología actual permite realizar varias copias de un disco duro sin acceder a su contenido y con herramientas que aseguran su integridad.

8. No obstante, todas estas garantías se refieren al momento de la obtención de la prueba y a su ciclo de vida posterior, pero no permiten asegurar que la prueba haya sido manipulada con carácter previo a la intervención, como diré más adelante.

Titular real del derecho al secreto de las comunicaciones

1. Siguiendo con mis opiniones personales cabe decir que llevo muchos años defendiendo la tesis de que en el correo electrónico corporativo el titular del derecho al secreto de las comunicaciones es la empresa. Insistiré poco en ello ya que doy por consolidada la doctrina jurisprudencial que exige una sospecha razonable y la aplicación del principio de proporcionalidad a la intervención del correo electrónico del trabajador para causar prueba en sede laboral. El único límite que establece el artículo 20.3 del Estatuto de los Trabajadores es el respecto a la dignidad del trabajador.

2. Plantémonos las siguientes preguntas: si un competidor interceptase un mensaje de correo electrónico entre nuestra empresa y un cliente, ¿quién pondría la querella por vulneración del secreto de las comunicaciones contra el competidor? ¿el trabajador que ha enviado el mensaje o la empresa? ¿Y en el caso de una llamada telefónica entre la empresa y un cliente?

3. La doctrina ha sido restrictiva y poco uniforme a la hora de extender los derechos fundamentales reconocidos en el artículo 18 de la Constitución a la persona jurídica. Se considera que la empresa puede tener derecho al honor y reputación, pero hay reparos para reconocer su derecho a la intimidad. En cambio hay que disponer de un consentimiento expreso para enviar una comunicación comercial electrónica a una empresa y de un mandamiento judicial para entrar en sus oficinas.

4. El Tribunal Europeo de Derechos Humanos (TEDH) reconoce el derecho al secreto de las comunicaciones a las personas jurídicas y declara que las nociones “vida privada” y “correspondencia” del art. 8 del convenio incluyen tanto locales privados como profesionales (Sentencia TEDH de 16 de febrero de 2000, caso Amann). También reconoció este derecho a favor de las empresas el Tribunal de Justicia de las Comunidades Europeas (en su anterior denominación) en la sentencia de 18 de mayo de 1982, A.M.S. v. Comisión.

5. El artículo 200 del Código Penal establece que lo dispuesto para las personas físicas en el mismo capítulo será aplicable también al que descubriere, revelare o cediere datos reservados de personas jurídicas sin el consentimiento de sus representantes.

6. Si se reconoce que una empresa puede ser titular del derecho al secreto de las comunicaciones deberá concluirse que la interceptación de un mensaje entre dos empresas supondrá una vulneración de este derecho. El derecho de la persona física que envió o recibió el mensaje pasaría en este caso a un segundo plano.

7. En mi opinión, la empresa es parte en las comunicaciones que se generan entre ella y cualquier otra persona física o jurídica y de ello debería deducirse que no precisa una autorización judicial para conocer su contenido cuando ha prohibido expresamente el uso privado de dichas comunicaciones y ha advertido de su monitorización.

8. La prueba podrá ponerse en duda, como toda prueba aportada por una de las partes, pero no debería decirse que ha sido obtenida de forma ilegítima, ya que, como he dicho, la empresa es parte en la comunicación.

¿Qué pasa actualmente con el correo postal corporativo?

1. Las cartas que llegan todavía a las empresas en formato papel conteniendo pedidos, facturas, publicidad, y otros contenidos de índole empresarial, van dirigidas generalmente a una persona física.

2. Hay diversas fórmulas para identificar al destinatario de una carta. Puede aparecer directamente su nombre o bien el cargo o departamento. La carta también puede ir dirigida a la empresa, a la atención de una persona concreta.

3. Aunque la carta vaya dirigida al Presidente de la compañía, es muy probable que su secretaria la abra, ya que los altos cargos acostumbran a optimizar su tiempo delegando en sus secretarias la apertura de la correspondencia.

4. Lo mismo sucederá en el departamento de contabilidad. Si una carta va dirigida a una persona que ya no está en la empresa, se presumirá que su contenido tiene que ver con la función que desempeñaba y será abierta.

5. En estos supuestos nadie habla de violación del secreto de las comunicaciones porque se entiende que se trata de comunicaciones en las que la empresa es parte, como remitente o como destinataria.

6. En el correo electrónico sucede lo mismo. Los mensajes van dirigidos a la empresa, a la atención de una persona concreta. De hecho, la arroba significa “at”, lo que indica que el mensaje va dirigido a a la atención de una persona concreta en (at) la empresa indicada en el nombre de dominio.

El derecho al secreto de las comunicaciones en el puesto de trabajo

1. La cultura del “buen rollo” desarrollada en las grandes empresas durante los años de bonanza llevó a buscar un equilibrio entre la vida laboral y la personal. Se entendió que no podía pedirse a un trabajador la conducta heroica de no utilizar los recursos tecnológicos corporativos para fines privados o personales durante las ocho largas horas de la jornada laboral. Ello generó un clima de permisividad que en muchas empresas derogó de facto las prohibiciones que pudiesen existir en relación a ese uso privado.

2. Pero las circunstancias han cambiado. Por un lado han surgido los smartphones, que han concentrado en ellos las comunicaciones privadas de los trabajadores. Ello permite presumir que el correo electrónico corporativo está dejando de ser utilizado para asuntos personales, justamente por el riesgo conocido de su lectura por la empresa. La tendencia del BYOD, para mi equivocada por cuestiones de seguridad, establece una diferencia clara entre las aplicaciones corporativas

3. Por otro lado, la crisis ha hecho que las empresas exijan una mayor productividad a sus trabajadores, por lo que un uso personal de los recursos TIC de la empresa puede ser mal visto y tratado como un supuesto de absentismo presencial.

4. Ello no impide que los trabajadores más jóvenes pasen su jornada laboral con el smartphone al lado del teclado del ordenador. Con este gesto le están diciendo a la empresa que seguirán trabajando en sus funciones hasta el momento en que reciban un mensaje de Whatsapp o de correo electrónico en el smartphone, momento en que su lectura tendrá prioridad absoluta sobre cualquier otra tarea de su famoso “multitasking”. La cuestión es que la frecuencia de las interrupciones que provoca la multitarea es tan alta que un reciente estudio afirma que esta práctica provoca una reducción de 10 puntos en el coeficiente intelectual de la persona. Si la mayoría de los trabajadores no aceptarían una injerencia de la empresa en el sagrado episodio del fin de semana o las vacaciones, no parece justo que la empresa tenga que aceptar la injerencia de los mensajes personales y las constantes interrupciones del Whatsapp durante la jornada laboral. Ninguno de nosotros tendría que aceptarlo, por su inevitable impacto acumulado en el PIB de nuestro país.

5. ¿Qué expectativa de intimidad tiene el trabajador cuando utiliza el correo electrónico corporativo? No todas las formas de comunicación tienen el mismo tratamiento. Las postales que enviamos cuando ejercemos de turista van abiertas y la expectativa de intimidad es nula. El correo electrónico corporativo también va abierto para la empresa. No es necesario que el trabajador lo abra para que la empresa tenga la oportunidad de leer su contenido.

6. En la sentencia analizada se habla de que una renuncia del trabajador al derecho es inviable. Pero la cuestión es si al hablar del correo electrónico corporativo debemos dejar que este derecho llegue a nacer. El cauce no es la renuncia al derecho sino el convencimiento de que no hay espacio para la intimidad en el correo electrónico corporativo.

6. Entiendo que las empresas deben hacer un esfuerzo para definir de forma más clara que los recursos TIC corporativos están reservados para un uso empresarial y que el uso personal debe quedar prohibido. Ello no sería exigir una conducta heroica al trabajador, ya que pueden aprovecharse las pausas y los momentos de descanso para consultar el smartphone personal.

El correo corporativo está bajo el control constante de la empresa

1. Como adelantaba al principio, considero que las garantías que ofrece la intervención judicial van a llegar siempre tarde cuando se trata de obtener y utilizar el correo electrónico corporativo como prueba.

2. Pensemos que un mensaje de correo electrónico no cifrado es texto plano, que entra y sale de la empresa por un conducto que está enteramente bajo su control. Salvo en los casos en que el servicio está en manos de un tercero, y a veces incluso así, nada impide al departamento de sistemas de la empresa leer el correo e incluso modificar su contenido. Incluso se puede decir que el ISP es un proveedor pagado por la empresa que carece de neutralidad.

3. Una intervención judicial sería el procedimiento ideal para “blanquear” una prueba previamente asegurada desde el punto de vista técnico.

4. También existe la posibilidad de que la empresa marque como “leído”el mensaje que desea intervenir antes de aplicar el protocolo de intervención. Al igual que existe la posibilidad de que el trabajador marque como “no leído” los mensajes ya leídos que desea proteger de una eventual intervención de la empresa. Aunque en este caso sería mejor borrarlos.

5. En estas condiciones, las garantías de integridad, fe pública y continuidad de la cadena de custodia decaen de manera absoluta. ¿De qué sirve que un Secretario Judicial de fe de una realidad que ha podido ser alterada previamente? ¿Por qué preocuparnos de la cadena de custodia de algo que puede haber sido modificado con anterioridad a la diligencia judicial?

6. En cualquier caso, existen herramientas de “forensic readiness” que permiten acreditar que un mensaje no ha sido manipulado.

7. Es evidente que las empresas no están manipulando el correo para imputar a sus trabajadores. Estamos hablando de que existe la posibilidad técnica para hacerlo y ello puede desvirtuar las garantías de una intervención judicial posterior.

8. Por lo tanto, la validez de esta prueba se basa más en la credibilidad de su contenido y en las restantes pruebas anteriores, coetáneas y posteriores a los mensajes intervenidos que en la forma en que han sido obtenidos. De hecho esto es lo que ocurre exactamente en el caso analizado.

El secreto de las comunicaciones como subconjunto del derecho a la intimidad

1. En la sentencia comentada se dice que el derecho al secreto de las comunicaciones está dentro del genérico derecho a la intimidad que se contempla en el artículo 18 de la Constitución.

2. El artículo 2.2 de la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen establece que no se apreciará la existencia de intromisión ilegítima en el ámbito protegido cuando estuviere expresamente autorizada por Ley o cuando el titular del derecho hubiere otorgado al efecto su consentimiento expreso.

3. Aunque el preámbulo de esta ley se refiere exclusivamente al desarrollo del articulo 18.1 de la Constitución, lo cierto es que en el articulado se habla de todo el artículo 18.

5. Si pudiésemos aplicar a este caso el principio de quien puede lo más puede lo menos, sería natural concluir que una persona que puede dar su consentimiento para entrar en su casa también puede dar su consentimiento para entrar en su correo electrónico, por muy enérgica que sea su protección en el artículo 18.3 de la Constitución exigiendo la intervención judicial.

6. También hay que tener en cuenta que en la redacción del artículo 18.3 no se incluyó la posibilidad de que la injerencia en el secreto de las comunicaciones estuviese autorizada en ciertos casos por una ley. Y ello podría ser un error.

7. Lo natural sería que la ley y el consentimiento fuesen también instrumentos habilitadores de una injerencia legítima en el secreto de las comunicaciones. Pensemos que en la actualidad, tras los escándalos de la NSA, cualquier persona puede pensar que la probabilidad de que alguien lea sus mensajes de correo electrónico es más alta que la probabilidad de que alguien entre en su domicilio sin autorización. Los mensajes están ahí fuera y en abierto. Mis efectos personales, mi verdadera intimidad, están en casa y cerrados con llave.

8. Por otro lado, entiendo que las obligaciones de control establecidas en el artículo 31bis del Código Penal exigen a las empresas poder realizar inspecciones que alcancen a contenidos presuntamente protegidos por el derecho a la intimidad y por el secreto de las comunicaciones, como subconjunto del mismo.

Impacto en las obligaciones de control derivadas de un programa de compliance

1. Muchos programas de corporate compliance, destinados a establecer un modelo de prevención y control de delitos, basan su fuerza en la posibilidad de realizar investigaciones en el correo electrónico corporativo.

2. La sentencia comentada puede poner en peligro estas investigaciones, ya que no permitiría realizarlas sin la existencia de una autorización judicial. Al menos el caso de mensajes cerrados destinados a causar prueba en un proceso penal.

3. Entiendo que debería contemplarse como válido el protocolo de intervención del correo electrónico en el que el trabajador está presente en la diligencia y se observan todas las garantías en la obtención de la copia (hash) y en la cadena de custodia.

4. Pero yo me atrevería a ir más allá y a dar por válido el consentimiento expreso dado con carácter previo por el trabajador al firmar las normas de uso de los recursos TIC corporativos, asumir la prohibición de un uso personal de los mismos y aceptar una eventual inspección del correo electrónico.

5. Y también considero que las obligaciones de control establecidas en el artículo 31bis del Código Penal para las empresas habilitan a éstas a realizar investigaciones que pueden alcanzar a todos los recursos TIC que están bajo su control y son de su propiedad, como el correo electrónico corporativo.

 Precauciones a tener en cuenta a partir de ahora

A pesar de mis opiniones contrarias al contenido de la sentencia, lo cierto es que ésta establece un criterio que hay que respetar, por lo que, por una cuestión de prudencia empresarial y para evitar que las pruebas pierdan su eficacia, la empresa tiene la opción de solicitar la intervención judicial en la obtención de los mensajes cerrados que vayan a ser utilizados como prueba en un proceso penal. En cualquier caso, también puede reforzar sus normas y protocolos de actuación mediante algunas de las siguientes acciones:

1. Prohibir el uso personal del correo electrónico
2. Informar claramente de los controles que la empresa puede aplicar
3. Solicitar el consentimiento expreso para el control del correo electrónico
4. Prohibir la conversión de los mensajes leídos en mensajes no leídos
5. Reforzar las garantías de los protocolos de intervención del correo electrónico
4. Limitar las investigaciones internas dirigidas a un proceso penal a los mensajes abiertos
5. Instalar herramientas de forensic que permitan acreditar que los mensajes no han sido
manipulados por la empresa

Conclusiones

Tras la lectura de la sentencia y el análisis realizado en este artículo, extraigo las siguientes conclusiones:

1. Las empresas están habilitadas por la ley (artículo 31bis del Código Penal y artículo 20.3 del Estatuto de los Trabajadores) para adoptar medidas de vigilancia y control sobre la actividad de los trabajadores.

2. Esta habilitación también puede surgir del consentimiento del trabajador.

3. La prohibición de un uso personal del correo electrónico corporativo y la migración del correo personal a los smartphones privados permite presumir cada vez más que el correo electrónico corporativo está desprovisto de intimidad para el trabajador.

4. La intervención de los mensajes de correo electrónico corporativo enviados o recibidos por el trabajador no supone un delito contra la intimidad, ya que existe una autorización legal y un consentimiento del trabajador.

5. Además, la empresa forma parte de la comunicación, ya que no presta un servicio al trabajador, sino que es jurídicamente el verdadero emisor y receptor de las comunicaciones y por lo tanto, el titular del derecho al secreto de las mismas.

6. Sin embargo, el nuevo criterio del Tribunal Supremo establece que las pruebas obtenidas de esta manera no serán validas en la jurisdicción penal sin la correspondiente autorización e intervención judicial que dote a la diligencia de las correspondientes garantías en el caso de mensajes cerrados.

7. En mi opinión, la tecnología actual de forensic que garantiza la integridad de una copia permite aplicar un protocolo de intervención en el que se apliquen las garantías de integridad, cadena de custodia y fe pública a través de la intervención de un fedatario público.

8. La intervención judicial no garantiza la integridad de la prueba en el caso del correo electrónico corporativo, ya que éste está desde el primer momento bajo el control de la empresa y puede haber sido manipulado antes de la diligencia judicial. Salvo en el caso de que se hayan utilizado previamente herramientas de forensic readiness.

9. A pesar de mis opiniones contrarias al contenido de la sentencia, lo cierto es que ésta establece un criterio que hay que respetar, por lo que, por un principio de prudencia empresarial recomiendo adoptar las precauciones que resumo en este artículo.

ACTUALIZACIÓN – 12/01/2016

El Tribunal Europeo de Derechos Humanos ha dictado hoy una sentencia en la que establece que la monitorización de las comunicaciones privadas (Yahoo Messenger) de un trabajador por parte de la empresa no constituye una violación del artículo 8 del Convenio Europeo de Derechos Humanos (La vida privada y familiar incluye la intimidad del domicilio y la inviolabilidad de la correspondencia).

Mapa de controles y evidencias del control – Delito de corrupción

En el Boletín Oficial del Congreso de los Diputados del pasado 4 de octubre se publicó el Proyecto de Ley Orgánica de reforma del Código Penal (PDF), que confirma la importancia que tiene la prueba de la actividad de prevención y control previa a la comisión del delito e introduce el nuevo delito de omisión de medidas de control por parte de los directivos.

Nuestro despacho inicia hoy la publicación de una colección de mapas de controles y evidencias del control con el fin de ayudar a las empresas a cumplir los requisitos de prueba previstos en el proyecto para conseguir la exención de la responsabilidad penal por parte de las empresas y los directivos.

Este documento consiste en una hoja Excel con la lista de controles destinados a prevenir y detectar un delito concreto. Incluye la lista de evidencias a obtener para acreditar la existencia de cada control antes de la eventual comisión de un delito, así como la eficacia de dicho control.

El mapa de controles y evidencias publicado hoy corresponde a los delitos asociados a la corrupción pública, privada e internacional así como al tráfico de influencias.

El documento persigue los siguientes objetivos:

  • Identificar y seleccionar los controles que la empresa debe aplicar para prevenir y detectar este delito.
  • Identificar y seleccionar las pruebas que acrediten que los controles existen y son eficaces.
  • Identificar las posibles carencias de la empresa en materia de prevención y control.
  • Identificar riesgos no previstos por la empresa en su proyecto de corporate defense.
  • Conocer los controles que la empresa no está aplicando y que debería aplicar.
  • Ahorrar costes en un proyecto de corporate defense, al orientarlo directamente a las evidencias.
  • Dotar de un instrumento de gestión eficaz a las empresas que han decidido desarrollar internamente su proyecto de corporate defense.
  • Ayudar a la empresa a la preparación del “defense file” y el repositorio de evidencias del debido control.
  • Cumplir los requisitos establecidos para la exención de responsabilidad penal de las empresas.
  • Cumplir los requisitos establecidos para la exención de responsabilidad penal de los directivos en relación al nuevo delito de omisión de medidas de prevención y control previsto en el proyecto.

El mapa de controles y evidencias puede ir acompañado de los siguientes servicios:

  • Bolsa de horas de asesoramiento jurídico.
  • Sellado de tiempo de las evidencias para acreditar el momento de su creación.
  • Repositorio de evidencias online y offline.

Puede solicitar más información sobre el contenido y el precio de este documento a xavier.ribas@ribastic.com

 

Adecuación de las normas de uso de los recursos TIC corporativos

Desde la última revisión de las normas de uso de los recursos TIC se han producido una serie de cambios que obligan a realizar una actualización.

Entre dichos cambios destacan los siguientes:

Sentencia del Tribunal Constitucional comentada la semana pasada.
Uso de dispositivos móviles personales para e-mail y aplicaciones corporativas (BYOD).
– Entrega de smartphones y tablets corporativos a los trabajadores.
– Incremento del nivel de externalización de funciones
– Mayor acceso de personal de los proveedores a los recursos TIC corporativos
– Incorporación de los nativos digitales al mundo laboral
– Mayor uso de redes sociales como Facebook y Twitter
– Incremento del efecto de Whatsapp en el rendimiento del trabajo.
– Incremento del número de trabajadores con blog propio.

La falta de actualización de estas normas puede ser interpretada como tolerancia de la empresa, con un efecto equivalente a la derogación de los controles existentes en materia de seguridad de la información, infracciones y absentismo presencial.

También es recomendable actualizar el protocolo de inspección del ordenador y el correo electrónico del trabajador, con el fin de incorporar los criterios derivados de la interpretación de la sentencia del Tribunal Constitucional, de forma directa y a contrario sensu, así como los de la doctrina unificada del Tribunal Supremo.

Nuestro despacho ha diseñado un servicio de actualización de normas de uso de recursos TIC corporativos. La contratación de este servicio puede realizarse llamando al teléfono 934940748 o enviando un mensaje a anna.canadell@ribastic.com

Responsabilidad por rumores y cotilleos publicados en Gossip e Informers

Marc Rius
Ribas y Asociados

Este fin de semana se ha hablado mucho de las redes de cotilleos y rumores, capitaneadas por la aplicación de smartphone Gossip y las páginas de Facebook de los “Informers”, que se han popularizado con contenidos que van desde pueblos hasta institutos o empresas.

Dichas aplicaciones son el escenario perfecto para las injurias o calumnias, por lo que ya su propia existencia debería ser cuestionable (si bien nuestras televisiones y sus exitosos programas del corazón indican que existe mercado para ello). Sin embargo, existe un problema más grave que se está dando en escuelas, institutos y universidades.

Se trata del cyberbulling, o ciberacoso, y es un fenómeno que se extiende a gran velocidad. Por ello, me gustaría analizar brevemente la responsabilidad que tienen, o podrían tener, los responsables y administradores de este tipo de aplicaciones o páginas en Facebook (al propio autor del comentario, cotilleo o rumor, se le presupone responsable). Puesto que de momento se trata de plataformas informáticas, analizaré las responsabilidades desde un punto de vista de la Ley de la Sociedad de la Información (LSSI) y el Código Penal.

Responsabilidad vía LSSI:

a) Gossip: la aplicación de Gossip basa su funcionamiento en la existencia de “canales”, que son los que definen la temática concreta que se trata en él. Por ejemplo, el nombre del pueblo, instituto, universidad. La libertad para publicar es total, requiriendo únicamente el registro del usuario y publicándose cualquier comentario bajo pseudónimo y sin ningún tipo de moderación previa (aunque esto es relativo, ya que parece que desde Gossip están trabajando en métodos de control de este tipo de comentarios).
La responsabilidad de los administradores de Gossip tendría su cabida en el artículo 16 de la LSSI, sobre los prestadores de servicios de alojamiento o almacenamiento de datos, tal y como ocurre en los foros de internet y ya se debatió cuando se trataron las webs de enlaces a contenidos ilegales. En todo caso, nos dice el mencionado artículo que estos prestadores tendrán responsabilidad siempre que (i) No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o (ii) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.
Por tanto, desde el desconocimiento del sistema de control que pueda estar elaborando Gossip (o que ya haya implementado), y presuponiendo que aún no existe, debería descartarse su responsabilidad en caso de no existir solicitud para la eliminación del comentario por parte de un órgano competente, o “otros medios de conocimiento efectivo que pudieran establecerse” (¿los mecanismos de denuncia del propio comentario?). En caso de que se comunicara la ilicitud del contenido y los administradores de Gossip no actuaran de forma diligente para eliminarlo, sí serian responsables.

b) “Informers” de Facebook: El caso de los Informers es sustancialmente distinto. Si bien la finalidad es la misma, la publicación de forma anónima de cualquier tipo de comentario, rumor o cotilleo, funciona manera opuesta, ya que en este caso sí existe un control previo por parte de los administradores, puesto que el usuario manda un mensaje privado a la página y éstos lo publican de forma anónima.
Aquí por tanto, y amparándonos en el mismo artículo 16 de la LSSI (aún cuando la página de los Informers se encuentran dentro de la plataforma de Facebook, los responsables de sus contenidos son los administradores de dicha página), no puede en ningún caso considerarse que el administrador que ha publicado el comentario desconocía que éste podía ser susceptible de lesionar bienes y derechos.
Cierto es sin embargo que habría que estar un poco a cada caso concreto, ya que pueden haber comentarios que, fuera de contexto, no presuponen un carácter vejatorio, injurioso o calumnioso, y en cambio así lo puede interpretar el destinatario o las personas que sí conocen el contexto, pero por la forma de funcionar creo que la responsabilidad debería presuponerse de inicio para poder estudiar luego cada caso concreto.

A nivel penal, cabe indicar que nuestra intención era relacionar la existencia de estas plataformas y la responsabilidad de sus administradores, no de las personas titulares del comentario, si bien si sólo nos centráramos en injurias y calumnias, el artículo 212 del Código Penal establece que será responsable civil solidaria la persona física o jurídica propietaria del medio informativo a través del cual se haya propagado la calumnia o injuria.

En cuanto al ciberacoso, es más complicado establecer la responsabilidad de los administradores, puesto que el título que trata los delitos contra la integridad moral habla del responsable o autor, en un ejemplo de texto legal que ha quedado superado por la tecnología, ya que ni se prevé que pueda efectuarse por medios telemáticos ni tampoco con la ayuda de terceros. En todo caso, establece el artículo 173 del Código Penal pena de prisión de seis meses a dos años para el que infligiera a otra persona un trato degradante, menoscabando gravemente su integridad moral. Cabría a lo mejor aquí incluir el artículo 28 del mismo Código, según el cual, también serán considerados autores (b) los que cooperan a su ejecución con un acto sin el cual no se habría efectuado.

La responsabilidad del retweet

Imaginemos un campo de fútbol con miles de personas insultando a un árbitro con las más graves injurias que se puedan imaginar. Ahora imaginemos que desaparecen todos y se queda absolutamente solo el que más gritaba. Lo más probable es que deje de gritar.

¿Qué ha ocurrido?, que mientras se sentía protegido por la masa, no tenía ningún reparo en acordarse de toda la familia del árbitro, pero en el momento en que se convierte en un sujeto único, identificable y desprotegido esa sensación de impunidad desaparece.

Cuando estamos ante un tweet, con toda la libertad del mundo para hacer clic en “retweet”, podemos tener varias motivaciones para hacerlo. Una puede ser la solidaridad o la afinidad con la idea que transmite el mensaje y en ese momento tenemos la oportunidad de participar en la conversación y la capacidad para expresarnos libremente, apoyando esa idea. Pero el retweet también puede ser un acto mimético, una simple gamberrada en la que el reemisor sólo pretende unirse a otras personas que están haciendo lo mismo en ese momento, o incluso un acto de cobardía, al sentirse protegido entre la masa, como en el campo de fútbol.

Según un reciente estudio, un porcentaje importante de los tweets son retuiteados sin leerlos, es decir sin hacer clic en el enlace que contienen y sin conocer a fondo el texto o contenido al que se refieren.

El acto de retuitear no debe ser automático e irreflexivo, ya que puede tener consecuencias para el emisor, para el receptor y para la persona que resulte perjudicada por la difusión del mensaje. Hay que tener en cuenta los distintos niveles de participación en un eventual delito: autor, cómplice, colaborador necesario…

En el Código Penal existe el tipo agravado de delito masa, que va referido a ciertos supuestos en los que existe una pluralidad de afectados por un mismo acto. Las nuevas tecnologías han hecho posible que se produzca el efecto inverso: que los actos de muchas personas perjudiquen gravemente a una sola persona.

¿Cómo debe actuarse en estos casos? Por el principio de intervención mínima tal vez no parezca lógico pensar que el legislador haya querido atribuir responsabilidad penal a un acto ilícito de escasa gravedad cometido simultánea o secuencialmente por miles de personas. Además, un espacio de escasos segundos entre la recepción y el reenvío del tweet sería una prueba de que no llegó a verse el contenido al que hacía referencia. Aunque también podría tratarse de un contenido viral cuya existencia se conocía por otros medios. En cualquier caso, el efecto acumulativo de miles de retweets encadenados puede ser devastador para la víctima. Y ello merece una reflexión.

En Inglaterra, Lord Alistair McAlpine, ex tesorero del Partido Conservador, se ha querellado contra más de 10.000 usuarios de Twitter por haber tuiteado o retuiteado mensajes calumniosos contra su persona. La indemnización solicitada es proporcional al número de seguidores de cada cuenta, llegando hasta un máximo de 45.000 euros. ¿Es ese el camino?

Entiendo que son escenarios nuevos a los que tendremos que ir adaptándonos, pero lo que está claro es que, antes de participar en la difusión de un mensaje, el usuario de Twitter, y cualquier usuario que participe en una conversación en Internet, debe reflexionar sobre las consecuencias de ese acto y sobre sus posibles responsabilidades.

Primer ciberataque a una infraestructura crítica

El servicio de distribución de agua de Illinois puede haber sido la primera infraestructura crítica norteamericana en sufrir un ciberataque desde el extranjero.

Los atacantes, que presumiblemente habrían utilizado un servidor ubicado en Rusia para acceder al sistema, utilizaron las claves de acceso que previamente habían obtenido de un proveedor relacionado con el sistema de control industrial que permite la automatización y la gestión remota de este tipo de infraestructuras.

El resultado del ataque fue la desactivación de una bomba del servicio de distribución de agua.

El proceso seguido para el ataque se aprovechó, supuestamente, de los eslabones más débiles de la cadena de seguridad siguiendo un plan que podría ser probablemente el siguiente:

1. Identificación de los proveedores que tienen acceso al sistema de control industrial (SCADA) o prestan servicios que exigen tener dicho acceso. A través de cualquier buscador se pueden localizar las páginas web de los proveedores que ofrecen estos servicios o productos.

2. Selección de los proveedores que pueden ser más vulnerables a un acceso no autorizado o a una estrategia de ingeniería social. Algunos indicadores externos pueden ser el haber realizado recientemente un ajuste de plantilla o haber aplicado un severo plan de austeridad presupuestaria (aunque ello no debería afectar teóricamente a la seguridad de sus sistemas).

3. Obtención de las claves de acceso mediante un ataque al sistema del proveedor o un engaño a sus empleados.

4. Selección de un servicio público como vía de acceso al sistema de control industrial por considerar que, al depender del sector público, estará afectado por restricciones presupuestarias y los sistemas de seguridad no estarán actualizados.

5. Acceso al sistema de la infraestructura crítica y obtención de los privilegios necesarios para actuar sobre los controles que permiten gestionar local y remotamente la infraestructura.

De confirmarse las características del ataque, el método utilizado y las vulnerabilidades explotadas por los atacantes, las conclusiones son obvias, y las recomendaciones a los operadores de infraestructuras, también:

1. La seguridad debe estar al margen de cualquier restricción presupuestaria, pública o privada.

2. El control en materia de seguridad debe extenderse a los proveedores, aplicando un estricto sistema de homologación y auditoría continuada.

3. El sistema de control SCADA debe ser objeto de una profunda revisión y actualización continuada en materia de seguridad, si se confirman sus posibles vulnerabilidades en relación al protocolo TCP/IP.

4. Debe acelerarse el desarrollo y la aplicación de los planes de protección de infraestructuras críticas.

5. Los operadores de infraestructuras críticas y sus proveedores deben aplicar normas internas y ampliar la formación de sus empleados en materia de seguridad e ingeniería social

Normas relacionadas

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas

Resolución de la Secretaría de Estado de Seguridad por la que se acuerda la apertura del trámite de información pública respecto a las guías de contenidos mínimos del Plan de Seguridad del Operador y del Plan de Protección Específico como instrumentos de planificación del Sistema de Protección de Infraestructuras Críticas

Herramientas de monitorización, prueba del debido control e intimidad

La reforma del Código Penal y las obligaciones de control previo al delito que se establecen en el artículo 31 bis para evitar la responsabilidad penal de la empresa están obligando a replantear el alcance de la monitorización de los recursos TIC corporativos. 

A ello hay que añadir el modelo de seguridad Zero Trust propuesto por Forrester que consiste en tratar a los usuarios internos con confianza cero, es decir, como si fuesen usuarios externos. Este modelo se centra en la necesidad de monitorizar y analizar todo el tráfico de la red corporativa y la actividad de los usuarios mediante herramientas específicas para ello.

Además, la actual crisis económica ha enrarecido el clima laboral en las empresas, incrementando el riesgo de ataques desde el interior y de fuga de datos. Además de los casos de entrega de información confidencial a competidores, la alta valoración de la cartera de un comercial o un directivo fichado por otra empresa del sector puede provocar una explotación ilícita de datos de CRM de la empresa anterior.

El problema es que una medida preventiva, como la simple publicación de las normas de uso de los recursos TIC de la empresa, puede resultar insuficiente para acreditar el debido control. Hasta ahora se ha buscado un equilibrio entre disuasión, prevención, detección y prueba. Pero el nuevo escenario exige un mayor compromiso, ya que en muchos casos se llega tarde y es imposible obtener pruebas del delito. Por ejemplo, las empresas aplican un protocolo de seguridad informática en el momento del despido que no puede prevenir las fugas de información previas a una baja voluntaria.

Ello nos lleva a la aplicación de esquemas de forensic readiness que permitan capturar y almacenar de forma segura las pruebas electrónicas que puedan ser necesarias en el futuro para acreditar la comisión de un delito, así como la existencia de controles para evitarlo o, al menos, detectarlo.

Para cumplir esa función surgen herramientas de monitorización capaces de cumplir a la vez una función disuasoria, preventiva, detectiva y probatoria. Tras aplicar el protocolo exigido legalmente para su instalación, este software realiza varios controles de forma rutinaria. Uno de ellos consiste en capturar las pantallas de cada ordenador con la frecuencia que cada empresa estime necesaria. En frecuencias inferiores al minuto la información capturada ocupa 4GB al año por cada ordenador. Es decir, 4T al año para una empresa con 1.000 ordenadores.

Este sistema actúa como una auténtica caja negra, que va registrando toda la actividad de los usuarios sin necesidad de intervención humana. Aunque pueden configurarse diversos tipos de alertas, lo normal es que sólo se acuda a la información almacenada en el caso de que exista una sospecha razonable de la existencia de un delito. Se trataría de un acceso similar al que se produce con las cajas negras de los aviones en el caso de un accidente aéreo, aunque, en el caso de las pruebas informáticas, se aplicará un protocolo que garantice la proporcionalidad, idoneidad y necesidad del acceso a la información. También puede contratarse un servidor de almacenamiento controlado por un tercero para dotar al sistema de mayores garantías.

En este sentido, cabe recordar la sentencia del Tribunal Supremo de 27/09/07 a la que dediqué un slidecast. En ella se establece que la empresa, de acuerdo con las exigencias de buena fe, debe establecer previamente las reglas de uso de los recursos TIC corporativos (con aplicación de prohibiciones absolutas o parciales) e informar a los trabajadores de que va existir control y de los medios que se aplicarán papa comprobar la corrección del uso de dichos recursos por los trabajadores.

De esta manera, si los recursos TIC se utilizan para usos privados, en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado una expectativa razonable de intimidad. Lo mismo cabe decir respecto al secreto de las comunicaciones.

De acuerdo con estos antecedentes, mi opinión se resume en las siguientes conclusiones:

  1. Existen fundamentos legales para establecer controles destinados a disuadir, prevenir, detectar y crear pruebas en relación a los delitos que puedan cometerse utilizando los recursos TIC corporativos.
  2. En la actualidad concurren diversos factores que aconsejan incrementar el nivel de control sobre los recursos TIC de las empresas.
  3. Existen herramientas de monitorización que permiten capturar y almacenar la actividad de los usuarios, a modo de caja negra del sistema.
  4. La aplicación de protocolos de investigación adecuados a la doctrina del Tribunal Supremo permiten aplicar los controles y obtener pruebas de eventuales delitos sin violar el derecho a la intimidad y el secreto de las comunicaciones.

Insuficiencia del informe de experto para enervar la responsabilidad penal

Imaginemos la siguiente escena en la fase de informe de un juicio oral: "Como prueba del control establecido por la empresa para prevenir este delito tecnológico, se ha aportado un certificado firmado por mi mismo, y aunque la acusación particular y el Ministerio Fiscal mantengan que este certificado fue emitido con posterioridad a la comisión del delito, yo, como abogado experto en la materia, ratifico que el control era suficiente y anterior al delito".

Me recuerda aquel dibujo de Honoré Daumier en el que el abogado defensor exclama: "No, no y mil veces no. Y como mil negaciones valen más que una afirmación, ruego que se absuelva a mi cliente".

Para una empresa sería una estrategia nefasta dejar su defensa en manos del mismo abogado que certifica como experto la suficiencia del control y la fecha de su implantación. Pensemos que en la jurisdicción penal se pone en duda la validez de la prueba con una frecuencia mucho mayor que en otras jurisdicciones. Los informes de experto son considerados como informes de parte y si provienen del abogado que defiende a la empresa pueden perder credibilidad.

Pero incluso en el caso de que el informe vaya firmado por un experto independiente, en el procedimiento penal se puede poner en duda igualmente la fecha efectiva del control.

Por ello es muy importante que exista una actividad adicional que permita aportar credibilidad cronológica a los esfuerzos realizados por la empresa para prevenir y detectar el delito. Con la experiencia obtenida en los primeros seis meses dedicados a proyectos de prevención, PwC ha diseñado un protocolo que refuerza la eficacia probatoria de los controles establecidos por las empresas.

Para descargar el protocolo, las empresas interesadas pueden solicitar las claves de acceso a javier.ribas@es.pwc.com

 

 

Responsabilidad penal de un Director de IT o de Seguridad Informática

La reforma del Código Penal no ha afectado al régimen de responsabilidad penal de las personas físicas que existía antes del 23 de diciembre de 2010 (con excepción de la desaparición de la responsabilidad solidaria y directa de la persona jurídica respecto a las multas impuestas a las personas físicas de su organización).

Ello significa que un Director de IT o de Seguridad Informática sólo será responsable a título personal cuando sea autor del delito, es decir, cuando haya realizado el hecho por sí solo, conjuntamente o por medio de otro del que se haya servido como instrumento. Así lo establece el artículo 28 del Código Penal.

También son considerados autores los que inducen a directamente a otra persona o personas a ejecutar el hecho delictivo y los que cooperan en su ejecución con un acto sin el cual no se habría efectuado.

Como vemos, en todos estos casos el Código Penal exige una implicación directa y dolosa del directivo en la ejecución de los actos. Esta implicación puede consistir en la participación directa en el acto delictivo o en la emisión de órdenes e instrucciones que lleven a los subordinados a cometer el delito.

Los delitos tecnológicos no admiten otra forma de comisión que la dolosa. Es decir, no pueden cometerse por imprudencia. Exigen una conducta activa e intencional del sujeto, una voluntad deliberada de cometer el delito.

La jurisprudencia ha desarrollado el concepto de responsabilidad penal por omisión, en la que puede incurrir un directivo respecto a conductas delictivas ejecutadas por quienes ocupan en la organización empresarial puestos subordinados. Para que se dé esta figura, el directivo debe tener conocimiento de los hechos y poder de disposición sobre los mismos, omitiendo el ejercicio de las facultades propias de su cargo para impedir el delito.

Para ello, es necesario que el directivo disponga de datos suficientes para saber que la conducta de sus subordinados, ejecutada en el ámbito de sus funciones y en el marco de su poder de dirección, crea un riesgo penal, y es necesario también que el directivo no ejerza las facultades de control que le corresponden sobre el subordinado y su actividad, o no actúe para impedir el acto delictivo.

Esta tolerancia dolosa, que situaría al directivo en la esfera de la autoría, es independiente del rango del directivo, ya que existirá responsabilidad penal por omisión siempre que el directivo tenga una posición de garante, es decir una obligación de supervisión y control sobre los actos de sus subordinados.

Por ello, para que los directivos de un Departamento de IT o de un Departamento de Seguridad Informática puedan ser declarados responsables penales de un delito cometido por uno de sus subordinados, el nivel de implicación del directivo en los hechos debe ser alto, a través de la autoría directa o del conocimiento y la tolerancia dolosa de los actos de sus subordinados.

La deliberada falta de control sobre riesgos con un nivel de probabilidad medio o alto podría ser asimilada a tolerancia dolosa, aunque será necesario analizar las circunstancias de cada caso.