Del 15 de Junio al 15 de Septiembre

Abiertos de 08:00 a 15:00

Preguntas frecuentes sobre los efectos de la implantaci贸n de et-seguridad en la organizaci贸n

En esta pagina de preguntas frecuentes resolveremos las dudas que habitualmente se plantean los usuarios que se encuentran interesados con el software ET-Seguridad.

驴Debo informar a los usuarios?

En efecto, resulta totalmente obligatorio. A trav茅s de la pantalla informativa que aparece en cada inicio de sesi贸n de los equipos con ET-Seguridad instalado, se consigue dar cumplimiento al:

  • Estatuto de los Trabajadores: el art. 20.3 permite al 鈥渆mpresario adoptar las medidas que estime m谩s oportunas de vigilancia y control para verificar el cumplimiento por parte del trabajador de sus obligaciones y deberes laborales, guardando en su adopci贸n y aplicaci贸n la consideraci贸n debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.鈥

Por tanto, las facultades organizativas empresariales se encuentran limitadas y condicionadas por los derechos fundamentales del trabajador, quedando obligado el empleador a respetar aqu茅llos. Para que la organizaci贸n pueda controlar el uso del ordenador, sin vulnerar el derecho a la intimidad del trabajador, no s贸lo ha de establecer las instrucciones de uso y acceso, sino que, adem谩s, debe advertir de los controles que la organizaci贸n va a realizar para controlar este uso. No es suficiente, pues, con que el empresario establezca v谩lidamente una prohibici贸n absoluta de uso privado de los medios de la organizaci贸n, sino que debe advertir de los controles y procedimientos que se van a utilizar para conocer el uso que da el trabajador al ordenador que se ha puesto a su disposici贸n.

Mientras no exista regulaci贸n empresarial o un “c贸digo de conducta” referente al uso del ordenador y del acceso a Internet de los trabajadores, y adem谩s, 茅ste no sea comunicado a los trabajadores de manera fehaciente, no puede existir incumplimiento de la buena fe contractual (por el mero uso no da帽ino), ni el empresario puede ejercer controles y registros en los ordenadores de los trabajadores, ya que estos se encuentran protegidos por el derecho a la intimidad como consecuencia de la doctrina fijada por el TEDH de 3 de abril de 2007 (TEDH 2007,23) (Caso Copland). Adem谩s, la garant铆a de intimidad no se restringe al correo electr贸nico, sino que se extiende a los archivos personales del trabajador as铆 como los archivos temporales, que son copias que se guardan autom谩ticamente en el disco duro de los lugares visitados a trav茅s de Internet, y es que esos archivos pueden contener datos sensibles en orden a la intimidad del trabajador, en la medida en que pueden incorporar informaciones reveladoras sobre aspectos de la vida privada (ideolog铆a, orientaci贸n sexual, aficiones personales, etc.).

  • RLOPD (Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el desarrollo reglamentario de la Ley Org谩nica 15/1999, de 13 de diciembre, de protecci贸n de datos personales): el art. 89.2 establece que 鈥渆l personal debe conocer de forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, as铆 como las consecuencias en que pudiera incurrir en caso de incumplimiento.鈥

El camino m谩s simple para el empresario es proceder comunicar fehacientemente a los trabajadores de la organizaci贸n los usos permitidos de los ordenadores y del acceso a Internet, as铆 como los mecanismos que se implantar谩n para su control.

De esta manera, si estas tecnolog铆as se utilizan para fines privados en contra de estas directrices o prohibiciones, y con conocimiento de los controles y medidas aplicables, no podr谩 entenderse que al realizar el control se ha vulnerado “una expectativa razonable de intimidad”.

驴Puedo realizar un control horario?

Las empresas tienen la obligaci贸n de llevar a cabo un registro diario de las horas que realice cada empleado, a fin de poder asegurar el control de las horas extraordinarias. Este control, seg煤n la Audiencia Nacional (AN), debe realizarse incluso en aquellas compa帽铆as en las que no se hagan horas extra.

En la letra c) del apartado 4 del art铆culo 12 del Estatuto de los Trabajadores establece que la jornada de los trabajadores a tiempo parcial se registrar谩 d铆a a d铆a y se totalizar谩 mensualmente, entregando copia al trabajador, junto con el recibo de salarios, del resumen de todas las horas realizadas en cada mes鈥.

La sentencia, del 4 de diciembre de 2015, determina que “el registro de jornada, que no de horas extraordinarias, es el requisito constitutivo para controlar los excesos de jornada”. Adem谩s, asevera que la negaci贸n de este registro “coloca a los trabajadores en situaci贸n de indefensi贸n que no puede atemperarse porque las horas extraordinarias sean voluntarias, puesto que el 煤nico medio de acreditarlas es, precisamente, el control diario”.

La creaci贸n de un registro, concluye la resoluci贸n, eliminar谩 cualquier duda sobre si se hacen o no horas extraordinarias y si su realizaci贸n es voluntaria.

驴Tengo que limitar el control de acceso a los recursos?

No solo eso, sino que resulta obligatorio en cumplimiento del art. 91 del RLOPD (Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el desarrollo reglamentario de la Ley Org谩nica 15/1999, de 13 de diciembre, de protecci贸n de datos personales) 鈥渓imitar el acceso 煤nicamente a aquellos recursos que los usuarios precisen para el desarrollo de sus funciones鈥.

Con ET-Seguridad puede autorizar o revocar la autorizaci贸n de acceso a los programas, archivos por tipolog铆a o bien la navegaci贸n en Internet.

驴Es necesario definir perfiles de usuario?

Si el sistema de informaci贸n no se encuentra gestionado a trav茅s de cuentas de usuarios personales, ser谩 menester definir perfiles de usuario en la propia aplicaci贸n ET-Seguridad que permita garantizar:

  • 91.3 del RLOPD: Exigencia del establecimiento de 鈥mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.鈥
  • 93.1 del RLOPD: Obligatoriedad de la 鈥渁dopci贸n de las medidas que garanticen la correcta identificaci贸n y autenticaci贸n de los usuarios鈥 con independencia del nivel de seguridad de los datos que vaya a usar y tratar.
  • 93.2 del RLOPD: Exigencia del establecimiento de 鈥渦n mecanismo que permita la identificaci贸n de forma inequ铆voca y personalizada de todo aquel usuario que intente acceder al sistema de informaci贸n y la verificaci贸n de que est谩 autorizado.鈥
  • 31 bis del C贸digo Penal (aprobado en la Ley Org谩nica 1/2015, de 30 de marzo): Con el fin de evitar la responsabilidad penal de la empresa por los posibles delitos cometidos por sus directivos, empleados y colaboradores, se prev茅 la implantaci贸n de modelos de organizaci贸n y gesti贸n que persiguen la exenci贸n/atenuaci贸n de la responsabilidad penal de la empresa y sus directivos. El riesgo, hoy por hoy, de que una persona jur铆dica pueda verse implicada en un delito contra la intimidad o intrusismo inform谩tico (art. 197 del C贸digo Penal) es tan grande que se deben imponer medidas restrictivas y de seguridad con celo m谩ximo. Evidentemente, el grado t茅cnico de este riesgo implicar谩 un asesoramiento t茅cnico independiente por parte de inform谩ticos, ingenieros u personal cualificado.
驴Qu茅 tipo de contrase帽as debo definir?

Cuando el mecanismo de autenticaci贸n se base en la existencia de contrase帽as se debe asegurar que 茅stas:

  • 93.2 del RLOPD: Se definir谩n contrase帽as 煤nicas por cada usuario de modo que 鈥減ermita la identificaci贸n de forma inequ铆voca y personalizada de todo aquel usuario que intente acceder al sistema de informaci贸n y la verificaci贸n de que est谩 autorizado.鈥
  • 93.3 del RLOPD: El almacenamiento de las contrase帽as deber谩 garantizar 鈥渟u confidencialidad e integridad.鈥
驴Puedo gestionar las contrase帽as?

Efectivamente, a trav茅s del ET-Seguridad es posible la administraci贸n sencilla e intuitiva de las opciones de contrase帽as de la directiva de Windows, permitiendo la configuraci贸n de: longitud m铆nima de la contrase帽a, vigencia m铆nima y m谩xima de la contrase帽a, historial de contrase帽as, umbral de bloqueo y duraci贸n del bloqueo.

Dicha configuraci贸n da cumplimiento al:

  • 93.4 del RLOPD: La periodicidad de renovaci贸n de las contrase帽as 鈥渆n ning煤n caso ser谩 superior a un a帽o.鈥
  • 98 del RLOPD: A partir del tratamiento de datos considerados de nivel medio se exige el establecimiento de 鈥渦n mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informaci贸n.鈥
驴Es posible controlar la navegaci贸n en Internet?

No solamente es posible, sino que el control de la navegaci贸n en Internet es un mecanismo para verificar el cumplimiento por parte del trabajador de sus obligaciones y deberes laborales. Dicho control no se puede realizar de cualquier manera, de modo que el empresario deber谩 proceder a comunicar fehacientemente a los trabajadores de la organizaci贸n los usos permitidos del acceso a Internet, as铆 como los mecanismos que se implantar谩n para su control (revisar respuesta a la pregunta 驴Debo informar a los usuarios?).

Seg煤n un estudio realizado por Robert Half International, empresa especializada en personal ejecutivo, navegar por Internt lidera la lista de tareas en las que se pierde el tiempo durante la jornada de trabajo (enlace a noticia). Para evitar un uso excesivo, alrededor del 25% de las empresas espa帽olas han limitado el uso de Internet en el trabajo, seg煤n una encuesta realizada por Adecco (enlace a noticia).

A trav茅s de la aplicaci贸n ET-Seguridad es posible monitorizar el acceso a Internet y generar informes de tiempo de permanencia en las distintas p谩ginas visitadas. Paralelamente, permite la personalizaci贸n de las listas negras (acceso denegado a p谩ginas web) por equipo.

驴Puedo monitorizar el acceso de los usuarios a los recursos del sistema?

Naturalmente que s铆. El Administrador puede activar la monitorizaci贸n de los intentos de acceso a aplicaciones, archivos ubicados en determinados directorios, archivos cifrados, archivos ubicados en dispositivos conectados por Usb y p谩ginas web en Internet.

Cuando los datos contenidos en los archivos o accedidos a trav茅s de las aplicaciones sean considerados de nivel alto de seguridad, el art. 103.1 del RLOPD establece que 鈥渄e cada intento de acceso se guardar谩n, como m铆nimo, la identificaci贸n del usuario, la fecha y hora en que se realiz贸, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.鈥

驴Durante cu谩nto tiempo puedo almacenar los registros de acceso?

Cuando los datos contenidos en los archivos o accedidos a trav茅s de las aplicaciones sean considerados de nivel alto de seguridad, no solamente es obligatorio registrar el acceso, sino que el art. 103.4 establece que 鈥渆l per铆odo m铆nimo de conservaci贸n de los datos registrados ser谩 de dos a帽os.鈥

ET-Seguridad almacena los registros de acceso por defecto durante 2 a帽os, aunque es posibles ampliar el plazo.

驴De qu茅 me sirven las capturas de pantalla?

Las capturas de pantalla son una herramienta gr谩fica de registro de la actividad realizada en el seno de la organizaci贸n. La configuraci贸n de los disparadores permite definir aqu茅llos eventos que ser谩n fotografiados (o capturados) cuando se produzcan, definiendo el tiempo entre capturas y el de almacenamiento de las im谩genes.

驴C贸mo puedo revisar la informaci贸n registrada?

No solamente es necesario el registro de los accesos, sino que dicha informaci贸n de registro debe ser accesible por parte de los responsables de su revisi贸n y an谩lisis. El art. 103.5 del RLOPD establece que 鈥渆l responsable de seguridad se encargar谩 de revisar al menos una vez al mes la informaci贸n de control registrada y elaborar谩 un informe de las revisiones realizadas y los problemas detectados.鈥

ET-Seguridad incorpora un visor de informe de accesos a aplicaciones, archivos y p谩ginas web visitadas, archivos cifrados, capturas de pantalla y control horario, totalmente exportables para su revisi贸n por parte del personal autorizado.

驴Dispongo de alguna herramienta o servicio de an谩lisis?

Por supuesto, con el fin de facilitar al Responsable de Seguridad la tarea de an谩lisis de la informaci贸n y elaboraci贸n del informe de las revisiones y problemas detectados, exigido en el art. 103 del RLOPD, se ofrece el servicio de an谩lisis gestionado de la actividad. Dicho an谩lisis incluye la disposici贸n de un informe con detalle del registro de la actividad y estad铆sticas de uso y acceso.

驴Por qu茅 debo cifrar los datos?

Porqu茅 resulta obligatorio garantizar el acceso indebido a la informaci贸n durante su transporte o transmisi贸n. El cifrado de datos es el proceso por el que una informaci贸n legible se transforma mediante un algoritmo en informaci贸n ilegible. Esta informaci贸n ilegible se puede enviar a un destinatario con muchos menos riesgos de ser le铆da por terceras partes.

El propio desarrollo reglamentario de la Ley Org谩nica 15/1999, de 13 de diciembre, de protecci贸n de datos personales (aprobado por el Real Decreto 1720/2007, de 13 de 21 de diciembre) establece:

  • 92.3 del RLOPD: En el traslado o env铆o de documentaci贸n 鈥渟e adoptar谩n las medidas dirigidas a evitar la sustracci贸n, p茅rdida o acceso indebido a la informaci贸n durante su transporte.鈥
  • 101.2 del RLOPD: La distribuci贸n de los soportes que contengan datos de car谩cter personal de nivel alto 鈥渟e realizar谩 cifrando dichos datos鈥.
  • 104 del RLOPD: La transmisi贸n de datos de car谩cter personal de nivel alto a trav茅s de redes p煤blicas o redes inal谩mbricas de comunicaciones electr贸nicas 鈥渟e realizar谩 cifrando dichos datos鈥.
驴Cu谩ndo deber谩n utilizar la herramienta de cifrado mis usuarios?

Siempre que deseen garantizar la integridad y confidencialidad de la informaci贸n contenida en los equipos de trabajo, dispositivos portables o aquella documentaci贸n que vaya adjunta a un correo electr贸nico.

Para ello, el m贸dulo de cifrado ET-Encrypt ofrece distintas modalidades de uso:

  • Cifrado/descifrado de carpetas: cifra/descifra el contenido de toda una carpeta.
  • Cifrado/descifrado de archivo: cifra/descifra el contenido del archivo con opci贸n de descifrado online (sin coste para el destinatario).
  • Creaci贸n de carpeta segura: cifrado autom谩tico de los archivos contenidos en la carpeta segura de uso privado por el usuario.

Conversi贸n de dispositivo portable (conectado por Usb) a dispositivo seguro: la aplicaci贸n USB-Encrypt permite la creaci贸n de la carpeta segura en el dispositivo externo con cifrado autom谩tico de los archivos contenidos en la misma para el traslado seguro del dispositivo.

Si tras todas estas preguntas frecuentes no hemos respondido a alguna de sus preguntas, por favor, proceda a la p谩gina de contacto para consultarnos directamente.

Env铆enos un mensaje con cualquier duda que le surja, estamos aqu铆 para ayudarle. Le atenderemos sin compromiso alguno por su parte.

Contacte con nosotros

Tabla resumen ET-Seguridad y las leyes en la que ofrece cobertura

Preguntas frecuentes ET-Seguridad LOPD [1] RLOPD [2] CP [3] ET [4]
驴Debo informar a los usuarios? Art. 5 Deber de informaci贸n Art. 89.2 Funciones y obligaciones del personal   Art. 20.3 Direcci贸n y control de la actividad laboral
驴Puedo realizar un control horario? Art. 4 Calidad de datos Art. 8 Calidad de datos   Art. 12.4.c) Contrato a tiempo parcial
驴Tengo que limitar el control de acceso a los recursos? Art. 9 Seguridad de los datos Art. 91 Control de acceso    
驴Es necesario definir perfiles de usuario? Art. 9 Seguridad de los datos Art. 91.3, 93.1 y 93.2 Identificaci贸n y autenticaci贸n Art. 31 bis para evitar delito 197. Descubrimiento y revelaci贸n de secretos  
驴Qu茅 tipo de contrase帽as debo definir? Art. 9 Seguridad de los datos Art. 93.2 y 93.3 Identificaci贸n y autenticaci贸n    
驴Puedo gestionar las contrase帽as? Art. 9 Seguridad de los datos Art. 93.4 y 98 Identificaci贸n y autenticaci贸n    
驴Es posible controlar la navegaci贸n en Internet? Art. 5 Deber de informaci贸n y art. 9 Seguridad de los datos Art. 85 Acceso a datos a trav茅s de redes de comunicaciones   Art. 20.3 Direcci贸n y control de la actividad laboral
驴Puedo monitorizar el acceso de los usuarios a los recursos del sistema? Art. 9 Seguridad de los datos Art. 103.1 Registro de accesos   Art. 20.3 Direcci贸n y control de la actividad laboral
驴Durante cu谩nto tiempo puedo almacenar los registros de acceso? Art. 9 Seguridad de los datos Art. 103.4 Registro de accesos    
驴De qu茅 me sirven las capturas de pantalla? Art. 9 Seguridad de los datos     Art. 20.3 Direcci贸n y control de la actividad laboral
驴C贸mo puedo revisar la informaci贸n registrada? Art. 9 Seguridad de los datos Art. 103.5 Registro de accesos   Art. 20.3 Direcci贸n y control de la actividad laboral
驴Dispongo de alguna herramienta o servicio de an谩lisis? Art. 9 Seguridad de los datos Art. 103.5 Registro de accesos   Art. 20.3 Direcci贸n y control de la actividad laboral
驴Por qu茅 debo cifrar los datos? Art. 9 Seguridad de los datos

Art. 92.3 y 101.2 Gesti贸n de soportes y documentaci贸n

Art. 104 Telecomunicaciones

Art. 31 bis para evitar delito 197. Descubrimiento y revelaci贸n de secretos  
驴Cu谩ndo deber谩n utilizar la herramienta de cifrado mis usuarios? Art. 9 Seguridad de los datos    

[1] LOPD: Ley Org谩nica 15/1998, de 13 de diciembre, de Protecci贸n de Datos de Car谩cter Personal

[2] RLOPD: Desarrollo reglamentario de la LOPD (aprobado por Real Decreto 1720/2007, de 21 de diciembre)

[3] CP: Ley Org谩nica 1/2015, de 30 de marzo, de modificaci贸n del C贸digo Penal

[4] ET: Estatuto de los Trabajadores (aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre)