¿Redes Sociales en el trabajo?

El 27 de abril último se aprobó en el Senado del Estado de Washington un proyecto de ley denominada «Employer Social Media Password Bill» algo así como la «Ley para Empleadores sobre el Uso de Claves de Redes Sociales» que pueden ver aquí. Actualmente esta norma se encuentra a la espera de la firma del Gobernador de dicho Estado para entrar en vigencia y regula el acceso de los empleadores a las cuentas privadas de los trabajadores en redes sociales. En este post compartiremos con ustedes las principales regulaciones de esta norma y nuestros comentarios al respecto.

La ley prohíbe a los empleadores:

  • Solicitar a sus trabajadores o postulantes a puestos de trabajo la entrega de sus claves de acceso a redes sociales.
  • Obligar a los trabajadores a ingresar a sus cuentas en redes sociales delante de ellos, es decir, de forma y manera que permita al empleador tener acceso al contenido de la cuenta del trabajador.
  • Obligar al trabajador a agregar al empleador, o a cualquier otra persona indicada por el empleador, como contacto en cualquier red social.
  • Obligar al trabajador a modificar la configuración de su cuenta en alguna red social de modo que se eliminen restricciones al acceso de terceras personas.
  • Aplicar sanciones o tomar cualquier medida en contra del trabajador o postulante que se niegue a realizar alguna de las actividades señaladas precedentemente.

Si bien alguna vez había leído un artículo señalando la ilegalidad de estas prácticas; no le presté mucha atención pues me pareció bastante lógico que así fuera. En efecto, siempre he considerado que la información que ingresamos a las redes sociales y que pretendemos que se mantenga en un ámbito privado o con alguna restricción de acceso debía mantenerse así. Nunca pude imaginar que alguien pretendiera obligar a otra persona a revelar información que no desea que salga de su círculo personal.

Lamentablemente, pareciera que anduve equivocado pues sospecho que, al menos en los EUA, está costumbre está alcanzando ribetes de plaga ya que las legislaturas estatales se están viendo forzadas a regular estas prohibiciones mediante leyes expresas. Como vemos en este documento, las legislaturas de California, Illinois, Maryland, Michigan, New Jersey, New Mexico y Utah han promulgado normas que protegen las claves de acceso a redes sociales de los trabajadores y ya empieza a circular la pregunta de si es necesario dictar una norma Federal al respecto.

Otras disposiciones de la norma bajo comentario permiten a los empleadores acceder a la información contenida en las cuentas de sus trabajadores en redes sociales cuando se cumplan (todas) las siguientes condiciones:

  • Cuando resulte necesario para obtener información requerida en una investigación.
  • Cuando la investigación derive de una denuncia acerca de las actividades del trabajador en redes sociales.
  • Cuando el propósito de la investigación sea: (i) asegurar el cumplimiento de leyes, regulaciones o prohibiciones relacionadas con la actividad del trabajador o (ii) determinar la transferencia ilegal de información confidencial del empleador, información propiedad del empleador o información financiera del empleador.
  • Que el empleador no hubiera solicitado la clave de acceso a la cuenta del trabajador en la red social.

Hasta ahora pareciera que todo va bien y que el trabajador podría vivir tranquilo pues el propósito de la norma sería básicamente limitar el acceso a la información de las redes sociales del trabajador únicamente aquellos casos cuando se sospeche de actos ilegales que pudieran afectar gravemente al empleador. No obstante ello, existen algunas otras disposiciones que nos preocupan y que tienen que ver con las herramientas (software y hardware) proporcionados por el empleador.

En efecto, según esta norma las protecciones mencionadas líneas arriba no serán aplicables cuando se trate de redes sociales internas, intranets, herramientas colaborativas o mecanismos de comunicación proporcionadas por el empleador. Tampoco se aplican a cuentas o equipos pagados o proporcionados por el empleador ni cuando se trata de cumplir disposiciones contenidas en políticas de recursos humanos del empleador o normas legales que le resulten aplicables independientemente del lugar en donde se usó la red social (en el trabajo o fuera de el).

Como señala Antonio Rodriguez en este post (aquí) en el Perú aún no tenemos una norma aprobada al respecto aunque sí algunos proyectos de ley (aquí) y algunas sentencias del Tribunal Constitucional (aquí) con posiciones y declaraciones de diferente índole. Es importante destacar que en ninguna de ellas se establece que el empleador pudiera tener algún derecho a exigir la clave de acceso a la cuenta privada que algún trabajador pudiera tener en una red social ni siquiera en circunstancias en que se pudiera afectar gravemente al empleador.

Pareciera que el debate empezará pronto y será necesario que se tome una decisión al respecto definiendo claramente cuál será la regla aplicable al uso de redes sociales en el trabajo y fuera de él.

Entrada publicada originalmente en el blog Cyberlaw del diario Gestión (aquí).

Y no podrán botarte…

Es sabido que el uso de las nuevas tecnologías en el centro de trabajo es un aspecto que puede generar -y de hecho genera- una serie de tensiones entre empleadores y trabajadores, conflictos que muchas veces suelen terminar discutiéndose en los tribunales.

No obstante, esta tirantez no se ha traducido en el Perú en una gran jurisprudencia sobre la materia. Como antecedentes identificados, tenemos la Sentencia del Tribunal Constitucional en el conocido caso García Mendoza v. Serpost (Uso de Internet en el trabajo, pensando en voz alta) y un par de Proyectos de Ley presentados en el Congreso de la República para regular el uso de las nuevas tecnologías en centros laborales, curiosamente ambos por la parlamentaria Lazo de Hornung de Alianza Parlamentaria (Regulando las comunicaciones electrónicas en el trabajo).

Hace poco nuestro Tribunal Constitucional nos ha sorprendido con dos sentencias más sobre la materia.

En primer caso de Telefónica Centros de Cobro (Exp. No. 00114-2011-PA/TC), la empresa descubre que su Jefe Zonal de Piura viene utilizando una aplicación conocida como NetSend así como el sistema de envío de mansajes cortos (SMS) del teléfono celular corporativo para sostener conversaciones con un lenguaje «soez e impropio» y «ajenas a las que deben darse en un centro de trabajo ya que son de contenido sexual» con una empleada de la empresa. El otro caso, de Telefónica Gestión de Servicios Compartidos (Exp. No. 03599-2010-PA/TC), parece que está relacionado con el primero, y correspondería a la señorita que mantuvo las conversaciones soeces, impropias y de contenido sexual con su jefe, a la sazón Jefe Zonal de Piura, a través de la aplicación NetSend. En ambos procesos, el Poder Judicial en dos instancias decidió prudentemente declarar improcedente las demandas, por considerar que los hechos no podían ventilarse en un proceso de amparo. Pero ya sabemos que la ausencia de una etapa probatoria no intimida a nuestro Constitucional y rara vez se inhibe de decidir, aún cuando debiera hacerlo. Son las ventajas de encontrarse por encima del bien y del mal.

Ninguna de las dos sentencias van a pasar a la posteridad, como ocurre con la inmensa mayoría de las toneladas folios que expide al año nuestro Constitucional, en lo que vendría a ser una versión posmoderna y perversa del fordismo aplicado a los tribunales, pues la carga de trabajo es inversamente proporcional a la calidad de las resoluciones. El Tribunal Constitucional peruano ha ampliado conscientemente sus competencias casi al infinito lo que lo ha convertido en una suerte de instancia adiconal paralela a la judicial. Algo falla en el sistema y en particular con el Tribunal Constitucional a la cabeza, pero no es este el foro para discutirlo.

En lo que respecta a estas dos extrañas sentencias, ambas están conformadas por seis votos distintos. Tres se decantan por declarar fundadas las demandas, dos por que sean declaradas infundadas y una para que sean tramitadas y no declaradas improcedentes de forma liminar, como ocurrió inicialmente en las dos instancias anteriores.

No obstante, dado que incluso los votos que van por el camino de declarar a la demanda como fundada no son coincidentes, es poco lo que se puede extraer como conclusión respecto de cuál sería el criterio que los empleadores deberían seguir cuando se enfrenten a este tipo de casos. Pero la seguridad jurídica y la predictibilidad tampoco suele ser principios que inspiren a nuestro Tribunal Constitucional.

Para Mesía Ramirez el poder disciplinario que tiene el empleador no lo faculta para acceder al contenido de correos electrónicos o de aplicativos del tipo NetSend, sin autorización judicial. Cuestionable, incluso cita mal dos asuntos seguidos ante el Tribunal Europeo de Derechos Humanos (Asuntos Copland contra Reino Unido y Halford contra Reino Unido). Calle Hayen es de la misma opinión. Eto Cruz, parece destacar con acierto que la Ley no ha previsto ningún procedimiento ni garantía para la intervención de las comunicaciones de los trabajadores por la protección de determinados derechos constitucionales del empleador; sin embargo, considera que la demanda debe declararse fundada, pues el Reglamento de Trabajo de las demandadas carece de alguna alusión respecto del uso de las tecnologías de la información por parte de los trabajadores, ni las formas de utilización de las mismas, ni la capacidad de fiscalización, ni menos aún las sanciones correspondientes por el uso indebido. Razonable.

Vayamos ahora al bando que quedó en minoría. Álvarez Miranda, en lo que viene a ser de lejos el voto mejor sustentado, considera que «no puede asimilarse mecánicamente el tratamiento de las cuentas privadas a las laborales. (…) No puede entenderse que una sesión de chat realizada a través de una aplicación proporcionada por el empleador, como herramienta de trabajo, haya generado una expectativa razonable de confidencialidad. (…) Puede decirse que el e-mail laboral y el chat o mensajero interno, son medios de comunicación laboral, al igual que los clásicos memorandos, oficios o requerimientos, sólo que más rápidos, prácticos y ecoeficientes que estos últimos. Y no se puede desprender, razonablemente, por su propia naturaleza, que un oficio, memorando o requerimiento sea un medio de comunicación sobre el que quepa guardar una expectativa de secreto o confidencialidad». Para Urviola Hani, ni tipificación en el Reglamento de Trabajo ni nada por el estilo, el correo o cualquier herramienta informática es únicamente para fines laborales. Finalmente, Vergara Gotteli nos dirá que la demanda sí tiene relevancia constitucional por lo que no correspondía rechazarla liminarmente.

Como pueden ver, decisiones para todos los gustos. Por lo pronto el Jefe Zonal podrá seguir enviando menajes procaces a su subordinada, sólo que ahora, con total impunidad.

Foto: Sean MacEntee (CC BY)

Rudy Palma, hacker por accidente

3055389463_029e344d5c_o

De niño vi muchas veces en la televisión el clásico ochentero WarGames (John Badham, 1983). En la película, un adolescente hábil con las computadoras intenta infiltrarse en la red de su proveedor de videojuegos favoritos para probar su próximo juego Global Thermonuclear War antes de su lanzamiento. Por accidente, termina conectándose a una red militar y el juego que piensa que está jugando en realidad podría desencadenar la tercera guerra mundial. Cuando el Estado lo descubre, es detenido e interrogado bajo los cargos de espionaje y de colaboración con los rusos. El funcionario que lo interpela no le cree cuando le dice que él solo estaba jungado. ¿Cómo lo logró? Adivinando que la contraseña de acceso sería el nombre del hijo de una de las personas cuyo nombre aparecía en la carpeta. Era un hacker, sí, porque descubrió una puerta trasera del sistema pero él quería hackear a una empresa de videojuegos y no poner en riesgo la seguridad nacional. Era un hacker con suerte.

Rudy Palma, nuestro así llamado primer ciber-hacker-periodista-2.0, es todo lo contrario: no es un hacker y tuvo muy mala suerte. Este caso ha llamado mi atención por varias razones. Creo que cometió un delito, como él mismo lo ha confesado. Sin embargo, también creo que no hemos comprendido exactamente de qué trata este caso, la forma tendenciosa en la que han sido consignados los cargos y las implicancias que esto tiene para todos.

Las contraseñas

Rudy Palma tiene 35 años y antes de trabajar en Perú 21, según su perfil de LinkedIn, había trabajado en el Ministerio de la Mujer y en el Instituto Prensa y Sociedad. Quizás por su experiencia laboral o por mera intuición, un día se le ocurrió que podía acceder a cuentas de correos ajenas usando como contraseña el nombre del usuario del correo. A todos nos ha pasado: nos dan una cuenta de correo o los datos de acceso a cierto sistema y por dejadez o desconocimiento nunca cambiamos la contraseña. Aprovechando esta mala costumbre, Rudy Palma tuvo acceso a las cuentas de correo de varios ministros y autoridades de alto rango. Según informes, se ha determinado que accedió hasta veinticinco veces en un solo día a la cuenta del Ministro de Comercio Exterior y Turismo.

Los encargados de sistemas, cuya labora es precisamente cuidar la seguridad de la red, lógicamente niegan esta teoría. Ellos dicen que las contraseñas eran “muy complejas”, dando a entender que era imposible que se llegue a ellas por deducción y que seguramente Rudy Palma debió de apelar a recursos más sofisticados. Traen a nuestra cabeza imágenes de hackers amaneciéndose frente a computadoras llenas de códigos. Yo creo que es una defensa apresurada para no asumir la responsabilidad que les toca por tener prácticas tan malas respecto del manejo de contraseñas y la seguridad de su red. ¿Se imaginan que Google les diese por defecto una contraseña igual a su nombre de usuario cuando abren una cuenta en Gmail? ¿No pensarían que es una irresponsabilidad de su parte?

Ya sé que suena ilógico creer que varias decenas de autoridades públicas coincidan todos en tener como contraseña para sus cuentas de correo electrónico su propio nombre de usuario. Pero suena todavía menos coherente pensar que alguien con la capacidad y el tiempo para quebrar sofisticadas estructuras de seguridad accedería a estas cuentas de correo: (i) desde la computadora de su trabajo, (ii) vía web (HTTP) y no a través de otro protocolo menos rastreable, y, (iii) sin usar una máscara de IP. Incluso los pedófilos y los estafadores, en el peor de los casos, operan desde una cabina Internet. Peor aún, ¿se  imaginan a un hacker reenviándose estos correos electrónicos a una cuenta de correo que asociada a su nombre y apellido? En una de sus últimas declaraciones filtradas por la prensa, Rudy Palma dijo que también intentó acceder a las cuentas de correo de Palacio de Gobierno pero desistió porque la página tardaba demasiado en cargar.

La pista

Apoya la teoría de las contraseñas adivinadas el que, aparentemente desde el 2008, Rudy Palma hacía lo mismo con distintas cuentas y entidades sin levantar la más mínima sospecha por parte de sus víctimas o los encargados de sistemas. Al haber adivinado la contraseña, el periodista se conectaba como si fuese el propio usuario y no generaba ninguna respuesta anómala por parte del servidor de correo. Si hubiese roto algún sistema de seguridad, hubiese dejado una huella lo suficientemente severa como para no pasar desapercibido cuatro años.

En muchos casos, pudo haber configurado alguna regla en el buzón de correo para que todos los correos que le lleguen sean reenviados a su cuenta, con lo que no necesitaba saber en todo momento las contraseñas. En otros, parece que tuvo la suerte de que esas cuentas de correo no cambien de contraseña durante ciertos periodos de tiempo. Les apuesto a que muchas todavía siguen teniendo la misma contraseña.

Según el reportaje de Caretas, alguien amenazó al Ministro de Educación Silva Martinot con revelar cierta información de su vida privada a la que había tenido acceso a través de su correo electrónico institucional. El Ministro, al comprobar que efectivamente se trataban de sus correos, recurrió al área de sistemas del Ministerio para averiguar cómo pudieron filtrarse. Recién entonces vieron la lista de las IPs desde donde se había accedido al correo del Ministro y descubrieron, entre ellas, que aparecía una que correspondía al diario Perú 21.

El Ministro llevó estos registros al diario y, a su vez, el personal de sistemas de Perú 21 identificó que dichos accesos al correo del ministro provenían desde la computadora de Rudy Palma. Inmediatamente, el diario despidió al redactor y lo puso a él y a su computadora a disposición de la Fiscalía. Luego, emitió un comunicado de prensa en donde se desvinculaban de haber participado directa o indirectamente en estos hechos. Palma no negó los hechos, reconoció haber accedido a esas cuentas y declaró haber actuado en solitario.

Si no hubiese sido por este intento de chantaje, nadie hubiese notado hasta ahora la actividad silenciosa aunque torpe de Rudy Palma. Hasta donde se conoce, no se ha logrado vincular a Palma con los correos amenazadores recibidos por el Ministro Silva Martinot aunque sí se ha encontrado que algunos de estos fueron reenviados desde la cuenta del Ministro a la de Palma. La revista Caretas publica hoy que, incluso luego de la detención del periodista, el Ministro seguía recibiendo los mismos mensajes de chantaje.

Los cargos

Rudy Palma usaba esta información como insumo para elaborar notas periodísticas para el diario donde trabajaba como redactor de Economía. Una forma bastante heterodoxa de conseguir exclusivas, sin duda. Las investigaciones han encontrado varias de estas noticias filtradas, como cambios de funcionarios, proyectos normativos y agendas de reuniones.

Por estos hechos, Rudy Palma está siendo procesado como presunto autor de tres delitos distintos: (i) violación de la correspondencia, (ii) delito informático en la modalidad de utilización indebida del sistema informático, y (iii) delito contra el Estado y la Defensa Nacional en la modalidad de revelación de secretos nacionales.

Violación de la correspondencia

El artículo 161 del Código Penal señala que el que “abre, indebidamente, una carta, un pliego, telegrama, radiograma, despacho telefónico u otro documento de naturaleza análoga” que no le está dirigido, “o se apodera indebidamente de alguno de estos documentos, aunque no esté cerrado” comete el delito de violación de correspondencia. En este caso, el correo electrónico se entiende como un medio análogo y el tipo penal encaja perfectamente con los hechos. Todos estamos de acuerdo, conforme a la confesión de Palma, que cometió el delito de violación de la correspondencia. Este delito tiene como pena máxima dos (2) años.

Delito informático

El caso del delito informático es un poco más complejo. Según el artículo 207-A del Código Penal, se considera delito informático utilizar o ingresar indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos. Es decir, el Código considera tanto el ingreso indebido como la utilización indebida (entiendo: no autorizada) de una base de datos, sistema o red de computadoras con la finalidad de interferir, interceptar, acceder o copiar información.

Según los hechos, Palma habría ingresado de forma no autorizada (indebida) a una cuenta de correo electrónico (parte de una base de datos) con la finalidad de acceder y copiar información ahí contenida. Este delito tiene como pena máxima dos (2) años. Si lo hizo con la finalidad de obtener un beneficio económico, como podría argumentarse en este caso, la pena se extiende a tres (3) años.

Difusión de Secretos Nacionales

La imputación más polémica es la de revelación de secretos nacionales. En concreto, la Fiscalía cree que al haber tenido acceso y usado como base para elaborar notas periodísticas una Agenda de Consejo de Ministros, detalles sobre la negociación de un tratado comercial con Venezuela y la entrada al país de una unidad naval y personal militar de Chile se habrían revelado secretos nacionales. Este delito tiene como pena máxima quince (15) años, la misma que le corresponde a las lesiones por violencia familiar, la trata de personas y la violación de persona en estado de inconsciencia.

Creo que la Fiscalía confunde la calificación de “secreto nacional”, que el Código Penal define como aquellos secretos que el interés de la República exige guardar, con la información prohibida de ser revelada para el régimen de publicidad de los actos estatales. La Ley de Transparencia y Acceso a la Información pública distingue, en su artículo 15, tres tipos de información que están exceptuadas del régimen de transparencia: (i) secreta: información militar o de inteligencia previamente clasificada por los funcionarios autorizados para hacerlo; (ii) reservada: información cuya revelación originaría un riesgo a la seguridad e integridad territorial del Estado y la defensa nacional en el ámbito externo, al curso de las negociaciones internacionales y/o la subsistencia del sistema democrático previamente clasificada; y, (iii) confidencial: aquella que afecte a terceros o contenga consejos, recomendaciones u opiniones producidas como parte del proceso deliberativo y consultivo previo a la toma de una decisión de gobierno.

Cuando el Código Penal alude a secretos que el interés de la República exige guardar y le asigna una pena de quince (15) años está pensando en información secreta de especial cuidado y previamente clasificada como tal por parte de las autoridades competentes. Los documentos cuyo contenido supuestamente Palma divulgó, por el contrario, más parecen información reservada (autorización de entrada de militares extranjeros) y cuya revelación no está en capacidad de poner en riesgo las relaciones internacionales ni el orden interno. La información que Palma reveló es tan confidencial como lo son las actas de sus propias declaraciones en este caso, a los que la prensa ha tenido acceso y difundido indiscriminadamente como en tantos casos, o como lo es cualquier expediente administrativo en trámite de Indecopi u Osiptel.

Lo siguiente

Si lo difundido por la prensa es cierto, Palma no es un hacker. Podría decirse que incluso su conocimiento sobre redes informáticas y buzones de correo es limitada. Me recuerda mucho más a Chris Chaney, ese treintañero aburrido y desempleado de un suburbio de Estados Unidos, quien respondiendo a las preguntas de verificación de identidad logró acceder a las cuentas de correo electrónico de Scarlett Johansson, Mila Kunis, entre otras celebridades, y filtrar sus fotografías personales. Él tampoco quiso ser un hacker, recién tuvo una computadora propia a los veinte años, y su curiosidad lo llevó a una condena de sesenta años en prisión.

Hay muchos que han visto en este caso un enseñamiento contra un medio de prensa o la excusa perfecta para introducir regulación más estricta sobre la prensa. De hecho, ciertas irregularidades procesales y la inclusión del delito de revelación de secretos estatales no parecen fortuitas.

Yo creo que, si se desestima el cargo de los secretos estatales, esta es una oportunidad excelente para el Estado de demostrar cómo se puede impartir justicia y condenar a periodistas por delitos que efectivamente cometieron sin poner el riesgo las garantías para la libertad de expresión. Mientras tanto, Rudy Palma ha sido trasladado al penal que le corresponde y espera su proceso. En su foto de perfil en Facebook ahora hay un perro.  Otra de sus fotos es una ilustración donde se lee: El mundo necesita de gente que ame lo que hace.

Ilustración: Ben Heine (C)

Uso de Internet en el trabajo: el turno del Ejecutivo

El uso de Internet en el centro de trabajo y los límites del empleador para supervisarlo parecen ser el tema de moda en el derecho laboral peruano. Pocos días después de que una congresista presentara una propuesta legislativa sobre el tema, el Poder Ejecutivo ha enviado al Congreso su propio Proyecto de Ley [pdf] sobre el asunto. Si bien el Proyecto del Ejecutivo va en el mismo sentido que el anterior, mejora su técnica legislativa en varios aspectos:

  • En lugar de distinguir según la propiedad del recurso informático, el Proyecto define taxativamente los medios informáticos que el empleador puede proporcionar al empleado y sus fines (ej. uso de Internet para buscar información, uso de redes sociales para contacto con clientes, entre otros). A contrario, todo medio y uso no amparado se entendería como parte de las comunicaciones privadas del trabajador y no podría ser inspeccionado sin orden judicial.
  • Respecto del uso de los medios informáticos contemplados, el empleador deberá de elaborar unas Políticas de Uso Aceptable que regulen la forma en la que autoriza al trabajador a usarlos. Estas Políticas deberán de comunicadas al trabajador previamente a la entrega de los recursos. De no existir, se presumirá que su uso es ilimitado.
  • Sin embargo, la no existencia de un documento de Políticas de Uso Aceptable no significa que el trabajador podrá hacer un uso “irracional” o “desproporcionado” de los medios electrónicos. Así mismo, tampoco enerva la posibilidad de que el empleador implemente medidas tecnológicas de bloqueo de tráfico o filtros de contenido.
  • El empleador queda autorizado a usar los medios “técnicamente idóneos” para que, en ejercicio de su poder de fiscalización, supervise el uso adecuado de los medios informáticos otorgados al trabajador conforme a las Políticas. Esta potestad, sin embargo, no podrá significar la interceptación o acceso al contenido de las comunicaciones privadas enviadas o recibidas por los trabajadores.

Al igual que el anterior, este Proyecto no va a cambiar mucho para la mayoría de nosotros. Casi todas las empresas filtran en mayor o menor medida el uso de los medios informáticos por parte de sus trabajadores. Estos intentos de regulación sirven para poder contar con un límite claro entre aquel terreno en el que puede entrar un empleador (ej. limitando la posibilidad de que un trabajador descargue documentos del Intranet hacia una memoria USB) y aquel donde su irrupción es afecta derechos fundamentales (ej. inspección de la cuenta de correo personal del trabajador). Ahí el límite es importante porque las empresas no quieren jugarse la posibilidad de luego ser demandados por violación de las comunicaciones si los límites entre lo que es comunicación privada y comunicación con fines laborales no están claros.

De aprobarse tal cual, espero que el Reglamento aclare lo de uso “irracional” o “desproporcionado” en los casos en los que no existen Políticas de Uso Aceptable. Dejar demasiado abiertas esas definiciones funcionaría como un incentivo perverso para los empleadores: ¿por qué tendría que elaborar y hacer firmar unas Políticas de Uso Aceptable si luego puedo decir libremente que tal o cual uso –según cómo lo argumento– es desproporcionado?

En la práctica, la historia nos ha enseñado que no hay ningún mecanismo de control que sea perfecto. Personalmente, creo que las empresas deberían limitarse a controlar todo uso que pueda poner en riesgo la información de la empresa, como prohibiendo el copiado de determinados archivos o volúmenes. Un excesivo interés en bloquear páginas de ocio y distracción a sus empleados, además del obvio malestar, podría desencadenar una carrera de brazos entre el área de sistemas y los demás empleados, que solo redundaría en sobre costos en recursos informáticos y pérdida de horas-hombre.

Regulando las comunicaciones electrónicas en el trabajo

La semana pasada se presentó en el Congreso el “Proyecto de Ley que regula el uso de las nuevas tecnologías en centros laborales públicos y privados” [pdf]. Se trata del segundo proyecto que presenta la parlamentaria Lazo de Hornung (Alianza Parlamentaria) referente al mismo tema. El anterior se presentó el 2007 y, luego de tres años en Comisión, fue archivado hace unos días por considerarse que ya existía una norma sobre el tema.

El Proyecto pretende establecer un límite entre el poder de fiscalización del empleador y los derechos fundamentales a la intimidad e inviolabilidad de las comunicaciones del trabajador de cara a las distintas medidas tecnológicas de control de las comunicaciones. Así, el criterio que establece es el de la propiedad del recurso tecnológico:

  1. si el medio de comunicación ha sido proporcionado por el empleador, es de propiedad de éste y puede ser inspeccionado previa autorización escrita del trabajador (que puede darse como cláusula en el propio Contrato de Trabajo o Reglamento Interno); y,
  2. si el medio de comunicación fue contratado directamente por el trabajador (como una cuenta de correo personal o en una red social) es inviolable y no puede ser objeto de inspección por parte del empleador.

Además, el Proyecto establece el derecho del empleador a “dar seguimiento” a los sitios web visitados por sus trabajadores y a bloquear o limitar los que considere pertinentes. Interpretado según el ánimo de la norma, entiendo que este “seguimiento” no podría suponer un acceso directo al contenido de las comunicaciones (ej. captura de pantalla) porque podría afectar el derecho a la inviolabilidad de las comunicaciones del trabajador. Por tanto, debería limitarse a monitoreo externo como listas de sitios web más visitados o listas de empleados que usan más el ancho de banda.

El precedente más importante sobre estos temas en nuestro país es el de García Mendoza v. Serpost donde un trabajador fue despedido por enviar material pornográfico a través del correo electrónico de la empresa. En esa oportunidad, el Tribunal Constitucional (TC) determinó que un medio de comunicación, aunque hubiese sido provisto por el empleador, se encontraba protegido como comunicación privada y era, por tanto, inviolable.

El Proyecto amplía los poderes del empleador establecidos por el caso García Mendoza v. Serpost. El TC había dicho, conforme al artículo 2.10 de la Constitución, que la única forma que tenía el empleador de intervenir en las comunicaciones personales era a través de un mandato judicial (Uso de internet en el trabajo, pensando en voz alta). Pero el Proyecto plantea que el empleador quede autorizado a intervenir en los medios de comunicación asignados al trabajador en el marco de una relación laboral en virtud de una autorización previa, que puede darse en la forma de autorización sábana incluída en el Contrato de Trabajo o Reglamento Interno. Es una buena noticia para los empleadores, que verán reducidos los costos de fiscalización de sus empleados, pero me preocupa la posibilidad de admitir autorizaciones sábana que faculten al empleador a inspeccionar en cualquier momento el contenido de las comunicaciones privadas del empleado (así sean a través del correo electrónico de la empresa). Un procedimiento más moderado, que no necesitaría de una nueva norma, sería que los empleadores recaben la autorización ad hoc del empleado para realizar la inspección. Cuando se trata de límites a derechos fundamentales, la autorización debe de ser expresa e individualizada y no genérica.

Respecto del uso de páginas web y, en especial, de servicios de redes sociales el Proyecto no trae nada nuevo. Bajo el marco legal actual ya era posible que un empleador bloquee o limite el acceso a ciertas páginas web a través de sus servidores en ejercicio de sus derechos de propiedad sobre los servidores. La norma está dirigida a la optimización de los recursos tecnológicos de la empresa, sin entrar en el espinoso tema de los límites a la libertad de expresión del trabajador en servicios de redes sociales cuando se expresa desfavorablemente de la empresa o comparte información confidencial. Sutileza que, por lo demás, debería analizarse caso por caso y no bajo una norma general.

Foto: The IT Crowd / IFC

Uso de Internet en el trabajo, pensando en voz alta

Mis compañeros de bitácora parecen haber abandonado -al menos por el momento- el trabajo regular de colgar sus valiosos apuntes e ideas en este sitio. Esperemos que la sobrecarga laboral que padecen dure poco y los tengamos por esta esquina con mayor regularidad. Yo tampoco he estado particularmente fino en la labor, pero a empezar de nuevo.

Andaba revisando desordenadamente algunas de mis notas de clase y caí en aquella relacionada con los derechos laborales y el uso de las herramientas informáticas puestas al alcance de los trabajadores por el empleador.

Desde hace unos años este ha sido un tema que ha generado intenso debate. Yo mismo conozco el caso de un profesional que por error en lugar de enviar unos correos con material pornográfico a un amigo, lo hizo a su jefa directa. Se podrán imaginar el desenlace. La jefa montó en cólera y esta persona terminó más rápido que volando en la puerta del edificio cargando en una caja de leche Gloria sus apuntes personales, su taza de café, su pad y sus lápices. Intuyo que terminó así -más que por el desatino-, por la tremenda bronca que le espetó a su superiora. Seguro que si hubiera reconocido el error con un guiño de humildad todavía estaría calentando el asiento que lo esperaba diariamente en su oficina, y también -no nos engañemos- mandando videos porno a los amigos, aunque tal vez con un poco de mayor cuidado y menos regularidad.

Según señala Leandro González Frea (Uso indebido del e-mail por parte del trabajador. Despido con causa), estudios revelan que un trabajador promedio pierde por lo menos una hora de su jornada laboral revisando su correo electrónico personal o navegando en Internet. Los inconvenientes de esta práctica para los empleadores son más que evidentes. Incremento de costos en los sistemas, disminución de la productividad e incluso posibles problemas de virus.

Recientemente, también gracias a Leandro Gonzales Frea (El uso del email en la empresa. Despidos. Las claves a tener en cuenta) sabemos que la Cámara Laboral argentina avaló el despido del Gerente de una empresa financiera que envió un correo electrónico “grotesco y de mal gusto” a su subordinada. De acuerdo con el post de Leandro, el problema se generó cuando este tremendo gerentazo adjuntó al correo electrónico que enviaba a una de sus subordinadas unas fotos. El fallo sostiene que al Gerente “no le estaba permitido utilizar los instrumentos que le entregara la empleadora para fines personales o de terceros, ni con prácticas contrarias a la moral y las buenas costumbres”.

Qué tenemos en el Perú. Pues la famosa sentencia Serpost del Tribunal Constitucional (EXP. N.° 1058-2004-AA/TC). En este caso la empresa postal despide a un trabajador atribuyéndoles una supuesta falta, “[…] haber utilizado indebidamente los recursos públicos dentro del horario de trabajo para realizar actividades de índole particular, totalmente ajenas al servicio, constatándose el envío de material pornográfico a través del sistema de comunicación electrónico, denotando falta de capacidad e idoneidad para el desempeño del cargo e inobservancia del Reglamento Interno de Trabajo”. Más allá de los aspectos procesales y vulneraciones constitucionales que motivaron al Tribunal Constitucional a revocar el despido, lo importante del caso es que la Sentencia dedica algunas líneas a determinar cuáles son los límites del empleador para fisgonear en los equipos y sistemas de comunicación que pone a disposición de sus empleados.

Señala el Constitucional que la controversia planteada permite considerar si los medios informáticos de los que se vale un trabajador para realizar sus labores pueden considerarse de dominio absoluto de la empresa para la que labora, o si, por el contrario, existe un campo de protección en torno de los cuales no le está permitido intervenir.

En dicho caso se consideró que «(…) cuando tales facilidades suponen instrumentos de comunicación y reserva documental no puede asumirse que las mismas carezcan de determinados elementos de autodeterminación personal, pues sabido es que en tales supuestos se trata del reconocimiento de condiciones laborales referidas a derechos fundamentales que, como tales, deben respetar las limitaciones y garantías previstas por la Constitución Política del Estado«.

Concluye el Constitucional en el sentido que si se trataba de determinar que el trabajador utilizó su correo electrónico para fines contrarios a los que le imponían sus obligaciones, «(…) la única forma de acreditarlo era iniciar una investigación de tipo judicial, habida cuenta de que tal configuración procedimental la imponía, para estos casos».

Petrogate y privacidad

Vivimos tiempos de turbulencia política, a caballo entre el moqueguazo y el tacnazo se viene desojando el caso de corrupción más importante del gobierno aprista. El escándalo de malos manejos en la adjudicación de unos lotes petroleros (el caso se conoce en el Perú como el de los petroaudios o petrogate) se destapó cuando en el programa de televisión dominical Cuarto Poder, el periodista y ex – Ministro del Interior del gobierno del presidente Toledo, Fernando Rospigliosi, presentó una grabación con unas conversaciones telefónicas entre el ex Ministro aprista Rómulo León Alegría y el funcionario de Perupetro, Alberto Quimper. Estos audios – obtenidos de forma ilegal hay que decirlo- desenterraron una importante red de corrupción que medraba en las propias entrañas del gobierno y ocasionaron el derrumbe del gabinete del Primer Ministro Jorge del Castillo.

Como durante la caída del gobierno de Alberto Fujimori y sus Vladivideos, tenemos audios que van y audios que vienen, correos que aparecen y discos duros que se descubren, es decir parecería que nos encontramos en medio de un episodio de nuestro pasado colectivo. Sin embargo, creo que es un buen momento para discutir algunos tópicos que pasaron desapercibidos o que fueron abiertamente ignorados cuando brotaron en todo su esplendor los cientos de videos a través de los cuales pudimos ver como políticos, empresarios, periodistas y propietarios de medios de comunicación, desfilaban por las oficinas del Servicio de Inteligencia Nacional para recoger los «donativos» que el asesor presidencial Vladimiro Montesinos les entregaba en sacos de papas.

Con ocasión de este destape, se pretende hacer algo parecido. Hace unos días el Poder Judicial peruano remitió al Congreso de la República, específicamente a la Comisión que investiga la adjudicación irregular de los lotes petroleros, unos quinientos correos electrónicos extraídos de la computadora de Rómulo León Alegría. Sobre este hecho en particular, la periodista Rosa María Palacios comentó en su programa Prensa Libre de la necesidad de divulgar esta información, de esta forma se aseguraría la transparencia de los procesos judiciales y políticos que se están llevando a cabo. Como antecedente, Rosa María Palacios nos recordó que una medida similar se había tomado con los denominados Vladivideos. Además, señaló que en caso las autoridades decidieran no publicar estos correos, los ciudadanos pueden respaldarse en la Ley de Transparencia y Acceso a la Información para exigir su entrega.

Creo que Rosa María Palacios no tiene razón. Lamentablemente, el Perú no cuenta con un cuerpo normativo, doctrinario o jurisprudencial que haya modelado el artículo 2o, literal 10 de la Constitución. Sin embargo, lo poco que existe nos permite deducir claramente que el secreto de las telecomunicaciones y la confidencialidad de los datos personales sólo pueden ser vulnerados, con la intervención motivada de un Juez y en el marco de un procedimiento judicial en trámite. No parece lógico por tanto, interpretar que la reserva de esta información se desvanece cuando estos contenidos caen en manos de la justicia. Por el contrario, el Juez está obligado a mantener su confidencialidad, aunque se encuentre con los correos electrónicos de un facineroso o un asesino en serie. La Constitución no establece otra excepción. En tal sentido, creemos que incluso la propia entrega de la información que ha hecho el Juez al Congreso de la República vulnera este derecho Constitucional.

Tampoco es válido el argumento según el cual los ciudadanos tendríamos habilitada la Ley de Transparencia y Acceso a la Información para conocer estos correos, puesto que nos encontramos ante una de las excepciones contenidas en la norma, de acuerdo con la cual el derecho de acceso a la información no puede ejercerse cuando este derecho está expresamente exceptuado por la Constitución. Este es el caso.

Es cierto que en el Perú tenemos una desconfianza casi natural en nuestras autoridades. En este contexto muchas demandas por mayor transparencia, buscan asegurar que la justicia cumpla efectivamente sus funciones y no deje de condenar a quienes se aprovechan irregularmente de las finanzas públicas. Sin embargo, se suele olvidar que los derechos fundamentales constituyen una barrera efectiva contra los excesos del Estado o de cualquier privado. En tal sentido, cuando decimos que las comunicaciones de Rómulo León Alegría no pueden ser divulgadas bajo ningún supuesto, no hacemos otra cosa que exigir el secreto de nuestras comunicaciones y proteger la inviolabilidad de nuestros documentos privados. Es decir, es nuestro Derecho.