Consideraciones legales

Orientación legal

En NOFRAUD ofrecemos una orientación general a las organizaciones interesadas en implementar The Fraud Explorer, nuestra solución de detección y prevención temprana de comportamientos antiéticos y de fraude ocupacional. El objetivo es que los responsables de cumplimiento, riesgo, seguridad de la información, tecnología y recursos humanos cuenten con una visión clara de los principios jurídicos que suelen enmarcar el monitoreo corporativo de empleados. 

Aunque cada país posee un marco normativo particular, existen principios prácticamente universales derivados de los estándares internacionales de protección de datos personales, de la doctrina laboral moderna y de las buenas prácticas en materia de ciberseguridad y cumplimiento, por ello, resumimos aquí esos principios comunes para servir como punto de partida en la evaluación jurídica que cada organización debe adelantar con su asesor legal local antes del despliegue de la solución. 

Este documento no sustituye la asesoría legal calificada en la jurisdicción específica del cliente. Su propósito es exclusivamente orientativo.

Derecho a la intimidad

El derecho a la intimidad es un derecho fundamental reconocido en la mayoría de las constituciones y en los principales instrumentos internacionales de derechos humanos. En el entorno laboral, este derecho no desaparece, pero se ve modulado por la existencia de un vínculo de subordinación y por el uso de herramientas de propiedad del empleador destinadas al cumplimiento de funciones. 

El lugar de trabajo constituye un espacio semi-privado en el que la expectativa razonable de privacidad es limitada, pero no queda eliminada. Existe una tensión legítima entre dos intereses igualmente válidos: 

  • El derecho del empleado a la intimidad, dignidad y libre desarrollo de la personalidad. 
  • El derecho del empleador a proteger su patrimonio, sus activos de información, su reputación y a prevenir conductas que puedan configurar fraude, corrupción o cualquier otro comportamiento antiético. 

Un principio universalmente aceptado es que el poder de subordinación del empleador no es absoluto: encuentra su límite en la dignidad humana del trabajador. Por ello, cualquier actividad de monitoreo debe encontrar un equilibrio proporcional entre ambos intereses. 

Principios universales

Prácticamente todos los marcos modernos de protección de datos personales comparten un núcleo común de principios rectores. Estos principios deben guiar toda actividad de monitoreo corporativo: 

  • Principio de legalidad: el tratamiento de datos solo puede realizarse en el marco de una base legal válida y de una política corporativa documentada. 
  • Principio de finalidad: los datos deben recolectarse para propósitos determinados, explícitos y legítimos, previamente informados al titular. 
  • Principio de libertad y consentimiento: el tratamiento debe contar, cuando corresponda, con la autorización previa, expresa e informada del titular. 
  • Principio de proporcionalidad y necesidad: los datos recolectados deben ser adecuados, pertinentes y limitados a lo estrictamente necesario para la finalidad declarada. 
  • Principio de seguridad y confidencialidad: la información debe protegerse mediante controles técnicos y organizativos que impidan accesos no autorizados, pérdidas o usos indebidos.
  • Principio de transparencia: los titulares tienen derecho a conocer qué información se recolecta, con qué propósito, quién la trata y bajo qué reglas. 

En NOFRAUD usamos el RGPD del parlamento Europeo como referencia a las buenas prácticas en el tratamiento de datos personales, sin embargo es de anotar que no todos los paises que han tomado esta referencia han adoptado todos sus artículos.

Condiciones para un monitoreo legal

A partir de la doctrina internacional y de las buenas prácticas de cumplimiento, cualquier actividad de monitoreo corporativo debe cumplir de manera simultánea y concurrente con cuatro condiciones esenciales: 

  1. Política corporativa documentada y comunicada: debe existir una política interna clara que describa el alcance, los medios, los sistemas objeto de monitoreo, las finalidades perseguidas y los derechos de los colaboradores. Esta política debe ser socializada de forma verificable. 
  2. Autorización expresa e informada del empleado: el colaborador debe manifestar de manera consciente su aceptación al monitoreo, con pleno conocimiento de sus alcances. La autorización idealmente debe constar por escrito o en soporte digital equivalente. 
  3. Proporcionalidad y finalidad legítima: el monitoreo debe limitarse a lo estrictamente necesario para cumplir con finalidades corporativas legítimas: prevención de fraude, protección de activos de información, cumplimiento normativo y aseguramiento de la continuidad del negocio. 
  4. Confidencialidad de la información capturada: los datos recolectados deben ser tratados bajo estrictos protocolos de reserva, acceso restringido y cadena de custodia, y utilizados exclusivamente para las finalidades declaradas. 

No es necesario ni recomendado que la autorización expresa revele que el software se llama “The Fraud Explorer”. La recomendación es documentar de forma generalizada el sistema o sistemas de monitoreo que existen en la organización y que tienen como objetivo monitorear la actividad de los empleados por razones de seguridad, como los antivirus, DLP, filtros de navegación web, cámaras de vigilancia, etc.

Dispositivos corporativos y personales

La distinción entre dispositivos de propiedad del empleador y dispositivos personales utilizados con fines laborales (BYOD, por sus siglas en inglés Bring Your Own Device) es una de las más relevantes al momento de implementar cualquier solución de monitoreo: 

  • Dispositivos corporativos: al ser propiedad del empleador y estar destinados exclusivamente al desempeño de funciones, la expectativa de privacidad del colaborador es reducida, siempre y cuando la política de uso haya sido comunicada de manera previa y verificable. 
  • Dispositivos personales (BYOD): la expectativa de privacidad es notablemente mayor, ya que estos equipos suelen contener información personal, familiar y de terceros. En estos casos, se requiere una autorización expresa, específica, previa y por escrito, formalizada en un acuerdo BYOD independiente que delimite estrictamente qué información se monitorea y qué información permanece fuera del alcance del empleador. 

Como recomendación general, no es aconsejable extender el monitoreo a dispositivos personales sin un marco contractual claro que garantice la separación entre datos corporativos y datos personales. 

Derecho a la desconexión digital

Una tendencia creciente a nivel mundial es el reconocimiento del derecho a la desconexión digital, entendido como la facultad del trabajador de no estar disponible para asuntos laborales fuera de su jornada. Cada vez más jurisdicciones incorporan este derecho en sus legislaciones o en la jurisprudencia. 

Como principio general, el monitoreo corporativo debe concentrarse en los sistemas y actividades relacionadas con las funciones del cargo y desarrolladas dentro de la jornada laboral. No debe utilizarse como una herramienta de vigilancia permanente ni de presión sobre el desempeño fuera del horario de trabajo, salvo casos excepcionales debidamente justificados (por ejemplo, incidentes de seguridad de la información en curso). 

Clasificación de la información

Toda solución de monitoreo debe reconocer las distintas categorías de información y otorgar a cada una el nivel de protección que le corresponde: 

  • Información pública: aquella cuyo acceso no está restringido y puede ser conocida por cualquier persona. 
  • Información semiprivada: aquella que interesa a un sector determinado o al propio titular, y cuya divulgación está sujeta a controles razonables. 
  • Información privada: aquella que pertenece al ámbito personal o familiar del titular y que solo puede ser tratada con su autorización o por orden de autoridad competente. 
  • Datos sensibles: aquellos que afectan la intimidad o cuyo uso indebido puede generar discriminación. Incluyen, entre otros: origen racial o étnico, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos u organizaciones sociales, datos de salud, vida sexual y datos biométricos. Estas categorías tienen restricciones reforzadas y, como regla, no deben ser objeto de monitoreo. Cualquier captura accidental debe ser descartada y no utilizada. 

The Fraud Explorer no tiene como objetivo capturar información privada ni sensibe, sin embargo, por la naturaleza del monitoreo se podría capturar este tipo de información por descuido intencional o no intencional del empleado al usar las herramientas corporativas.

Políticas necesarias

Para que la implementación del sistema se ajuste a las buenas prácticas jurídicas internacionales, recomendamos a nuestros clientes contar, como mínimo, con los siguientes cuatro documentos: 

  1. Política de uso de activos tecnológicos: define las reglas de uso de los equipos, sistemas, redes y aplicaciones corporativas, así como el alcance del monitoreo. Debe socializarse de forma verificable a todos los colaboradores. 
  2. Cláusula contractual expresa: incorporada al contrato de trabajo o a un anexo firmado, que reconozca el conocimiento y la aceptación por parte del colaborador de las políticas de monitoreo aplicables. 
  3. Autorización de tratamiento de datos personales: documento independiente en el que el colaborador autoriza la recolección, uso y tratamiento de sus datos en el contexto del monitoreo, con indicación clara de las finalidades. 
  4. Protocolo de confidencialidad y gestión de la evidencia: define quién puede acceder a la información capturada, bajo qué condiciones, cómo se preserva la cadena de custodia y cómo se garantiza la integridad probatoria. 

La expectativa de privacidad la debe definir el empleador y no el empleado. Un documento recomendado para definirla puede ser en la política de uso de activos tecnológicos. Se recomienda que la expectativa de privacidad se defina como nula en los activos informáticos corporativos. Debe estar prohibido que los computadores y celulares se usen para propósitos personales.

Lo que está prohibido hacer

Existen prácticas que, como regla general y en la mayoría de las jurisdicciones, están prohibidas o constituyen una violación al derecho a la intimidad del trabajador. Entre las más importantes se encuentran: 

  • Divulgar información íntima capturada de forma accidental durante el monitoreo. 
  • Utilizar la información recolectada para finalidades distintas a las declaradas en la política y en la autorización. 
  • Monitorear dispositivos personales del colaborador sin autorización explícita, previa, específica y por escrito. 
  • Ejecutar el monitoreo de forma violenta, degradante, discriminatoria o que afecte la dignidad del trabajador. 
  • Vigilar de manera sistemática al trabajador fuera de la jornada laboral sin una justificación legítima y proporcional. 
  • Realizar análisis o inferencias sobre categorías especiales de datos (sensibles) sin base legal específica. 

La diferencia entre espiar y monitorear no radica en las tecnologías usadas, radica en la forma en que esas tecnologías son usadas. Se recomienda no ocultar en ningún momento la presencia de sistemas de monitoreo, sin que ello implique revelar sus nombres y su metodología.

El monitoreo como acoso laboral

El monitoreo corporativo, en sí mismo, no constituye una práctica de acoso laboral cuando se ajusta a las condiciones descritas en este documento. Sin embargo, puede llegar a configurarse como acoso cuando concurren circunstancias como: 

  • Se dirige de manera selectiva a un colaborador específico con el fin de presionarlo, intimidarlo o discriminarlo. 
  • Se extiende a dimensiones estrictamente personales del trabajador sin justificación laboral. 
  • Se vulnera de forma sistemática el derecho a la desconexión digital. 
  • Se utiliza como instrumento de retaliación frente al ejercicio legítimo de derechos por parte del colaborador. 

Por ello, se recomienda que el monitoreo sea siempre general, sistemático, automatizado y orientado a la prevención del fraude, y no una herramienta dirigida contra personas concretas por razones ajenas a los objetivos declarados. 

Valor probatorio de la información

La información recolectada mediante el monitoreo corporativo puede tener pleno valor probatorio en procesos disciplinarios, laborales, administrativos o judiciales cuando se cumplen simultáneamente las siguientes condiciones: 

  • El colaborador fue informado de manera previa y expresa sobre la existencia, alcance y finalidades del monitoreo. 
  • El monitoreo se concentró en herramientas y sistemas corporativos utilizados para el desempeño de funciones laborales. 
  • La información recolectada no revela dimensiones íntimas ajenas al desempeño del trabajo. 
  • La captura, el almacenamiento y la custodia de la evidencia se realizaron con estricto cumplimiento de las políticas y protocolos internos. 
  • Se preservó la integridad de la evidencia mediante una cadena de custodia trazable y auditable. 

Como norma general, en cuanto a The Fraud Explorer, si bien los datos capturados tienen un valor probatorio, recomendamos ir siempre a la fuente original donde residen los datos y no exponer el uso de la herramienta.

Aviso legal

El presente documento constituye una guía general orientativa elaborada por NOFRAUD con el propósito de acompañar a nuestros clientes potenciales en la comprensión de los principios jurídicos y buenas prácticas más comúnmente aplicables al monitoreo corporativo en el marco de la implementación de The Fraud Explorer.

Este documento no constituye asesoría legal ni sustituye la consulta con un abogado calificado en la jurisdicción del cliente. Cada país cuenta con un marco normativo específico en materia laboral, de protección de datos personales, de ciberseguridad y de derecho probatorio, cuyo análisis particular es indispensable antes de cualquier implementación. NOFRAUD no asume responsabilidad alguna por decisiones adoptadas con base exclusivamente en este documento.

Para orientaciones específicas sobre la implementación de The Fraud Explorer en su organización, invitamos a contactar a nuestro equipo comercial y de cumplimiento.

© NOFRAUD Latam LLC.