Acceso a contraseñas de un/a trabajador/a (II)

Nada, que algunas entidades responsables de fichero se pasan por el (perdón por la expresión) mismísimo “arco del triunfo” la respuesta y doctrina asentada por la máxima autoridad de control en la materia: la AEPD.

En relación a la historia de la empleada, una de entre todo el personal en plantilla, a la que desde el Departamento de RRHH de su empresa le solicitaron sus claves de acceso al sistema, de nuevo la entidad contra-argumenta a la respuesta dada por la Agencia de Protección de Datos alegando lo siguiente: “Los dominios de correo electrónico, así como los ordenadores y demás medios informático son propiedad de la EMPRESA, y se han puesto a disposición de los trabajadores para el uso de estos con fines exclusivamente profesionales, regulándose asimismo el uso de estos medios mediante una comunicación formal que les ha sido entregada a todos los trabajadores. Tal y como se les informó en la comunicación, la EMPRESA, si tuviera sospecha de algún uso fraudulento de estos medios informáticos o del correo electrónico, podrá supervisar y controlar el uso que los trabajadores están haciendo de los mismos. Esto está avalado por la ley y por la doctrina jurisprudencial existiendo numerosas sentencias al respecto, ya que los trabajadores están advertidos del uso que debe darse a estos medios y estos son propiedad de la entidad. Debe Vd. tener en cuenta que las cuentas de correo electrónico no son propiedad de los trabajadores, sino una herramienta que la sociedad pone a disposición de estos en el desempeño de su trabajo y, consecuentemente, su uso puede ser controlado por la sociedad.” Hasta aquí ninguna pega, seguimos, porque ahora es cuando viene lo bueno…

“Asimismo, y con el fin de que se produzca un correcto funcionamiento de todos los sistemas informáticos y que el desempeño profesional no se vea interrumpido por el hecho de que un trabajador se ausente de su puesto de trabajo, las contraseñas de los equipos deben ser conocidas por el Administrador del sistema o la persona que este designe.”

Este comentario es de traca. O sea que un buen funcionamiento de todos los sistemas de la empresa depende de que cada usuario revele su password. Pero la EMPRESA va más allá, indicando que para que el desempeño profesional no se vea interrumpido por la ausencia de un usuario es requisito sine qua non comunicar dicha clave “secreta” no solo a la persona encargada de la Administración de Sistema sino que puede ser a otra a quien esta designe. A sensu contrario, de lo anterior parece desprenderse que esta empresa no conoce otros mecanismos alternativos de control de acceso que no vulneren lo dispuesto en el art. 93 del RDLOPD. Por ejemplo, implementando mecanismos de identificación/autenticación multiusuario que le permita a cada usuario acceder con su ID/Password individualizado, salvando así el incoveniente de los usuarios ausentes.

La EMPRESA sigue alegando…

“La respuesta que le ha facilitado la AEPD, haciendo referencia al art. 93 LOPD, se refiere a las medidas de seguridad, tales como contraseñas, que establezca el responsable del fichero para la identificación de los usuarios. En este supuesto, el responsable de los ficheros es la EMPRESA, por ello, es la sociedad quien debe establecer la medidas de seguridad que considere convenientes para salvaguardar la confidencialidad de la información contenida en sus equipos informáticos.”

Es cierto que el artículo 93 RDLOPD menciona en su apartado 3 las contraseñas, pero no es menos cierto que el espíritu de este artículo, mucho más amplio por cierto, es el de garantizar la identificación y autenticación invidividualizada de cada usuario, de tal forma que la EMPRESA, responsable del fichero, pueda conocer qué usuarios están autorizados a qué información del sistema. Lo que EN NINGÚN CASO es de recibo es que la EMPRESA decida a su criterio, qué medidas de seguridad decide aplicar y cuáles no, según estime conveniente en su calidad de Responsable del Fichero. Lo que establece el art. 93 RDLOPD es un imperativo y no es una opción, por lo que esta práctica es totalmente contraria a Derecho, otra cosa es el mecanismo elegido para dar cumplimiento a la directriz establecida.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *