martes, 3 de marzo de 2009

La fuga de información confidencial por e-mail

Más allá de las múltiples ventajas que acarrea el uso del correo electrónico como medio de comunicación interno y externo, es preciso tener en cuenta que también constituye una ventana por la cual las empresas de software y servicios informáticos pueden perder información confidencial valiosa, con la consecuente pérdida de ventaja competitiva, clientes, ventas, en fin: mercado.

Y es que el portfolio de las empresas de TI está conformado, fundamentalmente, por activos intangibles tales como patentes, marcas, derechos de autor y, por supuesto, secretos comerciales.
Fórmulas matemáticas, algoritmos, rutinas, secuencias, estructura de datos, know how, diagramas, procedimientos, métodos de organización interna, métodos de comercialización y distribución, procesos de control de calidad, cartera de clientes, constituyen ejemplos de información confidencial que resulta comercialmente valiosa y que permite distinguir los productos o servicios de una empresa respecto de la competencia. Incluso, hasta el código fuente suele mantenerse bajo siete llaves, como bastión último del éxito comercial de un producto de software.
El punto es que, a diferencia de otras épocas, en que el robo de información confidencial suponía un tortuoso y riesgoso procedimiento (ingreso a lugares de acceso restringido, fotocopiado de documentos, etcétera), hoy en día la distancia que separa el secreto de la divulgación pública es de un click. Piénsese en un empleado que ha sido despedido y que decide enviar a la competencia secretos comerciales de la empresa vía e-mail. ¿Cuánto tarda en divulgar la información?

La protección legal de los secretos comerciales
El primer paso para proteger adecuadamente estos activos intangibles es determinar qué tipo de información puede calificar como secreto comercial y, por ende, recibir el amparo de la normativa en la materia. Porque no toda información valiosa puede ser considerada confidencial en los términos de la ley. Por ejemplo, la famosa fórmula de Eintein E = m.c² es la base del desarrollo de energía nuclear, pero si alguien pretende proveer este tipo de energía no puede considerarla información confidencial.
En este sentido, el primer requisito legal es que se trate de un secreto, esto es, que no sea información generalmente conocida ni fácilmente accesible en los círculos en que se suele utilizar. Esta exigencia deja fuera del alcance de la ley a la información que está en el dominio público y también a la que es generalmente conocida por los entendidos en determinada materia. La fórmula de Einstein es algo comprensible para los físicos, aún cuando no lo sea para el común de los mortales. El algoritmo de encriptación AES o el código ASCII es información comprensible para los informáticos, aunque tampoco lo sea para el común de los mortales.
La información, entonces, deber ser objetivamente secreta, y esto quiere decir que no va a encuadrar como tal por el sólo hecho de que el empresario la califique de confidencial, sino porque no es conocida o fácilmente cognoscible por los competidores actuales o potenciales.
El segundo requisito tiene que ver con el valor comercial de la información. Es decir, debe tratarse de información valiosa para la empresa, que le otorga una ventaja competitiva en el mercado porque, por ejemplo, está en la base del desarrollo de un producto, le permite mejorar la ecuación costo-beneficio, organizar mejor el trabajo o mantenerse como líder en un nicho específico.
Finalmente, la ley exige tomar las medidas razonables para mantenerla secreta conforme a las circunstancias de cada caso. No basta, entonces, que la información como tal sea secreta ni que tenga valor comercial para la empresa, sino que la normativa condiciona la protección a la realización de acciones concretas por parte del empresario que legítimamente la tiene en su poder. Y en este punto cobra relevancia la prevención y es donde se enmarca el tema del correo electrónico como herramienta de fuga de información.

El deber de confidencialidad de los empleados
De acuerdo con la Ley de Contrato de Trabajo, “el trabajador debe observar todos aquellos deberes de fidelidad que deriven de la índole de las tareas que tenga asignadas, guardando reserva o secreto de las informaciones a que tenga acceso y que exijan tal comportamiento de su parte”.
La Ley de Confidencialidad de la Información complementa esta norma al señalar que cualquier persona que con motivo de su trabajo tenga acceso a una información que reúna los requisitos señalados anteriormente y sobre cuya confidencialidad se la haya prevenido, deberá abstenerse de usarla y de revelarla sin causa justificada o sin consentimiento de la persona que guarda dicha información o de su usuario autorizado.
La revelación no autorizada de información confidencial o secretos comerciales por parte de un empleado implica la violación de un deber fundamental dentro del marco de una relación o contrato de trabajo, con las consecuencias previstas por la legislación laboral, pero también supone la violación de la Ley de Confidencialidad de la Información, que da lugar a medidas o acciones civiles y penales.
Pero, es importante señalar que ambos regímenes exigen al empleador que tiene bajo su legítimo control este tipo de información una acción concreta: prevenir al empleado acerca del carácter secreto de la información exigiéndole que mantenga a su respecto la debida confidencialidad o reserva.

El uso del e-mail en la empresa
Bajo estas premisas, la pregunta del millón es: ¿cuáles son las medidas que debe adoptar el empleador para prevenir o evitar la fuga de información confidencial mediante el uso del e-mail por parte de los empleados? Recordemos que esas medidas tienen que ser razonables de acuerdo a las circunstancias del caso.

A nuestro entender, la razonabilidad de las medidas pasa por dos lados:
i) que las medidas sean adecuadas para salvaguardar la confidencialidad de la información;
ii) que no se vulneren los derechos del empleado.
Respecto del primer punto, no sería una medida adecuada hacer circular la información entre todos los empleados de la empresa sin ningún tipo de advertencia acerca de su carácter secreto.

En cambio, sí serían adecuadas las siguientes medidas:
1. exigencia de una clave o password para acceder a los documentos que contienen información confidencial,
2. cambio periódico de esas claves,
3. fragmentación de la información de acuerdo a las necesidades de producción de cada área (por ejemplo, que ninguno de los empleados tenga acceso al código fuente completo),
4. inclusión de leyendas que dispongan que la información contenida en un documento es confidencial,
5. restricciones en cuanto al uso de Internet durante la jornada laboral,
6. remoción de discos de las PCs y su archivo en lugares cerrados,
7. acuerdos de confidencialidad.

Con relación al segundo punto, lo primero a tener en cuenta es que los jueces laborales han reconocido expresamente que el correo electrónico provisto por la empresa es una herramienta de trabajo en los términos de la legislación laboral y que, por consiguiente, el empleado está obligado a utilizarlo conforme a la finalidad con la que le fue provisto y el empleador tiene la facultad de controlar su uso. De esto se infiere que, por sí mismo, el monitoreo laboral del correo electrónico corporativo no viola la normativa laboral. Es más, implica el legítimo ejercicio del derecho de propiedad por parte del empleador.
No obstante, los jueces han establecido una serie de condiciones que el empleador debe satisfacer a los efectos de ejercer válidamente el monitoreo, como, por ejemplo, regular el uso del e-mail en el reglamento de la empresa, informar al empleado acerca de la facultad de monitorearlo, llevar a cabo el monitoreo en la forma estipulada y no violar la intimidad o privacidad del trabajador.
En definitiva, es posible prevenir o disminuir el riesgo de fuga de información confidencial vía e-mail, pero para eso la empresa debe implementar medidas concretas y adecuadas a cada circunstancia. La primera de ellas es tomar conciencia del valor de este activo intangible y de los riesgos que se ciernen en torno suyo.

Fuente: Carranza Torres & Asociados
Visto en cxo-community.com.ar

No hay comentarios: