martes, 28 de septiembre de 2010

2 Sentencias españolas, sobre email laboral y pérdida de datos

Sentencia de la Audiencia Nacional de 12.07.2010

Ponente: Magistrada Ilma. Sra. Vives Usano La empresa puede limitar el uso del correo electrónico por parte de los representantes de los trabajadores siempre que demuestre que esto perjudica a la actividad de la empresa.

Los representantes se dirigieron al director de Recursos Humanos solicitándole que se reconociese su derecho a utilizar los medios informáticos de la empresa para comunicarse con sus empleados. El director contestó que estudiaría la demanda, pero estos utilizaron el correo electrónico en varias ocasiones sin permiso, por lo que fueron amonestados. Entonces, los representantes de los trabajadores demandaron a su empresa por no permitirles utilizar el correo electrónico interno para transmitir información y noticias de interés sindical a los empleados, alegando que el uso de los medios informáticos propiedad de la empresa forma parte del contenido esencial del derecho de libertad sindical.

El argumento de la empresa contra la demanda fue que la mayoría de sus trabajadores no tiene n como herramienta de trabajo el ordenador (en cada uno de los centros de trabajo cuentan con 16 ordenadores de uso individual y 40 colectivos) y que el sistema no está preparado para las comunicaciones masivas, ya que cuando se ha utilizado de este modo se ha colapsado. Además, la empresa ha encargado un estudio de costes para adecuar el sistema que supera los 20.000 euros.

Finalmente, se desestima la demanda de los representantes de los trabajadores ya que “la negativa empresarial está fundamentada por resultar su uso perturbador, perjudicial y costoso”. La Audiencia Nacional remarca que los representantes solo podrán utilizar el correo electrónico si cumplen los siguientes requisitos: la comunicación no podrá perturbar la actividad normal de la empresa, además su utilización por parte de los representantes no podrá perjudicar el uso específico para el que se creó, ni podrá ocasionar costes adicionales a la empresa.

Otra sentencia:
-----
SENTENCIA DE LA AUDIENCIA NACIONAL DE 11.02.2010.

La Agencia Española de Protección de Datos sanciona al Servicio Cántabro de Salud, al haberse producido una efectiva revelación de los datos personales de 1748 pacientes sin su consentimiento, datos que se publicaron en Internet a través del programa “eMule”, quedando a disposición del público.

Mantiene la AN la sanción, por la comisión de la infracción prevista en el art. 44.4 g) de la LOPD, como consecuencia de la publicación a través de Internet de un fichero con datos de 1748 pacientes de dos cupos de médicos de localidades ubicadas en Cantabria, en el que figuraban los apellidos y nombre, fecha de nacimiento, domicilio, teléfono, sexo, y, en algún caso, datos de salud de los mismos. Ha quedado acreditado que el programa informático “eMule” fue el software que permitió la publicación en Internet del fichero; asimismo, se considera probado que el Servicio Cántabro de Salud era el responsable de la custodia de los datos en cuestión, y que se vulneró el secreto garantizado en el art. 10 de la LOPD, al haber posibilitado el acceso no restringido a datos personales sin el consentimiento de sus titulares. Señala la Sala que para que se cometa la infracción imputada al recurrente es necesario que se produzca una efectiva revelación, lo que, a su ju icio, resulta innegable en este caso, puesto que los datos de los pacientes accedieron a Internet y quedaron a disposición del público. El hecho de que pudiera haber sido un trabajador del Servicio de Salud el que hubiera llevado a cabo los actos generadores de la divulgación, no le exonera de responsabilidad, ya que, como titular del fichero, debió adoptar las medidas que hubieran evitado la divulgación producida por la ineficacia de las medidas de seguridad adoptadas. Concluye la Sala que no basta con la aprobación formal de las medidas de seguridad, sino que resulta exigible que las mismas se instauren y pongan en práctica de manera efectiva.

1 comentario:

Seguridad de la Información dijo...

Respecto a la segunda sentencia, me parece indignante que un servicio público incumpla con tanta irresponsabilidad la LOPD, deberían sancionar al responsable e implementar las medidas necesarias se seguridad de la información y cumplir con la LOPD para que esto no se repita,no tan solo en este hospital, sino en todos los ámbitos públicos que tratan con tanta información pública que es confidencial.¿Cuál es la posible repercusión de dicho incumplimiento de la protección de datos?Un saludo