El presente protocolo recoge la normativa y procedimientos del PARTIT DELS SOCIALISTES DE CATALUNYA (PSC-PSOE), (a partir de ahora “PSC” ), en relación con las herramientas puestas a disposición de los trabajadores para el desarrollo de sus actividades laborales, con el objetivo de crear en el partido una cultura ética y de cumplimiento de actuación de acuerdo con la legalidad y evitar así cualquier tipo de conductas delictivas en relación a estos medios.

La creciente utilización de las nuevas tecnologías por parte de las personas jurídicas ha creado la necesidad, en ciertas circunstancias, de control de estas herramientas por parte de los órganos de gobierno de las organizaciones. Sin que esto suponga una vulneración de la intimidad del trabajador, lo que sería constitutivo de delito contra la intimidad.

Sin embargo, este derecho a la intimidad del trabajador, debe conciliarse con los derechos e intereses legítimos del partido, como el derecho a velar por la eficacia del partido y protegerlo del perjuicio que pudieran ocasionar las acciones de trabajador .

Es interesante hacer una breve referencia a la normativa y jurisprudencia existente en esta materia:

El Convenio Europeo para la Protección de los Derechos Humanos establece que todo el mundo tiene derecho al respeto de la vida privada y familiar y prohíbe la injerencia que no esté prevista en la ley y que no se justifique por razones de seguridad, bienestar económico, defensa del orden, prevención de las infracciones penales, protección de la salud, de la moral o de los derechos y libertades de los demás.

Asimismo, la Constitución española recoge como derecho fundamental el derecho a la intimidad personal y familiar ya la propia imagen, así como el secreto de las comunicaciones.

Por su parte, el Estatuto de los Trabajadores en su arte. 20 dispone que el órgano de gobierno de la entidad podrá adoptar las medidas de vigilancia y control que considere más oportunas para verificar el cumplimiento por parte del trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores con discapacidad, en su caso.

Los Tribunales han interpretado esta cuestión y, como ejemplo, la sentencia de Tribunal Supremo de 26 de septiembre de 2007 (Sala de lo Social) establece lo siguiente:

"…. las medidas de control sobre los medios informáticos puestos a disposición de los trabajadores se encuentran, en principio, dentro del ámbito normal de estos poderes: el ordenador es un instrumento de producción del que es titular el empresario “como propietario o por otro título” y éste tiene, por tanto, facultades de control de la utilización, que incluyen lógicamente el examen. Por otra parte, con el ordenador se ejecuta la prestación de trabajo y, en consecuencia, el partido puede verificar su correcto cumplimiento, lo que no sucede en los supuestos del artículo 18, puesto que incluso respecto en el taquilla, que es un bien mueble del partido, existe una cesión de uso a favor del trabajador que delimita una utilización para él que, aunque vinculada causalmente al contrato de trabajo, queda al margen de su ejecución y de los poderes empresariales del artículo 20 del Estatuto de los Trabajadores al tratarse de la esfera personal del trabajador.

… Se trata de medios que son propiedad de la entidad y que facilita al trabajador para utilizarlos en el cumplimiento de la prestación laboral, quedando esta utilización dentro del ámbito del poder de vigilancia de la entidad, que , como precisa el artículo 20.3 del Estatuto de los Trabajadores, implica que éste "podrá adoptar las medidas que considere más oportunas de vigilancia y control para verificar el cumplimiento por parte del trabajador de sus obligaciones y deberes laborales", aunque este control debe respetar “la consideración debida” a la “dignidad” del trabajador”.

Asimismo, la citada sentencia estableció que existe un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitadas por el partido a los trabajadores. Esta tolerancia crea una expectativa de confidencialidad a tener en cuenta. Por eso, dispone a continuación que las entidades deben fijar previamente las reglas de uso de los instrumentos de trabajo (p. ej. estableciendo prohibiciones absolutas o parciales, o permitiendo el uso personal por parte de los empleados) y deben informar a los trabajadores y sus representantes legales, si disponen de cuáles son estas reglas, de los controles y medidas aplicables por parte de la entidad. De esta forma desaparece la expectativa de intimidad de los trabajadores sobre estos medios y su control no debería generar un posible delito contra la intimidad.

Aunque esta doctrina se ha flexibilizado en virtud de sentencias posteriores del Tribunal Supremo y del Tribunal Constitucional, es recomendable que las entidades dispongan de un protocolo de actuación en materia de uso de TIC.

II Objetivo y alcance

Por medio del presente protocolo el PARTIT DELS SOCIALISTES DE CATALUNYA (PSC-PSOE) (a partir de ahora “PSC”) pretende establecer un sistema de uso y control del conjunto de las tecnologías de la información que se utilizan por parte de los miembros del partido.

Asimismo, se pretende regular el control, para evitar la comisión de delitos contra la intimidad en el ámbito del PSC, y que no se derive una intromisión en la intimidad del trabajador y su derecho al secreto de las comunicaciones, es es decir, respetando su esfera de privacidad.

I.II. Principios generales sobre la vigilancia y control del correo electrónico y la utilización de Internet

Para que la actividad de control por parte del empleador sea legal y esté justificada, deben respetarse los principios de protección de datos personales.

Es necesario que las limitaciones impuestas sean necesarias para alcanzar su finalidad legítima, pero también que sean limitaciones proporcionadas para conseguir esta finalidad y respetuosas con el derecho a la intimidad.

Los principios que deben respetar son los siguientes:

1. necesidad: El empleador, antes de proceder a realizar esta actividad de control, debe comprobar que el mecanismo de vigilancia que debe llevar a cabo es necesario para el caso concreto. Siempre será más apropiada o, si es posible, la utilización de medios más comunes y de menor injerencia en la privacidad del trabajador; sólo se recurrirá a la vigilancia del correo electrónico o uso de Internet en circunstancias excepcionales.
2. Finalidad: previamente es necesario establecer cuál es el objetivo o finalidad legítima de la actividad de control y recogida de datos. La información y datos obtenidos se utilizarán única y exclusivamente para esta finalidad concreta.
   Ex. El tratamiento de los datos puede realizarse a efectos de seguridad de sistema, pero estos datos no se pueden utilizar para supervisar el comportamiento del trabajador.
3. Transparencia: el empleador debe indicar de forma clara y abierta sus actividades. Esto implica que el empleador debe:
   • Informar a sus trabajadores sobre la política existente en la asociación relativa a la vigilancia del correo electrónico y de la utilización de Internet.
   • Comunicar a sus trabajadores en qué medida pueden utilizar los sistemas de comunicación del partido con fines privados o personales.
   • Determinar en qué circunstancias el PSC puede adoptar medidas de vigilancia.
   • Informar a los trabajadores de las medidas de vigilancia adoptadas.
   • Informar cada trabajador de cualquier abuso de las comunicaciones electrónicas detectado, a menos que las circunstancias justifiquen la continuación de la vigilancia.
4. legitimidad: La operación de vigilancia y control de los datos únicamente puede realizarse si la finalidad es legítima.
5. proporcionalidad: los datos que se utilicen deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que se han recabado, teniendo en cuenta el tipo y grado de riesgo al que se enfrenta el partido. Queda por tanto excluido, el control general de los correos electrónicos y de la utilización de Internet con el personal del partido, salvo que sea estrictamente necesario para la seguridad de sistema. Si el objetivo perseguido puede lograrse por un medio que implique una intromisión menor en la vida privada de los trabajadores, se aplicará preferentemente esta opción.
6. Exactitud y conservación de los datos: los datos recopilados deben ser precisos y no se podrán almacenar más tiempo del estrictamente necesario. Normalmente se establece un período de conservación de los mensajes electrónicos en el servidor central del partido de 3 meses.
7. Seguridad: es necesario que el empleador adopte las medidas técnicas y organizativas adecuadas para proteger de cualquier intromisión exterior todos los datos personales que se encuentren en su poder. La persona que durante las operaciones de control acceda a los datos personales de trabajadores debe estar sometida a una obligación estricta de secreto profesional respecto a la información confidencial a la que tiene acceso.

I.III. Control del correo electrónico

Para que el empleador pueda proceder al control del correo electrónico corporativo de sus trabajadores, éstos deben haber otorgado su consentimiento. Sin embargo, este consentimiento no puede ser utilizado por el empleador como medio general para legitimar estos controles. Los trabajadores tienen el derecho fundamental, reconocido en la Constitución, en el secreto de la correspondencia.

Igualmente, es necesario que el PSC facilite una información mínima a sus trabajadores:

• Determinar si el trabajador tiene permitida la utilización de cuentas de correo web al sitio de trabajo.
• Reglas sobre el acceso al contenido del correo electrónico corporativo y las finalidades específicas de ese acceso.
• Indicar el período de conservación de las copias de seguridad de los mensajes.
• Precisar cuándo se borran definitivamente los correos electrónicos del servidor corporativo.
• Cuestiones de seguridad.
• Participación de los representantes de los trabajadores en la formulación de la política.

I.IV. Control de acceso a Internet

El PSC es quien debe decidir si autoriza la utilización privada de Internet y en qué medida.

En cuanto al control de la utilización de Internet, se recomienda la implementación de medios técnicos para prevenir la utilización abusiva de Internet, por ej. limitando accesos o utilizando avisos o advertencias automáticas.

En todo caso, y cuando se lleven a cabo actividades de control sobre los accesos a Internet de los trabajadores, la medida de control debe ser proporcional al riesgo al que está sometido el partido En muchas ocasiones, sólo es necesario realizar comprobaciones generales, pero ejemplo, la elaboración de un listado de los sitios más visitados para comprobar si se está llevando a cabo una utilización abusiva de Internet, sin analizar el contenido de los sitios visitados.

Si a través de comprobaciones generales se detecta la posible utilización abusiva de Internet, el empresario podría considerar la posibilidad de realizar otros controles.

En todo caso, habrá que comunicar al trabajador los resultados obtenidos y ofrecerle la posibilidad de defender una correcta utilización de Internet.

La información mínima que deberían recibir los trabajadores en relación a la utilización de Internet es la siguiente:

• En qué condiciones se autoriza la utilización de Internet con fines privados.
• Restricciones existentes: elementos que no pueden ser visualizados o copiados.
• Informar de los sistemas instalados.
• Precisar el control que puede realizar o realizará el partido.
• Uso que se llevará a cabo con los datos recogidos.

La política de uso de las herramientas TIC (Tecnologías de la Información y Comunicación) del PSC está encaminada a garantizar la seguridad en la utilización de los sistemas de información y de las comunicaciones, establecer los sistemas de control y las consecuencias que el incumplimiento de la misma tiene para los empleados.

Las normas contenidas en el presente protocolo son de obligado cumplimiento por parte de todo el personal del PSC y su vulneración puede acarrear acciones disciplinarias.

El PSC implementará las medidas necesarias para llevar a cabo un adecuado control sobre el cumplimiento y respeto de la política de uso de las herramientas TIC.

El PSC es una entidad concienciada con la seguridad de sus sistemas de información y vela por el mantenimiento de su seguridad. Asimismo, en cumplimiento de la legalidad:

1. Todos los equipos, infraestructuras y aplicaciones dispuestos al servicio con el personal contratado son propiedad del PSC y sólo se permite su utilización para el desarrollo de las labores establecidas en el ámbito laboral.
2. Todos los datos procesados ​​por los elementos anteriormente mencionados y los resultados que se deriven son propiedad del PSC, en conformidad con la legislación sobre propiedad intelectual.
3. El partido no admite la utilización particular de las TIC y herramientas puestas a disposición de los usuarios.
4. El uso de las TIC será controlado tanto por motivos de seguridad como por controles de la actividad laboral.
5. El sistema de control se basará en un sistema proporcional basado en las siguientes premisas:
   • Ante herramientas que permitan sistemas de control menos invasivos, se procurará previamente el control de estos elementos y, posteriormente, el control de aspectos más concretos que contengan datos.
   • En todo caso, se pueden establecer sistemas de control basados ​​en muestras aleatorias, pero que no supongan en primer lugar un control total de la actividad.
6. Se podrán adoptar las medidas legales oportunas frente al incumplimiento de estas políticas y, en general, frente al incumplimiento de la legalidad vigente.

Esta política se basa en las siguientes premisas:

• Respecto a las normas vigentes en materia de protección de datos.
• Desarrollo de procedimientos y adopción de medidas para el cumplimiento de las obligaciones que afectan datos personales.
• Diseño de un plan de mejora continua de los procedimientos adoptados.

II.I. Correo electrónico

Se considera correo electrónico corporativo tanto el interno, entre terminales de la red corporativa, como el externo, dirigido o proveniente de otras redes públicas o privadas y, en especial, Internet.

En la utilización del correo electrónico corporativo, el PSC adopta un modelo de uso no abusivo o desmedido.

Este servicio, en todo caso, no debe ser utilizado para realizar las siguientes actividades:

• Enviar mensajes con contenidos o ficheros adjuntos ofensivos o inadecuados que puedan considerarse, para quien los recibe, un atentado contra su intimidad personal, honor o dignidad, absteniéndose de efectuar referencias peyorativas de carácter personal en relación con la ideología , religión, creencias, afiliación política o sindical, o realizar comentarios basados ​​en el género, edad, raza, preferencias sexuales, discapacidades físicas o psíquicas, o en la apariencia de las personas.
• Enviar mensajes y / o documentos corporativos a cuentas privadas del trabajador para uso no vinculado a su trabajo, oa cuentas externas de sus familiares o amigos.
• Enviar o reenviar mensajes de correo en cadena o de tipo piramidal.

normas

Se establecen las siguientes normas:

1. El correo electrónico corporativo se puede asignar personalmente y de forma específica, sin tener en cuenta áreas o puestos de trabajo asignados y también como una herramienta de trabajo no exclusiva, colectiva y de libre acceso, asignada a áreas o lugares de trabajo y no personas.
2. Queda prohibido su uso con fines no relacionados con las funciones laborales encomendadas. El correo electrónico que el PSC pone a disposición de sus empleados es única y exclusivamente para fines laborales.
3. El uso del nombre o apellidos del trabajador junto al dominio del partido en la dirección de correo no significa la asignación por el partido de un correo de uso privado no corporativo, es así por motivos organizativos internos.
4. Se podrá realizar copia de seguridad de los correos electrónicos y acceder al contenido de los mismos ante problemas técnicos o de seguridad o cuando haya sospechas de que no se cumplen estas normas.
5. Como norma general, no se permiten el uso de cuentas de correo distintas a las proporcionadas por el partido.
6. El correo electrónico no debe utilizarse como herramienta de difusión de información masiva, salvo aquellas expresamente habilitadas para la comunicación con una parte o la totalidad de los afiliados y afiliadas. Se prohíbe el envío de correos masivos (spam) utilizando la dirección de correo electrónico corporativa.
7. Queda prohibido participar en “cartas en cadena”.
8. No está permitido manipular las cabeceras de los correos electrónicos con el fin de ocultar o falsear la identidad del emisor del mensaje.
9. El correo electrónico es una de las fuentes más importantes de difusión de virus, por lo que se recomienda no abrir mensajes sospechosos.

Controles

El partido podrá controlar el uso del correo electrónico mediante un sistema de dos niveles:

• Un primer nivel de control de tráfico y de archivos adjuntos.
• Un segundo nivel de control de contenidos.

El partido podrá utilizar también sistemas de control de correos basados ​​en palabras clave u otros sistemas que estime oportunos, siempre que esté justificado.

II.II. Acceso a internet

Los medios técnicos que se ponen a disposición de los empleados del PSC son propiedad de la entidad, que les facilita para su utilización en el cumplimiento de la prestación laboral.

Sin embargo, el acceso a redes públicas como Internet está abierto para los usuarios de la entidad, pero se condiciona a un uso del sistema no abusivo o desmedido.

En este sentido, puede considerarse una utilización abusiva de las herramientas TIC si causa una disminución en el rendimiento laboral del empleado o si perturba o altera el sistema informático del PSC.
Normas de uso

El acceso a Internet se configura como herramienta a disposición de los empleados para el cumplimiento de sus tareas.

• Queda prohibido su uso para fines no relacionados con las funciones laborales encomendadas: debates en tiempo real (Chat), redes sociales, sistemas de mensajería instantánea tipo Messenger o WhatsApp, así como la instalación de programas P2P (Peer-to- Peer) y de cualquier otro tipo de acceso a entornos o plataformas de intercambio de ficheros, salvo en los casos en que los trabajadores tengan encomendadas tareas específicamente relacionadas con el uso de estas herramientas.
• En cualquier caso, queda totalmente prohibido el acceso a páginas de ocio, entretenimiento o webs de contenido sexual, xenófobo o que inciten a la violencia.

Controles

El PSC podrá controlar el uso del acceso a Internet proporcionado mediante un control de las páginas visitadas, almacenamiento y control de las galletas, Y su utilización en procedimientos disciplinarios o en cualquier orden administrativo o judicial.

El partido también podrá utilizar otros sistemas de control de la navegabilidad que estime oportunos.

II.III. Equipos

Normas de uso

Los equipos proporcionados por el partido se configuran como herramienta a disposición de los empleados para el cumplimiento de sus tareas.

1. Queda prohibido su uso para fines no relacionados con las funciones laborales encomendadas.
2. Queda prohibido trabajar con equipos personales que no sean proporcionados por el partido, salvo autorización expresa por escrito.
3. Sólo podrán trabajar con equipos portátiles las personas autorizadas por la organización.
4. Cuando se proporcionen equipos portátiles o por lo general dispositivos móviles, el empleado será el responsable de su custodia cuando estén fuera del partido.
5. Se procurará en todo caso el acceso del trabajador a servidores corporativos. Cuando se trabaje en modo local, el empleado será responsable de que la información sea guardada debidamente en el servidor habilitado al efecto para evitar la pérdida de la misma.

Controles

El partido podrá controlar el uso de los equipos, incluso su contenido, mediante el sistema que estime oportuno.

II.IV. Dispositivos de almacenamiento externo

Normas de uso

1. Los usuarios no pueden utilizar dispositivos de almacenamiento externo, salvo en los casos en que se autorice expresamente por escrito y se adopten las debidas medidas de seguridad. No se podrán conectar dispositivos de almacenamiento externo.
2. La información contenida en estos dispositivos, contenga o no datos de carácter personal, se mantendrá cifrada.

Controles

El partido podrá controlar el uso de los dispositivos externos, incluso su contenido, mediante el sistema que estime oportuno.

II.V. Aplicaciones

No se podrán descargar o utilizar programas que no estén previamente y expresamente autorizados por el PSC.

II.VI. Cámaras de videovigilancia

Por motivos de seguridad, es posible el uso de cámaras de videovigilancia en zonas comunes y no invasivas; sin embargo, sus grabaciones podrían ser utilizadas para aspectos laborales o penales de importancia.

Existen cámaras de videovigilancia en la zona exterior y zonas de acceso al interior de las locales del PSC habilitadas con este tipo de infraestructura de seguridad.

II.VII. Otros aspectos

• No está permitido utilizar identificadores y contraseñas de otros usuarios para acceder al sistema.
• No está permitido burlar las medidas de seguridad establecidas en el sistema informático, intentando acceder a archivos o programas no autorizados.
• No está permitido modificar la configuración de redes, equipos y de cualquier dispositivo de trabajo.
• No está permitido el uso de la red corporativa, sistemas informáticos y cualquier medio puesto al alcance del usuario, vulnerando el derecho de terceros, los propios de la organización, o bien para la realización de actos que puedan ser considerados ilícitos.
• No está permitido destruir, alterar, inutilizar o dañar por cualquier vía los datos, programas o documentos electrónicos del PSC o de terceros.
• No está permitido introducir voluntariamente programas maliciosos (troyanos, key loggers), virus o cualquier archivo que cause o sea susceptible de causar cualquier tipo de alteración en los sistemas informáticos del PSC o de terceros.
• No está permitido acceder ilegalmente sin autorización o intentar vulnerar medidas de seguridad de ordenadores o redes que pertenezcan a un tercero, así como cualquier actividad previa al ataque de un sistema para recabar información sobre éste, como, por ejemplo , el escaneo de puertos.
• No está permitida ninguna actividad que infrinja o haga uso indebido de los derechos de propiedad intelectual de un tercero.

La infracción de las instrucciones contenidas en la presente política constituirá falta muy grave, y en atención al régimen sancionador interno será susceptible de la imposición de la sanción que corresponda a la conducta de los destinatarios según el correspondiente convenio de aplicación.

Todo directivo, trabajador o persona relacionada con la entidad que detecte el incumplimiento de cualquier norma de la presente política debe denunciarlo al canal de denuncias habilitado por la Entidad.

Siempre que se detecte cualquier práctica contraria a este protocolo, la Entidad aplicará los mecanismos de reacción previstos en el Protocolo de funcionamiento del Órgano de Control y de Canal de Denuncias aprobado.

La presente Política debe revisarse y, en su caso, actualizar anualmente, así como siempre que se aprecie un riesgo que no había sido previsto, por ejemplo, por el uso de nuevas fórmulas corruptas que no hayan sido evaluadas .

Además, siempre debe revisarse y actualizarse cuando se detecte la posible existencia de conductas corruptas, así como cuando se inicie un procedimiento judicial o investigador por prácticas que puedan ser constitutivas de corrupción. En estos casos, deberá además valorar las nuevas medidas a implantar para evitar que se puedan cometer prácticas corruptas en el seno de la Entidad.

Este Protocolo ha sido aprobado por el Órgano de Administración; en caso de revisión, debe informarse de las conclusiones alcanzadas al Consejo y cualquier modificación o actualización debe someterse a su aprobación expresa.