¿Puede o no puede la empresa leer los mails corporativos?

Precía que sí, pero no. O tal vez sí. Quizás, en algún caso. Hay un fallo que... Pero otro dice lo contrario... Un gran debate sobre la privacidad o no de los mails corporativos se armó, impensadamente, en el último encuentro llamado "Prevención, detección e investigación de delitos corporativos", organizado por Forum.

Crecen este tipo de delitos, llamados de "cuello blanco", y con ellos, el trabajo de los investigadores a quienes acuden las empresas para detectar quiénes son los posibles defraudadores.
Sin embargo no existe una ley en la Argentina que se refiera claramente a si el mail corporativo puede o no ser revisado por la empresa. En este sentido, las compañías suelen tomar recaudos a la hora de revisar los mails que les proporcionan a sus empleados, y, llegado, presentarlos como prueba de un delito.
¿Cómo empieza la investigación? "Instituir una línea de denuncias anónima es el elemento de mayor importancia en la elaboración de un programa completo de detección de fraudes", dijo Esteban Enderle, socio de Enterprise Risk Services de Deloitte. "La mitad de los fraudes investigados fueron inicialmente descubiertos a partir de denuncias de los empleados, clientes, proveedores y otras fuentes."
Una vez que la compañía recibe la denuncia se trata de investigar su veracidad, y si hay indicios se avanza hacia la obtención de pruebas.
"Con el avance de las tecnologías, la legislación necesita ser adaptada", dijo la fiscal de la ciudad de Buenos Aires Silvina Rivarola.
El artículo 153 del Código Penal dice: Será reprimido con prisión de quince (15) días a seis (6) meses el que abriere o accediere indebidamente a una comunicación electrónica, una carta, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, que no le esté dirigido; o se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicación electrónica que no le esté dirigida.
En la misma pena incurrirá el que indebidamente interceptare o captare comunicaciones electrónicas o telecomunicaciones provenientes de cualquier sistema de carácter privado o de acceso restringido.
La pena será de prisión de un (1) mes a un (1) año, si el autor además comunicare a otro o publicare el contenido de la carta, escrito, despacho o comunicación electrónica.
"Una empresa no se puede meter en el correo electrónico del empleado por más que sea laboral. Hay fallos que declararon la nulidad en estos casos", dijo Rivarola, quien sugirió, además, "esperar la orden judicial, no dar desde la empresa la orden de interceptar los mails, porque de esta manera podrían no servir como prueba".
Por su parte, el juez del tribunal oral federal Daniel Petrone redobló la apuesta. "Hay que analizar también si el ingreso a los mails del personal por parte de una compañía da o no pie a juicios laborales. La discusión no es sólo si lo podés usar, sino si estás o no cometiendo un delito", afirmó.
"Esta situación puede mejorarse si el empleado conoce las prácticas o las políticas de la empresa, pero siempre es mejor que haya una orden judicial", agregó la fiscal. Ambos coincidieron en que, llegado el caso, se podría entender que una autorización firmada por el empleado podría tomarse como una obligación, urgido por su situación laboral.

Otra campana

Hay otra visión, que dice que si la prueba es recabada con un formato legal, cuidando la cadena de custodia y tomando todos los recaudos legales necesarios, es válida.
Según la definición de Deloitte, el área de forensic (que varias empresas tienen, incluidas las Big Four) comprende los procedimientos de investigación financiera e informática destinados a prevenir, detectar o investigar posibles fraudes. Con experiencia en diversos países en el mundo, se trata de una práctica que ya no se discute y que además es tomada por los empleados con naturalidad.
"En el mundo, los delitos corporativos representan una economía del G20, si se suman todas las tipologías", dijo Raúl Saccani, socio de la firma. Se trata de corrupción, evasión de impuestos, lavado de dinero, contrabando y fraude, entre otros. "El empleador podrá acceder a la información almacenada en la computadora del empleado en la medida en que hayan sido establecidas reglas sobre el uso de tales instrumentos de trabajo, expresa y personalmente admitidas por el empleado. Estas reglas tienen que ver con la definición de lo que se denomina "expectativa de privacidad" de los datos que el empleado decide almacenar en la computadora del trabajo. En otras palabras, estas políticas le advierten que no puede esperar que esos documentos tengan el mismo nivel de privacidad que tendrían en su computadora personal y que, eventualmente, pueden ser objeto de control por parte del empleador", afirmó Saccani, consultado por la nacion.
"En nuestro caso, quien lidera las investigaciones cuando existe una denuncia de fraude corporativo es el departamento de Compliance", dijo Gustavo Regner, Compliance Officer de Syngenta.
Con diez años de experiencia en el área de forensic en BDO, Regner afirma que "en la Argentina está la mitad de la biblioteca para un lado y la otra mitad para el otro. Sin embargo, nunca nos rechazaron una evidencia. En Estados Unidos por ejemplo hay un protocolo y no hay tantos problemas. Acá, además todo tiene que estar certificado por un escribano público". De todas maneras, para Regnaer, el análisis de la computadora del empleado debería ser el último paso y no el primero.
"Cuando la organización falla en la integridad, las personas suelen buscar su propio interés. Este es el eje sobre el cual hay que trabajar", cerró Saccani.

Fallos encontrados

Fuero civil y comercial: aceptó pruebas digitales en 4 oportunidades y también las rechazó en otras cuatro.
Fuero laboral: en unos ocho casos rechazó la prueba digital por la expectativa de privacidad en emails laborales, fallas en la cadena de custodia y falta de prueba complementaria. De 2003 a 2015 aceptó pruebas digitales en tres oportunidades por uso indebido del email laboral y la existencia de políticas que informan que la empresa puede acceder a este mail.
Fuero penal: aceptó las pruebas dos veces, en 2007 y 2013, y las rechazó en dos casos diferentes en 2015 alegando la privacidad del mail laboral al que el empleado le pone una clave y la inviolabilidad de la correspondencia.
 Fuente: LaNacion Argentina

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS