0
Eines
barcelona - 21 setembre 2013 2.00 h

El carter 2.0 és indiscret

L'Autoritat Catalana de Protecció de Dades publica una guia per regular l'ús del correu electrònic i per evitar la difusió d'informació

L'empresa només pot accedir als correus dels treballadors en 4 causes determinades
Tenir una adreça de feina personalitzada no legitima l'ús personal del correu
- barcelona

En les hores posteriors a l'accident ferroviari que va provocar la mort de 79 persones, el passat 24 de juliol, a Santiago de Compostel·la, el govern espanyol enviava un comunicat de condol que en la seva part final recollia unes paraules del president Rajoy anunciant el seu disgust pels fets i manifestant “una sentida pena per la pèrdua de vides humanes i pels abundants danys materials que ha provocat el terratrèmol d'aquesta matinada a Gansu”.

Per tal com Gansu és una província de la Xina i queda més aviat lluny de Santiago de Compostel·la, la desorientació geogràfica mostrada pel mandatari espanyol (que, a més, és gallec) va provocar certa estupefacció. L'explicació era que, presumptament per error, algú havia fet un copia i enganxa d'un anterior comunicat de condol (redactat per un terratrèmol a la Xina) i s'havia enviat sense parar atenció al text final.

Que serveixi el cas, recent i real, d'exemple de les relliscades en què es pot incórrer a l'hora d'enviar un text per correu electrònic. Uns errors que en l'àmbit laboral poden comportar, a banda de possibles conseqüències negatives per a qui l'ha espifiat, un risc per a la seguretat de la informació i la protecció de dades.

Una guia d'ús.

L'Autoritat Catalana de Protecció de Dades (ACPD) ha editat una guia amb els passos a seguir abans de pitjar el botó d'enviar. No és un text normatiu però sí una recomanació d'usos “per a les administracions públiques catalanes, i també per a tots els altres ens inclosos dins l'àmbit d'actuació de l'ACPD, amb independència de la seva naturalesa pública o privada”.

El principal motiu esgrimit per redactar el manual és que “els innegables aspectes positius que incorpora l'ús d'aquestes tecnologies no permeten menystenir els riscos derivats de l'ús del correu electrònic per a la seguretat de la informació i la protecció de les dades de caràcter personal”.

No esbombar adreces.

El document passa per alt qüestions tècniques sobre la redacció del correu (per exemple la poca conveniència d'usar lletra majúscula i signes d'exclamació o interrogació en l'assumpte perquè facilita que el correu sigui etiquetat com a spam) però sí busca aclarir algunes normes d'ús relacionades amb la protecció de dades. Així, posa de relleu que l'empresa o administració no pot anar revelant adreces sense cap control: “La publicació de l'adreça de correu laboral o professional que es pugui associar a persones físiques constitueix una comunicació de dades de caràcter personal i, per tant, s'ha de subjectar al règim de comunicacions previst a la normativa de protecció de dades. És necessari disposar del consentiment de la persona treballadora.”

L'ACPD preveu també que “l'empresa ha d'establir i posar en coneixement dels seus treballadors les normes d'ús del correu electrònic i definir les condicions en què, si s'escau, aquesta eina es pot utilitzar amb finalitats privades”. No es tracta, només, d'una manifestació de l'autoritat de l'empresa sinó que marcar unes normes del joc és imprescindible perquè el treballador també conegui fins on arriben els seus drets: “L'establiment, mitjançant aquestes normes, d'una política d'ús del correu ha de permetre a les persones treballadores conèixer amb seguretat el nivell de confidencialitat que poden esperar en l'ús d'aquestes tecnologies.” I és que l'ACPD preveu que l'empresa només pot accedir als comptes de correu electrònic corporatiu facilitats als seus treballadors “quan l'accés estigui justificat i no hi hagi cap altre mecanisme que permeti assolir l'objectiu perseguit sense necessitat d'accedir-hi”.

Sobre les causes justificades que poden autoritzar aquest accés s'hi recullen: tasques de manteniment, garantir la continuïtat de l'activitat en cas d'absència de la persona treballadora, quan es tinguin indicis d'un possible mal ús del compte de correu o quan hagi cessat la relació laboral entre treballador i empresa.

Ús privat o laboral?.

Per la seva part, el treballador ha de saber que “una adreça personalitzada no vol dir que el correu es pugui utilitzar per a finalitats privades. Cal consultar les normes d'ús del correu corporatiu, per conèixer si n'està permesa la utilització amb fins personals”.

La indicació es refereix al fet que tenir una direcció a nom propi, per exemple [email protected], ve a ser el mateix que si hi diu [email protected] i que, per tant, no dóna dret a usar aquell correu per a fins personals.

Si s'ha fixat que el correu electrònic professional pot ser també usat per a fins personals, quan se li doni aquest ús es recomana que en els missatges privats no hi figurin elements d'identificació de la funció professional: “Inhabiliteu l'opció de peu de signatura automàtic o, si escau, elimineu del peu de signatura la informació relativa al càrrec i l'organització on es presten els serveis.”

Seguretat.

Per garantir la confidencialitat de determinades comunicacions sensibles es pot utilitzar el xifratge (demana una clau per poder accedir al missatge). És obligatori en la transmissió de dades de caràcter personal (com són dades de salut, vida sexual, ideologia o religió), dades policials i dades derivades d'actes de violència de gènere.

Prohibits els missatges en cadena

No és cosa fàcil trobar l'equilibri entre la potestat de l'empresa per regular l'ús d'una eina de treball com és el correu i la confidencialitat de les comunicacions de la part treballadora.

L'ACPD intenta donar criteris perquè la funció personal i la professional estiguin al màxim de diferenciades i, per això, recomana que no s'usin comptes de correu personal “per a les comunicacions relacionades amb l'activitat pròpia de l'empresa”. L'explicació és que representa una trava per a l'empresa a l'hora d'accedir a una informació que li pot ser determinant (per exemple una comanda o la base de dades d'un client).

Ara bé, el compte corporatiu (o correu d'empresa) no dóna màniga ampla perquè l'empresa pugui tafanejar tot el que li convingui. En aquest sentit, l'ACPD aconsella incorporar “mesures d'identificació i autenticació d'usuaris”, el que vénen a ser contrasenyes. Així, les comunicacions del titular del correu queden més ben protegides.

De la mateixa manera, per protegir el personal d'intromissions indesitjades es recomana evitar els missatges en cadena o piramidals (deixen rastre de les adreces i terceres persones les poden veure) i “evitar la indexació de les adreces de correu, quan es publiquin al web, per evitar que es puguin utilitzar per a enviaments massius de correus electrònics”. Igualment, també es fa menció de la conveniència d'usar l'opció CCO (còpia oculta) en correus que van adreçats a una pluralitat de persones destinatàries.



Identificar-me. Si ja sou usuari verificat, us heu d'identificar. Vull ser usuari verificat. Per escriure un comentari cal ser usuari verificat.
Nota: Per aportar comentaris al web és indispensable ser usuari verificat i acceptar les Normes de Participació.

Publicat a