Por Enric Vilamajó, CEO en Winterman.
La prevención y detección del fraude interno es fundamental para el buen desarrollo de una empresa. Las medidas preventivas reducirán el riesgo de comisión y la detección precoz evitará su propagación y volumen.
Una vez más la prensa se hace eco del aparente conflicto entre privacidad y control en el ámbito de las relaciones laborales. ¿Hasta dónde está el jefe legitimado para controlar una posible actividad desleal o fraudulenta? ¿Qué consideraríamos privacidad en el entorno laboral?
Éstas son algunas de las preguntas que se hacen los empresarios, representantes de trabajadores e incluso los legisladores. La Unión Europea ha tomado la iniciativa de estandarizar la normativa en relación a la protección de datos personales y está previsto que dichos cambios entren en vigor en 2018.
El fraude supone a las empresas españolas millones de euros al año en pérdidas, muchos de los casos corresponden a fraudes cometidos dentro de la misma organización. El fraude interno es aquel que se comete por parte de personal empleado, por lo que es lógico pensar que las empresas tienen la necesidad de implantar mecanismos de prevención y detección temprana del fraude con el fin de evitar la corrupción, la apropiación indebida, el robo de información, la competencia desleal, usos indebidos de material corporativo o el absentismo presencial.
Asimismo, no podemos olvidar que todo trabajador tiene derecho a preservar su intimidad tanto en su entorno más privado como en su entorno laboral. Por todo ello, es de suma necesidad establecer de manera contundente los conceptos y límites entre control e intimidad.
Legalmente cualquier investigación sobre el contenido de un ordenador debe limitarse exclusivamente a aquel contenido sospechoso de ser una evidencia del hecho que se está investigando. Por supuesto, debe haber causa legítima para dicha intervención, el procedimiento en este tipo de investigaciones es la búsqueda automatizada de archivos por medio de palabras clave. Es decir, la intervención del ojo humano queda limitada a la identificación de archivos y ficheros que contengan las palabras clave previamente establecidas como potenciales indicadores del evento a investigar. El resto de material e información almacenada en el disco duro, quedaría fuera del objeto de la investigación. Preservando así la intimidad del empleado.
Los jueces determinan que sólo pueden realizarse este tipo de investigaciones si la compañía ha informado explícitamente a los trabajadores de que los equipos informáticos son propiedad de la empresa y que su uso queda limitado estrictamente al desarrollo de sus tareas profesionales. Asimismo, la empresa debe notificar que se reserva el derecho a controlar que el empleado cumpla con sus funciones laborales. Esta notificación cubriría también el uso de teléfonos móviles, así como cualquier otra aparatología tecnológica que la compañía ceda al trabajador para el desempeño de sus funciones profesionales.
Extrapolando la situación a acciones preventivas, podemos equipararlo al uso de cámaras de vigilancia en entornos públicos o de pública concurrencia donde la Ley de Protección de Datos de Carácter Personal, nos obliga a notificar la existencia de dichas cámaras y que sus imágenes pueden quedar registradas. Así pues, si el empresario notifica con carácter general a través de un comunicado la política de uso del material corporativo, quedaría automáticamente legitimado para ejercer dicho control siempre y cuando el medio sea proporcional e idóneo.
Cualquier control a los trabajadores debe implementarse de manera transparente y de modo que implique la no extralimitación por parte de la empresa en sus acciones preventivas. La contratación de una empresa externa para la gestión de estas acciones garantiza no sólo la transparencia sino también el correcto cumplimiento de la ley de protección de datos y de derecho a la privacidad.
Por otro lado, no es aconsejable la realización de auditorías aleatorias. Se recomienda la creación de mapas de riesgos e indicadores, a modo de matriz, que ayuden a identificar aquellos equipos, áreas o departamentos en los que haya un mayor riesgo de posibilidad de abuso o fraude.
Una vez establecidos los parámetros de lo que la empresa puede y no puede hacer en materia de control, quedaría definir qué entenderíamos por privado en lo referente a lo contenido en un ordenador corporativo. La clave radica en el aviso previo, formal, explícito y por escrito de lo que la empresa considera que puede o no hacerse con un ordenador de la empresa. Toda compañía, aparte de un documento de política de uso, debería clarificar qué es lo que está y no está permitido almacenar o ejecutar desde sus ordenadores. El empresario debería definir un código ético del que derivara un manual de conducta e incluso un protocolo sancionador. Disponer de un reglamento sancionador es aconsejable para todo tipo de empresas y de carácter obligatorio para ciertas actividades.
En resumen, el control puede ser ejercido por una empresa siempre que este sea transparente, garantista, proporcional e idóneo a la actividad que se realiza. Asimismo, deber ser debidamente notificado a sus trabajadores a través de una política de uso de sistemas y dentro del marco de un manual de conducta o buenas prácticas. No se considerará privado todo lo consignado en un ordenador corporativo, en el que el trabajador ha sido debidamente informado sobre la prohibición de ciertas acciones de almacenado de datos o uso de las herramientas, por lo que podrá ser sometido a control o auditoría por parte de la empresa. Siempre salvaguardando los derechos fundamentales del empleado.