Es posible que en algún momento de su carrera el Director de Sistemas reciba una instrucción de la Dirección General de la compañía que suponga un ilícito civil, penal o administrativo. Este tipo de situaciones son muy delicadas y es muy difícil recomendar acciones específicas, porque la mayoría de ellas pueden poner en peligro el puesto de trabajo. El escenario teórico ideal sería responder a la instrucción por un medio que deje una prueba documental aceptable o con el testimonio de otros compañeros. En la respuesta se indicaría que la orden dada puede contravenir una determinada ley o reglamento. Desgraciadamente, si la orden se confirma, al Director de Sistemas le quedan muy pocas opciones. La más drástica sería dimitir. Otra alternativa sería dejar constancia de su oposición y acatar la orden, de acuerdo con el artículo 5 c) del Estatuto de los Trabajadores, que establece como deber básico del trabajador cumplir las órdenes e instrucciones del empresario. Si embargo debe tenerse en cuenta que la obediencia debida es una circunstancia que no exime de responsabilidad penal en el ámbito laboral.
Entre dichas órdenes figuran algunas que reseño a continuación y que he recopilado de casos reales que conocido durante mi actuación profesional:
a. Publicidad engañosa y competencia desleal
Aunque no es una función del Director de Sistemas, es posible que en una PYME se produzcan estos supuestos. La instrucción consiste en incluir en la página web corporativa afirmaciones sobre las características y la calidad de un producto o un servicio que no se ajustan con la realidad.
También puede solicitarse la realización de maniobras de posicionamiento en buscadores que se basen en aprovechar la reputación de otra empresa. Por ejemplo utilizando la marca de un competidor como metatag en el código fuente de la página web o como palabra clave en la publicidad contextual de un buscador. Por ejemplo en Adwords.
También se han producido casos en los que el Director de Sistemas ha recibido instrucciones para desacreditar un producto o un servicio de un competidor en un foro de debate en Internet o en los comentarios de un blog, al tiempo que en otros casos se ha solicitado la creación de identidades falsas para ensalzar las cualidades de los productos o servicios de la propia empresa.
b. Doble contabilidad
El Director de Sistemas puede recibir la instrucción de configurar el programa informático de contabilidad para ocultar beneficios empresariales con el objetivo de repartir menos dividendos a los accionistas o pagar menos impuestos. Estas instrucciones pueden hacer que el Director de Sistemas se implique personalmente en el diseño de una contabilidad “creativa” o incluso una empresa paralela virtual con sus propias particiones de disco duro y contabilidad cifrada. Cabe decir al respecto que la Agencia Tributaria dispone de peritos informáticos especializados en encontrar cuentas B en el transcurso de una inspección fiscal.
c. Datos personales
Es probable que el Dirección General no esté sensibilizada en materia de LOPD y haga caso omiso de las recomendaciones del Director de Sistemas en esta materia. Ello se generalmente traduce en la no aprobación de los presupuestos económicos destinados a la adecuación a la legislación vigente y a la falta de continuidad en la aplicación de los controles y las medidas de seguridad exigidas. En algunos casos, el Director de Sistemas puede recibir instrucciones para tratar datos de salud, de raza, religión o política sin contar con el consentimiento expreso de los trabajadores o clientes afectados.
d. Inspección del correo electrónico o el ordenador de los trabajadores
Una de las instrucciones más habituales que puede recibir un Director de Sistemas es la de inspeccionar el correo electrónico, el historial de navegación o cualquier dato ubicado en el ordenador de un trabajador. Antes de realizar esta investigación, debe comprobarse la normativa de la empresa en materia de seguridad, las advertencias dadas a los trabajadores y la existencia o no consentimiento previo o coetáneo. También hay que valorar la idoneidad y proporcionalidad de los medios de investigación utilizados, en relación con la gravedad de los hechos investigados.
A continuación se reseña lo que sería un posible protocolo de actuación en estos casos:
1. Comprobar si existe normativa que regule el uso del sistema informático, las redes corporativas y el correo electrónico.
2. Comprobar si en dicha normativa existe una prohibición de utilizar la infraestructura de la empresa para fines personales.
3. Comprobar si existe una advertencia o autorización sobre la posibilidad de intervención de la empresa del correo electrónico.
4. Comprobar si los empleados relacionados con la investigación han firmado la normativa o existen otras pruebas de su aceptación.
5. Valorar el nivel de proporcionalidad existente entre las sospechas y el alcance de la intervención a realizar
6. Valorar el nivel de proporcionalidad existente entre las pruebas disponibles y la gravedad de la infracción que se pretende prevenir o comprobar
7. Valorar el nivel de idoneidad de los medios de intervención que se van a utilizar
8. Valorar el nivel de justificación de las sospechas y la necesidad de una actuación preventiva
9. Si la información a revisar se encuentra en ordenadores portátiles fuera de la empresa (teletrabajadores, comerciales, etc.), se solicitará a los usuarios que los entreguen.
10. Utilizar en primer lugar sistemas automáticos de búsqueda que permitan encontrar palabras clave sin tener que visualizar todo el documento
11. Incluir en la búsqueda los dominios o direcciones de correo electrónico que se hallen relacionadas con los hechos investigados
12. Seleccionar los documentos que se ajusten a los criterios de búsqueda utilizados
13. En caso de confirmarse la existencia de las palabras clave introducidas en el sistema de búsqueda en alguno de los documentos o mensajes analizados, realizar una copia de seguridad de todo el ordenador.
14. Solicitar la presencia de dos representantes de los trabajadores o de dos trabajadores (No se trata de un requisito imprescindible, pero da más garantías a las pruebas obtenidas).
15. En la medida de lo posible, solicitar la presencia de un notario.
16. Cuando el notario y/o los representantes de los trabajadores estén presentes, se repetirá el procedimiento de búsqueda, realizando una copia en soporte informático y en papel de las pruebas obtenidas (documentos y mensajes seleccionados)
17. Levantar acta describiendo y anexando los resultados obtenidos. Los presentes firmarán en todas las hojas.
18. Si se ha solicitado la presencia de un notario, se levantará acta de la intervención y de los resultados obtenidos, imprimiendo los documentos o mensajes seleccionados. Las pruebas documentales se protocolizarán, salvo que su volumen implique un elevado coste económico. En tal caso se introducirán en un sobre que el notario sellará, e identificará con un texto que haga referencia al número de protocolo.
19. En caso de especial gravedad o cuando se precisen las máximas garantías, el notario precintará el ordenador y lo guardará en depósito hasta el momento de su aportación al procedimiento judicial correspondiente.
20. En el caso de que la información esté en el servidor, se realizará una copia y se precintará de la misma forma que en el apartado anterior.
e. Propiedad intelectual
Otro supuesto relacionado con los problemas presupuestarios es la instalación de programas sin licencia en los sistemas corporativos. En ocasiones, las instrucciones de la Dirección General en este sentido son categóricas y, especialmente en las PYMES pueden producirse copias no autorizadas, instalaciones por un número superior al previsto en la licencia o un uso concurrente de usuarios superior al previsto.
Finalmente, debe supervisarse la posible existencia de programas P2P en los sistemas corporativos, ya que, en estos casos, la empresa se convierte en suministrador de copias no autorizadas desde el momento en que el trabajador descarga los primeros fragmentos.
