Bajar la puerta: los empleadores deben tomar medidas para restringir el acceso a la información confidencial.

Con la proliferación de la tecnología y la computación basada en la nube, los empleadores a menudo tienen dificultades para proporcionar a los empleados las herramientas que les permitan acceder a la información que necesitan para realizar su trabajo de manera eficaz y eficiente, al tiempo que se preserva la privacidad de la información confidencial y privada. La Ley de Fraude y Abuso Informático (CFAA) ha sido durante mucho tiempo una herramienta que los empleadores podían utilizar para impedir que los empleados actuales o antiguos, así como los competidores comerciales externos, accedieran y utilizaran la información informática sin la autorización adecuada. Históricamente, la CFAA prohibía a los empleados «piratear» bases de datos informáticas protegidas y obtener información protegida en dichas bases de datos para su uso personal.

Algunos tribunales también ampliaron el alcance de la CFAA para aplicarla a un empleado que estaba autorizado de manera general a acceder a la información de una base de datos informática protegida, pero que utilizó dicho acceso para obtener información con fines no autorizados o indebidos. Sin embargo, el verano pasado, el Tribunal Supremo de los Estados Unidos, en el caso Van Buren contra Estados Unidos, aclaró que la CFAA no se aplica en tales situaciones.

En ese caso del Tribunal Supremo, el demandante Nathan Van Buren era un sargento de policía que, como parte de sus responsabilidades diarias, tenía acceso a una base de datos policial estatal que contenía información sobre permisos de conducir. Van Buren solo tenía permiso para utilizar la base de datos con fines policiales. Sin embargo, un ciudadano particular pagó a Van Buren para que utilizara sus credenciales de inicio de sesión para obtener información sobre permisos de conducir.

Van Buren fue detenido y acusado de un delito grave por infringir la CFAA, lo que le llevó a ser finalmente condenado a 18 meses de prisión. Van Buren apeló, argumentando que la cláusula de «exceso de acceso autorizado» de la CFAA no se aplica a los empleados que hacen un uso indebido del acceso que les han concedido sus empleadores o que utilizan ese acceso con fines indebidos. El Tribunal Supremo de los Estados Unidos estuvo de acuerdo. El Tribunal determinó que el propósito del empleado no es la cuestión relevante, incluso cuando ese propósito está prohibido por la política del lugar de trabajo o los materiales de formación. Más bien, el Tribunal sostuvo que solo se viola la CFAA cuando los empleadores toman medidas para prohibir a los empleados el acceso a la información de los ordenadores que están autorizados a utilizar y los empleados eluden esas restricciones con fines indebidos.

En una decisión de 6 a 3, el Tribunal sostuvo que «si una persona tiene acceso a información almacenada en un ordenador —por ejemplo, en la «Carpeta Y», de la que la persona podría extraer información de forma permisible—, entonces no infringe la CFAA al obtener dicha información, independientemente de si la extrajo con un fin prohibido. Pero si la información se encuentra en la «Carpeta X» prohibida, a la que la persona no tiene acceso, infringe la CFAA al obtener dicha información». Por lo tanto, «la responsabilidad se deriva de una investigación de tipo «puertas abiertas o cerradas»: se puede o no se puede acceder a un sistema informático, y se puede o no se puede acceder a determinadas áreas dentro del sistema».

Si bien el fallo de la Corte Suprema limita el alcance de la CFAA, proporciona a los empleadores una valiosa orientación sobre qué conductas prohíbe realmente la CFAA. Los empleadores «rebajan el listón» tomando medidas para restringir el acceso a la información que desean evitar que los empleados utilicen de forma indebida. Sin embargo, qué medidas deben tomarse exactamente es una cuestión abierta. El Tribunal declaró expresamente que «a los efectos que nos ocupan, no es necesario abordar si esta investigación se centra únicamente en las limitaciones tecnológicas (o «basadas en códigos») del acceso, o si también tiene en cuenta las limitaciones contenidas en los contratos o las políticas». Por lo tanto, no está claro si los empleadores deben proteger los archivos con contraseñas para restringir su acceso, o si basta con prohibir a los empleados el acceso a la información informática en los manuales de los empleados. Sin duda, estas cuestiones serán el centro de atención de futuros litigios relacionados con la CFAA.

Para garantizar que la CFAA proteja la información almacenada en los ordenadores del uso indebido por parte de los empleados, los empleadores deben recurrir a las mejores prácticas en materia de seguridad de los datos. Dichas mejores prácticas incluyen, entre otras: (1) proteger con contraseña toda la información confidencial y privada; dichas contraseñas deben actualizarse con frecuencia y solo deben facilitarse a los empleados que realmente necesiten conocer dicha información; (2) habilitar un cortafuegos para impedir el acceso no autorizado a la red informática; (3) cifrar los datos que sean altamente confidenciales; (4) utilizar una red privada virtual (o VPN) para restringir aún más el acceso no autorizado a su red; y (5) instruir específicamente a los empleados sobre qué bases de datos o información no están autorizadas y supervisar regularmente dichas bases de datos para garantizar que no se acceda a ellas sin la debida autorización.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

Hombre con chaqueta azul y camisa azul claro sonriendo, de pie frente a un fondo borroso de un despacho de abogados corporativos, que representa a abogados de Chicago y proporciona apoyo en litigios.

[email protected]

Dallas 214.999.4734

Información relacionada

Ver todas las entradas

10 de diciembre de 2025 Puntos de vista de Foley

Actualización sobre la reunión de otoño de la NAIC: Grupo de trabajo sobre datos del mercado inmobiliario (C)

El Grupo de Trabajo sobre la Recopilación de Datos del Mercado Inmobiliario (C) (el «Grupo de Trabajo») supervisa la Recopilación de Datos del Mercado Inmobiliario y es responsable de...

10 de diciembre de 2025 Puntos de vista de Foley

Actualización de la reunión de otoño de la NAIC: El grupo de trabajo sobre ciberseguridad (H) recibe comentarios sobre el portal de notificación de incidentes cibernéticos.

El 10 de diciembre de 2025, el Grupo de Trabajo sobre Ciberseguridad (H) se reunió para debatir y recibir comentarios sobre su propuesta de Ciberseguridad...

10 de diciembre de 2025 Puntos de vista de Foley

Actualización de la reunión de otoño de la NAIC: El grupo de trabajo sobre licencias de productores (D) recibe un informe sobre la ampliación y los cambios del NIPR.

En una reunión eficiente celebrada el 10 de diciembre de 2025, el Grupo de Trabajo sobre Licencias de Productores (D) recibió un informe de la Seguridad Social...

Bajar la puerta: los empleadores deben tomar medidas para restringir el acceso a la información confidencial.

Autor(es)

Jonathan Michael Thomas

Información relacionada

Actualización sobre la reunión de otoño de la NAIC: Grupo de trabajo sobre datos del mercado inmobiliario (C)

Actualización de la reunión de otoño de la NAIC: El grupo de trabajo sobre ciberseguridad (H) recibe comentarios sobre el portal de notificación de incidentes cibernéticos.

Actualización de la reunión de otoño de la NAIC: El grupo de trabajo sobre licencias de productores (D) recibe un informe sobre la ampliación y los cambios del NIPR.