INSTRUCTIVO APLICABLE DE ESCALAMIENTO

IT-DOC-14

Versión:1

Fecha de creación: 29/05/2023

Fecha de actualización: 07/05/2026

 

 

 

 

 

Proceso de Escalamiento Aplicable

 

En este documento se describe el proceso general para escalar los asuntos descritos en la Política de Uso de Computadores. En caso de duda, consulte con su Supervisor[1], en caso de ser necesario, también podrá consultarse a la Gerencia correspondiente.

5.2 Análisis de registros para garantizar la seguridad y el correcto funcionamiento de los sistemas y redes MSC y Medlog Colombia S.A.S

  • El Departamento IT detecta (a través de una alerta) o recibe notificación de un posible Fallo del SOC.
  • Se debe notificar inmediatamente al Equipo de Protección de Datos, en caso de que se produzca una brecha[2] de Datos Personales[3].
    • El Equipo de Protección de Datos determinará si debe informarse a las Autoridades[4] de acuerdo con la legislación aplicable.
  • El Departamento de IT intenta resolver el Fallo. Si es necesario investigar los correos electrónicos corporativos de un Colaborador, consulte los pasos siguientes de acuerdo con la Sección 5.4 y/o 5.7.
  • El Departamento Legal conservará de forma segura la documentación para seguir adelante con la investigación o el procedimiento disciplinario: debe existir una sospecha concreta basada en pruebas demostrables. Cuando sea necesario, el Departamento Legal consultará al Departamento IT para garantizar la conservación segura de la documentación y deberá verificar si los medios utilizados para conservar las pruebas, así como la duración de su almacenamiento, se ajustan a la legislación local aplicable local. En caso contrario, el Departamento Legal deberá detener inmediatamente la investigación y destruir los registros.

5.3 Análisis de registro en caso de Abuso aparente

  • Se deben considerar los siguientes escenarios:
    • El Departamento IT lleva a cabo el análisis de los registros de acuerdo con 5.2 y sospecha o encuentra la presencia de brecha.
    • El Departamento Legal informa al Departamento IT de posibles Abusos, por lo que este último realiza un análisis de los registros.
    • El Departamento de IT recibe una solicitud formal[5] de Gerencia o del Supervisor(es) para revisar los Sistemas de Registro con el fin de confirmar una sospecha de Abuso, o para verificar el cumplimiento de la Legislación Aplicable y de las políticas internas. Las solicitudes deben contener la sospecha de Abuso y el razonamiento en que se basa la sospecha, junto con el plazo y los detalles precisos. Se pondrá en copia al Departamento de gestión humana. El Equipo de Protección de Datos debe ser alertado en caso de tratamiento masivo de Datos Personales o de solicitudes similares repetidas.
  • Si es necesario investigar los correos electrónicos corporativos de un Colaborador, consulte los pasos siguientes de acuerdo con la Sección 5.4 y/o 5.7.
  • El Departamento Legal conservará de forma segura la documentación para seguir adelante con la investigación o el procedimiento disciplinario: debe existir una sospecha concreta basada en pruebas demostrables. Cuando sea necesario, el Departamento Legal consultará al Departamento IT para garantizar la conservación segura de la documentación y deberá verificar si los medios utilizados para conservar las pruebas, así como la duración de su almacenamiento, se ajustan a la legislación local aplicable local. En caso contrario, el Departamento Legal deberá detener inmediatamente la investigación y destruir los registros.

5.4 Investigación de dispositivos informáticos en red e Emails Corporativos

Cuando se determine la existencia de un Fallo IT real tras el análisis de los registros realizado de acuerdo con la sección 5.2 y sea necesario investigar más a fondo el dispositivo informático en red y/o los Emails Corporativos de un Colaborador:

  • El Departamento IT se pondrá en contacto con el DPO cuando el Fallo IT esté relacionado con el tratamiento de Datos Personales[6]. El DPO asesorará al Departamento IT en función de cada caso.
  • Dentro de lo posible, se notificará inmediatamente al Colaborador afectado, o bien en el siguiente horario laboral disponible[7].
  • El Departamento IT conservará siempre un registro de la investigación.

Cuando, a partir del análisis de los registros realizado en conformidad con la sección 5.3, se determine que se ha producido o se sospecha que se ha producido un Abuso o una infracción de la legislación aplicable y de las políticas internas, y sea necesario investigar más a fondo el dispositivo informático en red y/o el Email Corporativo de un Colaborador:

  • Antes de emprender cualquier acción, el Departamento IT consultará al Departamento Legal, que determinará si es necesaria una investigación y en qué condiciones. Decidirá si la investigación se llevará a cabo internamente o se delegará en un tercero fiable y de confianza.
  • El Departamento Legal consultará con (1) el Supervisor del Colaborador, (2) Departamento de gestión humana y (3) el DPO/DPC. Este último verificará si se cumplen las condiciones para investigar a un individuo.
  • Una de las siguientes personas debe estar presente, además del Departamento IT, mientras se lleva a cabo la investigación de los Emails Corporativos y/o el Dispositivo Informático en Red del Colaborador:
    • El DPO o el DPC según corresponda.
    • Representante del Departamento de gestión humana o el Supervisor del Colaborador.
    • cuando lo exija la legislación aplicable, el Órgano Representativo de Colaboradores, si procede y/o el Colaborador correspondiente.

5.5 Normativa relativa a los Emails Corporativos durante la ausencia de un Colaborador

Es potestad del jefe inmediato elegir al compañero de trabajo al que se le reenvíen automáticamente los correos electrónicos del colaborador en caso de ausencia.

En caso de ausencia y una vez recibida dicha autorización, el Servicio de Asistencia IT establecerá el reenvío automático o los derechos de acceso.

En caso de que la ausencia del Colaborador interfiera el negocio, a petición del Supervisor del Colaborador y del Departamento de gestión humana, el Servicio de Asistencia IT podrá establecer el reenvío automático de los Emails Corporativos del Colaborador ausente. La justificación deberá documentarse y se notificará al Colaborador ausente lo antes posible.

En caso de que un Colaborador olvide configurar un mensaje de ausencia de la oficina, el Servicio de Asistencia IT configurará dicha notificación.

Cuando no se pueda contactar con el Colaborador ausente en cuestión para que preste asistencia, no se haya asignado un compañero de trabajo a través del Formato IT-FT-03 Autorización de Gestión de Ausencias, y cuando sea necesario realizar alguna de las siguientes acciones:

  1. Acceder inmediatamente a un documento/ Datos MSC y Medlog Colombia S.A.S. y/o
  2. Gestionar los Emails Corporativos, requiriendo la transferencia de estos a un compañero de trabajo

Se aplicará el siguiente procedimiento:

  • En caso de que sea un compañero de trabajo quien realice la solicitud, este la dirigirá al Supervisor del Colaborador ausente. La solicitud deberá incluir todos los detalles necesarios como, motivo del requerimiento, alcance de la búsqueda, especificar por cuanto tiempo, entre otros.
  • El Supervisor del Colaborador determinará si la solicitud es legítima y si el solicitante u otro compañero de trabajo deberá obtener los Datos MSC y Medlog Colombia S.A.S. necesarios o la transferencia de Emails Corporativos. El Supervisor completará el Formato IT-FT-05 Solicitud de Recuperación de Documentos.
  • Se consultará al DPO/DPC y éste aprobará la solicitud.
  • Una vez recibida la aprobación, el Supervisor se pondrá en contacto con el Servicio de Asistencia IT para llevar a cabo la búsqueda de Datos MSC y Medlog Colombia S.A.S. o realizar la transferencia de Emails Corporativos, para ponerlos a disposición del compañero de trabajo designado, siguiendo las condiciones especificadas por el DPO/DPC si corresponde. Formato IT-FT-05 Solicitud de Recuperación de Documentos el aviso al Servicio de Asistencia IT deberá contener: (i) una justificación de esta búsqueda/ transferencia; (ii) el asunto del correo electrónico, la fecha y el destinatario, o el título/descripción del/ los archivo(s) solicitado(s) o el período de transferencia necesario (normalmente hasta la fecha de retorno del Colaborador); y (iii) la aprobación por escrito del Supervisor del Colaborador. De ser necesario, el DPO/DPC deberá estar presente mientras se realice la búsqueda/transferencia. Este proceso se registrará y archivará automáticamente; si no es posible, se dejará constancia en el Formato IT-FT-05 Solicitud de Recuperación de Documentos.
  • A más tardar el Colaborador ausente deberá ser informado a su regreso de las acciones realizadas.

En caso de ausencia prolongada, el Supervisor del Colaborador podrá solicitar al Servicio de Asistencia IT que suspenda el acceso del Colaborador ausente a su(s) cuenta(s) de Email Corporativo y/o a su(s) Dispositivo(s) Informático(s) en Red. Dicha solicitud deberá ser documentada.

5.6 Normativa sobre Emails Corporativos y Datos MSC y Medlog Colombia S.A.S. en caso de término laboral

En el momento del cese, los Colaboradores deben firmar el formato IT-FT-04 Transferencia de Datos MSC y Medlog Colombia S.A.S.

Para garantizar que, en determinadas circunstancias, sólo se elimine la información privada del Colaborador y no los datos de MSC y Medlog Colombia S.A.S.

  • El Departamento de gestión humana, el Supervisor del Colaborador, el Departamento Legal o la Gerencia, podrán determinar si es necesario supervisar el proceso de eliminación de Información Privada del Colaborador. Tales circunstancias considerarán, pero no se limitan a, cuando el término laboral se produce debido a medidas disciplinarias determinadas bajo la sección 5.7.
  • El DPO/DPC, supervisará al Colaborador cuando elimine su Información Privada.

Los Colaboradores deben configurar su propio mensaje "permanente" de fuera de oficina. En caso de que esto no sea posible, el Departamento IT creará el mensaje.  El mensaje de ausencia debe:

  • estar activo preferentemente durante un mes como máximo después de la fecha de término laboral, o durante el tiempo que requiera la empresa.
  • especificar si el correo electrónico recibido se reenviará automáticamente o no.
  • especificar quién se encarga de las responsabilidades del Colaborador que ya no forma parte de MSC, indicando el Email Corporativo del compañero de trabajo designado o una dirección corporativa genérica del equipo/ departamento.
  • especificar que el Colaborador ya no pertenece a MSC y Medlog Colombia S.A.S. o a la Agencia.

Si corresponde, el Supervisor del Colaborador podrá solicitar el reenvío automático de correos electrónicos recibidos preferiblemente durante un mes después de la fecha de término laboral o durante el tiempo que requiera la empresa, cuya justificación deberá documentarse. El Servicio de Asistencia IT configurará el reenvío automático.

Si el Colaborador no ha firmado el Formulario de Traspaso de Datos MSC y Medlog Colombia S.A.S., o no ha elegido a un compañero de trabajo para que tenga acceso a su Email Corporativo a través del Formato IT-FT-03 de Autorización de Gestión de Ausencias, se aplicará el proceso de recuperación de documentos descrito anteriormente en la Sección 5.5 para recuperar los Datos MSC del Email Corporativo archivado.

5.7 Sanciones en caso de Abuso:

Debe tenerse en cuenta que, en caso de sanciones disciplinarias o despido, sólo podrán utilizarse la evidencia obtenida legalmente (de acuerdo con la Legislación Aplicable). En caso de que se identifique un Abuso cometido por un Colaborador, se aplicará el siguiente procedimiento:

  • El Departamento de gestión humana y/o la Gerencia consultarán en primer lugar al Departamento Legal o, en su caso, el Departamento Legal consultará al Departamento gestión humana y/o a la Gerencia.
  • El Departamento Legal consultará al DPO/DPC para garantizar el cumplimiento de la normativa de protección de datos.
  • El Equipo de Protección de Datos también se asegurará que la recolección de evidencia respecto a un Abuso cumpla con la normativa Local Aplicable.
  • Durante la investigación, el Colaborador involucrado será oído por el Investigador designado por el Comité de Ética y Cumplimiento, que puede ser el oficial de cumplimiento, quien estará acompañado por el Supervisor del Colaborador y el Departamento de gestión humana (el Colaborador deberá obtener antes de dicha reunión una copia de la evidencia acumuladas, para poder responder adecuadamente). En caso de ausencia del Colaborador, deberá estar presente el DPO/DPC. El Comité de Ética y Cumplimiento deberá redactar un informe y distribuirlo a la Alta Dirección y al Departamento de gestión humana. El informe incluirá una recomendación sobre la sanción a aplicar.
  • El Departamento de gestión humana y/o la Gerencia serán quienes tomarán la decisión respecto a la sanción que se impondrá al Colaborador que se considere ha cometido un Abuso.

 

[1] En la mayoría de los casos será el jefe del Colaborador, pero puede ser un Director, Director General o Presidente, dependiendo de la estructura de su Agencia o departamento de MSC y de su cargo.

[2] Por brecha de Datos Personales se entenderá una vulneración de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de Datos Personales. Esto incluye vulneraciones que son resultado tanto de causas accidentales como deliberadas. (Una vez que se tiene conocimiento, comienza el período de 72 horas en el que se debe notificar a las autoridades).

[3] Como se define en la Política de Protección de Datos de MSC.

[4] Considere el alcance de la vulneración, el volumen y la ubicación.

[5] Complete el Formulario de solicitud de revisión del Sistema de Registro

[6] Cuando exista la posibilidad de que se acceda accidentalmente a la Información Privada de los Colaboradores o cuando haya un traspaso masivo de Datos Personales por parte del Departamento IT.

[7] Siga el Protocolo y Formulario de Notificación al Colaborador de investigación de Email Corporativo.