ES Español FR Français DE Deutsch IT Italiano ZH 中文 JA 日本語 PT Português AR العربية
← Workspace

📄 Documento 50 de 95

Política de Uso Aceptable — Empleados Internos

Establece las reglas de uso aceptable de los sistemas, cuentas corporativas y herramientas de IA para los empleados y contratistas de Lawra, S.R.L. Complementa la AUP pública y define la escala disciplinaria por incumplimiento.

⚠️ Documento interno. Borrador para revisión legal por abogado dominicano colegiado antes de notarización.

Política de Uso Aceptable — Empleados Internos (AUP Internal)

Política operativa interna. Complementa la Política de Uso Aceptable pública (aup.md) y establece reglas específicas para el uso de sistemas, herramientas y activos corporativos por parte del personal de Lawra, S.R.L. Aprobada por la Asamblea en [__]. Versión: 1.0.

1. Propósito y Relación con la AUP Pública

1.1. La AUP pública de Lawra regula el uso del producto por parte de clientes externos. Esta política complementa aquella documento regulando el uso de los sistemas internos, las herramientas de IA y los recursos corporativos por parte del equipo interno (socios, empleados, contratistas, becarios y consultores con acceso a los sistemas de Lawra).

1.2. — Aplica a: cualquier persona con credenciales corporativas de Lawra, independientemente de si trabaja de forma presencial, remota o mixta, y de su vínculo jurídico con la sociedad (empleado de planta, contratista, asesor externo recurrente).

1.3. Esta política implementa los criterios SOC 2 CC1.4 (compromiso de competencia y comportamiento del personal) y CC6.6 (restricción al acceso lógico).

2. Uso Permitido de Sistemas y Cuentas Corporativas

2.1. Los sistemas y cuentas corporativas de Lawra (correo @lawra.io, Google Workspace, Slack, GitHub, Firebase Console, herramientas de gestión de proyectos) están provistos principalmente para actividades laborales relacionadas con la misión de Lawra.

2.2. — Se permite:

  • Uso para actividades directamente relacionadas con las funciones del rol.
  • Uso incidental y razonable para asuntos personales no comerciales (ej. un correo personal ocasional), siempre que no comprometa la seguridad, consuma recursos significativos, ni mezcle datos personales con datos corporativos.
  • Acceso a recursos de formación o investigación directamente relacionados con las responsabilidades del rol.
  • Comunicación con terceros (clientes, proveedores, socios) en nombre de Lawra dentro del alcance del rol.

2.3. El uso personal incidental no genera derecho a privacidad en los sistemas de Lawra. Lawra se reserva el derecho de acceder a cuentas corporativas para investigaciones de seguridad, auditorías de cumplimiento o procedimientos legales, con la autorización pertinente.

3. Uso de Herramientas de IA

El equipo de Lawra trabaja directamente con herramientas de IA tanto en el desarrollo del producto como en las operaciones diarias. Las siguientes reglas aplican a TODO uso de IA por parte del personal.

3.1. AI Suite de Lawra (uso interno)

3.1.1. El AI Suite de Lawra es la herramienta de IA primaria y preferida para el trabajo del equipo. Está diseñado con controles de privacidad, logs auditables y políticas de retención de datos coherentes con las obligaciones de Lawra.

3.1.2. El uso del AI Suite para tareas laborales es bienvenido y no requiere autorización especial. Los límites de cuota interna son gestionados por el CTO.

3.1.3. — Prohibición de abuso de cuota: El AI Suite tiene cuotas de uso asignadas para el equipo. El uso personal a gran escala (ej. generar decenas de miles de tokens para proyectos personales propios, no relacionados con Lawra) está prohibido y puede resultar en restricción de acceso.

3.2. Herramientas de IA Externas (ChatGPT, Claude, Copilot, Gemini, etc.)

3.2.1. Las herramientas de IA externas son herramientas poderosas pero no administradas por Lawra. Por lo tanto aplican las siguientes reglas:

3.2.2. — PERMITIDO:

  • Uso para investigación, redacción general, brainstorming, aprendizaje técnico, y tareas que NO involucren datos de clientes ni información Confidencial o Restringida de Lawra.
  • Uso de la versión empresarial / privada de una herramienta si ha sido aprobada formalmente por el CTO y el Oficial de Cumplimiento con evaluación de privacidad completada.
  • Ej. permitido: preguntar a ChatGPT sobre un patrón de código en abstracto, pedirle que mejore la redacción de un correo sin datos sensibles.

3.2.3. — PROHIBIDO (sin excepción):

  • Introducir datos personales de clientes (nombres, correos, historial de uso, conversaciones con el asistente) en cualquier herramienta de IA externa no aprobada.
  • Introducir código fuente de Lawra, system prompts, configuraciones de Firebase, o cualquier secreto comercial en herramientas externas.
  • Introducir contratos, DPAs, financieros internos o cualquier información marcada como Confidencial o Restringida.
  • Usar herramientas externas para procesar información de un cliente de Lawra en nombre de ese cliente, sin su conocimiento y consentimiento explícito.
  • Usar la versión gratuita o personal (no enterprise) de herramientas de IA externas para cualquier dato que no sea completamente público, dado que esas versiones pueden usar los inputs para entrenamiento del modelo.

3.2.4. Ante la duda sobre si un dato puede introducirse en una herramienta externa: consultar al Oficial de Cumplimiento antes de hacerlo. La regla de clasificación predeterminada aplica: si no está etiquetado como Público, tratar como Interno o superior.

3.2.5. — Verificación de outputs de IA: El personal es responsable de verificar la exactitud de los outputs de herramientas de IA antes de utilizarlos en comunicaciones a clientes, documentos legales, código de producción o toma de decisiones. Las alucinaciones de modelos de lenguaje son un riesgo real y documentado.

3.3. Aprobación de Nuevas Herramientas de IA

3.3.1. Cualquier herramienta de IA nueva que vaya a utilizarse con datos Internos, Confidenciales o Restringidos requiere evaluación formal previa por el CTO y el Oficial de Cumplimiento (incluyendo revisión de ToS, política de privacidad, DPA disponible y postura de seguridad).

3.3.2. La adopción de herramientas sin este proceso de aprobación es considerada shadow IT y está prohibida.

4. Uso de Cuentas Corporativas en Redes Sociales y Medios

4.1. Solo las personas expresamente autorizadas por el Gerente o por quien este delegue pueden publicar contenido en nombre de Lawra en redes sociales, medios de comunicación u otras plataformas públicas.

4.2. Los empleados pueden mencionar que trabajan en Lawra en sus perfiles personales, pero no deben:

  • Publicar información financiera, estratégica o de productos no anunciados.
  • Expresar posiciones de la empresa sin autorización.
  • Publicar comunicaciones internas o datos de clientes.

5. Comunicaciones Corporativas

5.1. El correo corporativo (@lawra.io) y los canales de Slack corporativo son herramientas de trabajo. Las comunicaciones en estos canales pueden ser revisadas por Lawra conforme a la ley aplicable y a los procedimientos internos.

5.2. No se deben usar los canales corporativos para:

  • Comunicaciones que puedan generar responsabilidad legal (amenazas, discriminación, acoso, difamación).
  • Distribución de contenido ilegal o con derechos de autor sin licencia.
  • Compartir información confidencial con personas sin autorización para recibirla.
  • Campañas políticas o proselitismo no relacionado con Lawra.

5.3. Las comunicaciones con clientes deben ser profesionales, precisas y conformes a los compromisos contractuales de Lawra.

6. Uso de Equipos y Redes

6.1. Los equipos de trabajo corporativos (laptops, tablets, teléfonos corporativos) son propiedad de Lawra y están sujetos a los controles de seguridad establecidos (cifrado de disco, EDR, MDM si aplica).

6.2. Las redes Wi-Fi públicas no deben usarse para acceder a sistemas de producción o a datos Confidenciales/Restringidos sin una VPN aprobada activa.

6.3. Los dispositivos personales usados para trabajo (BYOD) están sujetos a la política específica byod-policy.

7. Prohibiciones Generales

Con independencia del sistema o herramienta utilizada, está expresamente prohibido:

7.1. — Seguridad:

  • Desactivar, evadir o interferir con controles de seguridad (MFA, EDR, cifrado).
  • Compartir credenciales propias con terceros.
  • Acceder a sistemas o datos para los que no se tiene autorización expresa.
  • Instalar software no aprobado en equipos corporativos.
  • Realizar pruebas de penetración, escaneo de vulnerabilidades o ingeniería inversa de sistemas de Lawra sin autorización escrita del CTO.

7.2. — Datos:

  • Exfiltrar datos de clientes o datos confidenciales a destinos no autorizados (correo personal, servicios cloud personales, USB, etc.).
  • Almacenar datos de clientes en dispositivos no aprobados o no cifrados.
  • Acceder a datos de clientes más allá de lo estrictamente necesario para la función asignada.

7.3. — Conducta:

  • Usar los sistemas de Lawra para actividades ilegales.
  • Usar los sistemas de Lawra para actividades comerciales propias sin autorización.
  • Hostigar, intimidar o discriminar a colegas o terceros a través de los canales corporativos.

8. Monitoreo

8.1. Lawra puede monitorear el uso de sus sistemas (logs de acceso, tráfico de red, actividad en cuentas corporativas) para:

  • Detectar incidentes de seguridad o violaciones de políticas.
  • Cumplir con obligaciones legales o contractuales.
  • Investigar denuncias específicas.

8.2. Este monitoreo se realiza con la menor intrusión posible y con respeto a los derechos del empleado bajo el Código de Trabajo de la República Dominicana y las leyes de privacidad aplicables.

8.3. Los empleados son notificados de la posibilidad de monitoreo al momento del onboarding mediante la firma del acuse de recibo de esta política.

9. Escala Disciplinaria

9.1. Las violaciones a esta política se tratan de la siguiente forma, tomando en cuenta la gravedad, intencionalidad y reincidencia:

NivelConductaConsecuencia
Nivel 1 — LeveError no intencional, primera vez, sin daño material (ej. uso de herramienta de IA externa con un dato Interno sin darse cuenta)Coaching individual + refuerzo de capacitación; registro en expediente
Nivel 2 — ModeradoViolación intencional menor, o reincidencia de una violación Nivel 1; daño potencial limitadoAmonestación escrita formal; posible restricción temporal de accesos; registro en expediente
Nivel 3 — GraveViolación intencional con riesgo de daño a Lawra o a clientes (ej. compartir código fuente con herramienta no aprobada, exfiltrar datos de clientes)Suspensión sin goce de sueldo (según contrato) + investigación formal; posible terminación con justa causa
Nivel 4 — CríticoViolación dolosa con daño real (filtración de datos de clientes, sabotaje de sistemas, uso fraudulento de accesos)Terminación con justa causa inmediata; denuncia penal bajo Ley 53-07 si aplica; acciones civiles por daños

9.2. Las violaciones accidentales reportadas de buena fe al Oficial de Cumplimiento son tratadas con mayor lenidad que las descubiertas por terceros. Lawra fomenta una cultura de reporte abierto.

10. Acuse de Recibo

10.1. Todo nuevo empleado o contratista firma un acuse de recibo de esta política como parte del proceso de onboarding, junto con el NDA y la confirmación de la capacitación de seguridad.

10.2. Ante actualizaciones materiales a esta política, el equipo activo es notificado y se solicita nuevo acuse de recibo.

11. Referencias Normativas

  • SOC 2 Trust Services Criteria: CC1.4 (Competencia y comportamiento), CC6.6 (Restricción del acceso lógico)
  • Ley No. 172-13 (R.D.) — Tratamiento de datos personales por parte de empleados como encargados
  • Ley No. 53-07 (R.D.) — Crímenes y Delitos de Alta Tecnología (acceso indebido, sabotaje)
  • Código de Trabajo (R.D.) — Arts. 88 y 96 (justa causa de terminación)
  • ISO/IEC 27001:2022 — A.6.2 (Términos y condiciones del empleo), A.8.1 (Dispositivos del usuario)

12. Revisión Periódica

Esta política se revisa anualmente o cuando se produzcan cambios materiales en las herramientas utilizadas, el entorno de amenazas o el marco normativo.

Próxima revisión: [fecha de adopción + 12 meses].

Adoptada por la Asamblea General de Socios de LAWRA, S.R.L. en fecha [__], conforme consta en el Libro de Actas.

Por LAWRA, S.R.L. — Gerente

Comments

Loading comments...

0/2000 Comments are moderated before appearing.
Ctrl+K

No results found