A raíz de la presente situación originada por el estado de alarma en el que nos encontramos, son muchas las empresas que en cumplimiento del confinamiento obligatorio y para intentar reducir lo máximo posible el impacto de tal circunstancia en sus resultados, se han visto forzadas a implantar un sistema de teletrabajo de modo que sus empleados puedan seguir llevando a cabo su actividad.
El escenario del teletrabajo supone un nuevo modo de realizar su actividad para aquellas organizaciones que no tenían implantado este sistema previamente, lo que acarrea la aparición de nuevos riesgos y amenazas en materia de protección de datos personales al encontrarse los empleados trabajando con medios y recursos diferentes a los habituales.
Es por ello que la Agencia Española de Protección de datos (AEPD) ha publicado una serie de recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo, enfocadas tanto a los responsables del tratamiento como a los empleados, las cuales sintetizamos en el presente texto.
Recomendaciones dirigidas a los responsables del tratamiento:
1. Definir una política de protección de la información para situaciones de movilidad
Debe definirse una política para situaciones de movilidad, el teletrabajo en este caso, que debe estar basada en la política de protección de datos y seguridad de la información de la propia empresa. Dicha política ha de contemplar las necesidades concretas y los riesgos aplicables a la situación de teletrabajo, así como establecer qué formas de acceso remoto se permiten, mediante qué dispositivos y el nivel de acceso permitido atendiendo al rol y las funciones de cada trabajador.
Han de proporcionarse guías funcionales adaptadas de acuerdo con esas políticas con la finalidad de formar a los trabajadores en este ámbito, incluyendo una serie de recomendaciones sobre cómo proceder e informándoles de los nuevos riesgos y amenazas existentes ante la nueva situación concernientes tanto a los propios trabajadores como al resto de interesados de los que se pueda estar tratando datos personales.
Se ha de establecer un punto de contacto de la empresa al que se pueda comunicar cualquier incidente en materia de protección de datos y señalando los canales adecuados para hacerlo.
Es conveniente hacer firmar a los empleados un acuerdo de teletrabajo en el cual asuman el compromiso de cumplir con las políticas y guías de privacidad y protección de datos.
2. Elegir soluciones y prestadores de servicio confiables y con garantías
Es necesario seleccionar a proveedores de aplicaciones, soluciones y demás procesos que faciliten el teletrabajo, que ofrezcan las suficientes garantías en materia de protección de datos, exigiendo la firma de un contrato de encargado de tratamiento o documento similar que cumpla con las exigencias del artículo 28.3 del RGPD en caso de que dicho proveedor tenga acceso a los datos personales de los cuales la empresa es responsable.
3. Restringir el acceso a la información
El acceso a la información y distintos documentos de la empresa debe restringirse en función de la responsabilidad y rol de cada empleado, siendo conveniente una restricción incluso mayor a la prevista en situaciones normales de trabajo en la oficina. Tales restricciones deben ser diseñadas teniendo también en cuenta el tipo de dispositivo mediante el cual se accede y las garantías de seguridad que ofrece.
4. Configurar periódicamente los equipos y dispositivos utilizados
Los servidores de acceso remoto deben ser revisados, actualizados y configurados para el cumplimiento de la política de seguridad diseñada para el teletrabajo.
En este sentido, se debe actualizar a nivel de aplicación y sistema operativo, deshabilitar los servicios que no sean necesarios, instalar únicamente aplicaciones autorizadas por la empresa, contar con antivirus actualizado, disponer de cortafuegos local activado, hacer uso únicamente de las comunicaciones y puertos necesarios para el desarrollo de las tareas, incorporar mecanismos de cifrado de la información y contar con una configuración por defecto de mínimos privilegios fijada por los servicios TIC que no pueda ser desactivada por los empleados.
La utilización de dispositivos personales debe limitarse lo máximo posible al suponer un incremento del riesgo por no incorporar los mismos controles de seguridad que los equipos corporativos.
5. Monitorizar los accesos realizados a la red corporativa desde el exterior
Deben establecerse sistemas de monitorización que permitan identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco del acceso remoto con tal de evitar la propagación de malware por la red corporativa y el acceso no autorizado a recursos.
Se debe informar a los empleados del alcance de estas actividades de control y supervisión, y en caso de que se utilizaran además para controlar el cumplimiento de las obligaciones laborales de los trabajadores, hay que informar con carácter previo y de forma clara, expresa y concisa de las medidas adoptadas en el marco de las funciones de control previstas en el Estatuto de los Trabajadores. Estas medidas deben respetar los derechos digitales previstos en la LOPDGDD.
Se debe informar la autoridad de control pertinente y, en su caso, a los interesados, en caso de brecha de seguridad.
6. Gestionar racionalmente la protección de datos y seguridad
La política de privacidad y las medidas y garantías incluidas en ella deben basarse en un análisis previo de riesgos que haya ponderado la proporcionalidad entre los beneficios que aporta el teletrabajo para la empresa y los interesados y el potencial impacto de una brecha de seguridad debida a las circunstancias en las que se opera.
Recomendaciones dirigidas a los empleados:
1. Respetar la política de protección de la información en situaciones de movilidad definida por la empresa
El empleado debe ser conocedor de las medidas y recomendaciones recogidas en las guías y política de protección de datos y seguridad proporcionadas por la empresa y actuar de acuerdo con ellas, velando por la seguridad y confidencialidad de los datos personales a los que tenga acceso en el desempeño de sus tareas laborales.
2. Proteger el dispositivo utilizado en teletrabajo y el acceso al mismo
Se deben utilizar contraseñas de acceso seguras diferentes a las empleadas en el ámbito personal, no descargar aplicaciones o softwares no autorizados por la empresa, evitar la conexión de los dispositivos a la red corporativa desde lugares públicos o redes WIFI no seguras, no utilizar los dispositivos corporativos para usos personales, comprobar la legitimidad de las comunicaciones recibidas, disponer de un antivirus activo y actualizado y desconectar el dispositivo una vez finalizadas las tareas laborales.
3. Garantizar la protección de la información que se está tratando
Debe garantizarse la confidencialidad de la información que se maneja. Para ello es conveniente minimizar al máximo posible el uso de información en soporte papel y cerciorarse de su correcta destrucción cuando ya no sea de utilidad y extremar las precauciones en lo que refiere al acceso no autorizado a la información.
4. Guardar la información en los espacios de red habilitados
Es conveniente evitar almacenar información de forma local en el dispositivo utilizado, siendo preferible hacer uso de las plataformas de almacenamiento en la nube puestas a disposición por parte de la empresa.
En caso de utilizar un dispositivo personal, no utilizar bajo ningún concepto aplicaciones no autorizadas por la empresa.
5. Comunicar con carácter inmediato la brecha de seguridad en caso de sospechar que la información pueda haberse visto comprometida
Cualquier anomalía que pueda afectar a la seguridad de la información y a los datos personales tratados debe notificarse al responsable o, en su caso, al delegado de protección de datos, en la mayor brevedad posible y a través de los canales especificados por la compañía en las guías y políticas de privacidad diseñadas.
Desde el Departamento de Mercantil de AddVANTE quedamos a su disposición para ampliar esta información o resolver cualquier duda que pudiera surgir relacionada con este artículo.
