Aquest 2020 ens hem topat amb una nova realitat, la qual requereix l’aplicació de noves pràctiques empresarials en diferents àmbits. El de la protecció de dades de caràcter personal, n’és un. Breument, resumirem els 10 aspectes més importants que han de tenir en compte tant l’organització com el personal que participa en les accions de teletreball:
1) Definir una política de protecció de la informació per a situacions de mobilitat: per exemple, s’haurien de determinar quines formes d’accés remot estan permeses; quin tipus de dispositius són vàlids per a cada forma d’accés, o el nivell d’accés permès.
2) Triar solucions i prestadors de serveis de confiança i amb garanties: si aquests proveïdors accedeixen a dades de caràcter personal, tindran la consideració d’encarregats de tractament i la relació es regirà per un contracte o un altre acte jurídic que vinculi l’encarregat respecte del responsable.
3) Restringir l’accés a la informació: els perfils o nivells d’accés als recursos i a la informació han de configurar-se en funció dels rols de cada persona.
4) Configurar periòdicament els equips i dispositius utilitzats en les situacions de mobilitat: els servidors d’accés remot han de ser revisats i cal assegurar que estan correctament actualitzats i configurats.
5) Monitorar els accessos realitzats a la xarxa corporativa des de l’exterior: els mecanismes de monitoratge han de respectar els drets digitals establerts en la Llei orgànica de Protecció de Dades 3/2018 (LOPDGDD), en particular, el dret a la intimitat i l’ús de dispositius digitals i el dret a la desconnexió digital en l’àmbit laboral.
6) Gestionar racionalment la protecció de dades i la seguretat: les mesures i garanties establertes en les polítiques definides han d’establir-se a partir d’una anàlisi de riscos.
7) Protegir el dispositiu utilitzat en mobilitat i l’accés a aquest: contrasenyes d’accés robustes i diferents de les utilitzades per a accedir a comptes de correu personals; evitar simultaniejar l’activitat personal amb la professional; no descarregar ni instal·lar aplicacions o programari que no hagin estat prèviament autoritzats per l’organització; el sistema antivirus instal·lat en l’equip ha d’estar operatiu i actualitzat; desactivar les connexions WIFI, Bluetooth i similars que no estiguin sent utilitzades; una vegada conclosa la jornada de treball en situació de mobilitat, ha de desconnectar-se la sessió d’accés remot i apagar o bloquejar l’accés al dispositiu.
8) Garantir la protecció de la informació que s’està tractant: s’ha d’evitar exposar la pantalla a l’observació de tercers. Si es treballa habitualment des de llocs públics, és recomanable utilitzar un filtre de privacitat per a la pantalla. La informació en suport paper, incloent-hi esborranys, no es pot rebutjar sense garantir que és adequadament destruïda.
9) Guardar la informació en els espais de xarxa habilitats: convé evitar emmagatzemar la informació generada durant la situació de mobilitat de manera local en el dispositiu utilitzat. No s’ha de bloquejar o deshabilitar la política de còpia de seguretat corporativa definida per a cada dispositiu.
10) Si hi ha sospita que la informació ha pogut veure’s compromesa, s’ha de comunicar amb caràcter immediat la bretxa de seguretat: davant qualsevol anomalia que pugui afectar la seguretat de la informació, ha de notificar-se al responsable, sense dilació i com més aviat millor, a través dels canals definits a aquest efecte. Així mateix, s’ha de consultar amb el delegat de protecció de dades i amb el responsable de seguretat de la informació.
Alberto Cuesta
Advocat – Auditor d’entorns tecnològics
