Este 2020 nos hemos topado en con una nueva realidad que requiere la aplicación de nuevas prácticas empresariales en diferentes ámbitos. El de la protección de datos de carácter personal, es uno de ellos. Brevemente, vamos a resumir los diez aspectos más importantes, que deben tener en cuenta tanto la organización, como el personal que participa en las acciones de teletrabajo:

  • Definir una política de protección de la información para situaciones de movilidad: por ejemplo, se deberían determinar que formas de acceso remoto están permitidas; qué tipo de dispositivos son válidos para cada forma de acceso; el nivel de acceso permitido.
  • Elegir soluciones y prestadores de servicios confiables y con garantías: si estos proveedores acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable.
  • Restringir el acceso a la información: los perfiles o niveles de acceso a los recursos y a la información tienen que configurarse en función de los roles de cada persona empleada.
  • Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad: los servidores de acceso remoto deben ser revisados y hay que asegurar que están correctamente actualizados y configurados.
  • Monitorizar los accesos realizados a la red corporativa desde el exterior: los mecanismos de monitorización deben respetar los derechos digitales establecidos en la Ley Orgánica de Protección de Datos 3/2018 (LOPDGDD), en particular, el derecho a la intimidad y uso de dispositivos digitales y el derecho a la desconexión digital en el ámbito laboral.
  • Gestionar racionalmente la protección de datos y la seguridad: las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos
  • Proteger el dispositivo utilizado en movilidad y el acceso al mismo: contraseñas de acceso robustas y diferentes a las utilizadas para acceder a cuentas de correo personales; evitar simultanear la actividad personal con la profesional; no descargar ni instalar aplicaciones o software que no hayan sido previamente autorizados por la organización; el sistema antivirus instalado en el equipo debe estar operativo y actualizado; desactivar las conexiones WIFI, bluetooth y similares que no estén siendo utilizadas; una vez concluida la jornada de trabajo en situación de movilidad debe desconectarse la sesión de acceso remoto y apagar o bloquear el acceso al dispositivo.
  • Garantizar la protección de la información que se está tratando: se debe evitar exponer la pantalla a la mirada de terceros. Si se trabaja habitualmente desde lugares públicos, es recomendable utilizar un filtro de privacidad para la pantalla. La información en soporte papel, incluyendo borradores, no se puede desechar sin garantizar que es adecuadamente destruida.
  • Guardar la información en los espacios de red habilitados: conviene evitar almacenar la información generada durante la situación de movilidad de forma local en el dispositivo utilizado. No se debe bloquear o deshabilitar la política de copia de seguridad corporativa definida para cada dispositivo.
  • Si hay sospecha de que la información ha podido verse comprometida, se debe comunicar con carácter inmediato la brecha de seguridad: ante cualquier anomalía que pueda afectar a la seguridad de la información, debe notificarse al responsable, sin dilación y a la mayor brevedad posible, a través de los canales definidos a tal efecto. Asimismo, se debe consultar con el Delegado de Protección de Datos y con el responsable de seguridad de la información.

Alberto Cuesta
Abogado – Auditor de entornos tecnológicos