Las empresas, ya sea en su condición de responsables o de encargadas de tratamiento, deben de seguir garantizando la integridad, confidencialidad y disponibilidad de los datos que tratan
Las empresas, ya sea en su condición de responsables o de encargadas de tratamiento, deben de seguir garantizando la integridad, confidencialidad y disponibilidad de los datos que tratan, con el problema de que la urgencia de la situación y una posible falta de previsión de una situación tan imprevisible como la que se nos ha venido encima con el Covid – 19, puede provocar que nos lancemos a favorecer el teletrabajo de nuestros empleados sin detenernos en pensar si los medios informáticos y la infraestructura tecnológica que tenemos a nuestro alcance nos permiten cumplir con nuestros deberes para con la protección de datos.
Para ayudar tanto a las empresas como a las Administraciones Públicas, el Centro Criptológico Nacional ha publicado unas recomendaciones de seguridad para situaciones de teletrabajo, pues los ciberdelincuentes han aprovechado esta situación de vulnerabilidad para incrementar sus ataques de todo tipo: ransomware, phishing con el que obtener credenciales de acceso a sistemas, ejecución de código de forma remota, exfiltración de información, etc, como ya ha advertido la Agencia Española de Protección de Datos.
Analizamos en este artículo brevemente las seis recomendaciones dadas por la AEPD a aquellas empresas que de forma repentina y provisional (como la ocasionada por la pandemia del Covid 19) han tenido que adoptar el teletrabajo:
1. Definir una política de protección de la información para situaciones de movilidad
Basada en la política de protección de datos y seguridad de la información de la entidad, y formando parte de ella, es necesario definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización.
En dicha política hay que determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos. También deben definirse las responsabilidades y obligaciones que asumen las personas empleadas.
Es necesario proporcionar guías funcionales destinadas a formar a las personas empleadas, derivadas de dichas políticas.
El personal también ha de estar informado de las principales amenazas por las que pueden verse afectados al trabajar desde fuera de la organización y las posibles consecuencias que pueden materializarse si se quebrantan dichas directrices, tanto para los sujetos de los datos como para la persona trabajadora.
En dichas guías se debe identificar un punto de contacto para comunicar cualquier incidente (incidencia o brecha de seguridad) que afecte a datos de carácter personal, así como los canales y formatos adecuados para realizar dicha comunicación.
En esta situación no podemos olvidar una de las novedosas obligaciones que el RGPD impone a los responsables de tratamiento en sus arts. 33 y 34, se trata de la obligación de comunicar a las autoridades de control (en 72 horas) o los interesados (sin dilación indebida) la existencia de una violación de seguridad que entrañe un riesgo (autoridad de control) o alto riesgo (interesados) para los derechos y libertades de las personas físicas, y estos plazos no se han visto suspendidos por el RD 463/2020.
El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad. En este sentido será conveniente facilitar al trabajador un nuevo compromiso de confidencialidad para garantizar que toda la documentación e información a la que el trabajador vaya a tener acceso se mantenga en secreto. Evitando que miembros del entorno familiar o terceros ajenos a la empresa puedan llegar a acceder a esta información confidencial.
2. Elegir soluciones y prestadores de servicio confiables y con garantías
Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales del personal, interesados y servicios corporativos de la organización, en particular, a través de los servicios de correo y mensajería. Si hay que contratar proveedores con esta finalidad, los mismos deben ofrecer serias garantías en este sentido.
3. Restringir el acceso a la información
Los perfiles o niveles de acceso a los recursos y a la información tienen que configurarse en función de los roles de cada persona empleada, de una forma incluso más restrictiva respecto de los concedidos en los accesos desde la red interna.
A su vez, hay que aplicar restricciones de acceso adicionales en función del tipo de dispositivo desde el que se acceda a la información (equipos portátiles corporativos securizados, equipos personales externos y dispositivos móviles como smartphones o tablets) y también dependiendo de la ubicación desde la que se accede.
4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad
Los servidores de acceso remoto han de ser revisados y hay que asegurar que están correctamente actualizados y configurados para garantizar el cumplimiento de la política de protección de la información para situaciones de movilidad establecida por la organización, así como el control de los perfiles de acceso definidos.
Los equipos corporativos utilizados como clientes tienen que: o estar actualizados a nivel de aplicación y sistema operativo, o tener deshabilitados los servicios que no sean necesarios.
Si se permite el uso de dispositivos personales de las personas empleadas, al suponer un mayor riesgo por no incorporar los mismos controles de los equipos corporativos, hay que exigir unos requisitos mínimos para poder utilizarlos en el establecimiento de conexiones remotas (por ejemplo, contar con un sistema operativo y software original y actualizado).
Unido a lo anterior, también hay que valorar la posibilidad de restringir la conexión a una red segregada que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo.
5. Monitorizar los accesos realizados a la red corporativa desde el exterior
Se deben establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.
6. Gestionar racionalmente la protección de datos y la seguridad
Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.
En este sentido, hay que planificar y evaluar la aplicaciones y soluciones de acceso remoto teniendo en cuenta los principios de privacidad desde el diseño y por defecto a lo largo de todas las etapas de despliegue de la solución: desde la definición de los requisitos y necesidades hasta la retirada de la misma o de alguno de sus componentes.
Un último aspecto importante en el que incide el derecho a la privacidad en el teletrabajo es el derecho a la desconexión digital en el ámbito laboral (artículo 88 de LOPDGDD), que presupone que el empleador debe respetar el tiempo de descanso, permisos y vacaciones de las personas trabajadoras, favoreciendo la conciliación entre su actividad laboral y su vida personal y familiar. En aplicación de este derecho el trabajador podrá “desconectar” fuera del tiempo de trabajo del uso de cualquier dispositivo tecnológico que utilice para su desempeño laboral. El propio artículo 88.3 LOPDGDD establece la aplicación del derecho a la desconexión digital también para los supuestos de trabajo a distancia (total o parcial).
Para la efectiva aplicación de este derecho a la desconexión en el teletrabajo el empleador está obligado a poner todos los medios necesarios para que las herramientas tecnológicas utilizadas (smartphones, tablets, portátiles...) no interfieran en la vida personal y familiar del teletrabajador, debiendo para ello implantar una política interna en la empresa que defina las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre el uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.
Así, por ejemplo, la Política Interna de desconexión digital de la empresa Telefónica de fecha 17 de Julio de 2019 establece que el derecho a la desconexión digital no sería incompatible con la posibilidad de enviar una comunicación al teletrabajador fuera del horario de trabajo, si bien la respuesta de este mensaje habría de esperar a la jornada laboral siguiente.
Por tanto, este aspecto debe ser recogido también en la política de protección de la información para situaciones de movilidad que debe confeccionar la empresa.
Luis del Riego Alonso
Queipo & Riego Abogados
Abogado y consultor de Privacidad y Protección de datos.