Estamos viviendo unos momentos muy duros, pero juntos saldremos adelante. Desde dpdqueremos aprovechar estas fechas navideñas para expresarte nuestros mejores deseos y agradecerte la confianza depositada en nosotros.
¡FELIZ NAVIDAD Y PROSPERO AÑO NUEVO!
P.d: Aprovecharemos unos días para descansar. No obstante, nos puedes localizar en nuestro teléfono habitual 900 288 488 y en nuestro e-mail: dpd@d-pd.com.
Como contamos en la entrada anterior, la crisis provocada por el COVID-19 ha supuesto que muchas empresas se vean obligadas a implantar el teletrabajo. La necesidad de dar respuesta sobre la protección de datos en esta situación ha llevado a la AEPD a publicar unas «recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo«. En este caso nos vamos a centrar en las recomendaciones dirigidas a los trabajadores.
Respetar la política de protección de la información en situaciones de movilidad definida por el responsable
Estas políticas, como ya se indico en el anterior post, deben estar recogidas en guías de protección de datos y seguridad de la información en situaciones de movilidad de la organización. Además, se deben tener otras normas que se puedan desarrollar relativas a la confidencialidad del trabajador en relación a los datos personales a los que tuviera contacto en el desempeño de sus funciones.
Proteger el dispositivo utilizado en movilidad y el acceso al mismo
El empleo de contraseñas de acceso robustas y distintas a las que se empleen para acceder a servicios y aplicaciones del ámbito de la vida privada.
No descargar ni instalar aplicaciones o software que no hayan sido autorizados previamente por la organización.
Evitad la conexión a la red corporativa desde lugares públicos o WIFI abiertas.
Conservar los mecanismos de autenticación definidos, como certificados, contraseñas, tokens, sistemas de doble factor, etc. para validarse ante los sistemas de control de acceso remoto que establezca la organización.
Si el equipo con el que se trabaja es corporativo no se debe emplear con fines particulares.
Si el equipo es personal se debe evitar simultanear actividad profesional con la personal, incluso definir perfiles independientes para cada tipo de tarea.
El antivirus debe estar operativo y actualizado.
Verificar la legitimidad de los correos electrónicos recibidos.
Si es posible, desactivar las conexiones WIFI, bluetooth, etc. que no estén siendo utilizadas.
Una vez terminado el trabajo se debe cerrar la sesión y bloquear el acceso al dispositivo.
Garantizar la protección de la información que se está manejando
Adoptar las precauciones necesarias con la finalidad de garantizar la confidencialidad de la información, tanto en lugares públicos como en entornos domésticos.
Minimizar el uso de papel.
La información en soporte papel no se puede desechar de cualquier manera, debe ser adecuadamente destruida, de manera que nadie pueda acceder y recuperar la información . ¡En DPD somos expertos en destruir de manera certificada la información!
Extremar las precauciones para evitar el acceso a la información por parte de terceros, no dejando a la vista ningún soporte de información en el lugar donde se desarrolle el teletrabajo.
Evitar exponer la pantalla a la mirada de terceros. Es recomendable utilizar un filtro de privacidad en la pantalla del dispositivo.
Evitar que las llamadas de trabajo puedan ser escuchadas por terceros.
Guardar la información en los espacios de red habilitados
Se debe evitar guardar la información de manera local en el dispositivo, siendo los recomendable el uso del almacenamiento compartidos o en la nube.
No emplear aplicaciones no autorizadas en la política de la entidad para compartir información: Servicios en nube de alojamientos de archivo, correos personales, Whatsapp, etc.
No bloquear o deshabilitar la política de copia de seguridad corporativa establecida para cada dispositivo.
Revisar y eliminar información residual almacenada en el dispositivo (archivos temporales del navegador o descargas de documentos).
Si hay sospecha de que la información ha podido verse comprometida comunicar con carácter inmediato la brecha de seguridad
La crisis provocada por el COVID-19 ha supuesto que muchas empresas se vean obligadas a implantar el teletrabajo. Pero este escenario no puede afectar a la Protección de Datos. La necesidad de dar respuesta urgente a la situación ha llevado a la AEPD a publicar unas «recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo«. En este post nos vamos a centrar en las recomendaciones dirigidas a responsables del tratamiento. Estas son:
Definir una política de Protección de Datos para situaciones de la información para situaciones de movilidad.
El responsable del tratamiento de datos debe definir una política específica para la situaciones de movilidad o teletrabajo. Se debe tener en cuenta las necesidades y los riesgos concretos de dar acceso a los recursos corporativos desde el exterior con el fin de que la protección de datos no se vea afectada.
Dentro de esta política de teletrabajo se debe establecer:
la manera en la que se va a permitir el acceso remoto,
el tipo de dispositivos validos y el nivel de acceso,
las responsabilidades y obligaciones que asumen los empleados.
Con respecto a los empleados, la empresa debe tener en cuenta:
proporcionarles una guía con las directrices establecidas y un contacto
las principales amenazas que pueden afectar a su trabajo
las consecuencias de no seguir las directrices de la empresa.
alcanzar un acuerdo donde se especifique los compromisos adquiridos durante el teletrabajo.
Elegir soluciones y prestadores de servicio confiables y con garantías
Evitar el uso de aplicaciones o soluciones de teletrabajo que no ofrezcan garantías y que pueda causar una exposición de los datos personales con lo que trabaja la empresa. Por ello se recomienda recurrir a proveedores con soluciones acreditadas.
Restringir el acceso a la información
Los perfiles y roles dentro de las organización deben configurase en función de cada empleado, incluso de una manera más restrictiva que si se accediera desde la propia red de la organización.
Igualmente, para implementar más restricciones se debe tener en cuenta el tipo de dispositivos o la ubicación desde la que se accede a la información.
Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad
Se debe revisar los servidores de acceso remoto y comprobar que están completamente actualizados y configurados, así como el control de los perfiles de acceso definidos.
Por otro lado, los equipos corporativos empleados como clientes tienen que: estar actualizados, tener desahibilitados los servicios que no sean necesarios, tener una configuración por defecto de mínimos privilegios, solamente tener las aplicaciones autorizadas por la organización, un antivirus actualizado, disponer de un cortafuegos local activados, incorporar mecanismos de cifrado de la información,tener activado únicamente las comunicaciones y puertos necesarios.
Se debe limitar el uso de los dispositivos personales de los empleados para llevar acabo el teletrabajo. En el caso de que sea necesario se deben exigir que tenga un sistema operativo y software original y actualizado.
Monitorizar los accesos realizados a la red corporativa desde el exterior
La monitorización permite identificar patrones anormales de comportamiento con el objetivo de evitar la propagación de malware por la red corporativa o el acceso y uso no autorizado de los recursos.
Si se produce una brecha de seguridad se deben comunicar a la Autoridad de Control y a los interesados.
Se debe informar a los trabajadores sobre las actividades de control y supervisión que puede ejercer la organización.
Estas actividades de monitorización deben respetar los derechos digitales establecidos en la LOPDGDD, particularmente los artículos 87 y 88 sobre el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral y el derecho a la desconexión digital en el ámbito laboral, respectivamente.
Gestionar racionalmente la protección de datos y la seguridad
Se debe realizar un análisis de riesgos a partir del cual se defina la política de teletrabajo de la organización que establezca las medidas y garantías necesarias, así como contemplar los procedimientos internos para garantizar la seguridad.
Se debe valorar el riesgo de perdida de un dispositivo cliente y la exposición o acceso no autorizado a la información. De esta manera se puede valorar su restricción de acceso a la información.
Como tratábamos en la entrada anterior, el Reglamento General de Protección de Datos (RGPD) se aplica desde el 25 de mayo de 2018. Por ello la AEPD puso a disposición de empresas y profesionales que tratan datos personales de escaso riesgo una herramienta sencilla y gratuita. Esta esFacilita_RGPD.
Se consideran datos personales de escaso riesgo datos de clientes, proveedores o recursos humanos, por ejemplo.
A través de tres pantallas se deben contestar a preguntas muy concretas, esto permite valorar la situación respecto al tratamiento de datos personales, bien se adapta a los requisitos necesarios para utilizar Facilita_RGPD o si se debe analizar de riesgos. Facilita_RGPD no puede emplearse para tratamiento de datos que impliquen un riesgo alto para los derechos y libertades de personas.
Facilita_RGPD genera una serie de documentos adaptados a la empresa o usuario que ha realizado la consulta. Estos incluyen cláusulas informativas que deben incluir en sus formularios o contratos, el registro de tratamiento o una relación con medidas de seguridad orientativas.
¿Cumples con la LOPD 3/2018 y el RGPD? Si tienes dudas, contacta con dpdy nosotros te ayudamos.
Hace poco más de un año entró en vigor, 5 de diciembre de 2018, entró en vigor la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales, LOPD 3/2018, con nuevos aspectos que afecta tanto a ciudadanos como al sector público y privado. Esta ley nace al amparo del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos -RGPD) por lo que la aplicación se hace manera conjunta.
Los nuevos cambios de la LOPD 3/2018 y el RGPD
Uno de los cambios que ha incluido la LOPD 3/2018 es la figura del Delegado de Protección de Datos obligatoria en aquellas organizaciones que realicen tratamientos de grandes cantidades de datos que necesiten un seguimiento habitual y sistemática por parte de los ciudadanos; o que traten categorías especiales de datos personales; o condenas e infracciones penales, etc. Como recoge la LOPD 3/2018 en su artículo 34, algunas entidades que tienen la obligación de designar a un Delegado de Protección de Datos son: Los colegios profesionales, centros docentes, entidades que exploten redes y presten servicios de comunicaciones electrónicas, prestadores de servicios de la sociedad de la información, entidades financieras, de inversión y de crédito, entidades aseguradoras, eléctricas y gas natural, publicitarias, sanitarias, seguridad privada, etc.
Otros cambios recogidas en la LOPD 3/2018 y en el RGPD: • La responsabilidad de realizar evaluaciones de impacto sobre la privacidad para determinar los riesgos específicos inherentes al tratamiento de datos de carácter personales y el establecimiento de medidas para aplacar o eliminar dichos riesgos. • La creación de la “ventanilla única” para las empresas multinacionales. • La obligación de informar de brechas de seguridad a las autoridades de control tan pronto como sea posible, teniendo como plazo máximo 72 horas. • Los datos especialmente protegidos o sensibles se amplían incluyendo los datos genéticos y biométricos, así como las infracciones y condenas penales. • El encargado del tratamiento debe ser alguien que aporte las garantías necesarias para el cumplimiento normativo. • Garantías adicionales para las transferencias internacionales de datos con mecanismos de seguimiento. • No es obligatorio inscribir ficheros, estos son sustituidos por un control interno que debe incluir qué datos recoge, con qué fin se tratan, a quién o quiénes se comunican, si se transfieren a terceros países, qué medidas técnicas y organizativas se aplicarán para preservar su seguridad, y cuándo podrán ser suprimidos. • Las sanciones pueden llegar a un máximo de 20 millones de euros o al 4% del volumen de negocio total anual global del ejercicio financiero anterior.
La ayuda de la Agencia Española de Protección de Datos con la LOPD 3/2018 y el RGPD
Y tu empresa, ¿cumple con la LOPD 3/2018 y el RGPD? Si tienes dudas, contacta con dpdy nosotros te ayudamos.
Este sitio utiliza cookies. Al navegar por la web estás aceptando el uso de cookies.AceptarPolítica de Cookies
Política de cookies
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.