Cómo proteger los datos personales durante el teletrabajo – Empresas

La crisis provocada por el COVID-19 ha supuesto que muchas empresas se vean obligadas a implantar el teletrabajo. Pero este escenario no puede afectar a la Protección de Datos. La necesidad de dar respuesta urgente a la situación ha llevado a la AEPD a publicar unas «recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo«. En este post nos vamos a centrar en las recomendaciones dirigidas a responsables del tratamiento. Estas son:

Ejemplo de teletrabajo en casa. Foto de Julia M Cameron en Pexels
Ejemplo de teletrabajo

Definir una política de Protección de Datos para situaciones de la información para situaciones de movilidad.

El responsable del tratamiento de datos debe definir una política específica para la situaciones de movilidad o teletrabajo. Se debe tener en cuenta las necesidades y los riesgos concretos de dar acceso a los recursos corporativos desde el exterior con el fin de que la protección de datos no se vea afectada.

Dentro de esta política de teletrabajo se debe establecer:

  • la manera en la que se va a permitir el acceso remoto,
  • el tipo de dispositivos validos y el nivel de acceso,
  • las responsabilidades y obligaciones que asumen los empleados.

Con respecto a los empleados, la empresa debe tener en cuenta:

  • proporcionarles una guía con las directrices establecidas y un contacto
  • las principales amenazas que pueden afectar a su trabajo
  • las consecuencias de no seguir las directrices de la empresa.
  • alcanzar un acuerdo donde se especifique los compromisos adquiridos durante el teletrabajo.

Elegir soluciones y prestadores de servicio confiables y con garantías

Evitar el uso de aplicaciones o soluciones de teletrabajo que no ofrezcan garantías y que pueda causar una exposición de los datos personales con lo que trabaja la empresa. Por ello se recomienda recurrir a proveedores con soluciones acreditadas.

Restringir el acceso a la información

Los perfiles y roles dentro de las organización deben configurase en función de cada empleado, incluso de una manera más restrictiva que si se accediera desde la propia red de la organización.

Igualmente, para implementar más restricciones se debe tener en cuenta el tipo de dispositivos o la ubicación desde la que se accede a la información.

Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad

Se debe revisar los servidores de acceso remoto y comprobar que están completamente actualizados y configurados, así como el control de los perfiles de acceso definidos.

Por otro lado, los equipos corporativos empleados como clientes tienen que: estar actualizados, tener desahibilitados los servicios que no sean necesarios, tener una configuración por defecto de mínimos privilegios, solamente tener las aplicaciones autorizadas por la organización, un antivirus actualizado, disponer de un cortafuegos local activados, incorporar mecanismos de cifrado de la información,tener activado únicamente las comunicaciones y puertos necesarios.

Se debe limitar el uso de los dispositivos personales de los empleados para llevar acabo el teletrabajo. En el caso de que sea necesario se deben exigir que tenga un sistema operativo y software original y actualizado.

Desde DPD aconsejamos consultar el informe CCN-CERT BP/18 Recomendaciones de seguridad para situaciones de
teletrabajo y refuerzo en vigilancia
realizado por el Centro Criptológico Nacional (CCN-CERT).

Ejemplo de dispositivos protegidos, en este caso mediante una cadena física para representar la seguridad. Foto de Pixibay en Pexels.
Protección de los dispositivos

Monitorizar los accesos realizados a la red corporativa desde el exterior

La monitorización permite identificar patrones anormales de comportamiento con el objetivo de evitar la propagación de malware por la red corporativa o el acceso y uso no autorizado de los recursos.

Si se produce una brecha de seguridad se deben comunicar a la Autoridad de Control y a los interesados.

Se debe informar a los trabajadores sobre las actividades de control y supervisión que puede ejercer la organización.

Estas actividades de monitorización deben respetar los derechos digitales establecidos en la LOPDGDD, particularmente los artículos 87 y 88 sobre el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral y el derecho a la desconexión digital en el ámbito laboral, respectivamente.

Gestionar racionalmente la protección de datos y la seguridad

Se debe realizar un análisis de riesgos a partir del cual se defina la política de teletrabajo de la organización que establezca las medidas y garantías necesarias, así como contemplar los procedimientos internos para garantizar la seguridad.

Se debe valorar el riesgo de perdida de un dispositivo cliente y la exposición o acceso no autorizado a la información. De esta manera se puede valorar su restricción de acceso a la información.

Ejemplo de teletrabajo desde la terraza de una cafetería, para ejemplificar otro tipo de teletrabajo. Foto de Andrea Piacquadio en Pexels
Teletrabajo desde una terraza pública