En este momento estás viendo El teletrabajo

El teletrabajo

¿Cómo debo empezar a teletrabajar?

Recomendaciones al responsable del tratamiento

Con la nueva situación derivada de la COVID-19, las empresas tuvieron que enfrentarse a un cambio en sus modelos de negocio.

Surgió la necesidad de iniciar las políticas del teletrabajo para poder mantener sus negocios seguros y activos, por eso la AEDP facilitó una serie de recomendaciones para que las empresas pudieran adaptarse  cumpliendo la normativa en protección de datos RGPD.

Inicialmente se preveía que sería una adaptación temporal pero ahora vemos que dicho modelo ha llegado para quedarse, formando parte de todos los cambios digitales que están sucediendo.

A fecha de hoy, estas medidas que se aprobaron inicialmente deben ser revisadas, hay que encontrar una estrategia adecuada dentro de la organización que garantice su sostenibildad en el tiempo y debe haber una persona resposanble que se ocupe de organizar los procesos, evaluarlos y gestionarlos.

Los datos personales deben estar protegidos dentro de la plantilla de trabajo igual que en caso de estar fuera de la oficina.

En el caso de las personas que realizan teletrabajo, no sólo hay que tener en cuenta el cómo implementar la puesta en marcha o la solución tecnológica para seguir con las obligaciones empresariales, también  hay que evaluar los nuevos riesgos que surgen en el cambio de naturaleza del tratamiento de datos.

Es necesario encontrar la forma de implementarlo correctamente porqué se ha evidenciado ya, que el trabajo a distancia supone un riesgo adicional para los derechos y libertades no solo de los trabajadores sino de los datos que se manipulan.

Para poder realizar una buena gestión del riesgo la AEPD ha elaborado herramientas y guías dirigidas a las personas responsables de la gestión en materia de protección.

Será necesario pues, implementar políticas de protección da datos para mantener los principios y derechos de protección de datos así como la evaluación de los riesgos para esos derechos y libertades.

Definir una política de protección de la información para situaciones de movilidad

Debe contemplar necesidades concretas y riesgos particulares al tener acceso a los recursos de la empresa desde el exterior, donde la empresa no tiene el control de dichos recursos.

Por eso habrá que concretar que formas de acceso remoto serán las más adecuadas y que tipo de dispositivos serán válidos, igualmente la responsabilidad que deberá asumir cada teletrabajador deberá quedar definida y para ello deberá existir una guía con las recomendaciones dirigidas al personal que partiipa en las operaciones de tratamiento, tal como explica la AEPD en sus recomendaciones.

El trabajador deberá firmar un acuerdo de teletrabajo que contenga sus tareas de trabajo y sus responsabilidades. Deben evitarse soluciones que no ofrezcan garantías y que puedan dar lugar a brechas en la seguridad en los datos personales de la empresa o de sus empleados.

Evaluación y estudio de soluciones

Los equipos a usar y sus aplicaciones deberán ofrecer las máximas garantías para evitar que den lugar a la exposición de datos personales de empleados o servicios coporativos de la organización, sobretodo hay que fijarse en los servicios de correo y mensajería. En el caso que haya que recurrir a proveedores que ofrezcan soluciones para evitar la exposición de dichos datos personales, si éstos acceden a los ficheros, tendrán la consideración de encargados de tratamiento y su relación tendrá que basarse en un contrato que vincule al encargado con el resposable. Contrato que deberá contener objeto, duración y naturaleza del tratamiento y las obligaciones y derechos del responsable, de acuerdo con lo establecido en el artículo 28.3 del RGPD.

Restringir el acceso a la información

Según el rol de cada trabajador habrá que estipular un acceso más o menos restrictivo, de la misma manera que habrá que restringir el acceso a la información en función del tipo de dispositivo usado y dependiendo de la ubicación desde la que se acceda.

No es lo mismo un portátil corporativo securizado que la tablet de un empleado, además hay que estar configurándolos periódicamente para asegurarse que están al corriente en sus actualizaciones.

En el caso de uso de dispositivos personales también habrá que tener en cuenta además de estar al día en actualizaciones, restringir la conexión a una red segregada que proporcione un acceso limitado a los recursos mínimos necesarios.

Monitorización

Hay que determinar sistemas de monitoreo para identificar patrones anormales dentro de la red corporativa con el fin de evitar la propagación de software malicioso o de acceso no autorizado a recursos de la empresa.

Si se diera el caso de encontrar brechas de seguridad y si éstas afectan a los datos personales, la empresa tendrá la obligación de informar a la Autoridad de control y a los interesados para conseguir un entorno más fuerte y seguro.

Las recomendaciones al personal han de estar recogidas en la política de teletrabajo del responsable, referenciadas en el acuerdo de teletrabajo y ajustadas a la situación concreta de las tareas a realizar.

Recomendaciones al personal que participa en las operaciones de tratamiento

Respetar las decisiones del responsable de los ficheros

Hay que respetar la política de protección de datos planteada por el responsable del servicio, especialmente en situaciones de movilidad.

También hay que tener en cuenta las recomendaciones recogidas en las guías de protección de datos  así como del resto de procedimientos que la desarrollen.

También hay que recalcar el deber de confidencialidad que tiene la persona trabajadora con relación a los datos personales a los que vaya a tener acceso en el desempeño de sus funciones.

Proteger los dispositivos de trabajo y sus accesos

El trabajador deberá  utilizar contraseñas seguras y diferentes a las utilizadas para acceder a correos, redes sociales y otras aplicaciones. No se podrán descargar aplicaciones que no estén autorizados.

Hay que evitar la conexión a la red corporativa desde lugares públicos o las conexiones a redes WIFI abiertas, si los equipos usados son personales hay que evitar la simultaneidad de las atividades pesonales con las laborales.

El sistema antivirus debe estar instalado en los equipos y actualizado. Hay que verificar la legitimidad de los correos electrónicos recibidos, sobretodo revisar el dominio del que proceden sea válido.

Desconfiar de la descarga de ficheros adjuntos con extensiones inusuales o desconocidas. Es importante que una vez acabada la jornada en situación de movilidad haya una correcta desconexión de la sesión.

Garantizar la protección de la información que se maneja

La información en soporte papel, si no sepuede evitar trabajar condicha documentación, hay que procurar evitar la entrada y salida de documentación y los accesos no autorizados.

Además habrá que desecharla de forma segura, nunca arrojar papelesenteros en lugares públicos.

Guardar la información en los espacios adecuados

Es conveniente no guardar la información que se maneja de forma local en el dispositivo y hacer uso de los recursos de almacenamiento compartidos o la nube, proporcionados por la empresa.

Si se trabaja con equipos personales no se pueden usar aplicacionesno autorizadas para compartir información, como tampoco se puededeshabilitar la política de copiade seguridad definida para ada dispositivo.

Si hay sospechas de que la información está comprometida

Toda la información que se gestiona en lugares públicos debe ser cautelosamente protegida, adoptando las medidas necesarias para garantizar su confidencialidad.

Cualquier anomalía que pueda afectar a la seguridad de la información, deberá notofocarse al responsable a través de los canales especificados por la empresa.