La AEPD (Agencia Española de Protección de Datos) acaba de difundir una serie de recomendaciones para proteger los datos personales en situaciones de movilidad y trabajo a distancia. Los consejos de ese organismo son muy oportunos en todo momento y especialmente en una situación como la actual, en la que todas las empresas cuya actividad lo permite fomentan el teletrabajo.
La urgencia ha podido obligar a poner en marcha soluciones provisionales pero cuando la situación que las motivó se prolonga, es necesario adecuar la implementación del teletrabajo a más largo plazo. De ello dependen tanto la continuidad de los negocios como los derechos y libertades de aquellos cuyos datos trata la empresa responsablemente. Por ello, según la AEPD, la organización y el personal que participa de teletrabajo han de tener en cuenta unas recomendaciones que resumimos:
Recomendaciones para los responsables del tratamiento de datos
- Definir una política de protección de la información para situaciones de movilidad. Esta política específica debe determinar qué formas de acceso remoto se permiten, los dispositivos válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles. Es necesario proporcionar guías a las personas empleadas que les formen y les comuniquen las amenazas que pueden afectarles al trabajar desde fuera de la organización. El personal firmará un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.
- Elegir soluciones y proveedores de servicio confiables y con garantías. La empresa debe evitar aplicaciones y soluciones de teletrabajo que puedan dar lugar a la exposición de datos de su personal, recurriendo a proveedores que ofrezcan soluciones probadas y garantías suficientes.
- Restringir el acceso a la información. Los perfiles o niveles de acceso a los recursos y a la información han de configurarse según los roles de cada persona empleada.
- Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad.
- Monitorizar los accesos realizados a la red corporativa desde el exterior. Establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en acceso remoto y movilidad. Y si esta monitorización se usa además para verificar el cumplimiento de obligaciones laborales del personal, informarle de la medida adoptada en el marco de las funciones de control previstas en el Estatuto de los Trabajadores.
- Gestionar racionalmente la protección de datos y la seguridad. Establecer las medidas y garantías de protección partiendo de un análisis de riesgos que evalúe la proporcionalidad entre los beneficios del trabajo a distancia y el impacto potencial de ver comprometido el acceso a información de carácter personal.
Recomendaciones para los empleados con trabajo a distancia
La AEPD recomienda también pautas para el personal que realiza trabajo a distancia que deben recogerse en el consiguiente acuerdo de teletrabajo y ajustarse a las tareas concretas que se realicen.
- Respetar la política de protección de la información en movilidad definida por el responsable. El empleado debe observar la política de protección de datos definida por la organización y, especialmente, cumplir el deber de confidencialidad con relación a los datos personales a los que tuviera acceso en el desempeño de sus funciones laborales.
- Proteger el dispositivo utilizado en movilidad y el acceso al mismo. Utilizando contraseñas diferentes a las de cuentas de correo personales, redes sociales y otras aplicaciones que use en su vida personal, y no descargando aplicaciones o software no autorizados por la organización.
- Garantizar la protección de la información que maneja. No dejando a la vista ningún soporte de información en el lugar donde desarrolle el teletrabajo y bloqueando las sesiones de los dispositivos cuando los deje desatendidos.
- Guardar la información en los espacios de red habilitados. El teletrabajador debe evitar almacenar la información generada en situación de movilidad en el propio dispositivo que está usando. Es preferible el almacenamiento compartido o en la nube que proporcione la organización.
- Comunicar inmediatamente una brecha de seguridad. Por último, si sospecha que la información ha podido verse comprometida y existe un riesgo para la protección de la información, el empleado debe consultarlo con el responsable de seguridad de la información.