✔ La Política de Teletrabajo o, más concretamente, la “Política de Seguridad de Trabajo a Distancia” es un documento interno donde se informa a los empleados de cuáles son las medidas de seguridad técnicas y organizativas que deben seguir o adoptar para proteger la información de la organización en situaciones de movilidad y evitar, de esta forma, que sea robada, comunicada, accedida de forma no autorizada, etc.
Debido a las restricciones de movilidad impuestas por la crisis sanitaria de la COVID-19 desde el pasado marzo de 2020, muchas empresas han decidido implantar el modelo de teletrabajo. Sin embargo, no saben cómo elaborar una política que permita proteger los datos de carácter personal cuando sus empleados trabajan desde casa. Es por ello que, en el post de hoy, establecemos unas pautas para guiar a las empresas sobre cómo elaborar una Política de Teletrabajo conforme a la normativa sobre protección de datos.
Metodología de elaboración de la política de teletrabajo
Antes de redactar la Política de Teletrabajo, la organización debe conocer qué medidas de seguridad técnicas y organizativas son las más apropiadas para garantizar la información que maneja. Para saber cuáles son estas medidas, ¿qué metodología debe seguir?
Realizar un Análisis de Riesgos
Un Análisis de Riesgos es una evaluación de los tratamientos de datos personales (tipos de datos, formas de recogida, herramientas informáticas empleadas, departamentos implicados, etc.) y de sus potenciales amenazas para detectar las vulnerabilidades de los tratamientos y así implantar las medidas de seguridad técnicas y organizativas que se consideren más adecuadas.
En consecuencia, en el análisis de riesgos de los tratamientos sometidos a teletrabajo o trabajo a distancia, deberán tenerse en cuenta las posibles violaciones de seguridad que pueden ocurrir en función del tipo de información que se maneja y las tecnologías empleadas.
La AEPD ha publicado algunas guías y herramientas para ayudar a las organizaciones a realizar el Análisis de Riesgos:
- Guía práctica de análisis de riesgos en los tratamientos de datos sujetos a RGPD.
- Herramienta “GESTIONA”. Hacer click en “Iniciar análisis de riesgo”. Recomendada para las entidades que realizan tratamientos de escaso riesgo.
Realizar, cuando proceda, una Evaluación de Impacto
Para determinados tratamientos no solo basta con realizar un análisis de riesgos, sino que se deberá llevar a cabo una “Evaluación de Impacto relativa a la protección de datos” (en adelante, “Evaluación de impacto” o “EIPD”) por considerar que presentan un “alto riesgo”. Por tanto, si los tratamientos de datos realizados a distancia presentan un alto riesgo, la organización deberá realizar una EIPD sobre dichos tratamientos.
Al respecto, el RGPD prevé a título enunciativo tres supuestos en los que deben realizarse EIPD:
- Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
- Tratamientos a gran escala de categorías especiales de datos o datos relativos a condenas o infracciones penales.
- Observación sistemática a gran escala de una zona de acceso público.
Una EIPD es un proceso destinado a describir, de manera anticipada y preventiva, un tratamiento de datos personales, evaluar su necesidad y proporcionalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.
Puede encontrar información sobre las EIPD, su metodología y fases de desarrollo en la siguiente guía de la AEPD:
Tener en cuenta los principios de Privacidad desde el Diseño o por Defecto (“Privacy by Desing o Default”)
La Privacidad desde el Diseño supone que las organizaciones deberán aplicar tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos.
Por su parte, la Privacidad por Defecto implica que las organizaciones deberán garantizar que solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento, debiendo tener en cuenta la cantidad de datos personales recogidos, la extensión de su tratamiento, su plazo de conservación y su accesibilidad.
La Privacidad desde el Diseño y por Defecto cobra especial relevancia en el ámbito del teletrabajo al verse aumentado el uso de herramientas o recursos informáticos: páginas web, aplicaciones como las de videoconferencias, bases de datos, etc. El creador de estos sistemas y las organizaciones que las compran o disfrutan de sus funcionalidades, deben tener muy presente estos conceptos a la hora de diseñarlas y configurarlas. Como ejemplos de medidas en las que convergen ambos conceptos, se encuentra la clasificación y organización de los datos y operaciones de tratamiento, basándose en perfiles de acceso y el cifrado por defecto de modo que el estado natural de los datos en caso de pérdida o robo sea ilegible.
Al respecto, la AEPD ha publicado dos guías muy interesantes donde las entidades pueden conocer de forma práctica como cumplir estas obligaciones:
En todo caso, es necesario destacar que la organización, para saber si ha implantado medidas de seguridad adecuadas, podrá certificarse de las Normas ISO 27001 y 27002, y de la Norma ISO 27701: 2019. Se trata de Normas Internacionales de Seguridad de la Información que pretenden asegurar la confidencialidad, integridad y disponibilidad de la información de una organización y de los sistemas y aplicaciones que la tratan.
|
✓ Descubre las innumerables ventajas de implantar un sistema de teletrabajo en tu empresa o negocio. Formación organizada en 4 sencillos módulos: ▸Módulo 1 – El teletrabajo. ▸Módulo 2 – Marco regulatorio. ▸Módulo 3 – Protección de datos y seguridad de la información. ▸Módulo 4 – Prevención de riesgos laborales. |
Contenido de la política de teletrabajo
Una vez que la organización (i) ha realizado el análisis de riesgo de todos los tratamientos y, en su caso, (i) una evaluación de impacto sobre los tratamientos que puedan entrañar un alto riesgo, (iii) y ha tenido en cuenta la Privacidad desde el diseño y por defecto; debería estar en condiciones de conocer cuáles son las medidas de seguridad apropiadas para garantizar la protección de la información en el contexto del trabajo a distancia.
Las medidas de seguridad pueden ser técnicas (necesitan desarrollo tecnológico) u organizativas (su implantación depende de la voluntad y buen hacer de las personas que trabajan en la organización). En cualquier caso, tanto si las medidas dependen de una acción de los trabajadores como si no, deben ser conocidas, al menos, por el personal que accede y/o trata información en situaciones de movilidad a través de una Política de Teletrabajo.
El contenido de la Política de Teletrabajo deberá al menos respetar los siguientes:
- Estar redactada de forma clara y sencilla de manera que, un usuario medio, sin grandes conocimientos informáticos, pueda entender.
- Recoger todas las medidas de seguridad técnicas y organizativas adoptadas, Para ello, se deberán realizar los correspondientes análisis vistos en la “Metodología de elaboración de la Política de Teletrabajo”. En todo caso, puede tomar como referencia el documento de la AEPD “Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo”, apartado “Recomendaciones dirigidas al personal que participa en las operaciones de tratamiento”.
- Determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos. También deben definirse las responsabilidades y obligaciones que asumen las personas empleadas.
- Informar al personal de las principales amenazas por las que pueden verse afectados al trabajar desde fuera de la organización y las posibles consecuencias que pueden materializarse si se quebrantan dichas directrices, tanto para los sujetos de los datos como para la persona trabajadora.
- Detallar cómo se deben comunicar las violaciones de seguridad de forma que:
- Se identifique a la persona de contacto para comunicar cualquier incidente de seguridad, tanto si presenta especial relevancia, como si no. La persona de contacto suele ser el denominado “Responsable de Protección de Datos” o “Responsable de Seguridad de la Información”. Este a su vez debe elevarlo al Delgado de Protección de Datos, caso de haberse designado.
- Se identifiquen los canales a través de los cuales se debe realizar esta comunicación. Los canales suelen ser correo electrónico o llamada telefónica.
- Se indique el contenido mínimo que debe tener esa comunicación para facilitar su tratamiento y resolución. Acostumbra a ser: fecha y hora en que se detectó la violación, persona que lo detecta, persona que lo comunica, medidas de contingencia adoptadas, tipos de datos tratados y sujetos a los que afecta, y cantidad de datos.
- Se especifique claramente que la comunicación debe realizarse sin dilación indebida y a la mayor brevedad posible.
⚖️ Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.
