RGPD y sus implicaciones en el teletrabajo

RGPD y sus implicaciones en el teletrabajo
marzo 25, 2020| Protección de datos

✔ Hasta ahora, solo el 4,3% de los ocupados en España teletrabajaba en su domicilio. Debido a la crisis sanitaria producida a nivel nacional por el Covid-19, y a las recomendaciones de las autoridades sanitarias, las empresas españolas han extendido a toda su plantilla esta modalidad de trabajo no presencial.

Pero ¿qué implicaciones puede tener el teletrabajo en el ámbito de la protección de datos? ¿es necesario realizar alguna acción adicional por parte del empresario? ¿Cómo se puede garantizar la confidencialidad de la información cuando se teletrabaja?

He aquí algunas de las cuestiones que toda organización debe tener en cuenta.

Riesgos intrínsecos al teletrabajo

Cada vez que una organización crea una nueva forma de acceder a sus datos, como, por ejemplo, accediendo mediante un portátil externo, expone esos datos a un mayor riesgo. El trabajo a distancia intensifica ese riesgo ya que puede ser difícil para el empleado y la organización saber cuándo se produce una violación de seguridad, qué consecuencias podrían derivarse de la misma, así como identificar cómo sucedió esta.

El problema reside en que, la mayoría de los trabajadores remotos tendrán que trasladar, por necesidad, los datos (o los dispositivos que pueden acceder a ellos) a sus propios hogares. Esta situación multiplica el riesgo de que se pierdan los datos o la confidencialidad de los mismos.

Conviene recordar en este punto, que el artículo 33 RGPD obliga en caso de que se produzca una violación de seguridad, al responsable o al encargado de tratamiento a comunicar la incidencia a la «Autoridad de Protección de Datos» y/o a los posibles interesados, en el plazo de 72 horas a fin de activar los protocolos correspondientes. De manera que, el empresario debe informar de manera fehaciente a sus empleados sobre los procedimientos a llevar a cabo ante tal situación, si no quiere incurrir en una sanción por parte de la Agencia Española de Protección de Datos.

✔️ ¡No se preocupe!, el «GRUPO ADAPTALIA» le resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía.

Nuestra «CONSULTORÍA EN PROTECCIÓN DE DATOS» es la solución perfecta para que nada le inquiete. Nuestras soluciones están personalizadas para cada tipo de aspecto a tratar y sector empresarial.

¿Qué debe saber el empleado

Antes de implementar esta modalidad no presencial, el empresario deberá acordar previamente con el empleado las nuevas condiciones laborales que el teletrabajo pudiera concretar. En consecuencia, se deberá plasmar en un documento todas las funciones y obligaciones que el trabajador deberá tener en cuenta al trabajar desde casa. Dicho acuerdo deberá hacer referencia a:

  • Condiciones generales de la jornada de trabajo y horario de la misma. En la medida de lo posible, se deberá indicar la duración de esta modalidad laboral.
  • Inventario de equipos y soportes que la empresa proporcione al trabajador (móviles, ordenadores, tablets, etc).
  • Método de reporte y/o comunicación con los coordinadores y/o supervisores departamentales.
  • Indicación expresa de si se monitorizará la actividad laboral con fines profesionales y al objeto de controlar el buen uso de los recursos proporcionados.
  • Asunción de costes derivados de la prestación laboral (Internet, tarifa telefónica, etc.).
  • Condiciones mínimas necesarias para el desempeño del puesto de trabajo (Por ejemplo, Internet).
  • Definir el protocolo para tomar permisos por vacaciones, enfermedad u otras licencias.
  • Responsabilidades del trabajo, las normas de rendimiento y método de realización de las evaluaciones personales inherentes al empleado.

Indicación concreta del protocolo de comunicación de violaciones de seguridad de los datos de los que la empresa es Responsable. Es recomendable, que el documento incorpore expresamente el correo electrónico al que deberán remitirse estas comunicaciones.

¿Cómo mitigar los riesgos?

A nivel técnico, es difícil prevenir las violaciones de seguridad cuando el soporte se encuentra fuera de la organización. No obstante, existen muchas formas de mitigar el riesgo inherente a la salida del soporte informático. Para ello, deberán ponerse en conocimiento del trabajador e implantarse en los equipos las siguientes medidas de seguridad:

 

    1. Se prohibirá la copia de documentos o archivos temporales al equipo personal. En caso de copia, debido a trabajos puntuales, estos deberán ser borrados, destruidos o incorporados a carpetas o archivos de la entidad, cumplida la finalidad que motivó su creación.
    2. Todos los dispositivos capaces de almacenar datos deben estar protegidos por una contraseña sólida.
    3. Se deben emplear medidas de seguridad física razonables. Se espera que los usuarios aseguren tales dispositivos, estén o no en uso y/o siendo transportados. Esto incluye, pero no se limita, a las contraseñas, encriptación, y el control físico de esos dispositivos siempre que contengan datos de la empresa.
    4. Los empleados deberán comprometerse a no revelar nunca sus contraseñas a terceros, incluidos los miembros de la familia, ni a almacenarlas en otros dispositivos de propiedad personal.
    5. Cualquier equipo no corporativo, que se utilice para sincronizar con estos dispositivos, tendrá instalado un software antivirus y antimalware actualizado que el Responsable de seguridad considere necesario.
    6. Cualquier dispositivo que se utilice para almacenar datos de la organización deberá cumplir con los requisitos de autenticación. Además, todas las configuraciones de seguridad del hardware deben ser aprobadas por el Responsable de seguridad antes de que este pueda ser conectado a la red organizativa.
    7. El personal no debe realizar operaciones de tratamiento de datos personales más allá de los necesarios para el cumplimiento de sus funciones laborales.
    8. Cuando se traten datos con un riesgo alto, deberá encriptarse la información, a fin de evitar su acceso por terceros no autorizados.
    9. Crear un red privada o VPN (Virtual Private Network) para conectar entre sí a los teletrabajadores con la oficina y entre ellos, donde el acceso a la red esté protegido por un cifrado que proporcione una capa extra de protección.
    10. No conectarse a redes WIFI públicas.

Conclusiones

En consecuencia, a fin de cumplir fielmente con el RGPD cuando los empleados se encuentran teletrabajando, será necesario que la organización determine en un Documento todas las funciones y obligaciones a las que deberán atenerse los mismos, así como las medidas de seguridad que deberán implantarse a fin de mitigar los riesgos y evitar violaciones de seguridad. Desde Grupo Adaptalia, les recomendamos que,  implanten estas acciones a la mayor brevedad posible, a fin de garantizar la confidencialidad, integridad y disponibilidad permanente de los activos de información de su empresa.

▸Estimado lector, ¡¡gracias por su tiempo!!

Suscribete a nuestra Newsletter