✔ La llegada de la COVID-19 a España el pasado año, sacudió a las empresas, debiendo rápidamente implantar soluciones tecnológicas para que sus empleados pudieran trabajar desde casa.
La mayoría de las grandes empresas se encontraban preparadas porque ya tenían incorporado este modelo en su negocio y estructura, pero las pymes, que representan la gran parte del tejido empresarial español, se toparon con un sobrecoste en la puesta en marcha del teletrabajo materializado, sobre todo, en la compra de dispositivos portátiles y en la implementación de mecanismos de ciberseguridad que les generaba ciertas inquietudes.
Ciertamente, según una encuesta de Check Point (https://www.redseguridad.com/wp-content/uploads/sites/2/2020/04/check-point-infografia-encuesta-ciberseguridad-y-covid-19-1.pdf), las tres grandes preocupaciones de las organizaciones fueron:
- La generación de puntos de acceso remoto para los trabajadores (56%);
- La necesidad de implantar soluciones escalables de acceso remoto (55%);
- Y el hecho de que, durante el teletrabajo, los empleados estaban utilizando soluciones de TI en la sombra, con software, herramientas y servicios no probados (47%).
En este contexto de marchas forzadas, las vulnerabilidades de la red corporativa se hicieron más que evidentes, convirtiéndose en caldo de cultivo de los cibercriminales. Esta misma encuesta alertó que, al inicio de la pandemia:
- Las empresas informaron de un aumento del 71% de los ciberataques.
- El 55% de los profesionales de la seguridad alertaron que la principal amenaza eran los ataques por phishing (técnicas de engaño para robar información personal);
lo que pone de manifiesto que las organizaciones deben implantar medidas técnicas y organizativas apropiadas para evitar los incidentes de seguridad y más cuando la información se trata mediante el modelo del teletrabajo.
Debemos reparar en que los incidentes de seguridad pueden comprometer datos de carácter personal de clientes, proveedores, usuarios y empleados, entre otros, y a que muchas veces estos incidentes pueden ser evitados si las empresas conocen cómo implantar medidas de seguridad apropiadas que garanticen la integridad, disponibilidad y confidencialidad de los datos de carácter personal.
Teniendo en cuenta los datos anteriores, antes de estudiar cuáles son las violaciones de seguridad más frecuentes en el teletrabajo, es necesario recordar al trabajador qué es exactamente una violación de seguridad y cuáles son las obligaciones que existen en la normativa de protección de datos respecto a la gestión de las mismas:
- Concepto de violación de seguridad:
| Sinónimos: Incidente, incidencia, quiebra o brecha de seguridad.
Definición: Todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Conclusión: Incluye cualquier tipo de incidente que afecte a datos personales, pudiendo tener su origen en un accidente o una acción intencionada y pudiendo puede involucrar datos tratados por medios digitales o en formato papel. |
- Obligaciones en la normativa de protección de datos sobre la gestión de las violaciones de seguridad:
| Registro de la violación de seguridad: toda violación de seguridad, con independencia de su escasa incidencia, debe registrarse obligatoriamente, incluyendo los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas (“registro de incidencias”). Este registro debe custodiarse para estar disponible por la autoridad de control.
Notificación a la autoridad de control: se debe notificar a la autoridad de protección de datos competente (en el ámbito nacional, la AEPD) sin dilación indebida y, en todo caso, dentro de las 72 horas siguientes a que la organización tenga constancia de las mismas, las violaciones de seguridad que sean probable de entrañar un riesgo para los derechos y libertades de los interesados. Comunicación a los interesados afectados: se debe comunicar a los interesados afectados sin dilación indebida las violaciones de seguridad, cuando sean probable de entrañar un alto riesgo para sus derechos y libertades a menos que: (i)la organización hubiera adoptado médicas técnicas u organizativas apropiadas con anterioridad a la brecha, (ii) haya tomado con posterioridad medidas técnicas que garanticen que ya no hay posibilidad de que el alto riesgo se materialice, o (iii) cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede una comunicación pública. *Importante: la obligación de notificación a la autoridad de control y comunicación a los interesados afectados, cuando procedan, recae en la organización como Responsable del Tratamiento. Por su parte, el trabajador, deberá seguir el protocolo que marque la entidad a nivel interno para comunicar de forma inmediata las violaciones de las que tenga conocimiento (a quién se debe comunicar, a través de qué medios, etc.). |
⚖️ Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.
