LOS SISTEMAS DE TELETRABAJO Y SU INCIDENCIA EN PROTECCIÓN DE DATOS
El teletrabajo se ha instalado en nuestro país como respuesta a las restricciones y medidas de contención de la pandemia aún vigentes, en un contexto legal caracterizado por la casi total ausencia de regulación específica.
Con motivo de la implantación de sistemas de teletrabajo, a lo largo del presente artículo, os trasladamos cuestiones a tener en cuenta para el cumplimiento de las exigencias en materia de protección de datos.
Entre las facultades de dirección de la empresa, se encuentran las relativas a fijar las instrucciones y recomendaciones de seguridad a los empleados. En este sentido, a continuación, os trasladamos una serie de pautas y medidas de seguridad desarrolladas por la autoridad de control.
Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo:
La entidad, como responsable del tratamiento, dispone de la potestad para determinar que ciertas actividades sean desarrolladas en situaciones de movilidad y teletrabajo.
Esta decisión puede ser parte de la estrategia de gestión de la entidad o puede estar motivada por situaciones de excepcionalidad, por tanto, debemos desarrollar soluciones previas para anticiparnos a estas circunstancias.
A continuación, se enumeran un conjunto de recomendaciones para el responsable del tratamiento que éste tendrá que adecuar a la situación concreta de su objeto de negocio:
1. Definir una política de protección de la información para situaciones de movilidad
• Basada en la política de protección de datos y seguridad de la información de la entidad, y formando parte de ella, es necesario definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización.
• El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.
2. Elegir soluciones y prestadores de servicio confiables y con garantías
• Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales del personal, interesados y servicios corporativos de la organización, en particular, a través de los servicios de correo y mensajería.
• Hay que recurrir a proveedores y encargados que ofrezcan soluciones probadas y garantías suficientes que, en el mismo sentido, eviten la exposición de los datos personales del personal, interesados y servicios corporativos de la organización
• Si estos acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable.
3. Restringir el acceso a la información
• Los perfiles o niveles de acceso a los recursos y a la información tienen que configurarse en función de los roles de cada persona empleada, de una forma incluso más restrictiva respecto de los concedidos en los accesos desde la red interna.
4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad
• Los servidores de acceso remoto han de ser revisados y hay que asegurar que están correctamente actualizados y configurados para garantizar el cumplimiento de la política de protección de la información para situaciones de movilidad establecida por la organización, así como el control de los perfiles de acceso definidos.
5. Monitorizar los accesos realizados a la red corporativa desde el exterior
• Hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.
• Las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.
• Se debe informar al personal, en la política de protección de la información para situaciones de movilidad, sobre la existencia y el alcance de estas actividades de control y supervisión.
• Si las actividades de monitorización se usaran además para verificar el cumplimiento de las obligaciones laborales del personal, el responsable del tratamiento deberá informar con carácter previo, y de forma clara, expresa y concisa a las personas empleadas y, en su caso a sus representantes, de la medida adoptada en el marco de las funciones de control previstas en el Estatuto de los Trabajadores que han de ejercerse dentro de su marco legal y con los límites inherentes al mismo.
• Los mecanismos de monitorización implementados en el contexto de acceso remoto a recursos corporativos en situaciones de movilidad y teletrabajo deben respetar los derechos digitales establecidos en la LOPDGDD, en particular, el derecho a la intimidad y uso de dispositivos digitales y el derecho a la desconexión digital en el ámbito laboral.
6. Gestionar racionalmente la protección de datos y la seguridad
• Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.
• En la política deben contemplarse los procedimientos internos para provisionar y auditar los dispositivos clientes de acceso remoto, los procedimientos de administración y monitorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.
En la actualidad, la figura del teletrabajo como forma de trabajo a distancia está cogiendo auge frente a la organización empresarial tradicional, lo que sin duda trae consigo prácticas novedosas y más flexibles, estimulando cambios organizativos en las empresas y fortaleciendo la formación y empleabilidad de las personas trabajadoras. Sin embargo, también presenta posibles inconvenientes: protección de datos, brechas de seguridad, tecnoestrés, horario continuo, conectividad digital permanente, mayor aislamiento laboral, entre otros, resultando necesario un adecuado asesoramiento en materia de protección de datos.
Para obtener más información, no dude en contactar con nosotros.
Publicado el 4 de Diciembre de 2020
Por María González
Responsable del Departamento Jurídico