Por L.B.
Las empresas y organizaciones de todo el mundo se han visto obligadas a impulsar el teletrabajo para evitar la exposición de sus trabajadores y trabajadoras a un posible contagio. La AEPD ha elaborado un listado de recomendaciones en relación a la protección de los datos personales para arrojar un poco de luz en este ámbito a esta nueva situación a la que han tenido que adaptarse las empresas.
Además, tal y como os contábamos en nuestra anterior entrada, la pandemia ha propiciado una situación de vulnerabilidad que los hackers han aprovechado para suplantar la identidad de organizaciones gubernamentales y multiplicar sus ciberataques.
A continuación hacemos un repaso del contenido de las recomendaciones facilitadas por la AEPD pero podéis consultar el documento en su totalidad a través de su página web.
En esta política se debe especificar lo siguiente:
Asimismo, se tienen que proporcionar guías a los y las trabajadoras donde se les explique:
Además, la plantilla deberá firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al realizar sus tareas en situación de movilidad.
Para no comprometer los datos personales de nuestros empleados y empleadas, clientes y personal relacionado, se debe recurrir a soluciones y servicios que garanticen fiabilidad. Si estos servicios acceden a datos de carácter personal, deberán actuar como encargados de tratamiento especificado contractualmente.
El acceso de los empleados a la información dependerá de su rol y habrá que aplicar restricciones de acceso en función del dispositivo y la ubicación desde la que se acceda a dicha información.
Los servidores de acceso remoto tienen que estar revisados, actualizados y configurados para proteger los datos. Además, entre otras características señaladas en el documento de la AEPD, los servicios no necesarios tendrán que estar deshabilitados, tendrán que contar con un software antivirus actualizado e incorporar mecanismos de cifrado de información.
Si la plantilla utiliza su propio equipo para trabajar, se tendrán que exigir unos requisitos mínimos para su utilización.
Para evitar los malware y el uso no autorizado de los recursos de la organización, hay que establecer sistemas de monitorización para detectar comportamientos sospechosos que hay que revisar periódicamente.
Al igual que en la actualidad, hay que comunicar las brechas de seguridad relativas a datos personales y se debe comunicar a los y las trabajadoras sobre estas políticas.
Habrá que hacer un análisis de riesgos para calcular el impacto de peligro al que se enfrentan los datos personales que manejamos. Además, se debe contemplar la opción de pérdida del dispositivo o acceso no autorizado al mismo.
Además, el documento incluye unas recomendaciones desarrolladas dirigidas al personal que participa en las operaciones de tratamiento. Éstas son: