Las empresas y organizaciones de todo el mundo se han visto obligadas a impulsar el teletrabajo para evitar la exposición de sus trabajadores y trabajadoras a un posible contagio. La AEPD ha elaborado un listado de recomendaciones en relación a la protección de los datos personales para arrojar un poco de luz en este ámbito a esta nueva situación a la que han tenido que adaptarse las empresas.

Además, tal y como os contábamos en nuestra anterior entrada, la pandemia ha propiciado una situación de vulnerabilidad que los hackers han aprovechado para suplantar la identidad de organizaciones gubernamentales y multiplicar sus ciberataques.

A continuación hacemos un repaso del contenido de las recomendaciones facilitadas por la AEPD pero podéis consultar el documento en su totalidad a través de su página web.

1. Definir una política de protección de la información para situaciones de movilidad.

En esta política se debe especificar lo siguiente:

• Las formas de acceso remoto permitidas por la organización.
• Los tipos de dispositivos válidos para el acceso.
• El nivel de acceso permitido en función de los perfiles.
• Las responsabilidades y obligaciones asumidas por la plantilla.

Asimismo, se tienen que proporcionar guías a los y las trabajadoras donde se les explique:

• Cuáles son las recomendaciones que deben seguir para hacer el tratamiento de los datos.
• Cuáles son las amenazas y consecuencias a las que deberán enfrentarse.
• Cuál es el contacto al que deben acudir en caso de incidencia relacionada con el tratamiento de datos personales.

Además, la plantilla deberá firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al realizar sus tareas en situación de movilidad.

2. Elegir soluciones y prestadores de servicio confiables y con garantías.

Para no comprometer los datos personales de nuestros empleados y empleadas, clientes y personal relacionado, se debe recurrir a soluciones y servicios que garanticen fiabilidad. Si estos servicios acceden a datos de carácter personal, deberán actuar como encargados de tratamiento especificado contractualmente.

3. Restringir el acceso a la información.

El acceso de los empleados a la información dependerá de su rol y habrá que aplicar restricciones de acceso en función del dispositivo y la ubicación desde la que se acceda a dicha información.

4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad.

Los servidores de acceso remoto tienen que estar revisados, actualizados y configurados para proteger los datos. Además, entre otras características señaladas en el documento de la AEPD, los servicios no necesarios tendrán que estar deshabilitados, tendrán que contar con un software antivirus actualizado e incorporar mecanismos de cifrado de información.

Si la plantilla utiliza su propio equipo para trabajar, se tendrán que exigir unos requisitos mínimos para su utilización.

5. Monitorizar los accesos realizados a la red corporativa desde el exterior.

Para evitar los malware y el uso no autorizado de los recursos de la organización, hay que establecer sistemas de monitorización para detectar comportamientos sospechosos que hay que revisar periódicamente.

Al igual que en la actualidad, hay que comunicar las brechas de seguridad relativas a datos personales y se debe comunicar a los y las trabajadoras sobre estas políticas.

6. Gestionar racionalmente la protección de datos y la seguridad.

Habrá que hacer un análisis de riesgos para calcular el impacto de peligro al que se enfrentan los datos personales que manejamos. Además, se debe contemplar la opción de pérdida del dispositivo o acceso no autorizado al mismo.

Además, el documento incluye unas recomendaciones desarrolladas dirigidas al personal que participa en las operaciones de tratamiento. Éstas son:

• Respetar la política de protección de la información en situaciones de movilidad definida por el responsable.
• Proteger el dispositivo utilizado en movilidad y el acceso al mismo.
• Garantizar la protección de la información que se está manejando.
• Guardar la información en los espacios de red habilitados.
• Si hay sospecha de que la información ha podido verse comprometida comunicar con carácter inmediato la brecha de seguridad.

Ante todo, recuerda:

Lávate bien las manos.

Limpia las superficies.

Al toser o estornudar tápate con el codo o un pañuelo deshechable.

Quédate en casa.