Como tratar los datos personales en el Teletrabajo

Debido a la situación de emergencia sanitaria sufrida por el COVID-19 las empresas y autónomos que pueden desarrollar su actividad de forma telemática han optado por esta opción, por lo que de un tiempo a esta parte se está produciendo un tratamiento de datos personales en situaciones de «movilidad y teletrabajo» y es posible que no seamos conscientes de la importancia de una buena organización y planificación de los protocolos del teletrabajo, con el fin de evita que los datos personales o la información confidencial de la empresa se vea perjudicada.

A continuación disponemos una serie de directrices a seguir por las empresas que estén llevando a cabo teletrabajo:

  • La empresa debe establecer un protocolo de actuación para los teletrabajadores que contemple los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización, se determinará:
    • Acceso remotos válidos
    • Dispositivos permitidos para el trabajo.
    • Los dispositivos deben contar con antivirus, cortafuegos locales activados, mecanismos de cifrado, tener activados solo las comunicaciones (wifi, bluetooth, NFC, …) y puertos (USB u otros) necesarios para llevar a cabo las tareas encomendadas.
    • Principales amenazas por las que pueden verse afectados al trabajar desde fuera de la organización y las posibles consecuencias que pueden materializarse
    • Definir las responsabilidades de cada usuario en función de sus niveles de acceso a la información
    • Establecer un correo para la comunicación de cualquier tipo de incidencia relacionada con los datos personales y la información confidencial de la empresa
    • Utilización de contraseñas de acceso
    • No se debe descargar ni instalar aplicaciones o software que no hayan sido previamente autorizados por la organización
  • Evitar las aplicaciones o soluciones de teletrabajo que no ofrezcan las garantías necesarias, si estos  proveedores acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato u otro acto jurídico.
  • Establecer el PRINCIPIO DE MÍNIMO PRIVILEGIO, y disponer el acceso a los teletrabajadores a la información en función de sus roles, ubicación y tipo de dispositivos incluso de una forma más restrictiva.
  • Los servidores de acceso remoto han de ser revisados y hay que asegurar que están correctamente actualizados y configurados para garantizar el cumplimiento de la política de protección de la información para situaciones de movilidad establecida por la organización, así como el control de los perfiles de acceso definidos.
  • Llevar a cabo monitorizaciones para identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.
  • Evitar las conexiones desde redes públicas.
  • Si existe en el dispositivo de la empresa un sistema de copia de seguridad asignado, no deshabilitarle bajo ningún concepto.
  • En los dispositivos de la empresa se prohíbe el acceso a redes sociales, correo electrónico personal, páginas web con reclamos, así como otros sitios susceptibles de contener virus o favorecer la ejecución de código dañino.
  • Eliminar del dispositivo archivos temporales que no estén en uso o documentos de descargas.
  • Evitar el almacenamiento en local, siempre realizar el guardado del documento en la intranet de la empresa o en las aplicaciones dispuestas para ello.
  • Una vez concluida la jornada de trabajo en situación de movilidad debe desconectarse la sesión de acceso remoto y apagar o bloquear el acceso al dispositivo. En caso de realizarse pausas en el teletrabajo, deberán de bloquear las sesiones de los dispositivos cuando estos estén en descanso y aplicar filtros de privacidad para evitar que terceros puedan acceder visualmente al contenido del dispositivo.
  • Si se trabaja con con papel hay que tener en cuenta que:
    • Se debe evitar al mínimo indispensable la entrada y salida de documentación
    • Hay que extremar las precauciones para evitar accesos no autorizados por parte de terceros
    • Se debe destruir totalmente cuando vaya a ser eliminada
    • No se debe dejar ningún soporte de información en el lugar visible donde se desarrolle el teletrabajo

OJO! si se van a utilizar para el desarrollo del Teletrabajo los dispositivos personales de los empleados, esto supondrá un mayor riesgo por no incorporar los mismos controles de los equipos de la empresa por lo que hay que valorar la posibilidad de restringir la conexión a una red segregada que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo. Además habrá que establecer perfiles independientes para desarrollar cada tipo de tarea, delimitando la zona personal de la profesional.