Per motius relacionats amb el covid-19, la declaració de l’estat d’alarma i el posterior confinament, moltes entitats han hagut de tancar la seva seu física i el seu personal està realitzant la seva activitat des de casa. El teletreball s’ha convertit en una pràctica en auge i sembla que ha vingut per quedar-se.
Per aquest motiu, tenint en compte les particularitats de la realització de l’activitat a distància des del domicili, hem fet un recull amb algunes recomanacions sobre les mesures de seguretat a adoptar respecte a la informació i protecció de dades. Destaquem les següents:
Disposar d’una política de protecció de dades per aquesta situació
D’una banda, si l’entitat té correctament implementada la normativa de protecció de dades a la seva entitat, és possible que a la seva política de protecció de dades i seguretat de la informació tingui definides les mesures a prendre pel que fa al treball a distància (teletreball).
En cas de no ser així, s’hauria de fer un exercici per calcular les necessitats i riscos de l’entitat en relació al teletreball i definir algunes qüestions importants com poden ser les següents:
- Quines fórmules d’accés remot estan permeses.
- Quin tipus de dispositiu es considera vàlid per accedir a la informació.
- Determinar els perfils i nivells d’accés a la informació.
- Definir la responsabilitat i obligacions del personal relatives a la protecció de dades en aquesta fórmula de treball.
- Donar la informació suficient a les persones treballadores que tracten dades perquè puguin desenvolupar la seva tasca amb totes les garanties.
A més, sempre s’ha de tenir present el compromís de confidencialitat que han de complir totes les persones treballadores respecte a la informació adquirida a causa de la seva feina i, per tant, s’han d’aplicar les mesures i controls necessaris per garantir aquesta confidencialitat.
Eines confiables i amb garantia relativa al tractament i protecció de les dades
En la situació que ens ocupa, a les entitats els ha tocat ser imaginatives i reinventar els seus sistemes i processos, adaptant-los a les necessitats que requereix el teletreball.
Per aquest motiu, les organitzacions estan utilitzant un gran nombre d’eines telemàtiques que els ajuden en el seu dia a dia, tant des d’un punt de vista de gestió i organització del treball com de comunicació entre equips i amb tercers.
Respecte a aquest creixement en la utilització d’eines que faciliten el treball a distància, les principals qüestions per complir a tenir en compte amb la protecció de dades són les següents:
- Assegurar-se que les aplicacions i sistemes de teletreball utilitzats ofereixen les garanties suficients per no posar en risc l’exposició de dades personals. S’ha de prestar especial atenció als serveis de correu, missatgeria i eines col·laboratives.
- Una qüestió important a tenir en compte és que si el proveïdor pot accedir a les dades personals, això el converteix en encarregat del tractament, per tant, s’hauria de signar un contracte que estableixi els paràmetres d’aquesta relació.
Mesures de seguretat
Respecte a les mesures de seguretat, és molt més senzill de tenir-ho tot previst si es tracta d’equips o dispositius corporatius.
En aquest cas, algunes de les principals recomanacions per complir amb la protecció de dades durant el teletreball serien les següents:
- Establir perfils d’accés a la informació adequats, potser inclús de manera més restrictiva que els accessos habituals quan es treballa en xarxa, ja que es poden aplicar restriccions addicionals en funció del tipus de dispositiu utilitzat per accedir a la informació (equips personals, dispositius mòbils, etc.)
- Configuració periòdica dels equips i dispositius des dels quals s’accedeix.
- Revisió i actualització dels servidors d’accés remot per garantir el compliment de la política de protecció de dades.
- Disposar d’una configuració amb els mateixos privilegis fixats pels serveis TIC que no pugui ser desactivada o modificada per les persones treballadores.
- Instal·lació de les aplicacions autoritzades per l’organització.
- Disposar d’un software antivirus o tallafocs.
- Evitar la connexió dels dispositius en llocs públics, així com la connexió a xarxes WIFI obertes i no segures.
En cas de permetre la utilització de dispositius personals, s’haurà d’assumir un risc més gran, ja que no existeixen els mateixos controls que als equips corporatius.
Sobretot, algunes de les qüestions a tenir en compte en aquest cas és la possibilitat de monitoritzar els processos.
En cas que la monitorització també es vulgui utilitzar per verificar el compliment de les obligacions laborals, s’haurà d’informar amb caràcter previ i de manera clara i expressa al personal i als representants dels treballadors, tal i com s’estableix a l’Estatut dels Treballadors.
Respecte a la monitorització via remota també s’ha de respectar el dret a la intimitat i el dret a la desconnexió digital regulat a la normativa, concretament a la LOPDGDD.
Tot i així, la configuració per accedir remotament ha de ser revisada periòdicament per garantir que no ha estat desactivada sense autorització.
La situació també serà diferent en funció de quina sigui la situació de cada entitat respecte a l’accés a la informació: si disposa d’un núvol, si disposa d’un servidor propi i tots els ordinadors estan en xarxa, si es volca tota la informació en un programari…
En relació amb aquest punt, també s’ha de prestar especial atenció a la possibilitat propagació de ‘malware’ per la xarxa corporativa i la utilització de recursos no autoritzats.
Altres consells per a la seguretat de les dades
- Ús d'email corporatiu: Aquest correu ha de ser per un ús estrictament professional i no es s’hauria d’utilitzar per a cap altre tipus de comunicacions.
- Utilització de contrasenyes i bloquejos de pantalles: Respectar les contrasenyes i en el cas d'haver d'usar dispositius personals per a la realització del treball, que sigui en una sessió pròpia i diferenciada a la d'altres persones que també puguin utilitzar el mateix recurs.
També és oportú utilitzar bloquejos de pantalla amb la finalitat que no es pugui accedir a la informació quan no s’estigui davant de l’ordinador.
- Xifrat: Xifrar la informació sensible tant per al seu emmagatzematge com per al seu enviament per a així reduir els riscos que es produeixin violacions de seguretat.
- Còpies de seguretat: Realitzar còpies de seguretat de la mateixa manera que en la seu, guardant la informació en les carpetes de les quals es té constància que s'estan realitzant.
- Trasllat de documentació: Prestar especial cura en el trasllat de documentació en paper i en suports electrònics, que estigui completa abans i després del trajecte.
- Comunicació d'incidències que afectin la seguretat de les dades de caràcter personal: Comunicar a l’entitat qualsevol incidència de seguretat que tingui coneixement, sobretot si afecta dades personals.
Per on començar?
En resum, per garantir que una organització compleix amb la regulació de protecció de dades cal comptar amb l’ajuda de professionals especialitzats.
Des de l’àrea jurídica de Suport Tercer Sector hem aplicat la protecció de dades a més de 30 associacions i fundacions. Apliquem les mesures des de zero, oferim un manteniment anual, fem auditories i assumim la responsabilitat total derivada de la protecció de dades de cada entitat.
Informa-te’n dels preus i detalls llegint aquesta entrada.