Por motivos relacionados con el Covid-19, la declaración del estado de alarma y el posterior confinamiento, muchas entidades han tenido que cerrar su sede física y su personal está realizando su actividad desde casa.
Por este motivo, teniendo en cuenta las particularidades de la realización de la actividad a distancia desde el domicilio, hemos hecho una recopilación con algunas recomendaciones sobre las medidas de seguridad a adoptar respecto a la información y protección de datos. Destacamos las siguientes:
Disponer de una política de protección de datos para esta situación
Si la entidad tiene correctamente implementada la normativa de protección de datos a su entidad, es posible que en su política de protección de datos y seguridad de la información tenga definidas las medidas a tomar en cuanto al trabajo a distancia.
En caso de no ser así, se debería hacer un ejercicio para calcular las necesidades y riesgos de la entidad en relación al teletrabajo y definir algunas cuestiones importantes como pueden ser las siguientes:
- Qué fórmulas de acceso remoto están permitidas.
- Qué tipos de dispositivos se consideran válidos para acceder a la información.
- Determinar los perfiles y niveles de acceso a la información.
- Definir la responsabilidad y obligaciones del personal relativas a la protección de datos en esta fórmula de trabajo.
- Dar la información suficiente a las personas trabajadoras que traten datos para que puedan desarrollar su labor con todas las garantías.
Herramientas confiables y con garantía relativa al tratamiento y protección de los datos
En la situación que nos ocupa, a las entidades les ha tocado ser imaginativas y reinventar sus sistemas y procesos, adaptándolos a las necesidades que requiere el teletrabajo.
Por este motivo, las organizaciones están utilizando un gran número de herramientas telemáticas que les ayudan en su día a día, tanto desde un punto de vista de gestión y organización del trabajo como de comunicación entre equipos y con terceros.
Respecto a este crecimiento en la utilización de herramientas que facilitan el trabajo a distancia, las principales cuestiones a tener en cuenta son las siguientes:
Asegurarse de que las aplicaciones y sistemas de teletrabajo utilizados ofrecen las garantías suficientes para no poner en riesgo la exposición de datos personales. Se debe prestar especial atención a los servicios de correo, mensajería y herramientas colaborativas.
Una cuestión importante a tener en cuenta es que si el proveedor puede acceder a los datos personales, esto lo convierte en encargado del tratamiento, por lo tanto, se debería firmar un contrato que establezca los parámetros de esta relación.
Medidas de seguridad
Respecto a las medidas de seguridad, es mucho más sencillo de tenerlo todo previsto si se trata de equipos o dispositivos corporativos.
En este caso, algunas de las principales recomendaciones para cumplir con la protección de datos serían las siguientes:
Establecer perfiles de acceso a la información adecuados, tal vez incluso de manera más restrictiva que los accesos habituales cuando se trabaja en red, ya que se pueden aplicar restricciones adicionales en función del tipo de dispositivo utilizado para acceder a la información (equipos personales, dispositivos móviles, etc.)
Configuración periódica de los equipos y dispositivos desde los que se accede.
Revisión y actualización de los servidores de acceso remoto para garantizar el cumplimiento de la política de protección de datos.
Disponer de una configuración con los mismos privilegios fijados por los servicios TIC que no pueda ser desactivada o modificada por las personas trabajadoras.
Instalación de las aplicaciones autorizadas por la organización.
Disponer de un software antivirus o cortafuegos.
Evitar la conexión de los dispositivos en lugares públicos, así como la conexión a redes WIFI abiertas y no seguras.
En caso de permitir la utilización de dispositivos personales, se deberá asumir un riesgo mayor, ya que no existen los mismos controles que los equipos corporativos.
Sobre todo, algunas de las cuestiones a tener en cuenta en este caso es la posibilidad de monitorizar los procesos.
En caso de que la monitorización también se quiera utilizar para verificar el cumplimiento de las obligaciones laborales, se deberá informar con carácter previo y de manera clara y expresa al personal ya los representantes de los trabajadores, tal como se establece en el Estatuto de Trabajadores.
Respecto a la monitorización vía remota también se debe respetar el derecho a la intimidad y el derecho a la desconexión digital regulado en la normativa, concretamente en la LOPDGDD.
Sin embargo, la configuración para acceder remotamente debe ser revisada periódicamente para garantizar que no ha sido desactivada sin autorización.
La situación también será diferente en función de cuál sea la situación de cada entidad respecto al acceso a la información: si dispone de una nube, si dispone de un servidor propio y todos los ordenadores están en red, si se vuelca toda la información en un software …
También se debe prestar especial atención a la posibilidad propagación de ‘malware’ para la red corporativa y la utilización de recursos no autorizados.
Otros consejos para la seguridad de los datos
- Uso de email corporativo: Este correo debe ser para un uso estrictamente profesional y no se debería utilizar para ningún otro tipo de comunicaciones.
- Utilización de contraseñas y bloqueos de pantallas: Respetar las contraseñas y en el caso de tener que usar dispositivos personales para la realización del trabajo, que sea en una sesión propia y diferenciada a la de otras personas que también puedan utilizar el mismo recurso.
También es oportuno utilizar bloqueos de pantalla con el fin de que no se pueda acceder a la información cuando no se esté delante del ordenador.
Cifrado: Cifrar la información sensible tanto para su almacenamiento como para su envío para así reducir los riesgos de que se produzcan violaciones de seguridad.
Copias de seguridad: Realizar copias de seguridad de la misma manera que en la sede, guardando la información en las carpetas de las que se tiene constancia de que se están realizando.
Traslado de documentación: Prestar especial cuidado en el traslado de documentación en papel y en soportes electrónicos, que esté completa antes y después del trayecto.
Comunicación de incidencias que afecten a la seguridad de los datos de carácter personal: Comunicar a la entidad cualquier incidencia de seguridad que tenga conocimiento, sobre todo si afecta datos personales.
¿Por dónde empezar?
Para garantizar que una organización cumple con la regulación de protección de datos hay que contar con la ayuda de profesionales especializados. Desde el área jurídica de Suport Tercer Sector hemos aplicado la protección de datos a más de 30 asociaciones y fundaciones. Aplicamos las medidas desde cero, ofrecemos un mantenimiento anual, hacemos auditorías y asumimos la responsabilidad total derivada de la protección de datos de cada entidad. Infórmate de los precios y detalles leyendo esta entrada.