Protección de datos y teletrabajo: Guía básica

La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), denominada Ley de Protección de Datos, continúa siendo una asignatura pendiente para muchas empresas en España. Una prueba de ello, la encontramos en el informe titulado Privacy Insights 2021, elaborado y publicado por la firma de consultoría BDO Global.

Según se desprende de este documento, la Agencia Española de Protección de Datos (AEPD) ha recaudado durante los 8 primeros meses de 2021, 23.461.800 millones de euros, en concepto de sanciones a empresas, por incumplir la LOPDGDD. El total de multas interpuestas hasta agosto de 2021 antes de 124, frente a las 133 (2020) y 38 (2019), interpuestas en años anteriores.

Estos datos constatan que la AEPD es una de las autoridades de protección de datos más activas del continente europeo, tanto en velar por el cumplimiento de la ley, como en dar respuesta a las reclamaciones y solicitudes presentadas por empresas y ciudadanos.

El escenario económico inaugurado como consecuencia de la pandemia del COVID-19 ha puesto en jaque a muchas organizaciones, en lo que respeta al cumplimiento de la protección de datos . La consolidación de nuevas fórmulas de empleabilidad, como el teletrabajo o trabajo híbrido, han tenido un impacto directo sobre el incremento de consultas y procedimientos abiertos, por parte de la AEPD, relacionados con el mal uso de los datos y fugas de información.

Por ello, a continuación, repasaremos una serie de recomendaciones realizadas por la AEPD, sobre cómo debe ser aplicada la política de protección de datos , por parte de todos aquellos trabajadores de empresas en situación de movilidad y teletrabajo.

¿Quiere implementar el teletrabajo en su empresa garantizando el cumplimiento de la Ley de Protección de Datos? Haga clic aquí para cerrar una asesoría gratuita.

PROTECCIÓN DE DATOS: PRINCIPIOS RECTORES PARA EL TRATAMIENTO Y ALMACENAMIENTO DE DATOS DE CARÁCTER PERSONAL

Aunque el 2021 no se han producido cambios legislativos relevantes en material de privacidad durante, por el contrario, el número de sanciones y multas interpuestas a las empresas españolas en material de protección de datos han alcanzado con grave.

Recordemos que la LOPDGDD, que entró en vigor el 6 de diciembre de 2018, tiene como objetivo sustituir a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y adaptar la legislación española a la normativa europea, de acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos (RGPD).

La LOPDGDD comprende toda una serie de artículos y disposiciones adicionales, con la finalidad de establecer un marco normativo en materia de protección de datos , que proporcione seguridad jurídica a las personas físicas, en lo que respeta al tratamiento y libre circulación de sus datos personales, y garantizó sus derechos digitales.

Además, esta ley establece en su Título II una serie de principios, también recogidos en el Reglamento (UE) 2016/679, los cuales deben ser tenidos en cuenta en el uso, tratamiento y almacenamiento de datos de carácter personal.

1. Exactitud de los datos

Los datos deben ser exactos y, si fuera necesario, actualizados, en relación a los fines que se persiguen.

2. Integridad y confidencialidad

Los responsables y encargados del tratamiento de los datos, junto con todas aquellas personas implicadas en este proceso, protegerán los datos frente a cualquier riesgo que amenace su seguridad, incluyendo el tratamiento no autorizado o ilícito, pérdida, destrucción o daño accidental.

3. Licitud, transparencia y lealtad

Los datos personales serán tratados únicamente si existen un fin legítimo para su tratamiento, informando al interesado de forma abierta y transparente.

4. Limitación de la finalidad

El tratamiento de los datos personales será limitado a la finalidad determinada, limpio y legítimo con la que fueron recogidos, estando prohibido su tratamiento posterior, al margen de dicho fin.

5. Minimización de datos

Durante el proceso de recogida de los datos, solo se deberá solicitar aquellos que sean estrictamente necesarios.

6. Limitación del plazo de conservación

La conservación de los datos estará limitada en el tiempo, en función de cuál sea su finalidad. Una vez se haya alcanzado, los datos serán borrados o, al menos, desprovistos de todo elemento que permita identificar a los interesados.

El responsable del tratamiento de los datos personales, que es la persona física, jurídica o autoridad pública encargada de decidir sobre el tratamiento de los datos personales de los interesados, deberá determinar el plazo concreto de conservación. No obstante, la propia AEPD establece algunas sugerencias a modo ejemplificativo, relacionadas con los plazos de conservación de los datos personales.

plazos-conservación-datos-personales-recomendados-aepd

7. Responsabilidad proactiva

El principio de responsabilidad proactiva, también denominado ‘accountability’, indica que el responsable del tratamiento de los datos personales utilizará todas las medidas técnicas y organizativas necesarias, para garantizar que el tratamiento de los datos personales cumpla con lo establecido en el Reglamento.

En el artículo 2 de la LOPDGDD se establece que los principios anteriormente indicados son aplicables a “cual tratamientoquiera total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o dedicados a ser incluidos en un fichero”.

En consecuencia, la aplicación de la normativa de protección de datos en las empresas obligatorias en todo caso, ya que todas ellas suelen tratar datos, ya sea de clientes, proveedores o empleados o cualquier otra figura para el desarrollo de su actividad.

Asimismo, el RGPD establece los requisitos específicos para empresas y organizaciones sobre recogida, almacenamiento y gestión de los datos personales. De tal forma que:

El RGPD sí se aplica cuando:

La empresa trata datos personales y tiene su sede en la UE, independientemente del lugar de tratamiento de los datos.
La empresa tiene su sede fuera de la UE, pero trata datos personales relativos a ofertas de bienes o servicios a ciudadanos en la UE, o supervisa el comportamiento de ciudadanos en la UE

Las empresas que no dispongan de sede dentro de la UE y que traten datos de ciudadanos de la UE, deben nombrar un representante en la UE.

El RGPD no se aplica cuando:

El interesado ha fallecido.
El interesado es una persona jurídica.
El tratamiento de datos es realizado por una persona que actúa con fines ajenos a sus actividades comerciales, empresariales o profesionales.

RECOMENDACIONES DE LA AEPD PARA LA PROTECCIÓN DE DATOS PERSONALES EN SITUACIONES DE MOVILIDAD Y TELETRABAJO

El responsable del tratamiento de los datos de la organización, al igual que aquellos trabajadores en circunstancias de movilidad y teletrabajo, ya sean con carácter general o excepcional, deben tener en cuenta una serie de recomendaciones para proteger los datos personales, al igual que si desempeñaran su trabajo de forma presencial, y de acuerdo con el RGPD y LOPDGDD.

Recomendaciones para el responsable del tratamiento de los datos

1. Determinar una política de protección de datos, en situaciones de movilidad

Esta política de protección de datos deberá contemplar:

Las necesidades y riesgos del acceso a los recursos corporativos, desde espacios fuera del control de la organización.
Modalidades de acceso remoto, tipo de dispositivos y nivel de accesibilidad, en función del perfil de cada empleado.
Responsabilidades y obligaciones de los empleados.
Amenazas que pueden afectar a los teletrabajadores y posibles consecuencias cuando no se cumplan las recomendaciones facilitadas por la organización.
Proporcionar información guía a los empleados que deberá recoger al menos la información contemplada en el documento de la AEPD ‘Recomendaciones dirigidas al personal que participa en las operaciones de tratamiento’.
Vía de contacto, canales y formatos, para que los trabajadores comuniquen cualquier tipo de incidencia que afecte a datos de carácter personal.
Los teletrabajadores deberán firmar un acuerdo con los compromisos adquiridos, al desempeñar su actividad en situación de movilidad.

2. Especificar soluciones y prestadores de servicio confiables y con garantías

Se utilizarán aplicaciones y soluciones de teletrabajo con garantías necesarias para evitar la exposición de los datos de carácter personal, interesados y servicios corporativos de la organización.
Si los empleados acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento, mediante un contrato u acto jurídico que les vincula con el responsable.

3. Restringir el acceso a la información

En función del rol o nivel de acceso a la información, de cada empleado.
Aplicación de restricciones, según la ubicación y dispositivo desde el que se accede a la información.

4. Configurar periódicamente los equipos y dispositivos utilizados en situación de movilidad

Los servidores de acceso remoto han de estar correctamente actualizados y configurados, para garantizar el cumplimiento de la política de protección de datos :

Sistema operativo, aplicaciones y antivirus actualizado.
Deshabilitar servicios necesarios.
Configuración de privilegios mínimos.
Solo se instalarán aplicaciones autorizadas por la organización.
Mecanismos de encendido de informacion.
Disponer de cortafuegos local activado o solo tener activas las comunicaciones y puertos necesarios para realizar la actividad profesional.
Si se permite utilizar dispositivos personales, se conservan unos requisitos mínimos para su uso.

5. Monitorizar los accesos realizados a la red corporativa desde el exterior

Establecer sistemas de monitorización, para evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.
Comunicar las brechas de seguridad que afectan a datos personales, a la Autoridad de Control y/o partes interesadas.
Informar al personal sobre la existencia y el alcance de las actividades de control y supervisión, las cuales, pueden ser utilizadas para verificar el cumplimiento de las obligaciones laborales.
Revisión periódica de la configuración definida para acceder a los recursos de forma remota.

6. Gestionar racionalmente la protección de datos y la seguridad

Las medidas y garantías establecidas se basaron en un análisis previo de los riesgos.
En la política deben contemplarse los procedimientos internos, para provisionar y auditar los dispositivos de acceso remoto, procedimientos de administración y monitorización, servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.
Limitar el acceso a los recursos, en función del riesgo de pérdida del dispositivo, exposición o acceso no autorizado a la información manejada.
Planificar y evaluar las aplicaciones y soluciones de acceso remoto, en base a los principios de privacidad.

Recomendaciones para el personal que participa en actividades de tratamiento

Todas las recomendaciones dirigidas al personal de la organización deberán de estar recogidas en la política de teletrabajo del responsable, con referencia en el acuerdo de teletrabajo, y adaptadas a las tareas a realizar.

1. Respetar la política de protección de la información en situaciones de movilidad, definida por el responsable

Se debe cumplir tanto las recomendaciones y recogidas en las guías y política de protección de datos y seguridad de la información, en situaciones de movilidad definidas por la organización, como el resto de las normas y procedimientos.

2. Proteger el dispositivo utilizado en movilidad y el acceso al mismo

- Uso de contraseñas de acceso robustas y diferentes a las utilizadas en el ámbito personal.
- No se deben descargar ni instalar aplicaciones o software sin autorización previa de la organización.
- Evite la conexión de los dispositivos a redes WIFI abiertas no seguras ya la red corporativa, desde lugares públicos.
- Proteger los mecanismos de autenticación definidos (contraseñas, certificados, sistemas de doble factor, tokens…) para validar en los sistemas de control de acceso remoto de la organización.
- El equipo corporativo no se debe utilizar con multas particulares.
- Si el equipo utilizado para establecer la conexión remota es personal, se definirá un perfil independiente para la actividad laboral.
- El sistema antivirus instalado en el equipo debe estar operativo y actualizado.
- Verificar la legitimidad de los correos electrónicos recibidos y desconfiar de la descarga de ficheros adjuntos con extensiones inusuales.
- Desactivar las conexiones WIFI, bluetooth y similares que no se estén utilizando.
- Para finalizar la jornada de trabajo, en situación de movilidad, se cerrará la sesión de acceso remoto y se apagará o bloqueará el acceso al dispositivo.

3. Garantizar la protección de la información que se está manejando

Tanto en lugares públicos como en el entorno doméstico se adoptarán las precauciones necesarias, para garantizar la confidencialidad de la información.
Se reducirá o evitará la entrada y salida de documentos, durante las situaciones de movilidad.
La información en soporte papel, no se puede desechar sin garantizar su correcta destrucción.
No dejar a la vista ningún soporte de información en el lugar donde se teletrabaja, y se bloqueará la sesión en los dispositivos cuando estén desatendidos.
Evitar exponer la pantalla a la mirada de terceros. En el caso de trabajar en un lugar público se recomienda usar un filtro de privacidad para la pantalla.
Prevenir que se puedan escuchar conversaciones por parte de terceros, para ello se utilizarán auriculares o se estarán en un espacio sin compañía.

4. Guardar la información en los espacios de red habilitados

Durante la situación de movilidad se hará uso de los recursos de almacenamiento compartido o en la nube, frente al almacenamiento local.
Si se permite el uso de equipos personales, no se utilizarán aplicaciones que no estén autorizadas en la política de la entidad, para compartir información.
No se debe bloquear o deshabilitar la política de copia de seguridad corporativa definida para cada dispositivo.
Revisar y eliminar periódicamente la información residual que pueda quedar almacenada en el dispositivo.

5. Ante la sospecha de que la información ha podido verse comprometida, se comunicará con carácter inmediato la brecha de seguridad

Cualquier anomalía que afecte a la seguridad de la información se notificará al responsable, a través de los canales indicados y con la mayor rapidez.
Cualquier cuestión que suponga un riesgo para la protección de la información y el acceso a los recursos corporativos, el empleado lo consultará con el Delegado de Protección de Datos y con el responsable de seguridad de la información, o los perfiles designados al efecto.

Quizá le interese...

Categorías: Noticias none
AuraQuantic nombrada Líder del Mercado en el Informe de Éxito de Clientes de Plataformas de Desarrollo Low-Code de otoño de 2024
Leer más
Categorías: Historias de clientes none
Seguros Crecer introduce un innovador sistema para la gestión de compras y pagos
Leer más
Categorías: Noticias none
AuraQuantic lanza el nuevo Quantum Process Mining
Leer más