Archivo | abril, 2020

Resumen de las recomendaciones de la Agencia de Protección de Datos para proteger los datos personales en situaciones de “movilidad y teletrabajo”

8 Abr

Resumen de las recomendaciones de la Agencia de Protección de Datos para proteger los datos personales en situaciones de “movilidad y teletrabajo”

 

La empresa, como responsable del tratamiento, puede tomar la decisión de que determinadas actividades de su empresa se ejecuten en situaciones de movilidad y teletrabajo. Personal que viaja con frecuencia o motivada por situaciones excepcionales e incluso de fuerza mayor.

La empresa y el personal que participa en las acciones de teletrabajo han de tener en cuenta las siguientes recomendaciones.

 

RECOMENDACIONES DIRIGIDAS A “RESPONSABLES DEL TRATAMIENTO

 

Se tendrán que adecuar a la situación concreta de su objeto de negocio:

 

  1. Definir una política de protección de la información para situaciones de movilidad

 

  • Basada en la política de protección de datos y seguridad de la información de la entidad, es necesario definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares por accesos a la empresa, desde espacios que no están bajo su control.
  • Determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos
  • Definirse las responsabilidades y obligaciones que asumen las personas empleadas.
  • Proporcionar a las personas empleadas, la información que se expone en el apartado B) de este documento.
  • El personal también ha de estar informado de las principales amenazas por trabajar desde fuera de la empresay las posibles consecuencias si se quebrantan dichas directrices
  • Se debe identificar y comunicar cualquier incidente que afecte a datos de carácter personal.
  • El personal ha de firmar un acuerdo de teletrabajo

 

  1. Elegir soluciones y prestadores de servicio confiables y con garantías

 

  • Evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan exponer datos personales de: personal, interesados o corporativos a través de los servicios de correo y/o mensajería.
  • Recurrir a proveedores y encargados que ofrezcan soluciones probadas y garantías suficientes.
  • Si éstos acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato que vincule al encargado respecto del responsable.

 

  1. Restringir el acceso a la información

 

  • Perfiles o niveles de acceso a equipos e información deben configurarse en función del “rol” de cada persona
  • Aplicar restricciones de acceso adicionales en función del tipo de dispositivo (portátiles de la empresa securizados, equipos personales externos, dispositivos móviles como smartphones/tablets) y ubicación desde la que se accede.

 

  1. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad

 

  • Los servidores de acceso remoto deben ser revisados y actualizados periódicamente para garantizar la seguridad en situaciones de movilidad, revisando también los perfiles de acceso.
  • Los equipos de la empresa utilizados deben:
    • o estar actualizados a nivel de aplicación y sistema operativo,
    • o tener deshabilitados los servicios que no sean necesarios,
    • o tener una configuración por defecto que no pueda ser desactivada ni modificada por el empleado
    • o instalar únicamente las aplicaciones autorizadas por la empresa
    • o contar con software antivirus actualizado,
    • o disponer de un cortafuegos local activado,
    • o tener activados solo las comunicaciones (wifi, bluetooth, NFC, …) y puertos (USB u otros) necesarios
    • o incorporar mecanismos de cifrado de la información.
    • Si se permite el uso de dispositivos personales de las personas empleadas, al suponer un mayor riesgo hay que valorar la posibilidad de restringir la conexión a una red segregada que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo.

 

  1. Monitorizar los accesos realizados a la red corporativa desde el exterior

 

  • Hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.
  • Las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.
  • Se debe informar al personal, sobre la existencia y el alcance de estas actividades de control y supervisión.
  • Si las actividades de monitorización se usaran además para verificar el cumplimiento de las obligaciones laborales del personal, el responsable del tratamiento deberá informar con carácter previo, y de forma clara, expresa y concisa a las personas empleadas y, en su caso a sus representantes, de la medida adoptada en el marco de las funciones de control previstas en el Estatuto de los Trabajadores que han de ejercerse dentro de su marco legal y con los límites inherentes al mismo.
  • Los mecanismos de monitorización implementados en el contexto de acceso remoto a recursos corporativos en situaciones de movilidad y teletrabajo deben respetar los derechos digitales establecidos en la LOPDGDD (RGPD), en particular, el derecho a la intimidad y uso de dispositivos digitales y el derecho a la desconexión digital2 en el ámbito laboral.
  • La configuración definida para acceder a los recursos de forma remota debe ser revisada de forma periódica para garantizar que no ha sido alterada ni desactivada sin autorización además de permanecer actualizada y adaptada a un entorno externo de riesgo que evoluciona de manera continua.

 

  1. Gestionar racionalmente la protección de datos y la seguridad

 

  • Las medidas y garantías establecidas tienen que establecerse a partir de un “análisis de riesgos” en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.
  • Deben contemplarse los procedimientos internos para provisionar y auditar los dispositivos de acceso remoto, los procedimientos de administración y monitorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.
  • Los recursos usados, se limitarán en función de la valoración del riesgo por pérdidas de dispositivos y/o la exposición o acceso no autorizado a la información manejada.
  • Hay que planificar y evaluar la aplicaciones y soluciones usadas para el acceso remoto teniendo en cuenta los principios de privacidad.

 

 

RECOMENDACIONES DIRIGIDAS “AL PERSONAL”

 

Estas recomendaciones al personal deben estar recogidas en la política de teletrabajo del responsable, y referenciadas en el acuerdo de teletrabajo y ajustadas a la situación concreta de las tareas a realizar.

 

Recomendaciones básicas:

 

  1. Respetar la política de protección de la información en situaciones de movilidad definida por el responsable

 

Han de observarse las medidas y recomendaciones para situaciones de movilidad definidas por la empresa, especialmente, lo que concierne al deber de confidencialidad de la persona trabajadora con relación a los datos personales a los que tuviera acceso.

 

  1. Proteger el dispositivo utilizado en movilidad y el acceso al mismo

 

  • La persona debe utilizar contraseñas de acceso robustas y diferentes a las utilizadas en el ámbito de su vida personal.
  • No descargar ni instalar aplicaciones que no hayan sido autorizados por la empresa.
  • Evitar la conexión de los dispositivos desde lugares públicos, así como la conexión a redes WIFI abiertas no seguras.
  • Proteger los mecanismos de autenticación: certificados, contraseñas, … de acceso remoto a la empresa.
  • No se debe utilizar con fines particulares un equipo de la empresa evitando el acceso a redes sociales, correo electrónico personal u otras páginas web favoreciendo virus o ejecución de código dañino.
  • Si el equipo es personal, evite simultanear la actividad personal con la profesional y definiendo perfiles independientes
  • El sistema antivirus instalado en el equipo debe estar operativo y actualizado.
  • Verificar la legitimidad de los correos electrónicos recibidos, comprobando que el dominio electrónico del que procede es válido y conocido, y desconfiando de la descarga de ficheros adjuntos con extensiones inusuales o el establecimiento de conexiones a través de enlaces incluidos en el cuerpo del correo que presenten cualquier patrón fuera de lo normal.
  • Si la persona esta autorizada, conviene desactivar las conexiones WIFI/bluetooth que no estén siendo utilizadas.
  • Una vez concluida la jornada de trabajo en situación de movilidad debe desconectarse la sesión de acceso remoto y apagar o bloquear el acceso al dispositivo.

 

  1. Garantizar la protección de la información que se está manejando

 

  • Tanto en lugares públicos como en el entorno domésticos es obligado adoptar las precauciones necesarias para garantizar la confidencialidad de la información que se está gestionando.
  • Si habitualmente se genera y trabaja con papel, durante situaciones de movilidad es importante minimizar o evitar la entrada y salida de documentación en este soporte y extremar las precauciones para evitar accesos no autorizados por parte de terceros.
  • La información en soporte papel, no se puede desechar sin garantizar que es adecuadamente destruida. No arrojar papeles enteros o en trozos en papeleras de hoteles, lugares públicos o en la basura doméstica a los que alguien podría acceder y recuperar información de carácter personal.
  • Extremar precauciones para evitar el acceso no autorizado a la información personal, propia y de terceros, manejada, no dejando a la vista ningún soporte de información en el lugar donde se desarrolle el teletrabajo y bloqueando las sesiones de los dispositivos cuando estos estén desatendidos.
  • Evitar exponer la pantalla a la mirada de terceros si se trabaja habitualmente desde lugares públicos
  • Es aconsejable prevenir que se puedan escuchar conversaciones por parte de terceros utilizando, por ejemplo, auriculares o retirándose a un espacio en el que la persona empleada no esté acompañada.

 

  1. Guardar la información en los espacios de red habilitados

 

  • Evitar almacenar la información generada durante la situación de movilidad de forma local en el dispositivo utilizado, usando los recursos de almacenamiento compartidos o en la nube proporcionados por la empresa.
  • Si se usan equipos personales, no utilizar aplicaciones no autorizadas por la empresa
  • No se debe bloquear o deshabilitar las copias de seguridad corporativa definidas para cada dispositivo.
  • Revisar y eliminar periódicamente la información residual que pueda quedar almacenadas en el dispositivo, como archivos temporales del navegador o descargas de documentos.

 

  1. Si hay sospecha de que la información ha podido verse comprometida, comunicar con carácter inmediato, la brecha de seguridad

 

  • Notificar al responsable, a la mayor brevedad posible, a través de los canales definidos al efecto.
  • Cualquier cuestión que pueda suscitarse en el contexto de las situaciones de movilidad y que puedan representar un riesgo para la protección de la información, debe consultarse bien al Delegado de Protección de Datos o al responsable de seguridad de la información, trasladándoles toda información de interés de la que tenga constancia.

 

 

NOTA.- Este documento es un resumen realizado el día 6 de abril de 2.020, de las recomendaciones publicadas por la Agencia de Protección de Datos para situaciones de movilidad y teletrabajo.

josé maría marco

Moratorias AEAT / TGSS

6 Abr

Moratorias AEAT / TGSS

( Hoy, tras el calentón del Post de ayer, volvemos a nuestra marcha profesional… Más nos vale! )

Estimados amigos, voy a sintetizar lo máximo posible en que consisten las moratorias publicadas por el Gobierno:

A) Con respecto a AEAT

El Real Decreto-ley 7/2020 publicado estos días, abre la posibilidad de un aplazamiento fiscal al que podemos acogernos las empresas con ventas anuales inferior a 6 millones de Euros, entendiendo que el importe a aplazar sin aportar garantías debe ser inferior a 30.000 Euros. Con estas condiciones:

  • Aplazamiento máximo: 6 meses, con una carencia de los tres primeros. O sea, en principio aplazar 3 meses no implica pagar intereses.
  • Si aplazamos de 3 a 6 meses, pagaríamos la mitad de los intereses que habitualmente se pagan, pero sólo en el IVA.
  • Se podrán aplazar todas las deudas por declaraciones entre el 13 de marzo de 2020, y el 30 de mayo de 2020, ambos incluidos.
  • Los aplazamientos afectan a los siguientes modelos:
    • Retenciones e ingresos a cuenta: modelos 111, 115 y 123.
    • Pagos fraccionados del IRPF: modelo 130 y 131.
    • Pagos a cuenta del Impuesto de Sociedades: modelo 202.
    • Declaración trimestral de IVA: modelo 303.

Resumiendo: Podemos aplazar todos los modelos 3 meses sin intereses y aplazar 3 meses más el IVA con el 50% de intereses que se pagaban hasta ahora.

Instrucciones_AplazamientoAEAT

B) Con respecto a la Moratoria de la Seguridad Social

El Gobierno también ha publicado una moratoria en el pago de las cuotas a la Seguridad Social de hasta 6 meses, para todas aquellas Empresas y Trabajadores por cuenta propia que quieran acogerse.

Las reglas serán:

1. Cotizaciones sociales afectadas

La moratoria afecta al pago de las cotizaciones a la Seguridad Social, incluidos los conceptos de recaudación conjunta devengados:

  • entre los meses de abril y junio de 2020, si se trata de empresas;
  • entre mayo y julio de 2020, en el caso de los trabajadores por cuenta propia,

 

2. Solicitudes

Sin perjuicio de que la TGSS habilite otros medios electrónicos para llevarlo a cabo, las solicitudes deberán presentarse:

  • Si se trata de empresas, a través del Sistema de remisión electrónica de datos en el ámbito de la Seguridad Social (Sistema RED), solicitudes que deberán individualizarse por CCC donde figuren de alta los trabajadores respecto de los que se solicita la moratoria.
  • Si se trata de trabajadores por cuenta propia, a través del Sistema RED o por los medios electrónicos disponibles en la sede electrónica de la Secretaría de Estado de la Seguridad Social (SEDESS).

El plazo para comunicar estas solicitudes a la TGSS será el de los 10 primeros días naturales de los plazos reglamentarios de ingreso correspondientes a los períodos de devengo objeto de moratoria.  Por ello, si como empresa, quieres acogerte a esta medida para los seguros sociales, debes comunicarlo a tu asesoría.

 

Creo que todos debemos aprovechar en lo posible cualquier medida, por ínfima que nos parezca, porque controlar la tesorería es fundamental en este lapso de tiempo.

Personalmente pienso que una variable clave para  poder reactivar la puesta en marcha de nuevo de la actividad económica, es evitar impagos a nuestros proveedores, por ello todo aplazamiento de tesorería debe ser bienvenido.

Saludos y mis mejores deseos para todos,

                 José María Marco

PD.- "Este es un artículo informativo. No es asesoría legal. "

Crisis: ¿Nudo gordiano?

5 Abr

Crisis: ¿Nudo gordiano?

 

Desde el año 2.008 que decidí abrir mi blog – bitácora le llamaban los cursis entonces-, apenas lo he utilizado para entrar en debates políticos, a pesar de que me apasionan. He publicado sobre todo temas relacionados con mi doble ocupación de empresario desde 1.987, prácticamente a título principal, y de economista en ejercicio desde 1.984, también a título principal.

Hoy si debo cambiar mi relato y a lo mejor se me escapa incluso algún “taco”.

Estamos confinados desde el día 16 de marzo, “sine die”, y con una crisis económica sin precedentes en la historia de España.

Jamás hemos sufrido un escenario como el actual, es cierto, pero la pena es que a quienes están llevando el timón de la nave se les podría aplicar aquel verso del Cantar del Mio Cid : ¡Qué buen vasallo sería si tuviese buen señor!.

 

El origen.

 

Llega la primera oleada de casos y como si no lo supiesen, ponen la voz del pastorcillo, eso sí cagados de miedo. Solo había que ver el gesto distraído del presidente en la primera comparecencia pública. Y tras el primer ridículo público, viene el contraataque: Esto es la consecuencia de los recortes del PP y oímos críticas del propio Gobierno a nuestro sistema sanitario, “… que si habrá que hacer una gran reestructuración de la Sanidad Española, encargar un Plan Estratégico de nuestros expertos…”.

Nuestro sistema sanitario es fantástico, lo que no está preparado, como ningún otro, es para soportar la irresponsabilidad de un Gobierno que el pasado 31 de enero de 2.020, ante la advertencia de la OMS (Organización Mundial de la Salud) de que llega una pandemia con consecuencias imprevisibles y difíciles de medir, les recomienda que se aprovisionen de material básico: Mascarillas, guantes, respiradores, kits para hacer Test a los ciudadanos,…etc.

Ante esa información privilegiada, sólo conocida por el gobierno, y no por el resto de ciudadanos (otras medidas se hubiésen tomado), lo que nos comunican los telediarios, en voz del experto doctor Simón: “A España no llega, su impacto será mínimo, … “, entre otras cuantas sandeces. Por cierto, que no ha dimitido todavía.

Van pasando los días y nuestro presidente prioriza reuniones con políticos catalanes inhabilitados judicialmente, Reales Decretos sobre género, de vital importancia para la sociedad española, con textos torticeros que deben ser revisados varias veces porque no ofrecen el estándar mínimo ni ortográfico ni caligráfico para ser publicados en el BOE, ante las prioridades de tomar precauciones para lo que se nos viene encima. Pues no. Es más, las televisiones del régimen, esas que la pasada semana recibieron 15 Mill. de euros en subvenciones, para que sigan alabando la nefasta política de Moncloa, las únicas que pueden preguntar en esas sesgadas ruedas de prensa con periodista único (y del Gobierno), hicieron un llamamiento multitudinario, y sin precedentes,  a la manifestación del 8 de marzo. En ella, los imbéciles que todavía zapeamos en TV, pudimos observar como alardeaban con sus coloridas vestimentas y accesorios morados, sus abrazos y sus cánticos de quinceañeras contra el coronavirus, incluso llegando a afirmar que: “… más mataba la violencia de los hombres”. Como hombre, me siento decepcionado y humillado. ¡Con lo que hemos luchado todos durante estos años, sobre todo las mujeres de mi generacion, por la verdadera igualdad!.

 

Las Prisas.

 

Y al día siguiente vinieron las prisas, justo el día 9 de marzo: “Esto es una pandemia mundial. Nadie lo sabía. Hemos hecho lo que nos han dicho nuestros expertos…” ¡JA, JA!  Pues entonces, ¿por qué mantienes a F. Simón al frente del Gabinete de Crisis? O es un tonto de los cojones o es un vendido a las obscenas maniobras de este Gobierno. O a lo mejor las dos cosas, después de ver cada una de sus apariciones paranormales en las TV.

Me recuerdan aquellas viejas asambleas en la Facultad de Económicas de Zaragoza,en los años 70, donde esos “iluminados” siempre dejaban para la siguiente asamblea las decisiones. Era el cuento de nunca acabar.

En #AlóPresidente, Pedro Sánchez, en su primera aparición televisiva, con una cara de miedo que se asustaba a sí mismo, con un rostro de cartón piedra que deja claro lo que NO debe ser un líder, y tras una soporífera hora, escuchando más sandeces juntas que las que contienen los 5 tomos de las “Obras escogidas” de Mao Tse-tung, nos dice: “ Y mañana saldrá un RD que lo arreglará todo”.

Y la oposición, ¿dónde está?

 

Los pedidos de material

 

Es increíble que llevemos más de tres semanas esperando los pedidos: “Ad calendas graecas”. Cuando llegan, vienen defectuosos al 75%. Los volvemos a pedir, y al mismo proveedor que ya nos engañó, y nadie se hace responsable de nada. Vuelven a llegar, defectuosos al 50%. Al final, resulta que quien realizaba los pedidos era un proveedor  o mediador privado.

¿No pueden saber los medios de comunicación de que empresa se trata, para que dé las explicaciones oportunas?

¿ Pero dónde está la transparencia? Cualquier pregunta formulada por los medios parece que es filtrada por un sectario (perdón, secretario) de comunicación, al estilo de la dictadura de Nicolae Ceausecu. Se seleccionan las preguntas que se pueden formular. Pero que más les da, si incluso a preguntas previamente cocinadas por él, se ofrecen las respuestas mas grotescas. “A donde vas, manzanas traigo

Eso sí, como estamos en “su democracia”, si una pregunta molesta, es que viene de la extrema derecha.

 

Los Reales Decretos y los “ERTES”.

 

Todos ellos, desde el primero que declara el Estado de Alarma, hasta el último, por mi formación jurídica (aunque sin ejercer como abogado), y por lo que he podido leer de expertos juristas, se han llevado por delante nuestro marco jurídico, si no medio Estado de Derecho.

Quien nos lo iba a decir. La ministra de trabajo comunista, adjudicándose y apropiándose de la reforma laboral de la ministra del Partido Popular Dña. Fátima Bañez, e incluso abanderando el éxito de los ERTES como medida puntera que el resto de Europa debería copiar. Será hipócrita y marrullera, pero si pretendían abolirlos nada más entrar al Gobierno, así como toda la reforma laboral del PP. La única ministra que ha puesto algo de freno a esta orgía legislativa, ha sido Nadie Calviño. Si he puesto Nadie, no Nadia, porque en realidad hoy ya no pinta nada y era la única que ponía algo de sentido común en ese gabinete.

Señores, vaya “bodrio” legislativo que estamos soportando los profesionales, amén de que, lo que vale para hoy, en menos de 24 horas o lo han modificado o lo han cambiado justo al revés.

Hoy más que nunca nos damos cuenta de que las personas que deben gestionar el patrimonio de todos, deben ser personas con capacidades para ello, y por supuesto demostrarlas. Porque escuchar a la primera vicepresidenta del Gobierno de España de hoy, ministra en la etapa del Sr. Zapatero decir que “el dinero público no es de nadie”, puede crispar a cualquier persona medianamente inteligente. Pero, ¿a esta señora no le enseñaron en la facultad de Derecho (a mi desde luego sí) que el dinero público precisamente era de todos y que justo a ella, un imbécil, le encomendó que cuidará de él?. Lo de imbécil lo digo, por su desacierto al nombrarla.

Sobre las medidas económicas, laborales y fiscales promulgadas, prefiero no entrar hoy. Bastante desgracia tenemos los empresarios y los empleados con soportar esto y a éstos.

Que quede este folletín de hoy como algo excepcional en mi blog, como un pliego de descargo ante las maldades acometidas por este gobierno.

Aunque algo hemos ganado. Los niños, las niñas, les niñes,  lus niñus y lis ñiñis, ya saben lo que es un ERTE. Ah! Y han aprendido a lavarse las manos. La pena es que quien todavía no lo sabe es la ministra de trabajo, que ante la dificultad de explicarlo para que todos los tontos lo entendiésemos, lo tuvo que corroborar con el ministro de Seguridad Social, eso sí, entre risas y un par de veces. Porque lo que está pasando, parece según ellos, que es para reírse en medio de una rueda de prensa.

 

El nudo gordiano.

 

Pues no, señores, no estamos ante un nudo gordiano, lo que pasa es que no podemos dejar las cosas de comer en manos de cualquiera, y menos en manos de incapacitados, en estos difíciles momentos.

Lo que para unos parece imposible, para otros no deja de ser coser y cantar. Si este Gobierno tuviese un mínimo de dignidad, dimitiría y propondría a todos los grupos políticos el nombramiento de un nuevo gobierno compuesto por políticos que realmente sean verdaderos líderes, acompañados de profesionales de prestigio, de los mejores, para que gestionen la crisis ocupando las carteras más críticas: Economía, Trabajo y Sanidad, para después convocar elecciones.

Y si no lo hace, todos los españoles honrados, debemos actuar, en legítima defensa de nuestros intereses, contra este gobierno de incapaces.

Los aplausos, como las velas y otros gestos solidarios de la población están muy bien, pero son como enviar a un minero al Pozo Sotón, a casi 700 metros de profundidad, sin guantes, sin casco, sin parka ignífuga, pero eso sí, con una buena palmadita en el hombre, diciéndole: Tu puedes chaval,….

Este nudo gordiano sólo lo puede deshacer un verdadero líder, el que ahora necesitaríamos, no éstos, que no son ni hombres, ni hombrecillos. Escasamente llegan a “cagamandurrias”, palabra recogida de mi compañera Lola y que hoy me viene como anillo al dedo.

Si este gobierno dedicase los mismos esfuerzos a la gestión de esta crisis, que medios dedica al control de la opinión pública mediante sus televisiones, seguro que estos datos macabros no serían los mismos.

Os deseo mucha suerte, amigos!

 

José María Marco Lázaro

A %d blogueros les gusta esto: