Resumen de las recomendaciones de la Agencia de Protección de Datos para proteger los datos personales en situaciones de “movilidad y teletrabajo”

8 Abr

Resumen de las recomendaciones de la Agencia de Protección de Datos para proteger los datos personales en situaciones de “movilidad y teletrabajo”

 

La empresa, como responsable del tratamiento, puede tomar la decisión de que determinadas actividades de su empresa se ejecuten en situaciones de movilidad y teletrabajo. Personal que viaja con frecuencia o motivada por situaciones excepcionales e incluso de fuerza mayor.

La empresa y el personal que participa en las acciones de teletrabajo han de tener en cuenta las siguientes recomendaciones.

 

RECOMENDACIONES DIRIGIDAS A “RESPONSABLES DEL TRATAMIENTO

 

Se tendrán que adecuar a la situación concreta de su objeto de negocio:

 

  1. Definir una política de protección de la información para situaciones de movilidad

 

  • Basada en la política de protección de datos y seguridad de la información de la entidad, es necesario definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares por accesos a la empresa, desde espacios que no están bajo su control.
  • Determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos
  • Definirse las responsabilidades y obligaciones que asumen las personas empleadas.
  • Proporcionar a las personas empleadas, la información que se expone en el apartado B) de este documento.
  • El personal también ha de estar informado de las principales amenazas por trabajar desde fuera de la empresay las posibles consecuencias si se quebrantan dichas directrices
  • Se debe identificar y comunicar cualquier incidente que afecte a datos de carácter personal.
  • El personal ha de firmar un acuerdo de teletrabajo

 

  1. Elegir soluciones y prestadores de servicio confiables y con garantías

 

  • Evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan exponer datos personales de: personal, interesados o corporativos a través de los servicios de correo y/o mensajería.
  • Recurrir a proveedores y encargados que ofrezcan soluciones probadas y garantías suficientes.
  • Si éstos acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato que vincule al encargado respecto del responsable.

 

  1. Restringir el acceso a la información

 

  • Perfiles o niveles de acceso a equipos e información deben configurarse en función del “rol” de cada persona
  • Aplicar restricciones de acceso adicionales en función del tipo de dispositivo (portátiles de la empresa securizados, equipos personales externos, dispositivos móviles como smartphones/tablets) y ubicación desde la que se accede.

 

  1. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad

 

  • Los servidores de acceso remoto deben ser revisados y actualizados periódicamente para garantizar la seguridad en situaciones de movilidad, revisando también los perfiles de acceso.
  • Los equipos de la empresa utilizados deben:
    • o estar actualizados a nivel de aplicación y sistema operativo,
    • o tener deshabilitados los servicios que no sean necesarios,
    • o tener una configuración por defecto que no pueda ser desactivada ni modificada por el empleado
    • o instalar únicamente las aplicaciones autorizadas por la empresa
    • o contar con software antivirus actualizado,
    • o disponer de un cortafuegos local activado,
    • o tener activados solo las comunicaciones (wifi, bluetooth, NFC, …) y puertos (USB u otros) necesarios
    • o incorporar mecanismos de cifrado de la información.
    • Si se permite el uso de dispositivos personales de las personas empleadas, al suponer un mayor riesgo hay que valorar la posibilidad de restringir la conexión a una red segregada que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo.

 

  1. Monitorizar los accesos realizados a la red corporativa desde el exterior

 

  • Hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.
  • Las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.
  • Se debe informar al personal, sobre la existencia y el alcance de estas actividades de control y supervisión.
  • Si las actividades de monitorización se usaran además para verificar el cumplimiento de las obligaciones laborales del personal, el responsable del tratamiento deberá informar con carácter previo, y de forma clara, expresa y concisa a las personas empleadas y, en su caso a sus representantes, de la medida adoptada en el marco de las funciones de control previstas en el Estatuto de los Trabajadores que han de ejercerse dentro de su marco legal y con los límites inherentes al mismo.
  • Los mecanismos de monitorización implementados en el contexto de acceso remoto a recursos corporativos en situaciones de movilidad y teletrabajo deben respetar los derechos digitales establecidos en la LOPDGDD (RGPD), en particular, el derecho a la intimidad y uso de dispositivos digitales y el derecho a la desconexión digital2 en el ámbito laboral.
  • La configuración definida para acceder a los recursos de forma remota debe ser revisada de forma periódica para garantizar que no ha sido alterada ni desactivada sin autorización además de permanecer actualizada y adaptada a un entorno externo de riesgo que evoluciona de manera continua.

 

  1. Gestionar racionalmente la protección de datos y la seguridad

 

  • Las medidas y garantías establecidas tienen que establecerse a partir de un “análisis de riesgos” en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.
  • Deben contemplarse los procedimientos internos para provisionar y auditar los dispositivos de acceso remoto, los procedimientos de administración y monitorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.
  • Los recursos usados, se limitarán en función de la valoración del riesgo por pérdidas de dispositivos y/o la exposición o acceso no autorizado a la información manejada.
  • Hay que planificar y evaluar la aplicaciones y soluciones usadas para el acceso remoto teniendo en cuenta los principios de privacidad.

 

 

RECOMENDACIONES DIRIGIDAS “AL PERSONAL”

 

Estas recomendaciones al personal deben estar recogidas en la política de teletrabajo del responsable, y referenciadas en el acuerdo de teletrabajo y ajustadas a la situación concreta de las tareas a realizar.

 

Recomendaciones básicas:

 

  1. Respetar la política de protección de la información en situaciones de movilidad definida por el responsable

 

Han de observarse las medidas y recomendaciones para situaciones de movilidad definidas por la empresa, especialmente, lo que concierne al deber de confidencialidad de la persona trabajadora con relación a los datos personales a los que tuviera acceso.

 

  1. Proteger el dispositivo utilizado en movilidad y el acceso al mismo

 

  • La persona debe utilizar contraseñas de acceso robustas y diferentes a las utilizadas en el ámbito de su vida personal.
  • No descargar ni instalar aplicaciones que no hayan sido autorizados por la empresa.
  • Evitar la conexión de los dispositivos desde lugares públicos, así como la conexión a redes WIFI abiertas no seguras.
  • Proteger los mecanismos de autenticación: certificados, contraseñas, … de acceso remoto a la empresa.
  • No se debe utilizar con fines particulares un equipo de la empresa evitando el acceso a redes sociales, correo electrónico personal u otras páginas web favoreciendo virus o ejecución de código dañino.
  • Si el equipo es personal, evite simultanear la actividad personal con la profesional y definiendo perfiles independientes
  • El sistema antivirus instalado en el equipo debe estar operativo y actualizado.
  • Verificar la legitimidad de los correos electrónicos recibidos, comprobando que el dominio electrónico del que procede es válido y conocido, y desconfiando de la descarga de ficheros adjuntos con extensiones inusuales o el establecimiento de conexiones a través de enlaces incluidos en el cuerpo del correo que presenten cualquier patrón fuera de lo normal.
  • Si la persona esta autorizada, conviene desactivar las conexiones WIFI/bluetooth que no estén siendo utilizadas.
  • Una vez concluida la jornada de trabajo en situación de movilidad debe desconectarse la sesión de acceso remoto y apagar o bloquear el acceso al dispositivo.

 

  1. Garantizar la protección de la información que se está manejando

 

  • Tanto en lugares públicos como en el entorno domésticos es obligado adoptar las precauciones necesarias para garantizar la confidencialidad de la información que se está gestionando.
  • Si habitualmente se genera y trabaja con papel, durante situaciones de movilidad es importante minimizar o evitar la entrada y salida de documentación en este soporte y extremar las precauciones para evitar accesos no autorizados por parte de terceros.
  • La información en soporte papel, no se puede desechar sin garantizar que es adecuadamente destruida. No arrojar papeles enteros o en trozos en papeleras de hoteles, lugares públicos o en la basura doméstica a los que alguien podría acceder y recuperar información de carácter personal.
  • Extremar precauciones para evitar el acceso no autorizado a la información personal, propia y de terceros, manejada, no dejando a la vista ningún soporte de información en el lugar donde se desarrolle el teletrabajo y bloqueando las sesiones de los dispositivos cuando estos estén desatendidos.
  • Evitar exponer la pantalla a la mirada de terceros si se trabaja habitualmente desde lugares públicos
  • Es aconsejable prevenir que se puedan escuchar conversaciones por parte de terceros utilizando, por ejemplo, auriculares o retirándose a un espacio en el que la persona empleada no esté acompañada.

 

  1. Guardar la información en los espacios de red habilitados

 

  • Evitar almacenar la información generada durante la situación de movilidad de forma local en el dispositivo utilizado, usando los recursos de almacenamiento compartidos o en la nube proporcionados por la empresa.
  • Si se usan equipos personales, no utilizar aplicaciones no autorizadas por la empresa
  • No se debe bloquear o deshabilitar las copias de seguridad corporativa definidas para cada dispositivo.
  • Revisar y eliminar periódicamente la información residual que pueda quedar almacenadas en el dispositivo, como archivos temporales del navegador o descargas de documentos.

 

  1. Si hay sospecha de que la información ha podido verse comprometida, comunicar con carácter inmediato, la brecha de seguridad

 

  • Notificar al responsable, a la mayor brevedad posible, a través de los canales definidos al efecto.
  • Cualquier cuestión que pueda suscitarse en el contexto de las situaciones de movilidad y que puedan representar un riesgo para la protección de la información, debe consultarse bien al Delegado de Protección de Datos o al responsable de seguridad de la información, trasladándoles toda información de interés de la que tenga constancia.

 

 

NOTA.- Este documento es un resumen realizado el día 6 de abril de 2.020, de las recomendaciones publicadas por la Agencia de Protección de Datos para situaciones de movilidad y teletrabajo.

josé maría marco

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: