El teletrabajo es una modalidad de trabajo que permite al trabajador realizar su jornada laboral (o parte de ella) en un lugar distinto al centro de trabajo de la empresa.
Aunque se utilice una modalidad de trabajo distinta a la habitual, se debe de cumplir con las mismas leyes y normas, así como aplicar medidas adicionales que garanticen la seguridad de la información.
Con el fin de orientar a los responsables de tratamiento de datos en estas circunstancias, la Agencia Española de Protección de Datos ha publicado el documento llamado Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo.
La organización, como responsable del tratamiento, es la que toma la decisión de qué actividades de su empresa se van a ejecutar mediante teletrabajo y durante cuánto tiempo.
En casos excepcionales, en los que se tenga que optar por esta solución de forma urgente, es obligatorio que, en paralelo y sobre todo cuando la situación se prolongue, realizar una reflexión y una adecuación de la implementación del teletrabajo.
RECOMENDACIONES DIRIGIDAS A RESPONSABLES DEL TRATAMIENTO
Los responsables del tratamiento para adecuar la situación a la normativa de protección de datos, deberán tener en cuenta las siguientes recomendaciones:
1.- Definir una política de protección de la información para situaciones de movilidad
Basada en la política de protección de datos y seguridad de la información de la organización, y formando parte de ella. Esta política debe de contemplar las necesidades concretas y los nuevos riesgos introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la empresa.
Esta política Incluirá la forma de acceso remoto permitidas, los dispositivos autorizados a acceder de forma remota y el nivel de acceso de cada trabajador.
Deberán establecerse las responsabilidades y obligaciones que asumen los empleados.
2.- Elegir soluciones y prestadores de servicio confiables y con garantías
Hay que recurrir a proveedores y encargados que ofrezcan soluciones probadas y con garantías suficientes que eviten la exposición de datos personales.
En caso de que estos proveedores puedan acceder a los datos, se deberá de regular la relación de encargado del tratamiento mediante un contrato u otro acto jurídico que los vincule.
3.- Restringir el acceso a la información
Con perfiles o niveles de acceso a los recursos y a la información, de manera incluso más restrictiva que los concedidos en los accesos desde la red interna.
Además, hay que aplicar restricciones de acceso en función del tipo de dispositivo que acceda a la información y de la ubicación desde la que se acceda.
4.- Configurar periódicamente los equipos y dispositivos utilizado en las situaciones de movilidad.
Se debe de revisar de forma periódica:
Servidores de acceso: para asegurar que están actualizados y configurados según la política de protección de la información y controlar los perfiles de acceso.
Los equipos corporativos utilizados como cliente
Los dispositivos personales de los trabajadores, en caso de que el responsable haya permitido su uso.
5.- Monitorizar los accesos realizado a la red corporativa desde el exterior
Hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento para evitar la propagación de malware por la red corporativa y que se produzcan brechas de seguridad (que deberán de ser notificadas a la Autoridad de Control).
El responsable del tratamiento tiene de informar al personal sobre las existencia y alcance de las actividades de monitorización, así como, si éstas también se van a utilizar para verificar el cumplimiento de sus obligaciones laborales.
Los mecanismos de control y supervisión deben de respetar los derechos digitales de los trabajadores.
6.- Gestionar racionalmente la protección de datos y la seguridad
Se debe de realizar un Análisis de Riesgos:
- que evalúe la proporcionalidad entre los beneficios a obtener con el teletrabajo y el impacto potencial para la información y;
- que determine las medidas de seguridad que se deben de establecer en la política de la organización.
Las soluciones y aplicaciones de acceso remoto que se vayan a implantar, deben de ser evaluadas previamente, teniendo en cuenta los principios de privacidad desde el diseño y por defecto.
RECOMENDACIONES DIRIGIDAS AL PERSONAL QUE PARTICIPA EN LAS OPERACIONES DE TRATAMIENTO
Las recomendaciones al personal han de estar recogidas en la política de teletrabajo del responsable, referenciadas en el acuerdo de teletrabajo y ajustadas a la situación concreta de las tareas a realizar.
- Respetar la política de protección de la información en situaciones de movilidad definida por el responsable.
- Proteger el dispositivo utilizado en movilidad y el acceso al mismo
- Garantizar la protección de la información que se está manejando
- Guardar la información en los espacios de red habilitados
- Si hay sospecha de que la información ha podido verse comprometida comunicar con carácter inmediato la brecha de seguridad
