En apoyo a las directrices de la AEPD, desde HORNS CONSULTORIA nos gustaría presentar unas recomendaciones por la relevancia que tiene la seguridad de los datos personales en el desempeño del Teletrabajo y Trabajo en movilidad.
Con la crisis del COVID-19 se está promoviendo esta nueva forma de desempeñar sus funciones por parte de los trabajadores, en aras de reducir la expansión de la pandemia.
En ésta primera parte, nos centraremos en las recomendaciones en el Teletrabajo que debería implementar la empresa como RESPONSABLE DEL TRATAMIENTO, en seis aspectos:
1.- Evaluación de riesgos previa.
La decisión de implantar el Teletrabajo, debe de estar tomada por una evaluación de riesgos previa que analice los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometida la información de carácter personal.
En función de éste análisis de riesgos se establecerá …..
2.- Desarrollar una Politica de Protección de la Información.
El Análisis de Riesgos establecerá las pautas de una Política de Protección de la Información. Contemplará los riesgos por el Teletrabajo de forma que se tenga acceso a información de carácter personal del que la empresa es responsable, fuera del control dentro de los locales de la organización.
Ésta debe contemplar:
- Qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos. También deben definirse las responsabilidades y obligaciones de las personas empleadas.
- Proporcionar formación adecuada a las personas empleadas. En las cuales se establecerá un canal de comunicación ante cualquier incidente. La debe firmar y aceptar el trabajador.
- El personal también ha de estar informado de las principales amenazas y las consecuencias que pueden suceder si no se siguen las normas establecidas, tanto para la empresa como al trabajador.

3.- Recomendaciones de inversiones y externalización en el Teletrabajo.
Habrá que realizar las inversiones internas y contratar proveedores externos que garanticen la seguridad.
Éstos proveedores tendrán la consideración de ENCARGADOS DE TRATAMIENTO y deberán cumplir con lo exigido en el Art. 28.3 debiéndose formalizar el correspondiente Contrato de Prestación de Servicios.
4.- Roles de usuarios.
Restringir el acceso a la información en función de los roles de responsabilidad dentro de la empresa y también en función del dispositivo desde el cual se accede (Portátil de empresa seguro, portátil del empleado, tablet, Smartphone….) o desde qué ubicación se accede.
5.- Configuración de equipos.
Configurar periódicamente los equipos y los dispositivos utilizados.
Los servidores de acceso remoto han de ser revisados, actualizados y configurados para garantizar el cumplimiento de la política de protección de la información, así como el control de los perfiles de acceso definidos.
Los equipos corporativos utilizados en teletrabajo tienen que:
- Estar actualizados a nivel de aplicación y sistema operativo.
- Tener deshabilitados los servicios que no sean necesarios.
- Tener una configuración por defecto de mínimos privilegios fijada por los servicios TIC que no pueda ser desactivada ni modificada por el empleado.
- Instalar únicamente las aplicaciones autorizadas por la organización.
- Contar con software antivirus actualizado.
- Disponer de un cortafuegos local activado.
- Tener activados solo las comunicaciones (wifi, bluetooth, NFC, …) y puertos (USB u otros) necesarios para llevar a cabo las tareas encomendadas.
- Incorporar mecanismos de cifrado de la información.
- Si se permite el uso de dispositivos BYOD (Bring Your Own Device, equipos del trabajador) existe un mayor riesgo por no incorporar los mismos controles de los equipos corporativos. Hay que valorar la posibilidad de restringir la conexión a una red segregada que únicamente proporcione un acceso limitado a aquellos recursos de la empresa que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo.
6.- Recomendaciones de monitorización de accesos en teletrabajo.
Se deben monitorizar los accesos en forma remota. Se tiene que evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos. Cuando exista una brecha de seguridad que afecte a datos de carácter personal, han de comunicarse a la Autoridad de Control y/o a los interesados.
Se debe de revisar y actualizar habitualmente la configuración de la conexión para verificar que no ha sido alterada y que se encuentra protegida. Los riesgos evolucionan constantemente en este tipo de conexiones.
El trabajador debe de ser informado de la monitorización tanto desde el punto de vista del control de horario como del desempeño de sus responsabilidades.
Así mismo se debe cumplir con el derecho del trabajador a la desconexión digital.
En HORNS CONSULTORIA podemos ayudar a las empresas al cumplimiento de las recomendaciones en el Teletrabajo marcadas por la AGENCIA ESPAÑOLA DE PROTECCION DE DATOS.
Horns Consultoría para ayudarte….