Este último año, nuestra vida ha dado un vuelco de la noche a la mañana hemos sufrido un upsidedown, y aquello que creíamos tener seguro como trabajo, salud o estabilidad, se ha visto tambalear. En un abrir y cerrar de ojos, nos hemos tenido que amoldar a nuevas circunstancias que nos ha presentado la vida, escenarios que nos han hecho despertar nuestro instinto más primitivo, la supervivencia.
A mediados de marzo todos los ciudadanos de este país nos vimos abocados a encerrarnos en casa para proteger nuestra salud y economía de un riesgo, pero esta vez no era interno, si no externo. Aquello que parecía lejano al inicio de año, y que veíamos con parsimonia que ocurría en el continente asiático, comprobamos que ya no lo era y lo sufríamos en el viejo continente. Muchos de nosotros recordaremos aquel viernes 13 de marzo de 2020, que sin saber muy bien porque, un simple acto, nos convirtió en unos simples afortunados; el mero hecho de poder trasladar nuestros empleos a nuestras casas, nos hizo poder continuar con nuestro plan de negocio sin parar ni desaparecer. En ese momento, en ese preciso instante, todo lo que había sido un supuesto en un pasado, pasaba a ser la realidad en un presente. En un segundo, todo lo que nos habían hablado en teoría se convertía en práctica. Solo unas semanas más tarde, todo el planeta se paraba ante la mayor pandemia sufrida a inicios del siglo XXI, la COVID-19.
Ámbitos como el trabajo, la educación, la salud, o simplemente realizar tareas de la casa como ir a comprar, se convirtieron para los ciudadanos en piezas de puzle en los que jugar en pocos metros cuadrados y limitación de tiempo. Las clases se empezaron a impartir en formato online, la salud (de aquellos que no eran críticos) se trataba a distancia, las visitas a clientes se realizaban a través de plataformas de videoconferencia y, todo ello, gracias en parte al teletrabajo; eso sí, no sin dejar de hacer maniobras orquestales en la oscuridad y en el día a día, para encajar todo aquello con la denominada conciliación entre vida laboral y personal.
Gracias a la pandemia (sí como leéis, también ha habido cosas positivas), aprendimos a valorar un aspecto que aunque en la sociedad lo teníamos como adquirido, no lo habíamos sabido apreciar: la tecnología, y más concretamente, en sus múltiples variedades. Gracias a ella, la mayoría de la ciudadanía, pudimos con mayor o menor audacia, seguir con nuestra actividad tanto económica, laboral, como emocional. ¿Quién de nosotros en los días más duros del confinamiento, no compró algo por la red, trabajó, se apuntó a un MOOC para aprovechar el tiempo, se distrajo con cualquier plataforma de TV o juego, o simplemente realizó una videollamada con sus seres queridos para sentirse más cercano? Todos, o mejor dicho, casi todos.
Esta pandemia nos ha abierto los ojos, y nos ha puesto de relieve muchas cosas, entre ellas y en el ámbito de las tecnologías, un aspecto fundamental, a mejorar en nuestra sociedad: la brecha digital. El alto precio de internet, así como los correspondientes costes por los dispositivos, junto a los bajos salarios de la mayoría de nuestros conciudadanos, nos ha demostrado que hay una gran parte de la población sin acceso al denominado derecho al acceso universal de internet[1], regulado en el artículo 81 de LOPDGDD. Pero ¿cómo ha afectado todo esto a nuestro ámbito profesional?
Han pasado ya meses desde aquel 13 de marzo, pero hay una cosa clara que conocimos este año: el teletrabajo, concepto que iniciamos como algo puntual y de manera experimental, se ha convertido en algo habitual y fundamental para salvaguardar nuestra riqueza. Algo que muchos recelaban en tiempo pasado, nos ha demostrado ser una herramienta fundamental para la protección de nuestra economía y prueba de ello es la aprobación el pasado 23 de septiembre de 2020 del Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia por el Gobierno de España, por el cual se regula el teletrabajo a través del trabajo a distancia. Aún así hay muchas cuestiones que como ciudadanos nos planteamos:
¿Qué se entiende por teletrabajo? Según el artículo 2 del RDL 28/2020[2] se define como “aquel trabajo a distancia que se lleva a cabo mediante el uso exclusivo o prevalente de medios y sistemas informáticos, telemáticos y de telecomunicación”.
¿El teletrabajo se puede aplicar a todo los sectores de nuestra economía?
No, no todo tipo de negocio puede desarrollar su prestación de servicio a través del teletrabajo. Antes de implementar en nuestra organización esta medida se deberá valorar, por el órgano de dirección, los pros y contras, beneficios y riesgos en la organización, así como su balance entre vida laboral y personal entre los miembros de la organización y la finalidad de esta, atendiendo entre otros el derecho a la desconexión digital en el ámbito laboral, establecido en el artículo 88 del LOPDGDD o la voluntariedad[3] por ambas partes.
¿Qué beneficios aporta el teletrabajo? ¿Hay algún inconveniente o riesgo que deba valorar? No existe un numerus clausus pero, entre otros, podemos contemplar:
- Beneficios: mayor flexibilidad de horarios, reducción de gastos, aumento de productividad, reducción de absentismo, autonomía en los empleados, reducción de contaminación, acceso a profesionales geográficamente dispersos, menos conflicto en las empresas, continuidad de trabajo, etc.
- Riesgos/Inconvenientes: brecha digital, inaccesibilidad al derecho de acceso universal de internet, costes en equipamiento y líneas de telecomunicaciones, imposibilidad de controlar físicamente a los empleados, necesidad de introducir cambios organizativos en la empresa, robo o pérdida de información por parte de empleados y/o aumento de riesgo de sufrir ciberataques, etc.
En relación a este último, como es bien sabido en el ámbito de la ciberseguridad, el principal elemento que conlleva más incidentes en una organización es el ser humano, bien de manera dolosa, bien por imprudencia; pero no el único. El amparo del 100% de las empresas ante posibles riesgos no existe, siempre habrá un riesgo mínimo que la entidad debe aceptar. Ante ello, cada organización debe poner, dentro de sus capacidades económicas como logísticas, todas aquellas medidas técnicas y organizativas (entre otras las establecidas en el artículo 32 GDPR[4]) para velar de su primer activo: la información[5] .
El incremento a un ritmo vertiginosos del teletrabajo ha comportado en este último año, un acrecentamiento del uso de los medios y sistemas informáticos, telemáticos y de telecomunicación con la finalidad de desarrollar toda actividad, esto a su vez, ha conllevado a un auge en los ciberataques denominados “ransomware[6]” cuya finalidad es la de bloquear toda información de la organización y pedir un rescate.
CheckPoint[7] empresa experta en ciberseguridad alerta en su último informe que los ataques de ‘ransomware’ han crecido en el tercer trimestre de 2020 un 50 por ciento a nivel global respecto a los datos de la primera mitad del año. En Europa, este crecimiento ha afectado a países como Alemania (145%), Reino Unido (80%) o Francia (36%), siendo España quien encabeza el ranking europeo con un (160%). Pero ¿Se puede permitir el lujo tu empresa de perder su primer asset?
Para facilitar, la simbiosis entre teletrabajo y la prevención de posibles riesgos venideros en la organización, INCIBE publicó el pasado mes de julio INCIBE la guía “Ciberseguridad en el teletrabajo: una guía de aproximación para el empresario”, en ella se establece aquellos apartados mínimos, a tener en cuenta por la entidad, entre otros:
- Disponer de una relación de usuarios con opción de trabajar en remoto.
- Documento de autorización del teletrabajo por parte de la organización ante el empleado. Dicho documento se debe firmar por ambas partes.
- Seguimiento de aplicaciones y recursos a los que tiene acceso cada usuario (limitación de información).
- Mecanismos de acceso seguro mediante contraseña (individual y confidencial).
- Revisión por parte de sistemas de la configuración que deberán tener los dispositivos desde los que se establezcan las conexiones remotas.
- Disponer de un procedimiento y tecnología correcta para cifrar los soportes de información.
- Concienciación y definición, en la organización, de la política de almacenamiento en los equipos de trabajo así como de almacenamiento en la red corporativa.
- Disponer de procedimiento y planificación de las copias de seguridad periódicas de todos los soportes y comprobar regularmente que pueden restaurarse. Este apartado es relevante, ya que nos puede menguar el riesgo futuro de pérdida de toda nuestra información, como por ejemplo a causa de un ataque ransomware. Cabe recordar que es altamente recomendable disponer de dos copias, separadas de la red
- Se recomienda el uso de conexiones seguras a través de una VPN (Virtual Private Network), en lugar de las aplicaciones de escritorio remoto
- Se recomienda la virtualización de entornos de trabajo para eliminar los riesgos asociados al uso de un dispositivo propio.
- Tener todos los proveedor/encargados de tratamiento dentro del EEE. El Tribunal de Justicia de la Unión Europea declaró inválido el Escudo de Privacidad (Privacy Shield) para la realización de transferencias internacionales de datos a EEUU.[8]
En el caso de utilizar dispositivos móviles para teletrabajar, se deberá incluir la utilización de aplicaciones de administración remota, así como definir los criterios para evitar el uso de redes wifi públicas y utilizar las conexiones 4G/5G en su lugar.
Pero ante todo, es fundamental que desde la organización se forme e informe a los empleados en materia de protección de datos y medidas de seguridad. La firma del documento de confidencialidad y medidas de seguridad por parte de los trabajadores, junto a formación otorgada a los empleados nos puede valer, en un futuro, como evidencia de las medidas proactivas de la empresa ante la autoridad competente ante un posible incidente[9].
En la actualidad, debemos tener presente que el futuro de nuestro país depende de la visión y acción que en los próximos años muestren nuestras empresas hacia sectores donde, entre otros, un valor añadido sea la transición digital.
En conclusión, el teletrabajo ha demostrado, gracias al esfuerzo de grandes, medianas y pequeñas empresas y a lo largo de este año, ser una herramienta más que válida para mantener y fortalecer la economía de un país. Las ganas de supervivencia, nos ha demostrado que aquello que parecía imposible, era posible. Que el riesgo puede estar tanto dentro como fuera. Que aspectos como la desaparición de la brecha digital, la desconexión digital dentro del ámbito laboral o el verdadero derecho al acceso UNIVERSAL a internet deben convertirse en un aspecto esencial para una sociedad más justa. Que da igual que tu empresa, sea grande o pequeña; que seas más rico o más pobre, que si hay la voluntad de seguir trabajando, hay la posibilidad de seguir avanzando.
Solo en cada uno está la respuesta. “Keep Calm and be strong”.
[1] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
[2] Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia
Art. 2 define: “a) «trabajo a distancia»: forma de organización del trabajo o de realización de la actividad laboral conforme a la cual esta se presta en el domicilio de la persona trabajadora o en el lugar elegido por esta, durante toda su jornada o parte de ella, con carácter regular. b) «teletrabajo»: aquel trabajo a distancia que se lleva a cabo mediante el uso exclusivo o prevalente de medios y sistemas informáticos, telemáticos y de telecomunicación. c) «trabajo presencial»: aquel trabajo que se presta en el centro de trabajo o en el lugar determinado por la empresa”
[3]Art. 5 del RDL 28/2020 ”el trabajo a distancia será voluntario para la persona trabajadora y para la empleadora y requerirá la firma del acuerdo de trabajo a distancia regulado en este real decreto-ley, que podrá formar parte del contrato inicial o realizarse en un momento posterior, sin que pueda ser impuesto en aplicación del artículo 41 del Estatuto de los Trabajadores, todo ello sin perjuicio del derecho al trabajo a distancia que pueda reconocer la legislación o la negociación colectiva”.
[4] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (GDPR)
[5] Se entiende como información todos los datos que componen una organización, entre ellos los datos de carácter personal, pero también su Know How.
[6] El ransomware es un tipo de malware que toma por completo el control del equipo bloqueando o cifrando la información del usuario para, a continuación, pedir dinero a cambio de liberar o descifrar los ficheros del dispositivo. Definición de INCIBE. + Información: https://www.incibe.es/aprendeciberseguridad/ransomware . En estos casos se recomienda: a) avisar al consultor de protección de datos, para analizar el alcance del ataque en los datos de carácter personal de la organización por si fuera necesario informar a la autoridad competente en protección de datos, b) informar al equipo de sistemas de la organización para valorar el fondo del ataque, c) eliminar los datos infectados y volcar la copia de seguridad limpia, d) denunciar ante el cuerpo de seguridad competente, y e) por supuesto nunca pagar.
[7] Juan Diego Godoy: “Los ataques por ‘ransomware’ se disparan en España por el teletrabajo”, el País, 10 de octubre de 2020
[8] Preguntas frecuentes sobre la sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-311/18 — Comisaria de Protección de Datos vs Facebook Irlanda y Maximillian Schrems , AEPD
[9] Recordar el periodo de 72h desde el descubrimiento del incidente para analizar y evaluar, con la ayuda de vuestros asesores en materia de protección de datos, la posible notificación ante la autoridad competente en materia de protección de datos, como así establece el Art. 33 y ss. del GDPR
