Desde hace tiempo existía una tendencia mundial en favor de implantar sistemas de teletrabajo. Muchas eran las empresas y entidades que habían comenzado a activar proyectos pilotos en torno al mismo, sin que llegaran a implantarse de forma generalizada. El Coronavirus ha alterado radicalmente esta situación.
Hoy teletrabajar ya no es un lujo, al contrario, es una necesidad imperiosa para garantizar la continuidad de la actividad empresarial y de las relaciones de trabajo en este contexto de excepcionalidad sanitaria. Es más, la normativa vigente prioriza recurrir al teletrabajo frente a otras medidas como son la cesación temporal o reducción de la actividad.
Es por ello, que tanto el sector privado como el público, han tenido que recurrir de forma urgente a los sistemas de trabajo a distancia sin que, en muchas ocasiones, hayan podido realizar un análisis en detalle de estos, o atender los necesarios controles previos en términos de privacidad y ciberseguridad.
Tal y como ha recordado la Agencia Española de Protección de Datos estas semanas, la protección de los datos personales es un derecho que no ha sido suspendido durante la pandemia, debiendo extremarse las precauciones en entornos de movilidad y teletrabajo. Este es el motivo por el que, a tenor de los últimos escándalos de los que se han hecho eco los medios de comunicación sobre ciertas herramientas, la Agencia y otras autoridades competentes, se han visto en la obligación de publicar recomendaciones[1] que, en términos generales, se centran en la necesidad de regular internamente estos procesos, y en minimizar los posibles riesgos asociados a una hipotética falta de control de las garantías inherentes a las soluciones y proveedores de teletrabajo seleccionados.
¿Qué acciones se deben acometer como mínimo en entornos de teletrabajo?
1. Contar con una política de protección de la información para situaciones de movilidad (Política de Teletrabajo), que refleje las concretas necesidades y atienda a los riesgos particulares (formas de acceso remoto, dispositivos válidos, vigilancia y comunicación de posibles incidentes, modo de realizar videoconferencias o reuniones virtuales, obligaciones y responsabilidades asociadas, etc.).
2. Informar a los trabajadores por vía contractual de sus obligaciones y derechos específicos (acuerdo de teletrabajo), debiendo incorporar a estos acuerdos las recomendaciones dirigidas al personal en este ámbito.
3. Elegir únicamente soluciones y prestadores de servicio confiables y con garantías. Se debe evitar exponer innecesariamente información corporativa, datos personales u otros activos protegibles bajo el control de la compañía, ya sean propios o de terceros (clientes, colaboradores, etc.).
No controlar estas garantías o no contar con un contrato válido puede determinar la imposición de sanciones graves a la empresa u organización por aplicación de los dispuesto en el artículo 73 de la LOPDGDD.
4. Atender a los principios generales de tratamiento de la información, en particular, al principio de integridad y confidencialidad de la información. De hecho, la política de seguridad corporativa debe contemplar los riesgos inherentes al trabajo a distancia (aplicar enfoque de riesgo).
5. Determinar las medidas de seguridad, técnicas u organizativas más apropiadas, realizándose y documentándose los análisis de riesgos efectuados. En ciertos casos, resultará obligatorio efectuar una Evaluación de Impacto en Protección de Datos Personales (EIPD), por ejemplo, cuando pretenda perfilarse el desempeño laboral a través de las soluciones, o fluyan datos sensibles como datos de salud en estas.
6. Comprobar y verificar periódicamente los equipos y dispositivos utilizados en situaciones de movilidad, ya que el control de acceso por perfiles es clave.
7. Prever mecanismos de monitorización siempre que estos respeten los derechos digitales establecidos en la LOPDGDD, lo que deberá estar igualmente en consonancia con las políticas corporativas sobre uso de medios y dispositivos tecnológicos.
Como se comprueba, pivotar a nuevos entornos de trabajo conlleva la necesaria reflexión previa sobre el tipo de sistema y soluciones seleccionadas. No hacerlo puede conllevar importantes repercusiones legales. Nunca es tarde para verificar si se cumple y adoptar las medidas correctoras adecuadas. Sin duda, es tiempo de ser más “compliance”, no sólo por evitar sanciones, también para resultar más competitivos y confiables en el mercado.
[1] Recomendaciones AEPD accesibles desde el siguiente enlace web: https://www.aepd.es/sites/default/files/2020-04/nota-tecnica-proteger-datos-teletrabajo.pdf. También resultan de interés la recientes recomendaciones del Centro Criptológico Nacional (CCN) sobre seguridad en el teletrabajo: https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/4691-ccn-cert-bp-18-recomendaciones-de-seguridad-para-situaciones-de-teletrabajo-y-refuerzo-en-vigilancia-1/file.html
