|  In
Trabajo a distancia, Seguridad de la información y Protección de datos

El objeto de estas reflexiones no es analizar el Real Decreto-ley 28/2020 de 22 de septiembre, de trabajo a distancia desde una perspectiva laboral, sino conectar la nueva norma que regula para el futuro el trabajo a distancia, con los riesgos que puedan derivarse del auge del llamado “teletrabajo” generado por el COVID-19 o el trabajo no presencial, fuera del entorno de la empresa, para la privacidad, la protección de datos y la seguridad de la información.

Debemos recordar que ya el 7 de abril de 2020 la Agencia Española de Protección de Datos hacía públicas en su web una serie de recomendaciones enfocadas a la protección de los datos personales cuando se ejecutan actividades en situaciones de movilidad o teletrabajo.

Esas recomendaciones, aunque están prioritariamente dirigidas a la protección de datos personales, son en su mayoría perfectamente aplicables a la confidencialidad y a la seguridad de la información empresarial, aunque un determinado trabajo no conlleve en sí mismo tratamiento de datos personales.

Contenido mínimo de los acuerdos de trabajo a distancia.

Señala el artículo 7 del RDL sobre trabajo a distancia que entre el contenido mínimo de esos pactos deberá figurar (j) instrucciones dictadas por la empresa, previa información a la representación legal de las personas trabajadoras, en materia de protección de datos, específicamente aplicables en el trabajo a distancia.

Igualmente y con la misma redacción, señala el RDL que formarán parte de ese contenido las (k) instrucciones (…) sobre seguridad de la información.

Derecho a la intimidad y a la protección de datos

La utilización de medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos garantizará adecuadamente el derecho a la intimidad y a la protección de datos, en los términos previstos en la Ley Orgánica 3/2018 de Protección de Datos Personales de acuerdo con los principios de idoneidad, necesidad y proporcionalidad de los medios utilizados, dice el artículo 17 del RDL.

La empresa no podrá exigir la instalación de programas o aplicaciones en dispositivos propiedad de la persona trabajadora, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia.

Señala igualmente el RDL que las empresas deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos legal y constitucionalmente. En su elaboración deberá participar la representación legal de los trabajadores. Los convenios o acuerdos colectivos podrán especificar los términos dentro de los cuales los empleados pueden hacer uso por motivos personales de los equipos informáticos puestos a su disposición por parte de la empresa para el desarrollo del trabajo a distancia, teniendo en cuenta los usos sociales de dichos medios.

Derecho a la desconexión digital

Trabajo a distancia, Seguridad de la información y Protección de datosQuienes trabajen a distancia tienen el derecho a la desconexión digital fuera de su horario de trabajo en los términos establecidos en el artículo 88 de la Ley Orgánica 3/2018, de 5 de diciembre. El deber empresarial de garantizar la desconexión conlleva una limitación del uso de los medios tecnológicos de comunicación empresarial y de trabajo durante los periodos de descanso, así como el respeto a la duración máxima de la jornada.

Como ya señalaba la propia Ley Orgánica de Protección de Datos y Derechos Digitales, la empresa, previa audiencia de la representación legal, debe elaborar una política interna dirigida a personas trabajadoras, incluidas los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.

En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio de la persona empleada vinculado al uso con fines laborales de herramientas tecnológicas.

Facultades de organización, dirección y control; Protección de datos y seguridad de la información

Dispone la nueva norma en su capítulo iv -artículos 20, 21 y 22- que

  • Los trabajadores deberán cumplir las instrucciones que haya establecido la empresa en el marco de la legislación sobre protección de datos y sobre seguridad de la información de todo lo que habrá que informar a la representación legal;
  • Los trabajadores deberán cumplir las condiciones e instrucciones de uso y conservación establecidas en relación con los equipos o útiles informáticos; y, finalmente, que
  • La empresa podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, incluida la utilización de medios telemáticos, guardando en su adopción y aplicación la consideración debida a su dignidad(…).

En resumen, y hasta aquí, la nueva norma sobre trabajo a distancia no introduce nuevas variables que no conociéramos ya en relación con la privacidad, la seguridad de la información, los datos personales o el derecho a la desconexión

Pensamos, sin embargo, que dada la materia que regula, muchas más miradas se van a centrar ahora en el respeto a estas cuestiones y la normativa sobre teletrabajo generará a corto y medio plazo la necesidad de que las empresas que no hayan “hecho sus deberes” los tengan que empezar a hacer más pronto que tarde.

Revisión de Políticas de Privacidad y Seguridad de la Información.

En este sentido, recomendamos que se revisen las políticas existentes actualmente en la empresa (Así por ejemplo: Política de Privacidad de Empleados, Código de Conducta -en cuestiones relacionadas con privacidad, confidencialidad, seguridad de la información-, Política de Uso y Seguridad de la Información, Política de Desconexión Digital, Política de Uso de Redes Sociales, Política de Uso de los Recursos materiales de IT -hardware, software, impresoras, wi-fi, etc.-, cláusulas de confidencialidad con empleados o cláusulas sobre privacidad y sobre ejercicio de los poderes de control por parte de la empresa) a fin de asegurarse de que dichas políticas, ya formen o no parte del Sistema de Gestión Integrado, están adecuadamente adaptadas a los nuevos riesgos y retos que el nuevo entorno del trabajo a distancia impone.

Formación y comunicación.

Es igualmente un momento óptimo para no solo revisar esas Políticas Internas, sino para comunicarlas y recordarlas adecuadamente a los empleados que actualmente -y con independencia de lo que ocurra en el futuro- realizan trabajo a distancia con mayor asiduidad de lo que ya lo vinieran haciendo.

Pensemos en nuevas herramientas o tecnologías que en muchas empresas estamos implantando a marchas forzadas, derivadas de la urgencia propia de la “nueva realidad” sanitaria, social y laboral: apps que permiten revisar cada minuto el trabajo realizado en un proyecto, conexiones de videoconferencias en lugares públicos, envío de datos e informaciones confidenciales desde entornos wi-fi abiertos, utilización de plataformas de video y chat libres, etc…

En este sentido, recordamos a continuación algunas de las recomendaciones elaboradas por la AEPD que, como decimos son válidas no solo en el ámbito del estricto tratamiento de datos personales, sino también en el ámbito de la confidencialidad y la seguridad de la información que -no lo olvidemos- es las más de las veces un activo empresarial crítico.

Recomendaciones de la AEPD

  1. Definir una Política de Protección de la Información para situaciones de movilidad que, basada en la Política de Protección de Datos y de Seguridad de la Información que ya tuviera la empresa, contemple las necesidades concretas y los específicos riesgos que supone el acceso a recursos corporativos que no están ya bajo el control de la organización.
  2. Formas de acceso remoto, principales amenazas que pueden afectar a nuestro trabajo si no se siguen adecuadamente las directrices, firma por parte de los empleados de compromisos adquiridos al desempeñar el trabajo en situación de movilidad, identificar con claridad a quien se puede contactar cuando haya incidentes de seguridad, etc. son cuestiones que deberán estar reflejadas en esas políticas.
  3. Elegir soluciones de prestadores de servicios confiables y con garantías, intentando evitar usar aplicaciones de teletrabajo que no tengan suficientes garantías o no estén adecuadamente probadas o no procedan de proveedores con suficiente experiencia.
  4. Restringir el acceso a la información, aplicando en su caso restricciones adicionales en función del tipo de dispositivo desde el que se acceda a la información y desde la ubicación donde se acceda, revisar los roles asignados a las personas con un criterio más restrictivo…
  5. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad, asegurándonos –incluso a través de auditorías internas– de que se cumple la política interna, que los equipos están actualizados, tienen una configuración por defecto de mínimos privilegios que no pueda ser desactivada por el empleado, mantienen software antivirus actualizado, y si se permite el uso de dispositivos personales (BYOD) valorar que solo tengan acceso a una red segregada para aquellos recursos que sean estrictamente necesarios o sean menos críticos.
  6. Monitorizar los accesos realizados a la red corporativa desde el exterior, verificando el cumplimiento de las obligaciones laborales, pero siempre con respeto a lo previsto en la LOPDyGDD, en particular el derecho a la intimidad del empleado y a la desconexión digital.
  7. Gestionar racionalmente la protección de datos y la seguridad, realizando cuando sea oportuno análisis de riesgos que contemple los beneficios derivados del acceso a distancia y el impacto de ver comprometida información de la empresa.
  8. Dar al personal adecuada formación y recomendaciones claras y que estén recogidas en la Política de Teletrabajo.
    • Así por ejemplo, (i) cuestiones relacionadas con el respeto a las políticas internas y recomendaciones  o procesos de la empresa relacionados con el deber de confidencialidad; (ii) protección de los dispositivos y equipos que le hayan sido confiados por la empresa y utilice fuera de la misma; (iii) no descargar software que no haya sido previamente autorizado; (iv) evitar el acceso a redes sociales desde dispositivos corporativos; (v) verificar las identidades de correos recibidos evitando descargas de archivos sospechosos; (vi) evitar conexiones wi-fi desde lugares públicos…
  9. Garantizar la protección de la información.
    Adoptar adecuadas medidas por parte de los empleados, tales como (i) no dejar soportes con información en lugares donde se genere teletrabajo, (ii) preservar las pantallas de equipos de miradas ajenas, (iii) evitar que se puedan escuchar las conversaciones por terceros ajenos mediante empleo de auriculares, (iv) no deshacerse de documentos o materiales impresos en lugares públicos, etc.
  10. Guardar adecuadamente la información en espacio en red o en nube, evitando en la medida de lo posible guardar información en dispositivos locales con los que se trabaje. No utilizar aplicaciones no autorizadas por los servicios IT de la empresa. Revisar periódicamente la información residual en el equipo y eliminarla con seguridad.
  11. Comunicar de forma inmediata cualquier brecha de seguridad a los responsables o al Delegado de Protección de Datos.

En resumen

A modo de resumen, y a efectos prácticos, diríamos que -con la mirada puesta en el futuro de esta nueva regulación- las organizaciones deberían al menos:

  • Revisar el registro o inventario de tratamientos y el mapa de riesgos y establecer  los controles que sean precisos en relación con el teletrabajo.
  • Revisar la información que se haya facilitado a los trabajadores sobre cuestiones relacionadas con protección de datos y actualizarla en función de la nueva realidad (teletrabajo), incorporando los derechos y deberes que a partir de ahora regirán la relación laboral en materia de protección de datos y seguridad de la información.
  • Revisar los contratos con los encargados de tratamiento para adaptarlos al nuevo entorno y evidenciar la debida diligencia en su mantenimiento como proveedores de servicios.
  • Comprobar los accesos y perfiles de cada trabajador y minimizar los riesgos.
  • Establecer un procedimiento de control de los dispositivos del trabajador a distancia con el fin de mantener la actualización de los sistemas.
  • Diseñar políticas claras -o mejorar las existentes- sobre Seguridad de la Información, Teletrabajo, Uso de Recursos IT, Desconexión Digital, Privacidad, Clasificación de la Información, etc. y comunicarlas adecuadamente.
  • Las brechas de seguridad aumentarán y debe concienciarse al trabajador a distancia de la obligación de su comunicación evidenciando que el procedimiento para ello es suficientemente conocido.

©Legal Compliance, S.L.
Luis Ávila, consulta su perfil.

Related Articles