Protección de Datos ofrece 6 claves a las empresas para proteger su información con el teletrabajo.
La situación excepcional originada por la pandemia del COVID-19 también ha abocado a muchas empresas a agilizar la implantación de teletrabajo por fuerza mayor, sin una planificación previa.
Por ello, dado que la situación se prolonga, la Agencia Española de Protección de Datos (AEPD) lanza una serie de recomendaciones, dirigidas al responsable de tratamiento de los datos de las empresas, para preservar la continuidad de los procesos de negocio y también los derechos y libertades de los interesados cuyos datos personales se estén tratando.
En este sentido, también el Centro Criptológico Nacional y Equipo de Respuestas ante Emergencias Informáticas (CCN-CERT) ha publicado una nueva versión de su informe de buenas prácticas para situaciones de teletrabajo y refuerzo en videovigilancia.
1. Definir una política de protección de la información para situaciones de movilidad.
Definir una política que contemple las necesidades específicas y los riesgos derivados del acceso a recursos de la organización fuera del entorno corporativo.
Esa política debe determinar perfiles de acceso, responsabilidades y obligaciones de los empleados o también pautas para evitar el uso de aplicaciones que no ofrezcan garantías, procedimientos de administración y monitorización de la infraestructura, entre otros.
Los empleados deben estar informados con estas políticas de teletrabajo de las principales amenazas por las que pueden verse afectados al trabajar desde fuera de la organización y las posibles consecuencias que pueden materializarse si se quebrantan dichas directrices.
A este respecto, la AEPD incluye una serie de directrices para que los empleados hagan un uso responsable de estas herramientas en situaciones de teletrabajo, que se centran en obligaciones que van desde el respeto a la política de protección de la información en situaciones de movilidad que se facilite, pasando por la protección de los dispositivos utilizados y el acceso a ellos, la garantía de protección de la información que se está manejando, el uso de los espacios de red habilitados y la comunicación de los casos de sospecha de brecha de seguridad.
También se indica que el personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.
2. Elegir soluciones y prestadores de servicio confiables y con garantías.
Se deben implantar soluciones y prestaciones de servicios confiables y con garantías, recurriendo a proveedores y encargados de tratamiento que las hayan probado, así como establecer mediante contrato u acto jurídico la vinculación con el responsable, sus obligaciones y derechos de acuerdo con el artículo 28 del Reglamento General de Protección de Datos (RGPD).
Si estos acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable.
Este contrato debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados y las obligaciones y derechos del responsable, de acuerdo con los términos establecidos en el artículo 28.3 del RGPD.
3. Restringir el acceso a la información por niveles y roles de cada empleado.
Otro elemento que el regulador español recomienda es que el acceso puede ser incluso más restrictivo que el que se tiene en la red interna y con medidas adicionales de limitación según los dispositivos de acceso y la ubicación.
A su vez, hay que aplicar restricciones de acceso adicionales en función del tipo de dispositivo desde el que se acceda a la información (equipos portátiles corporativos, equipos personales externos y dispositivos móviles como ‘smartphones’ o ‘tablets’) y también dependiendo de la ubicación desde la que se accede.
4. Revisión periódica de equipos y dispositivos utilizados.
Se trata de revisar periódicamente la configuración de los equipos y dispositivos utilizados en las situaciones de movilidad, tanto los servidores de acceso como los equipos corporativos.
Cuando se permita el uso de dispositivos personales, habrá que valorar la posibilidad de restringir la conexión a una red segregada que solo proporcione un acceso limitado a recursos identificados como menos críticos.
La AEPD señala que dichos equipos utilizados como clientes tienen que estar actualizados a nivel de aplicación y sistema operativo o tener deshabilitados los servicios que no sean necesarios.
También sería necesario tener una configuración por defecto de mínimos privilegios fijada por los servicios TIC que no pueda ser desactivada ni modificada por el empleado o instalar únicamente las aplicaciones autorizadas por la organización.
Otra cuestión necesaria que el regulador propone es contar con ‘software’ antivirus actualizado, disponer de un cortafuegos local activado o tener activados solo las comunicaciones (wifi, bluetooth, NFC, etc.) y puertos (USB u otros) necesarios para llevar a cabo las tareas encomendadas o incorporar mecanismos de cifrado de la información.
5. Monitorización de accesos a la red corporativa.
Otra cuestión que se plantea desde el regulador español de privacidad es que el seguimiento de los accesos a la red corporativa desde el exterior tiene la finalidad de identificar patrones anormales de comportamiento en el tráfico de la red corporativa.
Hay que informar a los empleados sobre la existencia de estas actividades de control y supervisión y, en los casos en los que la monitorización se utilice para verificar el cumplimiento de las obligaciones laborales del personal, el responsable de tratamiento ha de informar a los empleados conforme prevé el Estatuto de los Trabajadores y respetar los derechos digitales y el derecho a la desconexión digital en el ámbito laboral definidos en la LOPDGDD.
Desde la AEPD también se pide que las brechas de seguridad que afecten a datos personales han de comunicarse a la autoridad de control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.
Otra cuestión que la empresa debe hacer con carácter general es que debe informarse al personal, en la política de protección de la información para situaciones de movilidad, sobre la existencia y el alcance de estas actividades de control y supervisión.
6. Gestión racional de la protección de datos y seguridad.
Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.
En la política deben contemplarse los procedimientos internos para provisionar y auditar los dispositivos de acceso remoto, los procedimientos de administración y monitorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.
Los recursos que pueden ser accedidos se han de limitar en función de la valoración del riesgo que represente una pérdida del dispositivo cliente y la exposición o acceso no autorizado a la información manejada.
Hay que planificar y evaluar la aplicaciones y soluciones de acceso remoto teniendo en cuenta los principios de privacidad desde el diseño y por defecto a lo largo de todas las etapas de despliegue de la solución: desde la definición de los requisitos y necesidades hasta la retirada de la misma o de alguno de sus componentes.