Quédate en casa: teletrabajo y protección de datos.


La actualidad manda y vamos a intentar poner nuestro granito de arena. 

Muchos de nosotros hemos recibido autorización de nuestras empresas y despachos para optar por el teletrabajo durante el tiempo que las administraciones estimen necesario atendido el consejo de los especialistas. Huelga decir que aunque las decisiones relativas al aislamiento pueden considerarse excepcionales, dichas medidas pueden dar lugar a situaciones derivadas previstas por las distintas normativas vigentes; entre ellas la relativa a la protección de datos de carácter personal.

La excepcionalidad que suponer la medida de permitir el teletrabajo de los empleados no debe servir de excusa para que se relajen las precauciones mínimas en sede de protección de datos, y ello porque la protección de dichos datos no deja de ser un derecho fundamental de los interesados o propietarios de los datos.

Dadas las circunstancias, no vamos a centrarnos en dar asesoramiento legal sobre el asunto (esta entrada no es asesoramiento legal), sino en ofrecer ciertos consejos que el profesional haría bien en seguir para evitar brechas de seguridad y promover el cumplimiento del principio de accountability que establece el RGPD. 

Son consejos simples y no exclusivos para estos momentos.


Muchos juristas trabajamos sobre expedientes puramente digitales alojados en servidores internos y protegidos a través de encriptado de los datos; sin embargo también hay asuntos cuya documentación es física. Nos referimos a las tradicionales “carpetas de clientes” que vemos muchas veces apiladas en las mesas de los -por ejemplo- abogados. Primera recomendación: digitalice los documentos que necesite para trabajar desde casa y, o bien, súbalos a la nube a la que tenga acceso y que esté suficientemente protegida, o inclúyalos en un hardware de almacenamiento encriptado y con contraseña o, mejor, utilice en casa su dispositivo de trabajo custodiándolo con la diligencia necesaria y previendo soluciones para el supuesto de sustracción o pérdida del mismo.

En el supuesto de que la digitalización no haya sido posible y sea indispensable sacar del centro de trabajo el expediente físico, habrán de tacharse (hacerse ilegibles) los datos personales que consten en los documentos, de manera que si por cualquier causa dichos documentos quedasen a la vista de un tercero, no resultase expuesta la intimidad de la persona. Por supuesto, debe evitarse en todo caso que la carpeta se identifique con el nombre y apellidos del cliente o contraparte, procediendo a utilizar claves, códigos, pseudónimos o combinaciones que identifiquen al cliente frente al responsable o encargado, en su caso, pero que impida la identificación por terceros.

En lo que se refiere a los teléfonos (y las tabletas), es preciso que cuenten con contraseña y/o patrón de acceso (en algunos casos, incluso, biométrico), que las aplicaciones estén convenientemente actualizadas y que las copias de seguridad se realicen a menudo y se alojen en servidores o nubes seguros. No está de más que se cuente con aplicaciones de emergencia como formateo remoto o localización del terminal en caso de pérdida. Es preciso intentar mantener separados los datos propios de los laborales, en agendas distintas si es posible y mantener el terminal fuera del alcance de terceros (incluyendo familiares y allegados) o, al menos, bloqueados.

Vamos con los ordenadores portátiles, ya sea el del trabajo o el propio cuando se haya comenzado a trabajar desde el mismo: Si pierde usted el terminal debe ponerlo inmediatamente en conocimiento del Delegado de Protección de Datos, en su caso, o del responsable de seguridad en protección de datos en la empresa. Por supuesto, espero que si lo ha perdido, al menos, tuviese clave de acceso si era del trabajo o, si no lo era, la tuviese para el acceso a las carpetas del trabajo.

Importa decir que, transcurrido el periodo de teletrabajo, si utilizó un terminal propio para teletrabajar, debe proceder a eliminar de manera definitiva e íntegramente todos los datos personales relacionados con la actividad laboral (incluidos historiales de búsqueda, carpeta de descargas, papelera de reciclaje, archivos provisionales y, en algunos casos, las cookies de acceso) y, siempre, cerrar las sesiones de usuario en aplicaciones tales como bases de datos o planes jurídicos. 

Sobra decirlo, pero lo decimos: dichos terminales deben estar dotados de cuantas medidas de ciberseguridad sean precisas dependiendo de la categoría y sensibilidad de los datos. Para ello, es preciso que junto con la autorización por parte de la empresa para trabajar a distancia, se dote a los empleados de cuantos medios, programas, indicaciones, o claves sean necesarias para “blindar” el terminar propio para utilizarlo para trabajar desde casa en este periodo excepcional. 

¿Qué significa esto? Que tanto el dispositivo con el que se ejerce la actividad normalmente la actividad como el que ocasionalmente se utilice deben contar con las necesarias medidas de seguridad: firewall, antivirus, encriptación de comunicaciones, copias de seguridad, etc.

Como comentamos anteriormente para el caso del teléfono, en el supuesto de que el dispositivo en el que se teletrabajare estuviese disponible para el acceso de terceros (familia, normalmente), será necesaria la encriptación o, al menos, establecimiento de clave (que no sea la misma que se utiliza para los usos privados o personales) para carpetas relacionadas con el trabajo. O, mejor, la creación de nuevo usuario o perfil laboral. Respecto a esto, y como dijimos con el móvil, en los periodos en los que se esté trabajando pero no se esté frente al ordenador, lo ideal es bloquear la sesión.

Por último, trabajar siempre dentro de la red privada (VPN) de la empresa o bajo la protección de los protocolos de la misma. Y saber escoger las redes wifi desde las que trabajar evitando en todo caso las públicas.

Espero que estos consejos sean de ayuda para afrontar estas jornadas difíciles y diferentes que nos toca afrontar. Y recuerde, si puede evitarlo, no salga de casa. No es sólo por su bien, sino por el de todos.

 Octavio Gil Tamayo
Abogado




No hay comentarios:

Publicar un comentario