La
actualidad manda y vamos a intentar poner nuestro granito de arena.
Muchos de nosotros hemos recibido autorización de nuestras empresas y despachos para optar por el teletrabajo durante el tiempo que las administraciones estimen necesario atendido el consejo de los especialistas. Huelga decir que aunque las decisiones relativas al aislamiento pueden considerarse excepcionales, dichas medidas pueden dar lugar a situaciones derivadas previstas por las distintas normativas vigentes; entre ellas la relativa a la protección de datos de carácter personal.
Muchos de nosotros hemos recibido autorización de nuestras empresas y despachos para optar por el teletrabajo durante el tiempo que las administraciones estimen necesario atendido el consejo de los especialistas. Huelga decir que aunque las decisiones relativas al aislamiento pueden considerarse excepcionales, dichas medidas pueden dar lugar a situaciones derivadas previstas por las distintas normativas vigentes; entre ellas la relativa a la protección de datos de carácter personal.
La
excepcionalidad que suponer la medida de permitir el teletrabajo de los empleados no
debe servir de excusa para que se relajen las precauciones mínimas en sede de
protección de datos, y ello porque la protección de dichos datos no deja de ser
un derecho fundamental de los interesados o propietarios de los datos.
Dadas las circunstancias, no
vamos a centrarnos en dar asesoramiento legal sobre el asunto (esta entrada no es asesoramiento legal), sino en ofrecer
ciertos consejos que el profesional haría bien en seguir para evitar brechas de
seguridad y promover el cumplimiento del principio de accountability que establece el RGPD.
Son consejos simples y no exclusivos para estos momentos.
Son consejos simples y no exclusivos para estos momentos.
Muchos
juristas trabajamos sobre expedientes puramente digitales alojados en
servidores internos y protegidos a través de encriptado de los datos; sin embargo también hay asuntos cuya
documentación es física. Nos referimos a las tradicionales “carpetas de
clientes” que vemos muchas veces apiladas en las mesas de los -por ejemplo- abogados. Primera recomendación: digitalice los documentos que necesite para
trabajar desde casa y, o bien, súbalos a la nube a la que tenga acceso y que
esté suficientemente protegida, o inclúyalos en un hardware de almacenamiento
encriptado y con contraseña o, mejor, utilice en casa su dispositivo de trabajo
custodiándolo con la diligencia necesaria y previendo soluciones para el
supuesto de sustracción o pérdida del mismo.
En
el supuesto de que la digitalización no haya sido posible y sea indispensable
sacar del centro de trabajo el expediente físico, habrán de tacharse (hacerse ilegibles) los datos
personales que consten en los documentos, de manera que si por cualquier causa dichos
documentos quedasen a la vista de un tercero, no resultase expuesta la intimidad
de la persona. Por supuesto, debe evitarse en todo caso que la carpeta se
identifique con el nombre y apellidos del cliente o contraparte, procediendo a utilizar
claves, códigos, pseudónimos o combinaciones que identifiquen al cliente frente
al responsable o encargado, en su caso, pero que impida la identificación por
terceros.
En
lo que se refiere a los teléfonos (y las tabletas), es preciso que cuenten con
contraseña y/o patrón de acceso (en algunos casos, incluso, biométrico), que
las aplicaciones estén convenientemente actualizadas y que las copias de
seguridad se realicen a menudo y se alojen en servidores o nubes seguros. No
está de más que se cuente con aplicaciones de emergencia como formateo remoto o
localización del terminal en caso de pérdida. Es preciso intentar mantener separados los
datos propios de los laborales, en agendas distintas si es posible y mantener
el terminal fuera del alcance de terceros (incluyendo familiares y allegados) o,
al menos, bloqueados.
Vamos con los ordenadores portátiles, ya sea el del trabajo o el propio cuando se haya comenzado a trabajar
desde el mismo: Si pierde usted el terminal debe ponerlo inmediatamente en
conocimiento del Delegado de Protección de Datos, en su caso, o del responsable
de seguridad en protección de datos en la empresa. Por supuesto, espero que si
lo ha perdido, al menos, tuviese clave de acceso si era del trabajo o, si no lo
era, la tuviese para el acceso a las carpetas del trabajo.
Importa decir que, transcurrido el periodo de teletrabajo, si utilizó un terminal propio
para teletrabajar, debe proceder a eliminar de manera definitiva e íntegramente todos los
datos personales relacionados con la actividad laboral (incluidos historiales
de búsqueda, carpeta de descargas, papelera de reciclaje, archivos
provisionales y, en algunos casos, las cookies
de acceso) y, siempre, cerrar las sesiones de usuario en aplicaciones tales como
bases de datos o planes jurídicos.
Sobra decirlo, pero lo decimos: dichos terminales deben estar dotados de cuantas medidas de ciberseguridad sean precisas dependiendo de la categoría y sensibilidad de los datos. Para ello, es preciso que junto con la autorización por parte de la empresa para trabajar a distancia, se dote a los empleados de cuantos medios, programas, indicaciones, o claves sean necesarias para “blindar” el terminar propio para utilizarlo para trabajar desde casa en este periodo excepcional.
¿Qué significa esto? Que tanto el dispositivo con el que se ejerce la actividad normalmente la actividad como el que ocasionalmente se utilice deben contar con las necesarias medidas de seguridad: firewall, antivirus, encriptación de comunicaciones, copias de seguridad, etc.
Sobra decirlo, pero lo decimos: dichos terminales deben estar dotados de cuantas medidas de ciberseguridad sean precisas dependiendo de la categoría y sensibilidad de los datos. Para ello, es preciso que junto con la autorización por parte de la empresa para trabajar a distancia, se dote a los empleados de cuantos medios, programas, indicaciones, o claves sean necesarias para “blindar” el terminar propio para utilizarlo para trabajar desde casa en este periodo excepcional.
¿Qué significa esto? Que tanto el dispositivo con el que se ejerce la actividad normalmente la actividad como el que ocasionalmente se utilice deben contar con las necesarias medidas de seguridad: firewall, antivirus, encriptación de comunicaciones, copias de seguridad, etc.
Como
comentamos anteriormente para el caso del teléfono, en el supuesto de que el
dispositivo en el que se teletrabajare estuviese disponible para el acceso de
terceros (familia, normalmente), será necesaria la encriptación o, al menos,
establecimiento de clave (que no sea la misma que se utiliza para los usos
privados o personales) para carpetas relacionadas con el trabajo. O, mejor, la creación de nuevo usuario o
perfil laboral. Respecto a esto, y como dijimos con el móvil, en los periodos en los
que se esté trabajando pero no se esté frente al ordenador, lo ideal es
bloquear la sesión.
Por
último, trabajar siempre dentro de la red privada (VPN) de la empresa o bajo la
protección de los protocolos de la misma. Y saber escoger las redes wifi desde las
que trabajar evitando en todo caso las públicas.
Espero
que estos consejos sean de ayuda para afrontar estas jornadas difíciles y
diferentes que nos toca afrontar. Y recuerde, si puede evitarlo, no salga de
casa. No es sólo por su bien, sino por el de todos.
No hay comentarios:
Publicar un comentario