Es necesario seguir cumpliendo con la protección de datos aunque teletrabajes

El Estado de Alarma no libra a los negocios de tener que cumplir con el Reglamento General de Protección de Datos (RGPD). Es más, la crisis del COVID-19 no impide que siga habiendo sanciones para los autónomos y pymes que no adapten sus rutinas de trabajo a estas normativa.  El teletrabajo se ha convertido en una opción casi obligatoria para muchos pequeños negocios que deberán poner a punto cuanto antes su gestión de datos y seguridad. 

Para hacérselo más fácil, la Agencia Española de Protección de Datos (AEPD) ha publicado una serie de recomendaciones específicas para las actividades de autónomos y sus empleados. En primer lugar, la Agencia recomienda definir una política de protección de la información para situaciones de movilidad, en este caso el teletrabajo.

Esta estrategia debe contemplar las necesidades concretas y los riesgos particulares que se generan al acceder a los recursos del negocio desde espacios que no están bajo el control del autónomo. Para ello, hay que determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos y el nivel de acceso permitido a cada empleado. También deben definirse las responsabilidades y obligaciones que van a asumir todas y cada una de las personas implicadas en el negocio.

Una vez determinados estos aspectos, es el momento de proporcionar guías funcionales adaptadas a cada empleado, en las que se explique toda esta información, ya que el personal también ha de estar informado de las principales amenazas por las que pueden verse afectados al trabajar fuera de la oficina, así como las posibles consecuencias que puede conllevar el hecho de saltarse estas normas.

En estas guías se debe incluir el número de contacto y el correo electrónico de aquella persona a la que se tenga que comunicar cualquier tipo de incidente. En la mayoría de las ocasiones se tratará del propio autónomo dueño del negocio, pero también se puede incluir el número de un delegado de protección de datos, una figura que, a día de hoy, no es obligatoria en los pequeños negocios, como ya informó este medio.

Una vez detallados estos aspectos y habiendo informado a toda la plantilla, los empleados deben firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.

Recomendaciones dirigidas al autónomo

La recomendación fundamental de la Agencia Española de Protección de Datos es elegir soluciones y prestadores de servicio fiables. “Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales de la plantilla o los clientes, "en particular, a través de los servicios de correo y mensajería”, señaló la agencia

Si un empleado tuviese que acceder a datos de carácter personal manejados por el negocio, pasará directamente a ser considerado encargado de tratamiento de datos y deberá estipularse por medio de un contrato. Este contrato debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales, y las obligaciones y derechos del responsable,  de acuerdo con los términos establecidos en el artículo 28.3 del Reglamento General de Protección de Datos.

Otra recomendación de la Agencia es restringir el acceso a la información delicada a los empleados que no sean estrictamente necesarios. Del mismo modo, el autónomo debe limitar el acceso a los trabajadores que, a pesar de estar autorizados para tratar estos datos, no lo hagan desde un dispositivo seguro. Según la entidad, este sería el orden de seguridad a tener en cuenta: equipos portátiles corporativos securizados, equipos personales externos y, en último lugar, dispositivos móviles como smartphones o tablets.

Uno de los aspectos vitales es configurar periódicamente los equipos y dispositivos utilizados en las situaciones de teletrabajo. “Los servidores de acceso remoto han de ser revisados y hay que asegurar que están correctamente actualizados y configurados para garantizar el cumplimiento de la política de protección de la información para situaciones de movilidad establecida por la organización, así como el control de los perfiles de acceso definidos”, señala la AEPD.

Según la Agencia, los equipos corporativos utilizados con clientes deben cumplir una serie de requisitos:

• Estar actualizados a nivel de aplicación y sistema operativo.
• Tener deshabilitados los servicios y aplicaciones que no sean necesarias.
• Tener una configuración por defecto de mínimos privilegios que no pueda ser desactivada ni modificada por el empleado.
• Instalar únicamente las aplicaciones autorizadas por la organización.
• Contar con un software antivirus actualizado.
• Disponer de un cortafuegos local activado.
• Tener activadas sólo las comunicaciones (wi-fi, bluetooth o NFC) y puertos (USB u otros) necesarias para llevar a cabo las tareas encomendadas.
• Incorporar mecanismos de cifrado de la información.

En el caso de permitir el uso de dispositivos personales, al suponer un mayor riesgo por no incorporar los mismos controles de los equipos corporativos, además de exigir unos requisitos mínimos para poder utilizarlos, hay que valorar la posibilidad de restringir la conexión a una red que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo.

Quizás puedan parecer demasiados aspectos que cuidar. No obstante, cabe recordar que las multas por incumplir con el Reglamento General de Protección de Datos pueden ascender hasta los 20 millones de euros, dependiendo de la gravedad de la infracción.