Siguiendo las medidas establecidas por la ley para contener la propagación del virus Covid-19, las empresas han recurrido en su mayoría a la implementación del modelo de trabajo a distancia sin una planificación previa en cuanto a su ciberseguridad corporativa.
Para evitar la pérdida de información de clientes, datos financieros o estrategias de la empresa, la Agencia Española de Protección de Datos (AEPD) ha publicado una guía con una serie de recomendaciones, dirigidas a responsables de tratamiento, para proteger los datos personales en situaciones de movilidad y teletrabajo.
índice
recomendaciones propuestas por la AEPD
1. Definir una política de protección de la información para situaciones de movilidad
Es importante definir una política específica para situaciones de movilidad en la que se tenga en cuenta las necesidades y riesgos a los que uno se expone cuando se traslada el lugar de trabajo en un entorno distinto al centro de la organización.
Esta política será útil para determinar qué dispositivos serán los adecuados para acceder a la información de la empresa y para definir las responsabilidades y obligaciones que asumirá cada persona.
Estas directrices son fundamentales para que se haga uso responsable de las herramientas en situaciones de teletrabajo. Además el personal deberá firmar un acuerdo donde se detallen los compromisos adquiridos al desempeñar sus funciones en situación de trabajo a distancia.
2. Elegir soluciones y prestadores de servicio confiables y con garantías
Hay que evitar las brechas de seguridad y estar preparados para ser capaces de reaccionar y minimizar los posibles daños. Para la notificación de brechas de seguridad, la AEPD pone a disposición de los responsables de tratamiento un formulario en su Sede Electrónica.
Los proveedores y encargados a los que hay que recurrir deben ofrecer soluciones probadas y con garantías. Además, si éstos acceden a datos personales tendrán la consideración de encargados de tratamiento y se establecerá un contrato que vincule a encargado y responsable.
Este contrato debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, así como el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable, de acuerdo con los términos establecidos en el artículo 28.3 del RGPD.
3. Restringir el acceso a la información
La información y su acceso debe configurarse dependiendo de los roles de cada empleado de la organización.
Es importante también la aplicación de restricciones de acceso en función del tipo de medio y dispositivo que se utilice para acceder a la información de la organización y también considerando la ubicación.
4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad
Revisar y asegurarse de que la configuración de los equipos y los servidores de acceso están correctamente actualizados para que se garantice el cumplimiento de la política de protección.
La Agencia Española de Protección de Datos recomienda, entre otras medidas, que los equipos corporativos utilizados como clientes tengan deshabilitados los servicios que no sean necesarios, cuenten con un software antivirus actualizado e incorporar mecanismos cifrados de la información. En caso de que se permita el uso de dispositivos personales, además de exigir unos requisitos mínimos para poder emplearlos en el desempeño de las funciones hay que considerar la posibilidad de restringir la conexión a una red segregada que proporcione acceso limitado a los recursos de riesgo menor.
5. Monitorizar los accesos realizados a la red corporativa desde el exterior
Otra cuestión que se plantea es la importancia de identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad.
Las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.
Por otro lado, también se debe mantener al personal informado acerca de las políticas de protección de la información para situaciones de movilidad, sobre la existencia y el alcance de estas actividades de control y supervisión.
6. Gestionar racionalmente la protección de datos y la seguridad
Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.
Los recursos que pueden ser accedidos se han de limitar en función de la valoración del riesgo que represente una pérdida del dispositivo cliente y la exposición o acceso no autorizado a la información manejada.
En Maser Legal somos expertos en protección de datos para empresas. Si todavía tienes dudas acerca de este reglamento, no dudes en contactar con nosotros.