Siguiendo las medidas establecidas por la ley para contener la propagación del virus Covid-19, las empresas han recurrido en su mayoría a la implementación del modelo de trabajo a distancia sin una planificación previa en cuanto a su ciberseguridad corporativa.
Para evitar la pérdida de información de clientes, datos financieros o estrategias de la empresa, la Agencia Española de Protección de Datos (AEPD) ha publicado una guía con una serie de recomendaciones, dirigidas a responsables de tratamiento, para proteger los datos personales en situaciones de movilidad y teletrabajo.
Es importante definir una política específica para situaciones de movilidad en la que se tenga en cuenta las necesidades y riesgos a los que uno se expone cuando se traslada el lugar de trabajo en un entorno distinto al centro de la organización.
Esta política será útil para determinar qué dispositivos serán los adecuados para acceder a la información de la empresa y para definir las responsabilidades y obligaciones que asumirá cada persona.
Estas directrices son fundamentales para que se haga uso responsable de las herramientas en situaciones de teletrabajo. Además el personal deberá firmar un acuerdo donde se detallen los compromisos adquiridos al desempeñar sus funciones en situación de trabajo a distancia.
Hay que evitar las brechas de seguridad y estar preparados para ser capaces de reaccionar y minimizar los posibles daños. Para la notificación de brechas de seguridad, la AEPD pone a disposición de los responsables de tratamiento un formulario en su Sede Electrónica.
Los proveedores y encargados a los que hay que recurrir deben ofrecer soluciones probadas y con garantías. Además, si éstos acceden a datos personales tendrán la consideración de encargados de tratamiento y se establecerá un contrato que vincule a encargado y responsable.
Este contrato debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, así como el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable, de acuerdo con los términos establecidos en el artículo 28.3 del RGPD.
La información y su acceso debe configurarse dependiendo de los roles de cada empleado de la organización.
Es importante también la aplicación de restricciones de acceso en función del tipo de medio y dispositivo que se utilice para acceder a la información de la organización y también considerando la ubicación.
Revisar y asegurarse de que la configuración de los equipos y los servidores de acceso están correctamente actualizados para que se garantice el cumplimiento de la política de protección.
La Agencia Española de Protección de Datos recomienda, entre otras medidas, que los equipos corporativos utilizados como clientes tengan deshabilitados los servicios que no sean necesarios, cuenten con un software antivirus actualizado e incorporar mecanismos cifrados de la información. En caso de que se permita el uso de dispositivos personales, además de exigir unos requisitos mínimos para poder emplearlos en el desempeño de las funciones hay que considerar la posibilidad de restringir la conexión a una red segregada que proporcione acceso limitado a los recursos de riesgo menor.
Otra cuestión que se plantea es la importancia de identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad.
Las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.
Por otro lado, también se debe mantener al personal informado acerca de las políticas de protección de la información para situaciones de movilidad, sobre la existencia y el alcance de estas actividades de control y supervisión.
Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.
Los recursos que pueden ser accedidos se han de limitar en función de la valoración del riesgo que represente una pérdida del dispositivo cliente y la exposición o acceso no autorizado a la información manejada.
En Maser Legal somos expertos en protección de datos para empresas. Si todavía tienes dudas acerca de este reglamento, no dudes en contactar con nosotros.
Las llamadas comerciales no deseadas continúan siendo una fuente de frustración para muchos usuarios, a…
Uniqlo, la conocida cadena japonesa de ropa, ha recibido una sanción de 270.000 euros por…
La digitalización ha tomado un papel protagonista en nuestro día a día, la presencia en…
El manejo inadecuado de datos personales por parte de entidades públicas puede tener consecuencias significativas,…
En los últimos tiempos la proliferación de incidentes relacionados con el uso indebido de información…
La protección de datos es un tema crucial en la era digital. Cada vez más…