Protección de datos en tiempos del Covid-19

La situación excepcional originada por la pandemia del Covid-19 también ha abocado a muchas empresas a agilizar la implantación de teletrabajo por fuerza mayor, sin una planificación previa.

Por ello, dado que la situación se prolonga, la Agencia Española de Protección de Datos (AEPD) lanza una serie de recomendaciones, dirigidas al responsable de tratamiento de los datos de las empresas, para preservar la continuidad de los procesos de negocio y también los derechos y libertades de los interesados cuyos datos personales se estén tratando.

En este sentido, también el Centro Criptológico Nacional y Equipo de Respuestas ante Emergencias Informáticas (CCN-CERT) ha publicado una nueva versión de su informe de buenas prácticas para situaciones de teletrabajo y refuerzo en videovigilancia.

La situación excepcional por la pandemia del COVID-19 ha obligado a muchas empresas a agilizar la implementación de teletrabajo. En el portal web de la Agencia Española de Protección de Datos (AEPD) ha publicado una serie de recomendaciones para la protección de los datos en situaciones de movilidad y teletrabajo, en las que se incluyen tanto consejos para los responsables del tratamiento de datos como consejos para las personas que, en situación de teletrabajo, participan de las operaciones de tratamiento.

La situación de urgencia en la puesta en marcha de situaciones de teletrabajo, como la nos hemos visto obligados a adoptar por la situación de urgencia sanitaria provocada por el COVID-19, no exime de la obligación de hacer paralelamente una reflexión y adecuación de la implementación del teletrabajo a las obligaciones derivadas del tratamiento de los datos personales.

Centro Criptológico Nacional y Equipo de Respuestas ante Emergencias Informáticas (CCN-CERT) ha publicado una nueva versión de su informe de buenas prácticas para situaciones de teletrabajo y refuerzo en videovigilancia.

La organización y el personal que participa en las acciones de teletrabajo han de tener en cuenta las siguientes recomendaciones.

1. Definir una política de protección de la información para situaciones de movilidad

Definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización.

Determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos. También deben definirse las responsabilidades y obligaciones que asumen las personas empleadas.

Proporcionar guías funcionales adaptadas a formar a las personas empleadas, derivadas de dichas políticas, y que recojan al menos la información que se expone en el apartado “Recomendaciones dirigidas al personal que participa en las operaciones de tratamiento” de este mismo documento.

El personal también ha de estar informado de las principales amenazas por las que pueden verse afectados al trabajar desde fuera de la organización y las posibles consecuencias que pueden materializarse si se quebrantan dichas directrices, tanto para los sujetos de los datos como para la persona trabajadora.

Se debe identificar un punto de contacto para comunicar cualquier incidente que afecte a datos de carácter personal, así como los canales y formatos adecuados para realizar dicha comunicación.

El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.

2. Elegir soluciones y prestadores de servicio confiables y con garantías

Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales del personal, interesados y servicios corporativos de la organización, en particular, a través de los servicios de correo y mensajería.

Hay que recurrir a proveedores y encargados que ofrezcan soluciones probadas y garantías suficientes.

Si estos acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable.

3. Restringir el acceso a la información

Los perfiles o niveles de acceso a los recursos y a la información tienen que configurarse en función de los roles de cada persona empleada, de una forma incluso más restrictiva respecto de los concedidos en los accesos desde la red interna.

Aplicar restricciones de acceso adicionales en función del tipo de dispositivo desde el que se acceda a la información

4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad

Los servidores de acceso remoto han de ser revisados y hay que asegurar que están correctamente actualizados y configurados para garantizar el cumplimiento de la política de protección de la información para situaciones de movilidad establecida por la organización, así como el control de los perfiles de acceso definidos.

5. Monitorizar los accesos realizados a la red corporativa desde el exterior

Establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.

Las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.

Informar al personal, en la política de protección de la información para situaciones de movilidad, sobre la existencia y el alcance de estas actividades de control y supervisión.

Si las actividades de monitorización se usaran además para verificar el cumplimiento de las obligaciones laborales del personal, el responsable del tratamiento deberá informar con carácter previo, y de forma clara, expresa y concisa a las personas empleadas.

Los mecanismos de monitorización implementados en el contexto de acceso remoto a recursos corporativos en situaciones de movilidad y teletrabajo deben respetar los derechos digitales establecidos en la LOPDGDD.

La configuración definida para acceder a los recursos de forma remota debe ser revisada de forma periódica para garantizar que no ha sido alterada.

6. Gestionar racionalmente la protección de datos y la seguridad

Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.

En la política deben contemplarse los procedimientos internos para provisionar y auditar los dispositivos clientes de acceso remoto, los procedimientos de administración y monitorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.

Los recursos que pueden ser accedidos se han de limitar en función de la valoración del riesgo que represente una pérdida del dispositivo cliente y la exposición o acceso no autorizado a la información manejada.

Planificar y evaluar la aplicaciones y soluciones de acceso remoto teniendo en cuenta los principios de privacidad desde el diseño y por defecto a lo largo de todas las etapas de despliegue de la solución.

Anterior artículoEl puerto de Barcelona adjudica por 1,6 millones de euros la reparación de los daños por la tormenta Gloria
Siguiente artículoAena reducirá hasta el 65% los alquileres de naves y oficinas aeroportuarias