La AEPD emite 6 recomendaciones sobre teletrabajo y protección de datos

La Agencia Española de Protección de Datos (AEPD) ha emitido una serie de recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo.

La organización, como responsable del tratamiento, puede tomar la decisión de que determinadas actividades de su empresa se ejecuten en situaciones de movilidad y teletrabajo.

Dicha decisión puede formar parte de la estrategia de gestión, general o parcial para determinadas áreas o actividades (por ejemplo, personal que viaja con frecuencia) o puede ser motivada por situaciones excepcionales e incluso de fuerza mayor.

Primer caso. Estrategia general: En este caso hay que realizar una planificación previa.

Segundo caso. Por circunstancias excepcionales o fuerza mayor. En este caso, como ha sucedido con el Covid-19, las circunstancias de urgencia pueden obligar a poner en marcha soluciones con carácter provisional.

Cuando esto sucede, advierten desde la AEPD, es obligatorio, en paralelo y sobre todo cuando la situación se prolonga, realizar una reflexión y una adecuación de la implementación del teletrabajo.

En definitiva, la empresa y los empleados que están teletrabajando deben tener en cuenta las siguientes recomendaciones.

RECOMENDACIONES DIRIGIDAS A RESPONSABLES DEL TRATAMIENTO

El responsable del tratamiento tendrá que adecuar estas recomendaciones a la situación concreta de su objeto de negocio:

1. Definir una política de protección de la información para situaciones de movilidad

Basada en la política de protección de datos y seguridad de la información de la entidad, y formando parte de ella, es necesario definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización.

En dicha política hay que determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos. También deben definirse las responsabilidades y obligaciones que asumen las personas empleadas.

Es necesario proporcionar guías funcionales adaptadas a formar a las personas empleadas, derivadas de dichas políticas.

El personal también ha de estar informado de las principales amenazas por las que pueden verse afectados al trabajar desde fuera de la organización y las posibles consecuencias que pueden materializarse si se quebrantan dichas directrices, tanto para los sujetos de los datos como para la persona trabajadora

En dichas guías se debe identificar un punto de contacto para comunicar cualquier incidente que afecte a datos de carácter personal, así como los canales y formatos adecuados para realizar dicha comunicación.

El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.

2. Elegir soluciones y prestadores de servicio confiables y con garantías

Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales del personal, interesados y servicios corporativos de la organización, en particular, a través de los servicios de correo y mensajería.

Hay que recurrir a proveedores y encargados que ofrezcan soluciones probadas y garantías suficientes que, en el mismo sentido, eviten la exposición de los datos personales del personal, interesados y servicios corporativos de la organización

Si estos acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable.

Este contrato debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable, de acuerdo con los términos establecidos en el artículo 28.3 del RGPD.

3. Restringir el acceso a la información

Los perfiles o niveles de acceso a los recursos y a la información tienen que configurarse en función de los roles de cada persona empleada, de una forma incluso más restrictiva respecto de los concedidos en los accesos desde la red interna.

A su vez, hay que aplicar restricciones de acceso adicionales en función del tipo de dispositivo desde el que se acceda a la información (equipos portátiles corporativos securizados, equipos personales externos y dispositivos móviles como smartphones o tablets) y también dependiendo de la ubicación desde la que se accede.

4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad

Los servidores de acceso remoto han de ser revisados y hay que asegurar que están correctamente actualizados y configurados para garantizar el cumplimiento de la política de protección de la información para situaciones de movilidad establecida por la organización, así como el control de los perfiles de acceso definidos.

Los equipos corporativos utilizados como clientes tienen que: o estar actualizados a nivel de aplicación y sistema operativo, o tener deshabilitados los servicios que no sean necesarios.

Si se permite el uso de dispositivos personales de las personas empleadas, al suponer un mayor riesgo por no incorporar los mismos controles de los equipos corporativos, hay que exigir unos requisitos mínimos para poder utilizarlos en el establecimiento de conexiones remotas (por ejemplo, contar con un sistema operativo y software original y actualizado).

Unido a lo anterior, también hay que valorar la posibilidad de restringir la conexión a una red segregada que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo.

5. Monitorizar los accesos realizados a la red corporativa desde el exterior

Entre otras recomendaciones, hay que establecer sistemas de motorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.

Además, la AEPD recuerda que las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.

6. Gestionar racionalmente la protección de datos y la seguridad

Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.

En la política deben contemplarse los procedimientos internos para aprovisionar y auditar los dispositivos clientes de acceso remoto, los procedimientos de administración y motorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.

Los recursos que pueden ser accedidos se han de limitar en función de la valoración del riesgo que represente una pérdida del dispositivo cliente y la exposición o acceso no autorizado a la información manejada.

Hay que planificar y evaluar la aplicaciones y soluciones de acceso remoto teniendo en cuenta los principios de privacidad desde el diseño y por defecto a lo largo de todas las etapas de despliegue de la solución: desde la definición de los requisitos y necesidades hasta la retirada de la misma o de alguno de sus componentes.

Desde SEGURINFO, les informamos, sin compromiso de las medidas de seguridad necesarias para la gestión del teletrabajo de sus empleados.