Datos: La AEPD ha presentado un conjunto de indicaciones para el responsable del tratamiento que deberá adecuar a la situación específica del objeto de su negocio en el teletrabajo:
RECOMENDACIONES DIRIGIDAS A RESPONSABLES DEL TRATAMIENTO
· Definir una política de protección de la información para situaciones de movilidad
Determinar y definir una política específica de movilidad que contemple las necesidades concretas y los riesgos particulares que no están bajo el control de la organización. Hay que determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos y el nivel de acceso permitido en función de los perfiles de movilidad definidos. También deben definirse las responsabilidades y obligaciones que asumen las personas empleadas. El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.
· Elegir soluciones y prestadores de servicio confiables y con garantías
Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales del personal, interesados y servicios corporativos de la organización, en particular, a través de los servicios de correo y mensajería.
· Restringir el acceso a la información y configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad
Configurar diferentes niveles de acceso a los recursos y a la información en función de los roles de cada persona empleada. A su vez, hay que aplicar restricciones de acceso adicionales en función del tipo de dispositivo desde el que se acceda a la información y también dependiendo de la ubicación desde la que se accede.
· Monitorizar los accesos realizados a la red corporativa desde el exterior y gestionar racionalmente la protección de datos y la seguridad
Estableciendo un sistema de monitorización encaminado a identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.
RECOMENDACIONES DIRIGIDAS AL PERSONAL QUE PARTICIPA EN LAS OPERACIONES DE TRATAMIENTO
Las recomendaciones al personal han de estar recogidas en la política de teletrabajo del responsable, referenciadas en el acuerdo de teletrabajo y ajustadas a la situación concreta de las tareas a realizar. La guía que ha elaborado y compartido la AEPD sobre el contenido de dichas recomendaciones es la siguiente:
· Respetar la política de protección de la información en situaciones de movilidad definida por el responsable
Han de observarse las medidas y recomendaciones recogidas en las guías y política de protección de datos y seguridad de la información en situaciones de movilidad definidas por la organización, así como del resto de las normas y procedimientos que la desarrollen y, especialmente, lo que concierne al deber de confidencialidad de la persona trabajadora con relación a los datos personales a los que tuviera acceso en el desempeño de sus funciones laborales.
· Proteger el dispositivo utilizado en movilidad y el acceso al mismo
Para ello, es necesario seguir unas directrices como, por ejemplo:
- Utilizar contraseñas de acceso robustas y diferentes a las utilizadas para acceder a cuentas de correo personales, redes sociales y otro tipo de aplicaciones utilizadas en el ámbito de su vida personal.
- No se debe descargar ni instalar aplicaciones o software que no hayan sido previamente autorizados por la organización.
- El dispositivo corporativo no debe de utilizarse con fines particulares, evitando el acceso a redes sociales, correo electrónico personal, páginas web con reclamos y publicidad impactante
- El sistema antivirus instalado en el equipo debe estar operativo y actualizado.
· Garantizar la protección de la información que se está manejando, así como, guardar la información en los espacios de red habilitados
Se recomienda adoptar las precauciones necesarias para garantizar la confidencialidad de la información que se está gestionando para evitar accesos no autorizados por parte de terceros.
Por otra parte, conviene evitar almacenar la información generada durante la situación de movilidad de forma local en el dispositivo utilizado, siendo preferible hacer uso de los recursos de almacenamiento compartidos o en la nube proporcionados por la organización.
· Si hay sospecha de que la información ha podido verse comprometida comunicar con carácter inmediato la brecha de seguridad
Cualquier anomalía que pueda afectar a la seguridad de la información y a los datos personales tratados debe notificarse al responsable, a la mayor brevedad posible, a través de los canales definidos al efecto.
Centinela Protección de Datos de Lefebvre, es una guía eficaz que te ayudará en la planificación, implantación y mantenimiento del sistema de Protección de Datos Personales en tu despacho o empresa, que llegado el caso te permitirá atestiguar todo el trabajo realizado durante el proceso.