La AEPD publica unas interesantes recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo

La AEPD publica unas interesantes recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo

La Agencia Española de Protección de Datos (AEPD) acaba de publicar un conjunto de recomendaciones que tratan específicamente cuestiones derivadas de escenarios de teletrabajo y de trabajo a distancia. Creemos que el documento es útil de conocer para muchas organizaciones, tanto aquellas que, a causa de la pandemia COVID-19, se han encontrado obligadas a seguir con la actividad, dispersando sus puestos de trabajo en las casas de sus empleados, y reconfigurado el acceso a datos desde fuera del perímetro habitual de sus oficinas, como también para aquellas empresas que hayan decidido seguir con teletrabajando de ahora en adelante.

En muchos casos, las políticas de protección de datos instauradas en las organizaciones han sido prácticamente diseñadas con la idea de que los puestos de trabajo sean fijos, en las oficinas de la organización. Sin embargo esto no es siempre así y por lo tanto la ciberseguridad también tiene que tener en cuenta casos como el trabajo “en movilidad” y el teletrabajo, este último muy en auge en los últimos tiempos. Los escenarios de teletrabajo suponen un aumento de la exposición a las amenazas cibernéticas y las brechas de seguridad. 

Aplicando medidas dirigidas a los sistemas y puestos de trabajo (más desubicados) los usuarios son menos vulnerables a los ciberataques

En estos aspectos ahonda el documento de la AEPD, trazando una serie de recomendaciones y medidas específicas, dirigidas a los responsables de tratamiento de datos y a todas las personas implicadas en el tratamiento. A modo resumen, el documento expone:

1. Recomendaciones dirigidas a los responsables de tratamiento de datos

• Definir una política específica para los empleados que trabajen en situaciones de movilidad,determinando las formas de acceso remoto permitidas, qué dispositivos se pueden utilizar y el nivel de acceso a la información de cada perfil de usuario. Formar a los empleados con toda la información necesaria. Finalmente crear y firmar un acuerdo con los trabajadores donde se incluyan las responsabilidades y obligaciones que deben seguir respeto a la protección de datos.
• Elegir soluciones y proveedores de confianza. Hay que recurrir a empresas que ofrezcan soluciones probadas y garantías suficientes. Si estos acceden a datos de carácter personal se convertirán en encargados de tratamiento y habrá que establecer un contrato que vincule al encargado con el responsable.
• Restringir la información en función del perfil de cada trabajador de un modo más restrictivo que si el acceso se produjese desde la red interna. También se deben establecer restricciones adicionales según el dispositivo o la ubicación.
• Configurar de manera periódica los equipos y dispositivos utilizados en situaciones de movilidad, asegurando que están actualizados y bien configurados para cumplir con las políticas de protección de datos.
• Monitorizar los accesos realizados a la red corporativa desde el exterior para evitar la propagación de malware, así cómo el acceso y uso no autorizado de la información.
• Gestionar de manera correcta la seguridad y la protección de datos, teniendo en cuenta que las políticas de seguridad deben ser establecidas y definidas partiendo del  análisis de riesgos.

2. Recomendaciones dirigidas al personal implicado en las tareas de tratamiento de datos

• Se debe respetar la política de protección establecida por el responsable, siguiendo las normas y procedimientos establecidos, prestando especial atención en mantener la confidencialidad de los datos a los que se accede.
• Protección del dispositivo que se utiliza en movilidad, definiendo contraseñas de acceso robustas, evitando instalar aplicaciones y software no autorizados, rechazando la conexión a redes WIFI no seguras, manteniendo actualizado el antivirus o no utilizando el dispositivo para asuntos personales, entre otras medidas.
• Garantizar la protección de la información que se está tratando, evitando al máximo la impresión de información en papel, asegurarse destruirlo cuando ya no se utilice. Además hay que bloquear los dispositivos cuando no estén en uso y evitar la mirada de terceros hacía la información de las pantallas.
• Guardar siempre la información en espacios seguros, utilizando recursos de almacenamiento compartido o en la nube, facilitados por la organización y evitando guardar los datos de forma local en los dispositivos.
• Comunicar inmediatamente cualquier sospecha de brecha de seguridad utilizando los canales habilitados para esta finalidad.

Recomendamos mucho la lectura del documento referenciado.  Creemos que será de gran ayuda para evaluar si se han tomado las medidas más adecuadas en materia de protección de datos aplicada a la movilidad y el teletrabajo. También ayudará a evaluar si se han aplicado las medidas necesarias que procuran que los sistemas y puestos de trabajo (más desubicados) sean menos vulnerables a los ciberataques.

En Escuda disponemos de un conjunto de servicios en el ámbito del teletrabajo y de la ciberseguridad, así como amplia experiencia en su aplicación. Si necesitas ayuda en cualquiera de estos aspectos, no dudes en contactar con nosotros, llamándonos al 931 931 848 o rellenando este formulario.

Para más información relacionada con las buenas prácticas del teletrabajo se puede consultar el siguiente post: Décalogo del teletrabajo seguro