Debido a la entrada en vigor del Reglamento Europeo en abril de 2018, está siendo necesario para la mayoría de las empresas adaptar los sistemas con los que trabajan con datos personales y la seguridad con la que los almacenan, ya que el Reglamento General de Protección de Datos establece explícitamente que las empresas tienen responsabilidad directa sobre el mal uso que se pueda hacer de ellos.
Ya con carácter general la presidencia del Comité Europeo de Protección de Datos hizo pública el pasado 16 de marzo una declaración sobre el tratamiento de datos personales en el contexto de la crisis del Covid-19, en la que resalta que la normativa sobre protección de datos y en particular el Reglamento (UE) 2016/679, no impiden tomar medidas en la lucha contra la pandemia del coronavirus, pero advierte que incluso en estas excepcionales circunstancias quienes traten datos personales deben asegurar su protección.
Las sanciones por incumplimiento son, sin duda, sustanciosas. Se establecen por valor de un 2 % del volumen de negocio anual hasta llegar a los 10 millones de euros si la empresa no aplica por defecto las medidas organizativas y técnicas para la protección de datos, no tiene un Delegado de Protección de Datos asignado o si decide no notificar las brechas de seguridad; y de un valor del 4 % del volumen de negocio anual hasta los 20 millones de euros a las empresas que no cumplan con los principios del reglamento de protección de datos de la Unión Europea, realicen de manera ilegal las transferencias internacionales de datos o no acaten las indicaciones de la unidad de control.
Vemos pues que la necesidad de analizar la vinculación del teletrabajo con la protección de datos con el fin de adaptarnos al nuevo esquema de trabajo que impone la pandemia actual es la piedra angular de la seguridad de la información en las empresas.
¿Qué es el teletrabajo y cómo se relaciona con la protección de datos?
El artículo 13 del Estatuto de los Trabajadores, indica que: “tendrá la consideración de trabajo a distancia aquel en que la prestación de la actividad laboral se realice de manera preponderante en el domicilio del trabajador o en el lugar libremente elegido por este, de modo alternativo a su desarrollo presencial en el centro de trabajo de la empresa”. Es importante destacar que los trabajadores que efectúan su trabajo a distancia, tienen los mismos derechos que los que prestan sus servicios en el centro de trabajo de la empresa.
Al trabajar en remoto, es necesario asegurar que no van a ponerse en riesgo los datos con los que se está trabajando.
El teletrabajo se relaciona con la protección de datos en temas varios tales como el registro horario, la desconexión digital, el travel office y las transferencias internacionales de datos, el correcto tratamiento de datos de forma segura, la geolocalización y el remoto, el derecho a la intimidad o incluso la video vigilancia en el hogar… Ahora, siendo muchos nosotros teletrabajadores es importante enfatizar en la idea de tener y disfrutar del derecho a no tener que estar disponibles fuera del horario laboral.
En cuanto al registro horario cabe destacar cómo el Real Decreto-ley 8/2019, 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo modifica el artículo 34 del Estatuto de los Trabajadores. Con este se deja constancia de la responsabilidad de la empresa de establecer pautas para garantizar el cumplimiento de los límites de jornada y descansos de los trabajadores a distancia.
Por otro lado, el artículo 88 de la LOPDGDD, indica que: “Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar”. Este derecho está íntimamente vinculado con la necesidad del registro horario como medida preventiva.
¿Cuáles son los riesgos del teletrabajo?
1.Robo, sustracción y pérdida de dispositivos: durante las jornadas de teletrabajo es importante asegurar que no se van a dejar los dispositivos de trabajo desatendidos en un lugar público pues cuando transportamos ordenadores es fácil que haya una sustracción.
Por otro lado, en estos momentos se establece la necesidad de tener una política de protección de datos y política de teletrabajo ya que se deben establecer protocolos que minimicen que se acceda a información confidencial.
Para los casos en los que haya un robo, sustracción o pérdida de dispositivos, una de las posibles medidas que se pueden adoptar es que tanto las laptops como los móviles o USB tengan la información cifrada. ¿Cómo conseguir esto? Creando una carpeta que solo se pueda abrir mediante contraseña. De este modo si se perdiera el dispositivo, la información estaría cifrada y no habría manera de acceder a ella. La alternativa sería disponer de una copia de seguridad siempre en la nube.
2. Acceso de personas no autorizadas: Las personas ajenas a la empresa, incluidos amigos o familiares, no pueden ver la información con la que se está trabajando. La pantalla del ordenador debe bloquearse cuando no estemos presentes.
3. Malware en dispositivos personales: Es necesario utilizar contraseñas seguras, antivirus y Firewall en todos los dispositivos utilizados, así como realizar una evaluación de riesgos para tomar todas las medidas preventivas necesarias.
¿Están los trabajadores concienciados en el tratamiento de datos fuera de la oficina?
Uno de los aspectos más importantes es la formación del personal en materia de protección de datos, así como los protocolos que tendrá que seguir en el caso de una brecha de seguridad.
Para ello es importante establecer protocolos sobre:
- Registro de dispositivos que salen de la oficina. De esta manera cuando acontece cualquier brecha de seguridad tendremos constancia de qué ordenador, su número de serie y quién se lo ha llevado por lo que la empresa tendrá constancia de qué información está en peligro para posteriormente tomar las medidas pertinentes como es la comunicación a la Agencia Española de Protección de Datos.
- Utilización de dispositivos personales o utilización de dispositivos de la empresa con el fin de avisar a la plantilla de trabajadores sobre su correcto uso, previo consentimiento de los mismos, siempre por escrito.
¿Qué dos medidas técnicas pueden adoptar las empresas para la seguridad de sus datos?
1. Uso de redes WIFI seguras. Es importante no trabajar en lugares públicos y conectarse a una red WIFI personal. Cuando los trabajadores se conectan a redes privadas, lo más recomendable es cambiar la contraseña existente antes de conectar cualquier dispositivo de la empresa.
2. Uso de dispositivos con antivirus, contraseñas y otras medidas de seguridad.
¿Qué medidas de seguridad se pueden imponer a los móviles de los trabajadores?
Es recomendable establecer medidas técnicas y organizativas en los teléfonos móviles que garanticen la seguridad de la información. Estas recomendaciones sirven tanto para teléfonos móviles como para otros dispositivos. Las medidas más eficaces para la seguridad de la información son:
- Establecer un pin de acceso o control en el dispositivo.
- Implementar un sistema de cifrado en el dispositivo.
- Instalar y actualizar el antivirus. También en ordenadores portátiles en los que los trabajadores vayan a tratar datos.
¿Qué documentos debe tener una empresa para cumplir con el teletrabajo?
Es una pregunta complicada porque no existe una regla general. Se necesita un plan de contingencia donde se indique cómo se van a implementar los sistemas de dispositivos, registros, acceso a la información, etc. Lo importante es enviar un documento a los trabajadores donde se indiquen qué medidas a nivel de protección de datos se han tomado para garantizar la seguridad en el teletrabajo, y mantenerlos constantemente informados.
Los productos serían un documento inicial de normas básicas de protección de datos para los trabajadores así como un protocolo de teletrabajo por escrito que todos los trabajadores que se rijan por esta modalidad firmaran y que se adaptase a las características y circunstancias que rodean a la empresa.
¿Necesito el consentimiento del trabajador para que éste pueda utilizar el teléfono privado?
Es importante, en la medida en que se pueda, establecer teléfonos o dispositivos de empresa dado que es la mejor forma por parte del empleador de tener el control de sus datos. En el caso de que sea complicado es importante indicar y establecer una política de uso de dispositivos propios, donde se indique al trabajador cómo debe utilizar esa información, y por supuesto contar con su consentimiento. Es importante no asumir que el consentimiento ya se halle implícito en el contrato laboral, se debe recabar el consentimiento expreso.
¿Qué medidas deben adoptar las empresas cuando solicitan un ERTE en cuanto a lo que la protección de datos se refiere?
Teniendo en cuenta que un ERTE no es un despido sino una suspensión del contrato temporal, la pregunta que la mayoría de empresas se deben estar haciendo es si deberían desactivarles los códigos de acceso a cualquier plataforma de la empresa, así como a los emails o no sería esto necesario. Dado que muchas empresas no disponen de una política de teletrabajo y protección de datos hay que tomar las medidas que sean necesarias desde la práctica y la privacidad.
Lo ideal sería poder suspender o realizar un bloqueo de los datos de forma temporal condicionada a la duración del ERTE, tanto en los códigos de acceso como en el email. En el caso de que los emails se hayan redirigido a otra cuenta, bien sea de aquellos con ERTE parcial u otra de cargos intermedios o superiores, los accesos se pueden suspender y cuando los trabajadores se vuelvan a incorporar se les vuelve a dirigir a los emails de cada trabajador. En el caso de que no estén redirigidos es mejor que se suspendan hasta la reincorporación.
En tanto en cuanto se trata de una suspensión del contrato, a grandes rasgos y teniendo en cuenta lo que previamente indicado, se debería suspender 1) accesos del personal afectado a sus emails y 2) acceso a la plataforma e incluso 3) se debería promover la devolución de los ordenadores dependiendo de las posibilidades y viabilidad para llevarlo a cabo.
Todo esto serían medidas de seguridad preventivas que se deberían tomar puesto que desde el momento en que se suspende el contrato, los afectados no deberían tener acceso a los datos personales tratados en la empresa. Incluso podríamos considerar que un acceso de estos trabajadores sería una brecha de seguridad.
Ante la situación de incertidumbre existente y las importantes brechas de seguridad a las que no se está prestando la debida atención ni diligencia debida, desde el Departamento de Propiedad Intelectual y Protección de Datos de ETL NEXUM ABOGADOS ofrecemos un asesoramiento individualizado en protección de datos para nuestros clientes y todos aquellos que se encuentren afectados por la situación de crisis ocasionada por el Coronavirus.
¿Necesitas asesoramiento?
Tanto si eres empresario como si eres trabajador, si tienes dudas sobre el Teletrabajo o la Protección de Datos, contáctanos, uno de nuestros profesionales revisará tu caso y se pondrá en contacto contigo en la mayor brevedad posible. Puedes contactarnos a través del formulario de contacto de nuestra web o escribiendo un email a la siguiente dirección: infonexum@etl.es
Escrito por Andrea Domínguez, Departamento de Propiedad Intelectual, Nuevas Tecnologías y Protección de Datos de Nexum.
Sin comentarios.